En douze ans de développement web freelance dans la Loire, j’ai accompagné des dizaines de clients qui manipulaient des données sensibles RGPD sans même le savoir. Un formulaire médical sur un site WordPress, une case à cocher sur les convictions religieuses dans un outil RH, un fichier Excel stockant des données biométriques : autant de situations à risque que je rencontre régulièrement. Aujourd’hui, je vous explique concrètement ce que recouvre cette notion, comment vous mettre en conformité, et surtout comment éviter les sanctions qui peuvent atteindre 20 millions d’euros.
Dans cet article
- Les données sensibles RGPD sont définies par l’article 9 du règlement européen et concernent 7 catégories précises
- Leur traitement est interdit par principe, sauf 10 exceptions légales strictement encadrées
- Les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel
- Une analyse d’impact (AIPD) est obligatoire avant tout traitement de données sensibles
- La différence entre données personnelles et données sensibles est juridiquement fondamentale pour votre conformité
- Des mesures techniques comme le chiffrement et la pseudonymisation sont indispensables pour protéger ces données
Sommaire
- Qu’est-ce qu’une donnée sensible au sens du RGPD ?
- Liste complète des données sensibles RGPD
- Différence entre données personnelles et données sensibles
- Article 9 du RGPD : le principe d’interdiction et ses exceptions
- Exemples concrets de données sensibles en entreprise
- Obligations de conformité pour le traitement des données sensibles
- Mesures techniques et organisationnelles de protection
- Sanctions et risques en cas de non-conformité
- Quelles données ne sont pas considérées comme sensibles ?
Qu’est-ce qu’une donnée sensible au sens du RGPD ?
Une donnée sensible RGPD est une catégorie particulière de donnée à caractère personnel dont le traitement présente un risque élevé pour les droits et libertés fondamentales des personnes concernées. Contrairement aux données personnelles classiques (nom, adresse, téléphone), les données sensibles touchent à l’intimité la plus profonde de l’individu.
Selon la définition officielle de la CNIL, il s’agit d’informations qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les données génétiques, biométriques, de santé ou relatives à la vie sexuelle d’une personne physique.
Ce que je constate souvent chez mes clients, c’est une confusion entre « donnée importante pour l’entreprise » et « donnée sensible au sens juridique ». Un numéro de carte bancaire, par exemple, n’est pas une donnée sensible au sens du RGPD, même s’il est évidemment critique pour la sécurité. La qualification juridique obéit à des critères précis que je détaille dans les sections suivantes.
Le caractère sensible d’une donnée ne dépend pas de votre appréciation subjective : il est défini exhaustivement par le règlement européen 2016/679. C’est un point essentiel que tout responsable de traitement doit intégrer, et c’est d’ailleurs l’une des premières choses que j’aborde lors de mes missions de consultant RGPD.
Liste complète des données sensibles RGPD
L’article 9 du RGPD établit une liste exhaustive de sept catégories de données considérées comme sensibles. Je vous les présente avec des exemples concrets pour chacune.
| Catégorie de donnée sensible | Exemples concrets | Secteurs concernés |
|---|---|---|
| Origine raciale ou ethnique | Couleur de peau, origine géographique déclarée, appartenance à une communauté | RH, associations, recherche |
| Opinions politiques | Adhésion à un parti, participation à des manifestations, votes déclarés | Sondages, partis politiques |
| Convictions religieuses ou philosophiques | Religion pratiquée, régime alimentaire religieux, appartenance à un mouvement | Restauration collective, RH |
| Appartenance syndicale | Cotisation syndicale, délégation, participation à des réunions syndicales | Entreprises, administration |
| Données génétiques | ADN, tests de prédisposition, séquençage génomique | Santé, recherche, assurance |
| Données biométriques | Empreintes digitales, reconnaissance faciale, scan de l’iris | Sécurité, contrôle d’accès |
| Données de santé | Dossier médical, prescriptions, arrêts maladie, handicap | Santé, RH, assurance, sport |
| Vie sexuelle ou orientation sexuelle | Orientation déclarée, comportements, statut sérologique | Santé, sites de rencontre |
Cette liste est limitative, ce qui signifie qu’aucune autre catégorie ne peut être ajoutée par un État membre ou une autorité de contrôle. C’est une garantie de sécurité juridique pour les entreprises : si vos données ne figurent pas dans cette liste, elles ne sont pas sensibles au sens strict du RGPD.
