Le règlement européen précise le cadre juridique des données sensibles. A priori, il renforce la protection de ce type de données puisqu’il élargit son champ d’application en intégrant d’autres types de données sensibles. Leur traitement est interdit en principe. Cependant, des dérogations existent et sont étendues par le GDPR, ce qui peut poser un doute quant à l’efficacité de la protection des données sensibles.

L’élargissement des catégories de données sensibles 

Par principe, le traitement des données sensibles est interdit. En effet, un tel traitement contient des risques importants en termes de droits et libertés pour les personnes. Dans ce cadre, ces données bénéficient d’une protection particulière, plus importante que les autres données personnelles.

Les données sensibles « classiques »

La protection de ces données n’est pas nouvelle. La directive de 1995 prévoyait déjà cette interdiction par principe, tout comme la loi informatique et libertés (article 8)

Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle ou à l’identité de genre de celles-ci, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Article 226-19 du Code Pénal

Plus particulièrement, il est impossible de se servir de ces données pour opérer des tris ou faire du profilage, lequel peut être perçu par les populations visées comme une véritable atteinte à leur identité. Il s’agit de mettre en place des actions commerciales ou marketing pour cibler un groupe en fonction de son appartenance à une catégorie. Cette protection est un corolaire du principe constitutionnel selon lequel la République « assure l’égalité devant la loi de tous les citoyens sans distinction d’origine, de race ou de religion » (article 1 de la constitution).

Plusieurs situations ont déjà été jugées illégales. Par exemple, en 2011, une application « Juif ou pas Juif » a été retirée de la vente. Celle-ci permettait d’interroger une base de données contenant les noms de 3 500 personnalités d’origine juive.

Les données sensibles classiques issues de la directive de 1995 sont celles qui portent sur l'origine raciale ou technique, l'orientation ou la vie sexuelle, les opinions politiques, religieuses ou philosophiques, les données de santé ou l'appartenance syndicale.

De nouvelles données sensibles : données biométriques et génétiques

Le règlement intègre aux données sensibles celles qui ont un caractère biométrique et génétique.

Les premières sont définies comme « résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (article 4. 14) du GDPR).

Avant 2016, la CNIL effectuait une distinction entre les dispositifs « traces » et les dispositifs « sans traces ». Or désormais, compte tenu des évolutions technologiques, toutes les biométries doivent être considérées comme laissant des traces sur le passage des personnes. Ainsi, pour anticiper l’entrée en vigueur du règlement, la CNIL distingue les dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique de ceux qui ne permettent pas cette maitrise.

La collecte et le traitement de ces données biométriques doit être particulièrement justifiés : il est nécessaire de motiver le recours à un tel système en expliquant pourquoi le recours à un autre est insuffisant (vidéo-surveillance, badge d’accès, etc.). Il faut privilégier les dispositifs permettant une maîtrise du gabarit par la personne concernée. Le recours au système ne permettant pas de maitrise n’est d’ailleurs possible que dans la mesure où il constitue la seule configuration envisageable pour répondre aux besoins spécifiques de l’organisme.

S’agissant des données génétiques, elles sont définies comme étant « relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question » (article 4. 13) du GDPR).

Si leur caractère sensible était reconnu par la Déclaration internationale sur les données génétiques humaines de 2003, celui-ci ne l’était pas par la directive de 1995. Quant à la loi Informatique et Libertés, elle se limite à préciser que ces données doivent faire l’objet d’une autorisation préalable auprès de la CNIL à l’exception d’un traitement par des médecins ou des biologistes aux fins de la médecine préventive, des diagnostics médicaux ou de l’administration de soins ou de traitements.

Une efficience contestable par des dérogations élargies 

Si le règlement reprend les dérogations permettant la collecte et le traitement des données sensibles mises en place par la directive de 1995, il en introduit aussi deux nouvelles.

Le Règlement reprend les exceptions déjà contenues dans la Directive parfois en étendant ou limitant leur champ d’application (consentement explicite; droit du travail et droit de la sécurité sociale pour autant que le traitement soit fondé sur une loi de l’Union ou de l’État membre ou une convention collective, sauvegarde de la vie humaine, association sans but lucratif, données rendues publiques par la personne concernée, constatation, défense, exercice ou constatation d’un droit en justice, médecine préventive ou pour des motifs importants d’intérêt public.

La première dérogation mise en place par le GDPR porte sur la faculté de déroger au principe d’interdiction de traitement des données sensibles lorsque ce traitement est nécessaire pour des motifs d’intérêt public. Cela peut consister en la garantie de normes élevées de qualité et de sécurité des soins de santé, des médicaments ou des dispositifs médicaux, ou en la protection contre les menaces transfrontalières graves pesant sur la santé.

Le seconde concerne les traitements nécessaires à des fins d’archivage pour l’intérêt public ou à des fins historiques, statistiques ou scientifiques. Le traitement doit cependant répondre à des exigences renforcées. Il doit être proportionné au but poursuivi, respecter les droits des personnes, et prévoir des mesures appropriées et spécifiques afin de sauvegarder les droits fondamentaux et les intérêts légitimes de la personne concernée.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *