Types de données

Données sensibles

Catégories particulières de données personnelles dont le traitement est interdit par principe, sauf exceptions strictes prévues par le RGPD.

Définition complète

Les données sensibles, désignées sous le terme de « catégories particulières de données » à l'article 9 du RGPD, sont des informations dont la nature est telle que leur traitement peut engendrer des risques majeurs pour les libertés et les droits fondamentaux des personnes. En raison de leur sensibilité, le RGPD pose un principe d'interdiction générale de leur collecte et de leur traitement. Sont ainsi concernées les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que les données concernant la santé, la vie sexuelle ou l'orientation sexuelle. S'y ajoutent les données génétiques et biométriques permettant d'identifier une personne de manière unique. Pour déroger à l'interdiction, l'entreprise doit s'appuyer sur l'une des exceptions limitatives prévues par la loi (article 9.2), comme le consentement explicite de la personne, l'obligation légale en droit du travail ou la protection des intérêts vitaux. Le traitement de ces données impose systématiquement des mesures de sécurité renforcées et, dans bien des cas, la réalisation d'une Analyse d'Impact relative à la Protection des Données (AIPD).

Exemple concret en PME

Une PME qui gère un restaurant peut être amenée à traiter des données sensibles si un salarié déclare une allergie alimentaire grave ou un handicap nécessitant un aménagement de poste. Dans ce cas, l'employeur ne doit collecter que l'information strictement nécessaire à la sécurité du salarié, la stocker de manière sécurisée (accès restreint) et justifier ce traitement par l'obligation légale de protéger la santé et la sécurité des travailleurs.

L'erreur fréquente à éviter

L'erreur classique est de confondre « donnée sensible » (sens juridique strict de l'article 9) et « donnée confidentielle » (ex: salaire, RIB). Si un RIB est confidentiel, il n'est pas une donnée sensible au sens du RGPD. Cette confusion conduit souvent les PME à appliquer des mesures de sécurité disproportionnées sur des données classiques, ou inversement, à sous-estimer le risque juridique lié aux données de santé.

Vérifiez votre conformité RGPD

Scan gratuit de votre site : cookies, mentions légales, sanctions encourues.

Scanner mon site