Attention toutefois aux données qui deviennent sensibles par combinaison. Un régime alimentaire « halal » ou « casher » dans un logiciel de restauration collective révèle indirectement des convictions religieuses. De même, un arrêt maladie mentionnant un service hospitalier spécifique peut révéler une pathologie. En tant que développeur, je veille à ces croisements lors de la conception des bases de données de mes clients.
Différence entre données personnelles et données sensibles
C’est probablement la question que l’on me pose le plus souvent. La différence entre données personnelles et données sensibles est fondamentale, car elle détermine le niveau de protection et les obligations juridiques applicables.
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable : nom, prénom, adresse e-mail, numéro de téléphone, adresse IP, identifiant client. Ces données sont encadrées par le RGPD, mais leur traitement est autorisé sous réserve de respecter une base légale (consentement, contrat, intérêt légitime, etc.).
Une donnée sensible est une sous-catégorie de donnée personnelle dont le traitement est interdit par principe. C’est la différence majeure : là où les données personnelles classiques nécessitent une base légale, les données sensibles nécessitent en plus de lever une exception spécifique prévue à l’article 9.
Concrètement, si vous gérez un CMS pour un site vitrine qui collecte uniquement des noms et des adresses e-mail via un formulaire de contact, vous traitez des données personnelles classiques. En revanche, si vous ajoutez un champ « situation de handicap » ou « confession religieuse », vous basculez dans le régime des données sensibles, avec des obligations nettement plus strictes.
Je recommande à mes clients de réaliser un registre des traitements qui distingue clairement ces deux catégories. Cela simplifie considérablement la mise en conformité et permet d’identifier rapidement les traitements à risque. Pour un accompagnement structuré, faire appel à un service de consulting RGPD peut s’avérer très rentable.
Article 9 du RGPD : le principe d’interdiction et ses exceptions
L’article 9 du RGPD pose un principe clair : le traitement des données sensibles est interdit. Point. C’est le paragraphe 1 de cet article, et il ne souffre d’aucune ambiguïté. Comme le précise le site officiel de la Commission européenne, cette interdiction protège les individus contre les discriminations et atteintes à leur vie privée.
Cependant, le paragraphe 2 prévoit dix exceptions qui permettent, sous conditions strictes, de traiter ces données :
- Consentement explicite de la personne concernée (pas un simple « j’accepte », mais un acte positif clair et spécifique)
- Obligations en droit du travail et de la protection sociale (gestion de la paie, médecine du travail)
- Sauvegarde des intérêts vitaux de la personne (urgence médicale quand le consentement est impossible)
- Traitement par une association ou organisme à but non lucratif à finalité politique, philosophique, religieuse ou syndicale
- Données manifestement rendues publiques par la personne elle-même
- Constatation, exercice ou défense d’un droit en justice
- Motifs d’intérêt public important sur la base du droit de l’Union ou national
- Médecine préventive ou du travail, diagnostic médical, prise en charge sanitaire
- Intérêt public dans le domaine de la santé publique (épidémies, menaces transfrontalières)
- Fins archivistiques, recherche scientifique ou historique, fins statistiques
Dans ma pratique, les exceptions les plus fréquemment invoquées par mes clients sont le consentement explicite (exception 1) et les obligations liées au droit du travail (exception 2). Si vous développez un outil RH ou un site de santé, vous devez documenter précisément quelle exception s’applique à chaque traitement. C’est un point que je vérifie systématiquement lors de mes audits.
Exemples concrets de données sensibles en entreprise
Pour rendre ces concepts plus tangibles, voici des situations réelles que j’ai rencontrées chez mes clients et qui impliquaient le traitement de données sensibles :
Cas 1 : site e-commerce de produits bio. Un client vendait des compléments alimentaires et collectait, via un questionnaire de recommandation, des informations sur les pathologies des utilisateurs (diabète, hypertension, allergies). Ces données de santé relevaient de l’article 9, ce dont il n’avait pas conscience. J’ai reconfiguré le formulaire pour minimiser la collecte et j’ai implémenté un mécanisme de consentement explicite conforme.
