Article 9 RGPD : les 10 exceptions à l'interdiction

L’article 9 du RGPD est l’un des plus commentés et l’un des plus mal appliqués. Son principe est simple — il interdit purement et simplement le traitement des catégories particulières de données — mais ses dix exceptions sont techniques, cumulatives avec la base légale de l’Art. 6, et encadrées en France par des dispositions spécifiques de la loi Informatique et Libertés. Résultat : des dossiers RH, médicaux ou associatifs parfaitement légitimes sont montés sur une exception inadéquate, et s’effondrent au premier contrôle de la CNIL.

Cet article décompose l’Art. 9 paragraphe par paragraphe et détaille la portée réelle de chacune des dix exceptions du paragraphe 2, avec les conditions concrètes à remplir pour pouvoir s’en prévaloir.

L’architecture de l’article 9

L’Art. 9 s’intitule « Traitement portant sur des catégories particulières de données à caractère personnel ». Il comporte quatre paragraphes qui doivent être lus ensemble :

• l’Art. 9(1) pose le principe d’interdiction de traiter ces données ;
• l’Art. 9(2) énumère dix exceptions limitativement énumérées ;
• l’Art. 9(3) pose un régime de secret professionnel pour les données de santé traitées au titre de l’Art. 9(2)(h) ;
• l’Art. 9(4) autorise les États membres à maintenir ou introduire des conditions supplémentaires, y compris des limitations, pour les données génétiques, biométriques ou concernant la santé.

Trois points de méthode s’imposent avant toute analyse.

Premièrement, l’Art. 9 ne remplace pas l’Art. 6 : il s’y ajoute. Un traitement de données de santé doit reposer à la fois sur une base légale de l’Art. 6 (par exemple le contrat médical) et sur une exception de l’Art. 9(2) (par exemple l’Art. 9(2)(h) pour les soins). La jurisprudence du Comité européen de la protection des données (CEPD) est constante sur ce point.

Deuxièmement, les exceptions de l’Art. 9(2) sont d’interprétation stricte. La CJUE l’a rappelé dans l’arrêt OT c/ Vyriausioji tarnybinės etikos komisija (C-184/20, 1er août 2022) : le régime d’exception n’admet pas d’extensions par analogie.

Troisièmement, plusieurs exceptions renvoient au droit national. En France, ce droit national est principalement la loi n° 78-17 du 6 janvier 1978 modifiée (« loi Informatique et Libertés »), enrichie par des textes sectoriels (Code de la santé publique, Code du travail, Code de la sécurité sociale). Aucune analyse de l’Art. 9 ne peut se passer de la vérification du cadre français applicable.

Art. 9(1) : l’interdiction de principe

Le paragraphe 1 interdit le traitement de neuf catégories de données :

• les données révélant l’origine raciale ou ethnique ;
• les opinions politiques ;
• les convictions religieuses ou philosophiques ;
• l’appartenance syndicale ;
• les données génétiques ;
• les données biométriques aux fins d’identifier une personne physique de manière unique ;
• les données concernant la santé ;
• les données concernant la vie sexuelle ;
• les données concernant l’orientation sexuelle.

La formule « données qui révèlent » est essentielle. Elle vise non seulement la donnée expressément étiquetée comme telle, mais aussi toute information dont on peut déduire l’appartenance à l’une de ces catégories. La CJUE l’a confirmé dans l’arrêt précité du 1er août 2022 : la publication du nom du conjoint d’un agent public peut révéler indirectement l’orientation sexuelle et relève donc de l’Art. 9.

Cette lecture extensive du champ a des conséquences pratiques très concrètes : un CRM qui contient un champ « allergies alimentaires » traite des données de santé ; un fichier RH qui mentionne des congés pour fête religieuse traite des données révélant les convictions religieuses ; une application qui enregistre les pas pour un challenge sportif interne traite des données de santé. La liste exhaustive des catégories et des exemples sectoriels est détaillée dans mon guide sur les données sensibles RGPD.

