Donnée sensible CNIL : quelle règlementation ?

Nov 7, 2011 • Thiébaut Devergranne

L’essentiel : la loi définit une série de données dont le traitement est particulièrement sensible et qui font l’objet d’une protection juridique renforcée.

 

Précédent : Introduction

 

La donnée sensible, au sens CNIL

donnée sensible cnil<figcaption class="wp-caption-text">données sensibles cnil</figcaption></figure>

1. – D’un point de vue strictement juridique (loi informatique et libertés), les données sensibles au sens CNIL sont les données qui font apparaître directement, ou indirectement :

  • les origines raciales ou ethniques,
  • les opinions politiques, philosophiques ou religieuses,
  • les appartenances syndicales des personnes,
  • ou qui sont relatives à la santé ou l’orientation sexuelle de celles-ci.

2. – La jurisprudence adopte une interprétation large de ces notions, qui s’explique par le fait que ces données sensibles sont les données dont le traitement est le plus risqué ; en conséquence les juges tendent à étendre le champ d’application de ces notions aussi largement que faire se peut. On ne s’étonnera donc pas de constater des décisions telles que celle de la CJCE :

La jurisprudence interprete largement la notion de donnée sensible.

« L’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l’article 8, § 1, de la directive 95/46 » (CJCE, 6 nov. 2003).

3. – A ce premier cercle qui constitue le cœur des données sensibles CNIL, il faut également ajouter d’autres données dont le traitement fait l’objet de contraintes particulières. C’est le cas par exemple des données faisant apparaître les infractions, condamnations ou mesures de sûreté. Nous les analyserons plus en détail dans un second temps.

4. – Une mise en garde particulière doit être adressée aux responsables de traitements dans la manipulation de ces données sensibles. En effet, en pratique une confusion est parfois opérée entre « les données qui sont sensibles pour une organisation » (des données financières par exemple pour une entreprise) et le régime juridique des « données sensibles, au sens de la loi de 1978 ». Une certaine vigilence est nécessaire dans l’usage de cette première appellation, car des données sensibles pour une entreprise (l’évolution de son chiffre d’affaire, ses processus d’acquisition de clientèle…) ou une administration (organisation interne, dossiers politiquement et médiatiquement sensibles, sensible hors classifié…), ne sont pas nécessairement des données sensibles au sens de la loi de 1978.

Attention à distinguer données sensibles et données sensibles CNIL

Cette distinction est importante car seul le traitement de données sensibles au sens de la loi informatique et libertés _devra répondre au régime juridique que nous allons analyser. Peu importe qu’une organisation traite des données _qui lui sont sensibles, dès lors que ces données ne sont pas des données personnelles et qu’elles ne relèvent pas de la liste définie par l’article 8, précité.

Lire la suite : Le régime de principe : l’interdiction de traiter les données sensibles

Le plan de l'article :

- Introduction au régime juridique des données sensibles
- Qu'est-ce qu'une donnée sensible 
- Le régime de principe : l'interdiction de traiter les données sensibles
- Les exceptions légales
- Les données relatives aux condamnations, infractions et mesures de sûreté