Cas 2 : application RH. Une PME utilisait un outil interne qui enregistrait les retenues sur salaire liées aux cotisations syndicales. Le simple fait que ce montant apparaisse sur les bulletins de paie traités numériquement constituait un traitement de données sensibles relatives à l’appartenance syndicale.
Cas 3 : contrôle d’accès biométrique. Un client souhaitait installer un système de reconnaissance faciale pour sécuriser l’accès à ses locaux. Les données biométriques sont sensibles par nature. J’ai orienté ce client vers une solution par badge NFC, moins intrusive et ne nécessitant pas de traiter des données sensibles. Une approche cohérente avec les recommandations de sécurisation prévues à l’article 32 du RGPD.
Cas 4 : site associatif. Une association cultuelle gérait une base de données de ses membres avec leur confession religieuse. Bien que l’exception pour les organismes à but non lucratif s’applique, les données ne devaient pas être communiquées en dehors de l’association sans consentement des personnes.
Ces exemples montrent que les données sensibles ne concernent pas uniquement les hôpitaux ou les laboratoires. Toute entreprise, quelle que soit sa taille, peut être amenée à en traiter, souvent sans le réaliser.
Obligations de conformité pour le traitement des données sensibles
Lorsque vous êtes amené à traiter des données sensibles de manière légitime, les obligations de conformité sont renforcées par rapport au traitement de données personnelles classiques. Voici ce que je recommande systématiquement à mes clients :
1. Réaliser une analyse d’impact (AIPD). Le décret publié au Journal officiel et les lignes directrices de la CNIL imposent une analyse d’impact sur la protection des données avant tout traitement à grande échelle de données sensibles. Cette AIPD doit évaluer la nécessité, la proportionnalité et les risques du traitement, puis définir les mesures pour atténuer ces risques.
2. Désigner un DPO. Si votre activité principale implique un traitement à grande échelle de données sensibles, la désignation d’un délégué à la protection des données est obligatoire. Même si ce n’est pas le cas, je conseille de désigner un référent interne RGPD.
3. Documenter l’exception applicable. Pour chaque traitement de données sensibles, vous devez être en mesure de justifier quelle exception de l’article 9 paragraphe 2 vous invoquez. Cette documentation doit figurer dans votre registre des traitements.
4. Obtenir un consentement explicite. Si c’est votre base légale, le consentement doit être libre, spécifique, éclairé et univoque. Un simple bandeau « j’accepte les CGU » ne suffit pas. Il faut un acte positif distinct, par exemple une case à cocher dédiée accompagnée d’une information claire sur la finalité du traitement.
5. Appliquer le principe de minimisation. Ne collectez que les données sensibles strictement nécessaires à votre finalité. Si vous pouvez atteindre le même objectif sans traiter de données sensibles, c’est la voie à privilégier. C’est un principe que j’applique dès la phase de conception des sites et applications que je développe.
Pour structurer cette démarche, faire appel à des consultants RGPD expérimentés permet d’éviter les oublis et d’accélérer considérablement la mise en conformité.
Mesures techniques et organisationnelles de protection
La conformité RGPD pour les données sensibles ne se limite pas à la documentation juridique. En tant que développeur web, je sais que la sécurité technique est tout aussi déterminante. Voici les mesures que je mets en œuvre sur les projets de mes clients :
Chiffrement des données. Les données sensibles doivent être chiffrées au repos (dans la base de données) et en transit (protocole HTTPS, certificat TLS). J’utilise systématiquement le chiffrement AES-256 pour les champs sensibles et je m’assure que les sauvegardes sont également chiffrées. Pour vérifier la performance de votre site après l’implémentation du HTTPS, vous pouvez utiliser des outils gratuits de test de vitesse.
Pseudonymisation. Cette technique consiste à remplacer les identifiants directs par des alias, de sorte que les données ne puissent plus être attribuées à une personne sans information supplémentaire. C’est une mesure recommandée par l’article 32 du RGPD et particulièrement pertinente pour les données de santé.