Le cas des données biométriques mérite une attention particulière : elles ne relèvent de l’Art. 9 que « lorsqu’elles sont traitées aux fins d’identifier une personne physique de manière unique ». Une photo de profil stockée par un éditeur SaaS n’est pas une donnée biométrique au sens de l’Art. 9 ; la même photo convertie en gabarit facial pour authentifier l’utilisateur à la connexion l’est. La CNIL a sanctionné à plusieurs reprises des dispositifs de contrôle d’accès biométrique montés sans base juridique adéquate — c’est un des contentieux les plus récurrents en matière de badgeuses d’entreprise.

Art. 9(2) : les dix exceptions à l’interdiction

Le paragraphe 2 énumère dix hypothèses — de (a) à (j) — dans lesquelles l’interdiction est levée. Chacune obéit à ses propres conditions.

Art. 9(2)(a) : le consentement explicite

Première et plus intuitive des exceptions, le consentement doit ici être explicite. Ce standard est plus élevé que le consentement « libre, spécifique, éclairé et univoque » de droit commun de l’Art. 7 du RGPD. L’explicite suppose en pratique une case à cocher non précochée accompagnée d’une mention claire, ou une signature séparée sur un formulaire papier.

Deux pièges pratiques. D’abord, le consentement doit être récolté pour la catégorie sensible spécifique. Un consentement générique aux conditions d’utilisation ne vaut jamais consentement à traiter des données de santé. Ensuite, le consentement peut être retiré à tout moment (Art. 7(3)) : si la licéité du traitement reposait uniquement sur l’Art. 9(2)(a), le retrait emporte obligation de cesser le traitement et, le plus souvent, effacement des données.

Art. 9(2)(b) : les obligations en matière de droit du travail et de sécurité sociale

C’est l’exception qui couvre la majorité des traitements RH portant sur des données sensibles : visites médicales, déclarations sociales, congés pour raisons de santé, registre des travailleurs handicapés, cotisations syndicales prélevées sur salaire. Elle exige deux conditions cumulatives :

• le traitement doit être nécessaire à l’exécution des obligations et à l’exercice des droits propres au responsable de traitement ou à la personne concernée en matière de droit du travail, de sécurité sociale et de protection sociale ;
• il doit être autorisé par le droit de l’Union, le droit national ou une convention collective, avec des garanties appropriées pour les droits fondamentaux et les intérêts de la personne.

Le renvoi au droit national rend cette exception inopérante si aucune base textuelle spécifique n’autorise le traitement. Un employeur ne peut pas invoquer l’Art. 9(2)(b) pour collecter l’origine ethnique de ses candidats « par curiosité diversité » : aucun texte français n’autorise ce traitement, même avec l’accord des intéressés. Pour une cartographie complète des traitements RH licites, voir mon guide RGPD et ressources humaines.

Art. 9(2)© : la sauvegarde des intérêts vitaux

L’exception des « intérêts vitaux » ne se prête pas à la gestion courante. Elle suppose que la personne concernée soit physiquement ou juridiquement incapable de donner son consentement — patient inconscient, enfant disparu, victime d’accident. Le traitement doit alors être « nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ».

C’est le fondement, par exemple, de la transmission d’un dossier médical à un hôpital recevant un patient inconscient, ou de la communication d’antécédents de santé aux secours. En dehors de ces hypothèses d’urgence, il est imprudent de fonder un traitement permanent sur cette exception.

Art. 9(2)(d) : les activités des organismes à but non lucratif

Cette exception concerne spécifiquement les fondations, associations et autres organismes à but non lucratif poursuivant une finalité politique, philosophique, religieuse ou syndicale. Elle leur permet de traiter les données sensibles de leurs membres, anciens membres et personnes ayant avec eux des contacts réguliers, dans le cadre de leurs activités légitimes, à la double condition que :

• les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées ;
• les garanties appropriées soient en place.

C’est le fondement classique du fichier d’un parti politique, d’un syndicat, ou d’une association confessionnelle. Attention : cette exception ne couvre pas les tiers sympathisants prospects. Pour un traitement marketing visant à recruter de nouveaux adhérents, il faut retomber sur le consentement de l’Art. 9(2)(a). Le détail opérationnel est développé dans mon guide sur le RGPD et les associations.

