Coffre-fort de données sensibles

RGPD : qu’est-ce que les données sensibles et quelles sont-elles ?

2025-06-11 / Par

Le Règlement Général sur la Protection des Données (RGPD) et la Loi Informatique et Libertés encadrent les traitements de données à caractère personnel. Parmi ces traitements, les traitements portant sur des données « sensibles » font l’objet de règles particulières (régime d’exception, obligation fréquente de réaliser une AIPD, mesures de sécurité renforcées, …). Mais qu’est-ce que les données sensibles et pourquoi font-elles l’objet de ces règles particulières ? 

Les trois catégories de données

Les données à caractère personnel sont généralement divisées en trois catégories : 

  • les données dites « courantes », très fréquemment utilisées par les organismes (informations d’identification habituelles, état civil, coordonnées de contact, informations d’ordre professionnel, etc.) ; 
  • les données dites « semi-sensibles » ou « semi-courantes » (en fonction des organismes) que sont les coordonnées bancaires (numéro de carte, cryptogramme visuel, RIB / IBAN, chèques) ; 
  • les données dites « sensibles » qui sont catégorisées par l’article 9 du RGPD

Quelles sont les données sensibles ? 

Les données sensibles sont catégorisées de la manière suivante : 

  • les données révélant la supposée origine raciale ou ethnique (ces informations peuvent parfois découler d’une donnée génétique ou présente sur un passeport)
  • les opinions politiques (votes, inscriptions à un parti politique, croyances politiques sur des thématiques sociétales, …)
  • les convictions religieuses ou philosophiques (l’ensemble des croyances)
  • l’appartenance syndicale (actuelle ou passée, participation à des mouvements de grève, …)
  • les données génétiques (sang, ADN, biopsies, …)
  • les données biométriques (empreintes digitales, iris, etc.) – lorsque ces données biométriques sont utilisées pour identifier la personne de manière unique ; 
  • les données concernant la santé (état de santé physique, mental, ou moral, ordonnances, pathologies, radiographies, …)
  • l’orientation sexuelle (préférences sexuelles)

A ces données, listées par le RGPD, s’ajoute en France le Numéro d’Inscription au Repertoire (le NIR), utilisé notamment comme numéro de sécurité sociale. Cette donnée est en effet soumise à une régime de protection particulier, la Loi Informatique et Libertés la qualification de « donnée particulière ». 

Enfin, les données relatives aux infractions et condamnations pénales, et de manière générale le rapport de la personne avec la justice, sont des données dont le traitement est réglementé et extrêmement limité. 

Pourquoi ces données sont-elles « sensibles » ? 

La philosophie du RGPD est de protéger les « personnes concernées », c’est-à-dire les personnes à qui se réfèrent les données, contre divers risques. Alors que les données courantes et semi-sensibles (bancaires) sont plus souvent accessibles, utilisées de manière plus habituelle par tous les organismes, et font surtout peser des risques matériels sur les personnes (fraudes, perte d’argent, …), les données sensibles relèvent bien plus encore de l’intimité de la personne. 

Ces données qui touchent aux croyances, au corps ou aux affiliations des personnes sont souvent moins partagées, ou partagées uniquement à des personnes de confiance dans le cadre de relations particulières (professionnel de santé, partenaire ou famille, etc.). Une mauvaise utilisation de ces données peut mener à des actes portant bien plus gravement atteinte à leurs droits et libertés fondamentales (attaques physiques ou psychologiques, harcèlement, discrimination, diffamation, …). 

C’est pourquoi le traitement de ces données « sensibles » est par défaut interdit. 

Quand peut-on traiter des données sensibles ? 

L’article 9 du RGPD prévoit également les cas dans lesquels il est possible de traiter des données sensibles :

  • avec le consentement exprès et informé de la personne ; 
  • pour les affaires en lien avec le droit du travail, de la sécurité sociale ou de la protection sociale (cela fonde par exemple les Ressources Humaines à traiter des données sensibles, comme les arrêts maladies par exemple) ; 
  • lorsque les intérêts vitaux d’une personne sont en jeu ; 
  • pour les associations ou fondation à but non lucratif lorsque leurs activités nécessitent ces données (congrégations et partis politiques par exemple) ; 
  • lorsque la donnée est nécessaire à la constatation, l’exercice ou la défense d’un droit en justice ; 
  • pour certains motifs importants d’intérêt public ; 
  • pour des finalités de médecine préventive, diagnostic ou soins (par exemple, médecine du travail) ; 
  • dans le cacre de la santé publique, de recherche scientifique ou historique. 

En plus de devoir se baser sur au moins une de ces exceptions, le traitement des données sensibles doit bien sûr aussi se baser sur l’un des fondements de licéité prévus à l’article 6 du RGPD. 

Quelques exemples de données sensibles fréquemment rencontrées

  • Un grand nombre de données traitées par les Ressources Humaines : numéro de sécurité sociale, arrêts maladies, retenues légales, … ; 
  • allergies alimentaires (dîners d’affaires, invitations, évènements internes) ; 
  • bulletin n°3 du casier judiciaire (activités au contact de mineurs, professions réglementées) ; 
  • photographies pour les badges, empreinte digitale ou visage pour déverrouiller un smartphone ou ordinateur professionnel, …
  • appartenance syndicale ou mandat de représentant du personnel ; 
  • etc. 

_____________________________________

Des questions ? Besoin d’aide ? Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de conformité et renforcer la confiance de vos clients dans la gestion de leurs données personnelles.