Contrôle d’accès strict. Seules les personnes habilitées doivent pouvoir accéder aux données sensibles. Je configure des rôles et permissions granulaires dans les applications que je développe, avec une journalisation de chaque accès.
Sauvegardes sécurisées. Les données sensibles doivent être sauvegardées de manière chiffrée, avec une politique de rétention définie. Je recommande la règle 3-2-1 : trois copies, sur deux supports différents, dont une hors site.
Tests de sécurité réguliers. Un audit technique régulier permet d’identifier les vulnérabilités avant qu’elles ne soient exploitées. Pour les sites WordPress, je vérifie les plugins, les mises à jour du cœur et la configuration du serveur.
Formation du personnel. La faille humaine reste la première cause de violation de données. Former les équipes aux bonnes pratiques (mots de passe robustes, détection du phishing, procédures en cas d’incident) est indispensable. C’est un investissement que je considère comme non négociable.
Sanctions et risques en cas de non-conformité
Le non-respect des règles relatives aux données sensibles expose votre organisation à des sanctions parmi les plus lourdes du RGPD. L’article 83 paragraphe 5 prévoit des amendes pouvant atteindre :
- 20 millions d’euros, ou
- 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu)
Pour donner un ordre de grandeur, la CNIL publie régulièrement les sanctions qu’elle prononce. En France, plusieurs entreprises ont été sanctionnées pour des manquements liés aux données de santé ou aux données biométriques. Les montants varient de quelques milliers d’euros pour les petites structures à plusieurs millions pour les grandes entreprises.
Au-delà des amendes, les conséquences incluent :
- Atteinte à la réputation : les décisions de la CNIL sont publiques et largement relayées par les médias
- Actions en justice des personnes concernées, qui peuvent demander des dommages et intérêts
- Injonctions de mise en conformité avec astreinte journalière
- Suspension temporaire du traitement, ce qui peut paralyser votre activité
- Actions collectives facilitées par les associations de protection des données
Je le dis souvent à mes clients : la conformité RGPD n’est pas un coût, c’est une assurance. Le coût d’une mise en conformité est toujours inférieur à celui d’une sanction, sans parler de l’impact commercial d’une fuite de données sensibles. Pour sécuriser vos traitements, le maillage de vos systèmes d’information doit être pensé dès la conception.
Quelles données ne sont pas considérées comme sensibles ?
Pour lever toute ambiguïté, il est utile de préciser quelles données, bien que souvent perçues comme « sensibles » dans le langage courant, ne relèvent pas de l’article 9 du RGPD :
- Coordonnées bancaires et données financières : numéro de carte, IBAN, revenus. Ce sont des données personnelles classiques, pas sensibles au sens juridique
- Numéro de sécurité sociale (NIR) : bien que son traitement soit très encadré en France par un décret spécifique, il ne figure pas dans la liste de l’article 9
- Adresse postale, e-mail, numéro de téléphone : données personnelles courantes
- Données de géolocalisation : elles peuvent être intrusives mais ne sont pas classées comme sensibles
- Photographies simples : une photo d’identité n’est pas une donnée biométrique, sauf si elle est traitée par un dispositif de reconnaissance faciale
- Données relatives aux infractions : elles bénéficient d’un régime spécial (article 10 du RGPD) mais ne sont pas des données sensibles au sens de l’article 9
Cette distinction a des conséquences pratiques majeures. Si vous développez un site e-commerce qui collecte des données bancaires, vous n’avez pas besoin de réaliser une AIPD au titre de l’article 9 (même si d’autres obligations de sécurité s’appliquent, notamment la norme PCI DSS). En revanche, si votre site collecte la moindre information de santé, même indirectement, le régime renforcé s’applique.
Je recommande à tout responsable de traitement de cartographier ses données avec l’aide d’un professionnel pour qualifier correctement chaque information collectée. Cela permet d’adapter les mesures de protection au juste niveau, sans sur-investir sur des données classiques ni sous-protéger des données réellement sensibles. La maîtrise de vos outils numériques passe aussi par cette compréhension fine du cadre juridique.
