L’interdiction de traitement des données sensibles

Le régime des données sensibles et l’interdiction de principe de leur traitement

1. – Nous savons maintenant quelles sont les données dont le traitement est spécifiquement réglementé par la loi informatique et liberté. Reste en suspens la question de savoir quel régime juridique il faut leur appliquer et quelles sont les contraintes légales imposées dans le traitement de ces données.

La loi a adopté une position relativement simple puisque, par principe, le traitement des données sensibles est purement et simplement interdit ! En témoigne la rédaction de l’article 8 : « I. –Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ».

2. – Ce principe d’interdiction toutefois est trop tranché pour refléter toute la subtilité des situations susceptibles d’être rencontrées et auxquelles est confronté le Droit. A contrario, il y a, en effet, de nombreux cas dans lesquels il peut être parfaitement légitime de réaliser des traitements de données sensibles. Un exemple classique concerne les entreprises menant des recherches dans le domaine de la dermatologie, qui ont besoin de réaliser des traitements de données personnelles portant sur les origines raciales ou ethniques des personnes, afin de mettre au point leurs produits.

Il existe des cas légitimes dans lesquels les organisations peuvent traiter des données sensibles.

De même, les agences de mannequins collectent parfois les données liées aux origines ethniques des personnes qu’elles emploient afin de permettre à leurs clients de les sélectionner par type de peau (certains clients ayant besoin de viser certains marchés spécifiques tels que l’Asie, l’Afrique, …). Enfin, le secteur public n’est pas en reste avec, par exemple, les services de renseignement qui réalisent également ce même type de traitements, aux fins de lutte anti-terroriste. Un principe général et absolu d’interdiction de traiter des données personnelles sensibles serait donc d’application mal aisée. En conséquence la loi a ouvert une série d’exceptions à ce principe d’interdiction initialement posé, de sorte de permettre  le traitement de ces données dans certains cas particuliers. Et pour décourager toutes velléités de traitement de ces données hors des exceptions autorisées, des sanctions sévères ont été instaurées par l’article 229-19 du Code pénal. Celui-ci sanctionne dans ces termes : « Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle de celles-ci, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende (…)».

Comme on peut s’en douter, la CNIL est également très vigilante sur ce type de traitements. En témoigne son injonction aux banques pour qu’elles suppriment la mention, sur les relevés bancaires, des abonnements aux revues souscrits par leurs clients qui étaient réglées par prélèvement. La Commission estimait en effet que « cette pratique permettait de connaître, directement ou indirectement, les opinions politiques, philosophiques, ou religieuses ou les appartenances syndicales des personnes concernées » (CNIL, 6e rapport d’activité).

Lire la suite : Les exceptions légales

Le plan de l'article :

- Introduction au régime juridique des données sensibles
- Le régime de principe : l'interdiction de traiter les données sensibles
- Les exceptions légales
- Les données relatives aux condamnations, infractions et mesures de sûreté