Art. 9(2)(e) : les données manifestement rendues publiques

Lorsque la personne a elle-même manifestement rendu publiques ses données sensibles, l’interdiction tombe. C’est le cas de l’élu qui affiche publiquement son appartenance politique, du candidat qui publie un discours religieux sur son site, ou de l’auteur d’un article de presse qui expose sa vie sexuelle.

L’adverbe « manifestement » exclut les déductions ou les inférences. Le fait qu’un salarié soit membre d’un groupe Facebook public ne rend pas « manifestement publiques » toutes ses données sensibles : il faut un acte clair et conscient de divulgation. Le CEPD en a donné une lecture restrictive dans ses lignes directrices 8/2020 sur le ciblage des utilisateurs de réseaux sociaux (§ 124 et s.).

Art. 9(2)(f) : la constatation ou la défense d’un droit en justice

Cette exception autorise le traitement lorsqu’il est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice, y compris devant une juridiction arbitrale ou dans une procédure administrative. Elle fonde la production de pièces médicales dans un contentieux prud’homal, la constitution d’un dossier pénal, la production d’un test ADN dans une action en recherche de paternité.

Elle n’autorise pas une collecte préventive « au cas où », ni la constitution d’un dossier de surveillance d’un salarié. La nécessité doit être appréciée au regard d’un litige réel ou raisonnablement prévisible.

Art. 9(2)(g) : le motif d’intérêt public important

Exception politiquement majeure, l’Art. 9(2)(g) autorise les traitements « nécessaires pour des motifs d’intérêt public important » à condition que le droit national le prévoie et qu’il « soit proportionné à l’objectif poursuivi ». C’est sur ce fondement que la loi Informatique et Libertés permet certains traitements de lutte contre la fraude, la tenue des fichiers de police, ou les études statistiques de santé publique.

Une entreprise privée ne peut pas s’approprier cette exception sans un texte qui l’y autorise. L’affirmation « nous luttons contre la fraude » ne crée pas à elle seule un motif d’intérêt public important au sens de l’Art. 9(2)(g).

Art. 9(2)(h) : la médecine préventive, le diagnostic, les soins

C’est l’exception qui fonde la grande majorité des traitements de données de santé réalisés par les professionnels de santé, établissements, laboratoires et éditeurs qui leur fournissent des outils. Elle couvre la médecine préventive ou du travail, le diagnostic, les soins, la gestion des systèmes et services de soins, et s’applique dès lors que les données sont traitées par un professionnel de santé soumis au secret professionnel ou par une personne soumise à une obligation de secret équivalente (Art. 9(3)).

En pratique, le dossier patient, la prescription, le compte rendu de consultation, la transmission à un confrère, relèvent de cette exception. Pour le détail sectoriel, voir mon guide RGPD et cabinet médical. Attention : un éditeur de logiciel métier qui héberge des données de santé doit être certifié HDS (hébergeur de données de santé) lorsqu’il dépasse le simple outil et exerce une activité d’hébergement au sens de l’article L. 1111-8 du Code de la santé publique.

Art. 9(2)(i) : la santé publique

Proche de l’exception (h), l’Art. 9(2)(i) vise les motifs d’intérêt public dans le domaine de la santé publique : lutte contre les pandémies, pharmacovigilance, sécurité sanitaire des produits. La crise COVID-19 a mobilisé cette exception pour fonder des traitements inédits (TousAntiCovid, SI-DEP, Vaccin Covid), chaque fois adossés à un décret ou à un arrêté.

Art. 9(2)(j) : la recherche scientifique, historique ou statistique

Dernière exception, l’Art. 9(2)(j) autorise les traitements à des fins de recherche scientifique ou historique, ou à des fins statistiques, conformément à l’Art. 89(1). Elle suppose des garanties techniques et organisationnelles, notamment la pseudonymisation (voir mon guide pseudonymisation vs anonymisation) et, lorsque les finalités peuvent être atteintes ainsi, le traitement de données anonymes.