À retenir
- Identifiez dans votre registre des traitements toutes les données relevant de l’article 9 du RGPD (santé, biométrie, opinions politiques, religion, etc.)
- Réalisez une analyse d’impact (AIPD) avant tout traitement à grande échelle de données sensibles
- Documentez précisément l’exception légale qui justifie chaque traitement de données sensibles
- Mettez en place un chiffrement AES-256 au repos et en transit pour toutes les données sensibles stockées
- Formez vos équipes aux bonnes pratiques de sécurité et testez régulièrement vos dispositifs de protection
Questions fréquentes
Quelles sont les données sensibles RGPD ?
Les données sensibles RGPD sont définies par l’article 9 du règlement européen. Elles comprennent sept catégories : l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques permettant l’identification, les données de santé et les données relatives à la vie sexuelle ou l’orientation sexuelle. Leur traitement est interdit par principe, sauf exceptions strictement encadrées.
Qu’est-ce qu’une donnée sensible ?
Une donnée sensible est une catégorie particulière de donnée à caractère personnel dont le traitement présente un risque élevé pour les droits et libertés fondamentales des individus. Au sens du RGPD, il s’agit exclusivement des données listées à l’article 9 : origine raciale, opinions politiques, convictions religieuses, appartenance syndicale, données génétiques, biométriques, de santé et relatives à la vie sexuelle. Ce terme a une définition juridique précise qui ne doit pas être confondue avec le sens courant du mot « sensible ».
Qu’est-ce qui est considéré comme une information sensible ?
Au sens strict du RGPD, une information est considérée comme sensible uniquement si elle entre dans l’une des sept catégories de l’article 9. Cela inclut aussi les informations qui révèlent indirectement ces données : par exemple, un régime alimentaire casher ou halal dans un logiciel de restauration collective révèle des convictions religieuses. Les données financières, les numéros de sécurité sociale ou les données de géolocalisation, bien que nécessitant une protection, ne sont pas juridiquement classées comme sensibles.
Quelles données ne sont pas considérées comme sensibles ?
Ne sont pas considérées comme sensibles au sens du RGPD : les coordonnées bancaires et données financières, le numéro de sécurité sociale, l’adresse postale, l’adresse e-mail, le numéro de téléphone, les données de géolocalisation, les photographies simples (sauf traitement biométrique), et les données relatives aux infractions pénales. Ces dernières relèvent d’un régime spécifique prévu à l’article 10, distinct du régime des données sensibles de l’article 9.
Quelle est la différence entre données sensibles et données personnelles ?
Toute donnée sensible est une donnée personnelle, mais l’inverse n’est pas vrai. Les données personnelles (nom, e-mail, téléphone) peuvent être traitées sous réserve d’une base légale classique comme le consentement ou l’exécution d’un contrat. Les données sensibles, elles, sont soumises à un principe d’interdiction de traitement, avec seulement dix exceptions prévues à l’article 9 du RGPD. Elles nécessitent également des mesures de protection renforcées et, dans de nombreux cas, une analyse d’impact préalable.
Quelles sanctions en cas de mauvais traitement des données sensibles ?
Les sanctions pour non-conformité aux règles relatives aux données sensibles peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. La CNIL peut également prononcer des injonctions de mise en conformité avec astreinte, une suspension temporaire du traitement, et publier sa décision. Les personnes concernées peuvent par ailleurs engager des actions en justice pour obtenir des dommages et intérêts.
Une analyse d’impact est-elle obligatoire pour les données sensibles ?
Oui, une analyse d’impact relative à la protection des données (AIPD) est obligatoire lorsque le traitement de données sensibles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. C’est systématiquement le cas pour les traitements à grande échelle de données de santé, biométriques ou génétiques. L’AIPD doit être réalisée avant le début du traitement et documentée dans le registre des traitements de l’organisme.
Nathan Morel est développeur web freelance depuis 12 ans dans la Loire. Spécialisé WordPress et solutions sur mesure, il a accompagné plus de 200 PME et partage son expérience technique et entrepreneuriale sur NA Web.