Données personnelles et données sensibles : quelle différence ?
Une donnée personnelle est une information qui permet d’identifier une personne physique (personne concernée). Ces données peuvent être liées directement à une personne concernée, comme par exemple un nom, un prénom, une image, une vidéo, une adresse email, numéro de téléphone, adresse postale. Elles peuvent aussi être liées indirectement à cette personne par référence à un identifiant comme la connexion informatique, une empreinte digitale, le numéro de sécurité sociale, de carte bancaire, la position GPS.
Il existe deux sortes de données personnelles :
- Les données personnelles dites « classiques », qui sont des données qui ne présentent pas de caractère particulièrement sensible compte tenu de leur nature. Cela concerne les informations comme le nom, le prénom, l’adresse postale, l’adresse IP, la date de naissance, le numéro de sécurité sociale. Quasiment toutes les données personnelles sont des données personnelles classiques.
- Mais il y a aussi les données personnelles dites « sensibles » qui sont des données ne pouvant être recueillies et exploitées qu’avec le consentement explicite des personnes concernées. Ces données confidentielles font l’objet d’un régime plus strict afin de garantir la protection des droits de leurs détenteurs.
Comment identifier les données sensibles ?
Les données sensibles sont les données relatives à la santé des individus, l’orientation sexuelle, la prétendue origine raciale ou ethnique, les opinions politiques, l’appartenance syndicale, les convictions religieuses, et les données génétiques et biométriques utilisées afin d’identifier une personne de manière unique.
Dans une démarche RGPD, il est essentiel de savoir si la collecte porte sur des données sensibles. Pour trouver ces informations, plusieurs ressources peuvent être sollicitées : cartographie des données, historiques des données, outils utilisés pour la collecte de données… Si c’est le cas, il est impératif de se demander si la collecte de ces données est justifiée et si elle est en accord avec l’article 9 du RGPD.
Que dit précisément le RGPD sur les données sensibles ?
Les données sensibles n’ont pas un régime spécifique pour rien, leur exploitation peut représenter un risque élevé pour les libertés, les droits et la vie privée des personnes concernées. C’est pourquoi le traitement de ces données est interdit par la CNIL.
Néanmoins, cette interdiction est levée si l’une des conditions suivantes est respectée :
- Si la personne concernée donne son consentement explicite au traitement de ces données pour une ou plusieurs finalités.
- Si le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale.
- Si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
- Si le traitement est effectué dans le cadre des activités légitimes et moyennant les garanties appropriées.
- Si les informations sont manifestement rendues publiques par la personne concernée.
- Si le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice.
- Si le traitement est nécessaire pour des motifs d’intérêt public importants.
- Si le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail.
- Si le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique.
- Si le traitement est nécessaire à des fins archivistiques, dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.
Les données relatives aux condamnations pénales et aux infractions ne font pas partie des données sensibles, mais elles ont également un régime particulier : leur traitement ne peut être effectué que sous le contrôle de l’autorité publique.
Qu’entend-on par “traitement de données sensibles” ?
La notion de traitement correspond à toute opération ou tout ensemble d’opérations effectué ou non à l’aide de procédés automatisé et qui s’applique à des données ou des ensembles de données à caractère personnel.
Un traitement de données peut être une collecte, un enregistrement, l’organisation, la conservation, la modification, l’extraction, la consultation, la communication, l’interconnexion, l’effacement ou encore la suppression de données à caractère personnel. Concrètement, un fichier, une base de données ou un tableur Excel sont des traitements de données.
Un traitement peut être informatisé, mais ils ne le sont pas tous. Un fichier papier organisé avec un plan de classement est un traitement de donnée à caractère personnel, des formulaires papier nominatifs ou des candidatures classées par ordre alphabétique ou chronologique sont aussi des traitements de données personnelles.
À LIRE AUSSI : Le traitement des données personnelles au cœur des stratégies data
Comment protéger les données sensibles ?
Lorsqu’on collecte des données sensibles, il faut impérativement veiller à ce que le système d’information qui les accueille soit sécurisé. La sécurité du système d’information est une ambition qui va au-delà de la sécurité des sensibles, mais il faut identifier au plus tôt les techniques et les bonnes pratiques pour les protéger au mieux :
- Exclure les données sensibles de la plateforme de données avec des techniques d’anonymisation, de pseudonymisation ou de chiffrage de données.
- Instaurer une authentification à deux facteurs pour renforcer la sécurité des comptes.
- Utiliser des outils de détection des menaces pour protéger les systèmes contre les logiciels malveillants, les virus et les attaques par déni de service.
- Utiliser des outils de gestion des identités pour contrôler l’accès aux données sensibles.
- Former et sensibiliser les utilisateurs de la donnée aux enjeux, risques et exigences de traitement associés aux données sensibles.
- Restreindre l’accès aux données sensibles aux personnes autorisées et surveiller l’accès aux informations sensibles.
- Utiliser des mécanismes de sauvegarde et de récupération des données pour assurer la disponibilité des informations sensibles.
Quels sont les risques d’un traitement non conforme de données sensibles ?
En 2022, les sanctions prononcées par la CNIL ont représenté 101 277 900 d’euros et un tiers d’entre elles concerne un manquement à la sécurité des données personnelles.
Il existe deux types de sanctions encourues pour le non-respect du RGPD :
- Il y a les sanctions qu’on appelle administratives : le responsable de traitement peut se voir infliger une amende importante par la CNIL, pouvant s’élever, selon la catégorie de l’infraction, de 10 à 20 millions d’euros ou de 2 à 4 % du chiffre d’affaires annuel de l’exercice précédent, le montant le plus élevé étant retenu en cas de non-respect des dispositions du RGPD.
- Il y a aussi des sanctions pénales : la CNIL peut, en plus des sanctions administratives, transmettre le dossier à la justice pénale, qui peut donner lieu à des sanctions pénales. Le non-respect des obligations du RGPD constitue un délit pénal, sanctionné par des peines pouvant aller jusqu’à 5 ans de prison et 300 000 euros d’amendes, qui s’ajoutent à l’amende administrative.
La rédaction vous conseille
> Sécurité des données : facteur clé de réussite d’une plateforme data
> Exploitation des données : le guide pour réussir son projet