En France, la recherche en santé relève d’un régime spécifique (articles 65 et s. de la loi Informatique et Libertés) qui impose selon les cas une autorisation de la CNIL, un avis du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES), ou un engagement de conformité à une méthodologie de référence.

Art. 9(3) : le secret professionnel

Le paragraphe 3 conditionne l’exception (h) à une obligation de secret : les données de santé ne peuvent être traitées sur ce fondement que par ou sous la responsabilité d’un professionnel soumis au secret professionnel au titre du droit national, ou par une autre personne également soumise à une obligation de secret. Ce renvoi au droit national est traduit en France par le secret médical (articles L. 1110-4 du Code de la santé publique et 226-13 du Code pénal), ainsi que par l’obligation déontologique de chaque profession de santé.

En conséquence, un éditeur SaaS ou un prestataire informatique qui accède à des données de santé dans le cadre de ses prestations agit en sous-traitant (Art. 28 RGPD) et doit lui-même être tenu au secret — par contrat, par engagement individuel de confidentialité de ses salariés, et par des mesures techniques adéquates.

Art. 9(4) : la marge laissée aux États membres

Le paragraphe 4 autorise chaque État membre à maintenir ou introduire des conditions plus strictes, voire des limitations, pour les données génétiques, biométriques ou concernant la santé. Cette marge a été utilisée en France de manière nourrie. Parmi les dispositions les plus structurantes :

• l’article 6 de la loi Informatique et Libertés, qui reprend et étend les exceptions de l’Art. 9 et en autorise d’autres (par exemple les traitements liés à la lutte contre le dopage) ;
• l’article 9 qui encadre les traitements de données relatives aux infractions et condamnations ;
• les articles 44 à 64 qui régissent les traitements de données de santé hors recherche (système national des données de santé, comptes rendus, imagerie…) ;
• les articles 65 à 78 qui organisent le régime des recherches en santé.

Autrement dit, même lorsqu’une exception de l’Art. 9(2) s’applique, il faut vérifier si un texte français n’ajoute pas une formalité particulière : déclaration, autorisation, méthodologie de référence, habilitation nominative des accédants.

Les obligations qui pèsent systématiquement sur les traitements de l’Art. 9

Quelle que soit l’exception invoquée, plusieurs obligations renforcées s’appliquent à tout traitement couvert par l’Art. 9.

Une analyse d’impact (AIPD) est présumée obligatoire. L’Art. 35(3)(b) du RGPD prévoit une AIPD obligatoire en cas de traitement à grande échelle de catégories particulières de données. La liste des traitements soumis à AIPD publiée par la CNIL (délibération n° 2018-327) vise explicitement plusieurs traitements de l’Art. 9.

La désignation d’un DPO est souvent obligatoire. L’Art. 37(1)© impose la désignation d’un délégué à la protection des données lorsque les activités de base consistent en un traitement à grande échelle de données relevant de l’Art. 9. Voir mon guide DPO obligatoire.

Les mesures de sécurité doivent être renforcées. L’Art. 32 impose un niveau de sécurité adapté au risque. Pour les données de l’Art. 9, les bonnes pratiques (recommandations CNIL, référentiel de sécurité des logiciels dits « sensibles » de l’ANSSI) imposent a minima : chiffrement des données au repos et en transit, cloisonnement des accès, traçabilité nominative des consultations, authentification forte.

Les mentions d’information doivent être précises. L’Art. 13 et l’Art. 14 exigent que la base légale du traitement soit mentionnée ; lorsque la donnée est sensible, il est de bonne pratique d’indiquer expressément l’exception de l’Art. 9(2) invoquée — c’est ce que fait la CNIL dans ses modèles, et cela simplifie considérablement les échanges en cas de contrôle.

