Le traitement de données sensibles est interdit par principe en vertu de l’Art. 9(1) du RGPD. Cette interdiction couvre les données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, les données génétiques, biométriques, de santé, et celles concernant la vie sexuelle ou l’orientation sexuelle. Seules les exceptions limitativement énumérées à l’Art. 9(2) permettent de lever cette interdiction. La CNIL a infligé 1,5 million d’euros d’amende à Dedalus Biologie (Délibération n°SAN-2022-009) pour une fuite de données sensibles de santé de 500 000 patients.
Points Clés
- L’Art. 9(1) RGPD établit une interdiction de principe du traitement de dix catégories de données sensibles.
- Le traitement n’est possible que si l’une des dix exceptions de l’Art. 9(2) est remplie, en plus d’une base légale de l’Art. 6.
- Les données de santé sont la catégorie la plus fréquemment traitée et la plus sanctionnée : elles représentent plus de 30 % des amendes RGPD liées aux données sensibles.
- Les données biométriques aux fins d’identification unique sont sensibles depuis le RGPD — ce n’était pas le cas sous la directive 95/46/CE.
- La violation de l’Art. 9 expose à des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial (Art. 83(5)(a) RGPD).
Les catégories de données sensibles (Art. 9(1))
L’Art. 9(1) RGPD interdit le traitement des données à caractère personnel suivantes :
1. Origine raciale ou ethnique — Comprend la nationalité d’origine, l’apparence physique, le nom de famille lorsqu’il révèle une origine ethnique. La CNIL précise que la collecte de données relatives à l’origine ethnique est interdite même à des fins statistiques, sauf anonymisation complète.
2. Opinions politiques — Affiliation à un parti politique, participation à des manifestations, déclarations publiques à caractère politique. Le simple fait de consulter un site politique ne constitue pas une donnée sensible, mais un profil détaillé d’affinités politiques en est une.
3. Convictions religieuses ou philosophiques — Appartenance à une communauté religieuse, régime alimentaire motivé par des convictions religieuses (halal, casher), demandes de congé pour fêtes religieuses.
4. Appartenance syndicale — Adhésion à un syndicat, participation à une grève, prélèvement de cotisations syndicales sur la fiche de paie.
5. Données génétiques — Art. 4(13) RGPD : données relatives aux caractéristiques génétiques héréditaires ou acquises, obtenues par analyse biologique (ADN, ARN).
6. Données biométriques aux fins d’identification — Art. 4(14) RGPD : empreintes digitales, reconnaissance faciale, reconnaissance de l’iris, reconnaissance vocale, lorsqu’elles sont utilisées pour identifier une personne de manière unique. Une simple photographie n’est pas en soi une donnée biométrique, sauf si elle est traitée par un logiciel de reconnaissance faciale.
7. Données de santé — Art. 4(15) RGPD : toute donnée relative à la santé physique ou mentale d’une personne, y compris les prestations de soins de santé. La CJUE a retenu une interprétation large dans l’arrêt Lindqvist (C-101/01) : mentionner qu’une personne s’est blessée au pied constitue une donnée de santé.
8. Vie sexuelle et orientation sexuelle — Orientation sexuelle déclarée ou déduite, données relatives à la vie sexuelle, statut sérologique.
Les exceptions de l’Art. 9(2)
Le traitement de données sensibles n’est licite que si l’une des exceptions suivantes est remplie :
a) Consentement explicite
La personne a donné son consentement explicite pour une ou plusieurs finalités spécifiques. Le consentement doit aller au-delà du consentement simple de l’Art. 7 RGPD : il doit être exprès, sans ambiguïté, et idéalement écrit. Le droit d’un État membre peut interdire cette exception pour certaines catégories de données.
b) Droit du travail et protection sociale
Le traitement est nécessaire aux fins de l’exécution des obligations du responsable de traitement en matière de droit du travail, de sécurité sociale et de protection sociale. Exemple : traitement de l’appartenance syndicale pour le prélèvement des cotisations, données de santé pour l’arrêt maladie.
c) Intérêts vitaux
Le traitement est nécessaire à la sauvegarde des intérêts vitaux lorsque la personne est physiquement ou juridiquement incapable de consentir. Exemple : accès au dossier médical d’un patient inconscient.
d) Organismes à but non lucratif
Les associations, fondations ou organismes à but non lucratif poursuivant une finalité politique, philosophique, religieuse ou syndicale peuvent traiter les données sensibles de leurs membres, sous réserve de garanties appropriées et sans communication à des tiers sans consentement.
e) Données manifestement rendues publiques
Le traitement porte sur des données personnelles que la personne a manifestement rendues publiques. Exemple : un élu qui affiche publiquement son appartenance politique.
