Découvrez Le Brief de l'IT, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de l'IT, de la digitalisation et de la transformation numérique !
1. Données sensibles : qu'est-ce que c'est ?
Article mis à jour en juillet 2025 - D’une façon générale, les données personnelles se définissent comme toute information permettant d’identifier de façon certaine un individu, que ce soit de manière directe ou indirecte. Dès 1978, le législateur français avait prévu une catégorie particulière de données, communément appelées "sensibles" bien que ce terme ne soit pas clairement indiqué dans les textes. La définition a été reprise quasiment à l’identique dans le cadre du Règlement général sur la protection des données (RGPD) en 2018.
Les données communément admises comme sensibles sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. On y inclut généralement également les données relatives aux condamnations et aux infractions pénales.
Lire aussi : Du cloud vers une nouvelle culture de la donnée
2. Pourquoi ces données sont-elles qualifiées de sensibles ?
Ces données ont plusieurs points communs. Tout d’abord, les données sensibles révèlent bien entendu des informations particulièrement personnelles d’un individu. Plus précisément, ces informations ne permettent pas seulement d’identifier de façon unique un individu, comme une adresse e-mail pourrait le permettre, mais elles révèlent des éléments que les personnes ne souhaitent, en règle générale, partager qu’avec un cercle de proches particulièrement restreint.
Ensuite, et c’est le point commun le plus important, toute intervention non souhaitée ou non encadrée (altération, perte ou divulgation non autorisée) sur ces données pourrait avoir un impact très important sur les personnes concernées. En effet, prenons l’exemple d’une donnée de santé : dans l’hypothèse où une donnée comme le groupe sanguin ou l’allergie du patient d’un hôpital serait altérée ou perdue, l’impact potentiel pour ce patient pourrait être très important. Il pourrait, par exemple, ne pas recevoir les soins appropriés ou, plus grave, se voir administrer un médicament auquel il serait allergique et avoir de graves séquelles.
Dans un registre moins dramatique, mais tout aussi impactant, la divulgation d’une orientation sexuelle ou d’une condamnation peut avoir de lourds impacts psychologiques, mais aussi matériels. Elle peut, par exemple, priver un individu du bénéfice d’un droit à un prêt, d’un logement ou même plus simplement d’un service.
Nous pouvons répéter les exemples à l’envi, mais l’idée est que l’altération, la perte ou la divulgation de ces données, quel que soit l’objectif pour lequel elles ont été initialement collectées, aurait nécessairement un très lourd impact sur les personnes concernées, et ce indépendamment de tout contexte.
Lire aussi : Hébergement des données de santé : le nouveau référentiel est publié au Journal officiel
3. Quel cadre juridique pour encadrer l’exploitation des données sensibles ?
C’est la raison pour laquelle l’article 9 du RGPD interdit par principe le traitement, c’est-à-dire la collecte, mais également l’exploitation de ces données.
La réglementation européenne admet cependant qu’il soit possible pour quiconque le souhaite de traiter ces informations dès lors que ces dernières ont été collectées, reçues ou stockées avec le consentement exprès, préalable et éclairé de la personne concernée. Ce consentement doit être donné de façon explicite, par exemple au moyen d’une case à cocher ou en signant un document spécifique.
Dans l’hypothèse où cette condition serait remplie, le RGPD exige par ailleurs que des mesures de protection spécifiques soient mises en œuvre par les responsables. Au-delà des durées de conservation limitées, il peut s’agir de mesures techniques, comme la limitation des accès ou le chiffrement des données. Ces mesures doivent être renforcées par rapport à des données personnelles usuelles.
Il existe toutefois des situations dans lesquelles le traitement des données sensibles est permis sans avoir à obtenir de consentement explicite. Ces exceptions sont strictement encadrées et incluent, par exemple :
- l’intérêt public (protection de la santé publique ou de la sécurité nationale, comme durant la période du Covid),
- la médecine préventive ou les soins de santé (dans le cadre de soins médicaux),
- les données concernant les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.