Les erreurs qui reviennent dans les sanctions CNIL

Sur plus de vingt ans d’exercice en conseil, quatre fautes structurelles reviennent régulièrement dans les dossiers de contrôle portant sur l’Art. 9 :

1. Invoquer le consentement là où il n’est pas libre. En matière RH, le consentement est rarement valable compte tenu du lien de subordination. L’exception adéquate est presque toujours l’Art. 9(2)(b) adossé à une base textuelle du Code du travail.
2. Utiliser une exception sans base textuelle nationale. Un contrôle sécuritaire d’accès biométrique « pour des raisons de sécurité » ne relève de l’Art. 9(2)(g) que si un texte l’autorise — ce qui n’est quasiment jamais le cas en entreprise privée. La CNIL exige alors un dispositif alternatif (badge, code…).
3. Collecter plus de données sensibles que nécessaire. Le principe de minimisation de l’Art. 5(1)© s’applique avec une rigueur particulière. Les sanctions CNIL retiennent fréquemment ce grief en matière de santé.
4. Ne pas avoir réalisé d’AIPD. La CNIL sanctionne non seulement l’illicéité du traitement, mais aussi l’absence d’AIPD (Art. 35), doublant ainsi le risque. Le montant des sanctions est détaillé dans ma revue annuelle des sanctions CNIL 2026.

Ce qu’il faut retenir

• L’Art. 9 pose une interdiction de principe (§ 1) et dix exceptions limitatives (§ 2), complétées par un régime de secret professionnel pour la santé (§ 3) et une latitude nationale (§ 4).
• Les exceptions de l’Art. 9(2) sont cumulatives avec une base légale de l’Art. 6 : on ne choisit pas entre les deux, il faut les deux.
• Chaque exception obéit à ses propres conditions — consentement explicite pour (a), base textuelle pour (b) et (g), professionnel soumis au secret pour (h), etc. Les erreurs d’imputation sont la première cause de sanction.
• Les données biométriques ne relèvent de l’Art. 9 que lorsqu’elles sont traitées aux fins d’identifier une personne de manière unique ; la simple photo ne suffit pas.
• Tout traitement fondé sur l’Art. 9 est présumé déclencher une AIPD obligatoire et, à grande échelle, l’obligation de désigner un DPO.
• En France, la loi Informatique et Libertés et les codes sectoriels ajoutent des conditions spécifiques qu’il faut systématiquement vérifier.

FAQ

Un consentement aux conditions générales suffit-il pour traiter des données sensibles ?

Non. L’Art. 9(2)(a) exige un consentement explicite, ce qui suppose un acte séparé et spécifique à la donnée sensible concernée. Une acceptation globale des CGU ou des conditions générales de vente ne répond pas à ce standard et serait écartée par la CNIL en cas de contrôle.

Un employeur peut-il invoquer l’Art. 9 pour un traitement RH sur la base du consentement du salarié ?

En principe, non. Le lien de subordination vicie la liberté du consentement au sens de l’Art. 7, comme l’ont rappelé à plusieurs reprises la CNIL et le CEPD. L’exception adéquate pour les traitements RH portant sur des données de santé est l’Art. 9(2)(b), qui suppose toutefois une base textuelle précise dans le Code du travail ou une convention collective.

Les données de santé traitées par un éditeur SaaS relèvent-elles de l’Art. 9(2)(h) ?

L’exception (h) vise le professionnel de santé lui-même. L’éditeur qui lui fournit un logiciel agit en sous-traitant (Art. 28) ; il doit être soumis à une obligation de secret par contrat (Art. 9(3)) et, s’il héberge des données de santé, être certifié HDS. L’éditeur n’invoque pas directement l’Art. 9(2)(h), mais il doit s’assurer que son client responsable de traitement peut l’invoquer.

Une photo de salarié stockée dans un logiciel RH est-elle une donnée biométrique ?

Non, tant qu’elle n’est pas convertie en gabarit technique destiné à identifier la personne de manière unique. L’Art. 9 ne qualifie de biométriques que les données traitées « aux fins d’identifier une personne physique de manière unique » : un trombinoscope reste une donnée personnelle ordinaire, tandis qu’un système de reconnaissance faciale à l’entrée des locaux traite des données biométriques relevant de l’Art. 9.

---

Thiébaut Devergranne, Docteur en droit privé (Paris II), +20 ans d’expérience en droit des nouvelles technologies. Ancien des services du Premier Ministre (SGDN/DCSSI). Fondateur de donneespersonnelles.fr et de Legiscope.