f) Constatation, exercice ou défense de droits en justice
Le traitement est nécessaire à la constatation, l’exercice ou la défense de droits en justice. Exemples : traitement de données de santé dans un contentieux prud’homal, données d’appartenance syndicale dans un litige sur la discrimination.
g) Intérêt public important
Le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou d’un État membre. Doit être proportionné à l’objectif poursuivi et respecter l’essence du droit à la protection des données.
h) Médecine préventive, professionnelle et diagnostic médical
Le traitement est nécessaire aux fins de la médecine préventive ou professionnelle, de l’évaluation de la capacité de travail, du diagnostic médical, de la prise en charge sanitaire ou sociale. Cette exception est le fondement principal du traitement des données de santé par les professionnels de santé.
i) Intérêt public en matière de santé publique
Le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique : protection contre les menaces transfrontalières graves, normes de qualité et de sécurité des soins.
j) Recherche et archivage d’intérêt public
Le traitement est nécessaire à des fins de recherche scientifique, historique, statistique ou d’archivage dans l’intérêt public, sous réserve de garanties appropriées (Art. 89(1) RGPD).
Mesures de protection renforcées
Le traitement de données sensibles exige des mesures techniques et organisationnelles renforcées par rapport aux données ordinaires :
Mesures techniques :
- Chiffrement systématique au repos et en transit
- Pseudonymisation ou anonymisation dès que possible
- Contrôle d’accès strict basé sur le besoin d’en connaître
- Journalisation de tous les accès aux données sensibles
- Séparation logique ou physique des données sensibles
Mesures organisationnelles :
- AIPD obligatoire (Art. 35 RGPD) pour tout traitement à grande échelle de données sensibles
- Sensibilisation et formation spécifique des personnels habilités
- Politique d’habilitation documentée et révisée périodiquement
- Procédure de notification des violations adaptée (délai de 72 heures, Art. 33 RGPD)
Legiscope identifie automatiquement les traitements impliquant des données sensibles dans le registre et déclenche les obligations associées : AIPD, mesures de sécurité renforcées et documentation spécifique.
Sanctions pour traitement illicite de données sensibles
CNIL, Délibération n°SAN-2022-009 du 15 avril 2022 : Dedalus Biologie, éditeur de logiciels pour laboratoires d’analyses médicales, a été sanctionné de 1,5 million d’euros pour des failles de sécurité ayant entraîné la fuite de données de santé de près de 500 000 patients. Les données incluaient nom, prénom, numéro de sécurité sociale, résultats d’analyses (VIH, grossesse, maladies génétiques).
AEPD (Espagne), décision PS/00120/2021 du 2 mars 2022 : CaixaBank a reçu une amende de 6,2 millions d’euros pour des traitements de données incluant des informations de santé sans base légale appropriée au titre de l’Art. 9(2).
CNIL, Délibération n°SAN-2021-020 du 20 décembre 2021 : Clearview AI a été sanctionnée de 20 millions d’euros pour la collecte et le traitement de données biométriques (reconnaissance faciale) à grande échelle sans base légale et sans information des personnes.
FAQ
Une photo d’identité est-elle une donnée sensible ?
Pas en soi. L’Art. 4(14) RGPD précise que les données biométriques sont sensibles uniquement lorsqu’elles font l’objet d’un traitement technique spécifique permettant l’identification unique d’une personne. Une photo stockée dans un badge d’accès sans reconnaissance faciale n’est pas une donnée sensible. La même photo traitée par un algorithme de reconnaissance faciale le devient.
Comment combiner Art. 6 et Art. 9 pour traiter des données sensibles ?
Le traitement de données sensibles nécessite deux fondements cumulatifs : une base légale au titre de l’Art. 6(1) (consentement, contrat, obligation légale, etc.) et une exception au titre de l’Art. 9(2). Par exemple, un médecin traitant des données de santé s’appuie sur l’Art. 6(1)© (obligation légale) combiné avec l’Art. 9(2)(h) (médecine préventive et diagnostic).
Les données relatives aux infractions pénales sont-elles des données sensibles ?
Non. L’Art. 10 RGPD traite séparément les données relatives aux condamnations pénales et aux infractions. Ces données ne relèvent pas de l’Art. 9, mais leur traitement est soumis à un régime spécifique : il ne peut être effectué que sous le contrôle de l’autorité publique ou lorsqu’il est autorisé par le droit de l’Union ou d’un État membre.
Un employeur peut-il traiter les données de santé de ses salariés ?
Oui, dans les limites de l’Art. 9(2)(b) : le traitement est nécessaire aux fins de l’exécution des obligations en matière de droit du travail (arrêts maladie, médecine du travail, déclaration d’accident du travail). L’employeur ne peut pas accéder au diagnostic médical — seul le médecin du travail y a accès. Le certificat médical transmis à l’employeur ne doit mentionner que l’aptitude ou l’inaptitude, sans détail clinique.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial