Par Gérard HAAS et Axelle POUJOL
Le Règlement européen sur la protection des données (RGPD), entré en vigueur en 2018, a transformé le droit des données. En France, depuis 1978, la loi informatique et libertés portait les grands principes en la matière. Aujourd’hui, avec le nouveau règlement, cette loi a été adaptée afin d’harmoniser notre droit avec le droit de toute l’Union Européenne.
1. La définition générale d’une donnée
Une donnée personnelle est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Ce sont donc toutes les informations, directes ou indirectes, qui concernent une personne déterminée.
2. Les données sensibles
Certaines données sont spécifiquement définies par le RGPD et font l’objet de dispositions particulières. Ces particularités sont dues à la nature de ces données : en effet, ces données vont concerner la sphère intime d’une personne. Elles sont donc considérées comme sensibles et nécessitent une protection accrue.
Sont référencées comme données sensibles les données qui concernent :
-
L’origine raciale ou ethnique
-
Les opinions politiques
-
Les convictions religieuses ou philosophiques
-
L’appartenance syndicale
-
La santé
-
La vie sexuelle ou l’orientation sexuelle
-
Les données génétiques
-
Les données biométriques
3. Les traitements de données sensibles
Le RGPD pose un principe : l’interdiction de tout traitement de données (toute opération ou tout ensemble d’opérations effectué sur des données ou des catégories de données).
Ce principe va être assorti d’exceptions. A titre d’exemples, sont autorisés les traitements de données sensibles :
-
Si la personne concernée a donné son consentement explicite au traitement : par exemple, en signant personnellement une autorisation d’utilisation pour la réalisation d’une étude ;
-
S’ils sont réalisés par une association, fondation ou organisme à but non lucratif moyennant des garanties appropriées : par exemple, la collecte d’informations sur la nationalité, la religion ou encore l’orientation sexuelle de ses membres par une association, sous-réserve que l’association prenne des précautions pour garantir la sécurité de ces informations ;
-
Si les données ont été manifestement rendues publiques par la personne concernée : par exemple, si une personne a publié des données sensibles la concernant sur internet sans les rendre confidentielles, sans réserver leur visibilité à des personnes déterminées ;
-
Si les données sont traitées par un professionnel de santé habilité soumis au secret professionnel : ex : l’enregistrement des informations données par un patient sur son état à un médecin lors d’un rendez-vous.
Dans tous les cas, ces traitements doivent respecter les grands principes posés par le RGPD : licéité du traitement, finalités déterminées, proportionnalité, loyauté. En outre, certaines précautions particulières supplémentaires devront être prises pour ces traitements de données sensibles.
***
Pour en savoir plus sur le RGPD, cliquez ici
***
