La navigation sur internet peut représenter un danger pour le respect de la vie privée des internautes. En effet, certaines données collectées sont qualifiées de “sensibles” du fait de leur nature et des informations qu’elles apportent sur l’internaute concerné. Afin d’assurer une meilleure protection de la vie privée, les états européens ont donc signé le RGPD, un texte visant à établir un véritable cadre pour le traitement des données personnelles. Grâce à cette nouvelle réglementation, les données dites “sensibles” doivent donc faire l’objet d’une attention toute particulière de la part des entreprises et des organismes publics. Retour sur la définition de ces données et les mesures essentielles à prendre pour bien les gérer.
Données sensibles : définition
L’article 9 du RGPD définit ce que sont les données sensibles comme suit : “Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.“
Les exceptions de traitement de ces informations
Le second paragraphe de l’article 9 vient compléter la définition de ce que sont les données sensibles en décrivant les différents cas dans lesquels l’interdiction de traitement ne s’applique pas :
- la personne concernée a donné son consentement explicite au traitement de ces données
- le traitement est nécessaire aux fins de l’exécution des obligations et des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale,
- le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée
- le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;
- le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;
- le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice
- le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un ‘État membre qui doit être proportionné à l’objectif poursuivi,
- le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail ;
- le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique,
- le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Le cas des données sur les condamnations et infractions
Afin de clarifier au mieux à quoi correspond la notion de données sensibles, l’article 10 du RGPD apporte une précision sur les informations pénales : “Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.”
En d’autres termes, ce type d’informations ne fait pas partie des données dites sensibles mais bénéficie également d’une protection particulière. La limitation du traitement de ces données à certaines autorités évite ainsi d’éventuels excès quant à l’utilisation des informations personnelles relatives aux condamnations et infractions.
Données sensibles : les règles qui s’imposent
En principe, le traitement des données sensibles est formellement interdit par le RGPD. Néanmoins, le texte précise les différents cas dans lesquels l’utilisation de ces informations peut être autorisé. Avant de pouvoir traiter des données sensibles, il est donc essentiel d’être sûr de se trouver dans l’un des cas d’exception prévu par ce texte. S’assurer de remplir les conditions d’exception est particulièrement important car la CNIL est très stricte concernant le traitement de ces données. Afin de garantir votre respect du RGPD, il est nécessaire que votre traitement de ce type d’informations soit parfaitement documenté (conformément à l’article 24 du RGPD).
En plus de s’assurer d’être dans un cas d’exception, il est important de vérifier si l’on respecte les autres obligations imposées par le RGPD. Parmi ces obligations, on peut notamment citer :
- Objectif du traitement de ces données : “adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées”
- Transparence du traitement : “traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence)”
- Sécurité : l’importance de la mise en place de mesures de sécurité renforcées pour le traitement de ces données
Afin d’éviter tout contentieux, il est donc nécessaire de s’assurer au préalable que le traitement des données personnelles sensibles rentre parfaitement dans le cadre établi par le RGPD.
Comment gérer les données sensibles ?
Par leur nature, les données sensibles sont des informations qui peuvent avoir des incidences particulières critiques sur la vie privée d’une personne si elles étaient révélées. Afin de mieux les gérer, il est d’abord nécessaire de les distinguer des autres données collectées et autorisées par le RGPD. Par la suite, elles doivent faire l’objet d’un traitement différent et encore plus sécurisé.
La pseudonymisation
La pseudonymisation correspond au remplacement des informations d’identification par des identifiants artificiels. Cette mesure de sécurité a pour objectif de rendre impossible le fait de rattacher une information à une personne en particulier.
Le cryptage
Le cryptage apporte une sécurité supplémentaire pour éviter toute fuite des données personnelles. En effet, le cryptage permet d’autoriser l’accès aux données à un nombre restreint de personnes. Ces deux techniques de sécurité sont recommandées par la CNIL afin protéger la confidentialité des données des internautes.
Quel outil pour la gestion des données sensibles ?
Les données sensibles sont très souvent collectées via les zones de textes libres. Afin d’éviter la saisie de ces informations (santé, vie sexuelle, n° de carte bancaire, n° de sécurité sociale…), il est essentiel d’utiliser des outils de sécurité adaptés. Parmi eux, le logiciel RGPD Text-Control de Coheris propose un contrôle efficace des zones de textes libres en détectant les données sensibles : en temps réel ou différé. Quel que soit le mode de contrôle choisi, l’installation du logiciel RGPD Text-Control va permettre d’analyser les champs de textes de toutes vos applications et veiller ainsi à la
protection des données sensibles collectées.
Laisser un commentaire
Participez-vous à la discussion?N'hésitez pas à contribuer!