Les données sensibles RGPD

Les données sensibles RGPD

Votre activité vous amène à collecter et à stocker des données personnelles ? Vous êtes donc concerné par le RGPD (Règlement général sur la protection des données). Le RGPD établit une distinction claire entre les données personnelles et les données personnelles sensibles. Le non-respect de ce règlement vous expose à une lourde amende. Focus sur les données sensibles RGPD.

RGPD

Qui est concerné par le RGPD ?

Entrées en vigueur le 25 mai 2018, les directives du RGPD s’appliquent à toute qui fournit des biens et des services à des personnes de l’Union européenne ou les surveille, que l’organisation ait ou non une présence physique dans l’UE/EEE. La non-conformité au RGPD peut entraîner des amendes allant jusqu’à 20 000 000 € ou 4 % du total des revenus mondiaux d’une organisation.

Sachez que votre organisation est concernée par le RGPD si :

  • Vous avez une présence commerciale dans un pays de l’UE.
  • Vous ne vous trouvez pas dans un pays de l’UE, mais traitez des données personnelles de résidents européens.
  • Vous comptez plus de 250 employés.
  • Vous avez moins de 250 employés, mais traitez régulièrement des données d’une manière qui peut avoir un impact sur les droits des personnes concernées, ou des données personnelles sensibles, telles que définies dans la législation RGPD.

Qu’est-ce que les données personnelles ?

Les données personnelles sont tout ce qui contient des :

  • informations d’identification directe comme le nom, le prénom, les adresses e-mail, les numéros de téléphone, et autres informations sur une personne.
  • données pseudonymes ou informations non directement identifiables, qui ne permettent pas d’identifier directement des utilisateurs, mais permettent de distinguer des comportements particuliers.

Le RGPD fait clairement la distinction entre les informations d’identification directe et les données pseudonymes. Le RGPD incite à l’utilisation de ces dernières et stipule que l’utilisation de la pseudonymisation des données personnelles peut minimiser les risques pour les personnes concernées. De plus, cela aide les responsables du traitement à répondre à leurs obligations en termes de protection des données.

Qu’est-ce que les données sensibles RGPD ?

Dans leur définition la plus basique, les données sensibles font référence à des « catégories spéciales » de données personnelles devant être traitées avec des mesures de sécurité supplémentaires. Il s’agit de données à caractères personnels relevant de :

  • l’origine raciale (le RGPD précise que cette expression n’implique pas que l’UE soutient l’existence d’une distinction raciale entre les humains) ou ethnique.
  • les informations relatives à la santé des individus.
  • les données sur la vie ou l’orientation sexuelle.
  • les convictions religieuses.
  • les convictions philosophiques.
  • les opinions politiques.
  • l’appartenance à des syndicats.
  • les données génétiques.
  • les données biométriques servant à identifier une personne physique de manière unique.

Le RGPD vous interdit de collecter ou d’utiliser ces données à moins que la personne concernée ait donné son consentement de manière évidente.

Ces données doivent être stockées séparément des autres données personnelles et leur protection doit être accrue. À l’instar des données personnelles en général, les données dites sensibles ne doivent être conservées sur des ordinateurs portables ou des dispositifs portables que si le fichier a été pseudonymisé et crypté.

La pseudonymisation consiste à masquer les données en modifiants les données d’identification directement identifiantes (nom, prénoms, etc.) par des données indirectement identifiantes. Cela peut être un alias, un numéro d’identification ou autre. Bien que la pseudonymisation soit importante à la protection des données et qu’elle puisse contribuer à la protection des données personnelles, elle a pourtant ses limites. C’est la raison pour laquelle le RGPD recommande également le cryptage.

Le cryptage permet de masquer les données en remplaçant les informations directement identifiantes par quelque chose d’autre. Si la pseudonymisation permet à toute personne ayant accès aux données de visualiser une partie des informations, le cryptage permet uniquement aux personnes autorisées d’y accéder.

Pour une meilleure protection et sécurisation des données personnelles sensibles, il est vivement recommandé d’utiliser la pseudonymisation et le cryptage simultanément bien qu’elles puissent être utilisées séparément.

protection des données

Les dispositions relatives au traitement des données personnelles sensibles

Comme vous vous en doutez sûrement, le traitement des données personnelles sensibles doit répondre à des règles supplémentaires. Non seulement vous devez documenter une base légale pour le traitement en vertu de l’article 6 du RGPD, mais vous devez également documenter une base légale en vertu de l’article 9.

L’article 6 stipule que les organisations doivent invoquer l’une des bases légales suivantes :

  • un contrat avec la personne concernée ;
  • le respect d’une obligation légale ;
  • intérêts vitaux ;
  • une tâche publique ;
  • intérêts légitimes.

L’article 9 stipule que les organisations ne doivent traiter des données à caractère personnel sensibles que si l’organisation :

  • a besoin de ces informations pour exécuter des tâches et exercer des droits spécifiques de la personne concernée dans le domaine de l’emploi et de la sécurité sociale et du droit de la protection sociale ;
  • a obtenu un consentement explicite ;
  • a besoin de l’information pour protéger ses intérêts vitaux ;
  • a un intérêt légitime de traiter les informations ;
  • utilise des informations manifestement rendues publiques par la personne concernée ;
  • a besoin des informations pour constater, exercer ou défendre des droits légaux ;
  • a besoin des informations pour accomplir une tâche publique ;
  • utilise les informations aux fins de la médecine préventive ou de la médecine du travail ;
  • a besoin des informations pour accomplir des tâches d’intérêt public dans le domaine de la santé ;
  • a besoin d’informations à des fins d’archivage dans l’intérêt public, à des fins statistiques ou de recherche scientifique ou historique.

En tant que spécialistes en protection des données personnelles et en cybersécurité, nous mettons notre expertise et notre expérience à votre service afin de vous aider à protéger vos ressources mais aussi les données que vous traitez. Notre équipe multidisciplinaire est entièrement à votre service pour un audit RGPD. Vous pouvez compter sur notre disponibilité et notre savoir-faire pour vous aider à mettre en place les dispositions nécessaires pour une mise en conformité. N’hésitez pas à nous contacter pour demander un devis ! Nous vous répondrons dans les meilleurs délais.