Traitement des données sensibles, que dit le RGPD ?

Le nouveau Règlement Général sur la Protection des Données est entré en vigueur le 25 mai dernier et a pour objectif de renforcer la sécurité quant aux flux de données personnelles. Les utilisateurs sont en effet de plus en plus soucieux du chemin que parcourent toutes leurs informations une fois partagées. Avec l’arrivée du Big Data et des nouvelles technologies, les individus sont amenés à transmettre toujours plus de données et celles-ci font bien souvent l’objet de flux et d’échanges. C’est en ce point qu’intervient le RGPD avec la volonté de limiter ces flux et de protéger la vie privée des individus. Les entreprises collectent généralement un grand nombre de données sur chacun de ses utilisateurs, et certaines d’entre elles sont dites à caractère sensible. Ce type d’informations doit être traité avec précaution et fait l’objet d’une clause spécifique dans la nouvelle réglementation. Quelles sont les informations considérées comme étant sensibles ? Que stipule le RGPD quant à leur collecte et à leur traitement ?

Quelles sont les données considérées comme “sensibles” ?

Les données personnelles sont définis selon le RGPD comme étant “toute information se rapportant à une physique identifiée ou identifiable”. Il peut donc s’agir de son nom, son apparence ou même d’un numéro d’identification. Parmi les données personnelles, il existe des données dites “sensibles”, qui doivent être traitées avec davantage de sécurité encore. Ces données sensibles peuvent concerner l’origine raciale ou ethnique, une opinion politique ou des croyances religieuses, une appartenance syndicale, des données génétiques ou même l’orientation sexuelle. Les données biométriques et les données relatives à l’état de santé sont également concernées.

Si les données que vous collectez et traitez entrent dans une ou plusieurs de ces catégories, vous devrez mener une analyse d’impact sur la vie privée afin d’identifier les risques potentiels. Cette analyse devra être intégrée dans le registre de la CNIL et vous devrez être en mesure de justifier à tout moment le traitement de ces données auprès de la CNIL.

Que prévoit le RGPD concernant le traitement des données sensibles ?

Le RGPD interdit en théorie le traitement de ces données, mais il existe des cas exceptionnels qui peuvent l’autoriser. Vous serez autorisés à les collecter si vous obtenez le consentement explicite de la personne et s’il y une finalité précise à cette collecte. Ainsi, ces informations ne peuvent pas être détenues sans objectif précis. Le traitement est également autorisé dans le cas où il est vital pour la personne concernée (si sa vie est en péril), mais aussi dans le cas où les informations auraient déjà été rendues publiques par la personne. D’autres cas exceptionnels peuvent s’appliquer, il est donc conseillé de se renseigner assidûment sur la réglementation avant de commencer à traiter des données de ce type.

Pour identifier les données à caractère sensible parmi toute votre base d’informations, vous pouvez utiliser des logiciels de data mining et de textmining plus particulièrement afin d’éviter tout oubli et d’être toujours en règle.

La clause du RGPD en ce qui concerne les données sensibles a donc pour objectif de renforcer la sécurité de la vie privée des individus et de limiter les impacts que pourraient avoir ces données si elles venaient à être transmises.