En dehors du RGPD, d’autres réglementations peuvent trouver à s’appliquer aux traitements de ces données sensibles, particulièrement depuis l’entrée en application de l’AI Act. Ce sera par exemple le cas pour les données de santé, auxquelles plusieurs chapitres du Code de la santé publique sont consacrés, notamment concernant les conditions d’hébergement et d’information. Certains textes viennent par ailleurs compléter des dispositions sur des secteurs géographiques et il faudra en tenir compte (par exemple, il est interdit d’héberger des données de santé en dehors de l’Allemagne).
Il faudra donc jongler entre les différents textes pour ne pas se retrouver en défaut, ce qui complique la tâche de nos entreprises.
Lire aussi : 4,2 milliards d'euros d'amendes infligées en Europe au titre du RGPD
4. Quelles bonnes pratiques pour la gestion des données sensibles ?
Pour qu’une collecte de données sensibles soit légale et sécurisée, plusieurs points doivent être respectés. Le prérequis est bien entendu de les avoir identifiées.
- La première bonne pratique consiste à ne collecter que les informations absolument nécessaires. Ce principe de minimisation des données signifie qu’il est inutile de demander plus d’informations que ce qui est requis pour l’objectif visé. Cela limite les risques en cas de fuite et évite de gérer des données inutiles.
- La seconde bonne pratique consiste à stocker les données selon les plus hauts standards de sécurité. Cela peut notamment inclure le chiffrement des données (qui les rend illisibles, même en cas de vol), le contrôle des accès (authentification à double facteur, gestion des habilitations) ou bien encore la mise en place de sauvegardes régulières des données (sauvegardes devant elles-mêmes faire l’objet de mesures de sécurité spécifiques).
- La troisième bonne pratique consiste à s’assurer que les partages et transferts de données sont particulièrement encadrés. Il peut, bien entendu, s’agir de mettre en place des contrats contenant des clauses contraignant vos partenaires aux mêmes niveaux d’engagement de sécurité et de conformité réglementaires, ou bien plus simplement de la formation de vos salariés aux risques inhérents à la manipulation de ces informations.
- Enfin, la dernière bonne pratique consiste à supprimer de façon régulière ces informations. Il conviendra donc, d’une part, de définir des durées de conservation extrêmement limitées en fonction des objectifs poursuivis, mais également de s’assurer que leur destruction se fasse de manière sécurisée.
5. Conclusion
La protection des données sensibles n’est pas seulement une obligation légale, mais un impératif pour préserver la confiance des citoyens dans un monde de plus en plus digitalisé, a fortiori dans un contexte où ces données alimentent de plus en plus de systèmes d’intelligence artificielle dont on ne maîtrise pas toujours le comportement ni la résilience face à de nouveaux types d’attaques.
Le cadre juridique, dominé par des régulations comme le RGPD ou l’AI Act, impose des règles strictes que les entreprises doivent respecter, qu’il s’agisse de la collecte, du stockage ou du partage de ces informations. Cependant, les réglementations ne sont qu’une partie de la solution. Il est essentiel pour les organisations d’adopter des pratiques exemplaires et de former leurs employés pour minimiser les risques.
Les exceptions prévues pour l’intérêt public ou la santé publique montrent que la protection des données ne doit pas être un obstacle à des missions essentielles, mais ces situations doivent toujours être encadrées par des mesures de sécurité robustes. Finalement, dans un monde où les cyberattaques et les fuites de données deviennent monnaie courante, le véritable défi réside dans l’équilibre entre innovation, protection et responsabilité.
Plus que jamais, la gestion proactive des données sensibles est la clé pour protéger les individus et les entreprises de dommages potentiels.
L'autrice, Marine Brogli, est présidente de DPO Consulting.
![donnees-strategiques-sensibles-vers-fin-open-data](https://www.archimag.com/sites/archimag.com/files/styles/vignette/public/web_articles/image/donnees-strategiques-sensibles-vers-fin-open-data.jpg?itok=naNdxo2n ""Les données sont un prérequis incontournable et, pour les faire parler, il faut une expertise encore rare et précieuse", explique Denis Berthault. (Rawpixel/Freepik)")
