Types de données

Catégories particulières de données

Données sensibles dont le traitement est interdit par principe, sauf exceptions strictes, pour protéger les libertés fondamentales des personnes.

Définition complète

Les « catégories particulières de données », communément appelées données sensibles, sont des informations dont la nature expose l'individu à des risques élevés de discrimination ou d'atteinte à sa vie privée. Selon l'article 9 du RGPD, elles incluent notamment les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que les données génétiques, biométriques, les données concernant la santé ou l'orientation sexuelle. Le régime juridique de ces données est beaucoup plus strict que celui des données personnelles classiques. Le principe général est l'interdiction de leur traitement. Pour déroger à cette interdiction, l'entreprise doit s'appuyer sur l'une des exceptions limitatives prévues par l'article 9, paragraphe 2. La plus courante en entreprise est le consentement explicite de la personne concernée, mais d'autres fondements existent, comme l'obligation légale en matière de droit du travail ou de sécurité sociale. En raison de leur sensibilité, le traitement de ces données impose des mesures de sécurité renforcées (chiffrement, accès restreints) et nécessite quasi systématiquement la réalisation d'une Analyse d'Impact relative à la Protection des Données (AIPD) pour évaluer et limiter les risques pour les personnes.

Exemple concret en PME

Une PME qui gère la médecine du travail ou qui collecte des justificatifs d'absence pour maladie traite des données de santé. Pour être en conformité, elle ne doit pas stocker le diagnostic médical dans le dossier RH classique, mais uniquement l'aptitude ou l'arrêt de travail, tout en limitant l'accès à ces documents au seul personnel habilité (RH ou direction), avec un stockage sécurisé et chiffré.

L'erreur fréquente à éviter

L'erreur classique est de confondre « donnée sensible » (sens juridique RGPD) et « donnée confidentielle » (sens business). Beaucoup de PME pensent qu'un numéro de téléphone ou un salaire sont des données sensibles. Or, juridiquement, ils ne le sont pas. À l'inverse, elles collectent parfois des données de santé (ex: allergies pour un repas d'entreprise) sans recueillir de consentement explicite, s'exposant ainsi à de lourdes sanctions.

Vérifiez votre conformité RGPD

Scan gratuit de votre site : cookies, mentions légales, sanctions encourues.

Scanner mon site