Quelles sont les données sensibles selon le RGPD ?

En douze ans d’accompagnement de PME et d’indépendants dans la Loire, j’ai constaté une confusion persistante autour des données sensibles RGPD. Beaucoup de mes clients pensent que toute donnée personnelle est automatiquement sensible, ou inversement, ignorent qu’ils traitent des informations qui relèvent de cette catégorie à haut risque. Pourtant, la distinction est fondamentale : elle conditionne vos obligations légales, les mesures de sécurité à mettre en place et les sanctions encourues.

Dans ce guide, je vous explique concrètement ce que recouvre la notion de donnée sensible, quelles sont les catégories concernées et comment vous mettre en conformité. Que vous soyez dirigeant de TPE, responsable RH ou développeur web, vous trouverez ici les réponses pratiques dont vous avez besoin.

Qu’est-ce qu’une donnée sensible au sens du RGPD ?

Une donnée sensible est une catégorie particulière de données à caractère personnel dont le traitement présente un risque élevé pour les droits et libertés fondamentaux des personnes concernées. Cette notion est définie par l’article 9 du RGPD (Règlement Général sur la Protection des Données), entré en application le 25 mai 2018.

Concrètement, il s’agit d’informations qui révèlent des aspects particulièrement intimes de la vie d’une personne : ses convictions, sa santé, son origine ou encore son orientation sexuelle. Le législateur européen a considéré que ces informations, si elles étaient utilisées de manière abusive, pourraient entraîner des discriminations graves ou porter atteinte à la dignité de l’individu.

C’est pourquoi le RGPD pose un principe d’interdiction de leur traitement. Contrairement aux données personnelles classiques (nom, email, adresse), les données sensibles ne peuvent être collectées et traitées que dans des cas très précis, prévus par le texte. J’insiste sur ce point auprès de chaque client que j’accompagne en consulting RGPD : l’interdiction est la règle, l’autorisation est l’exception.

Liste complète des 8 catégories de données sensibles

L’article 9 du RGPD établit une liste exhaustive de huit catégories de données considérées comme sensibles. Voici le détail de chacune, avec des exemples concrets que je rencontre régulièrement sur le terrain.

Je tiens à souligner un point important : cette liste est limitative. Cela signifie que seules ces huit catégories sont juridiquement qualifiées de données sensibles. Toutefois, d’autres données peuvent nécessiter des précautions renforcées sans être techniquement « sensibles » au sens du RGPD, comme les données relatives aux infractions pénales (traitées par l’article 10) ou les données financières.

Dans ma pratique de consultant RGPD, je constate que les données de santé sont de loin les plus fréquemment traitées par les entreprises, souvent sans en avoir conscience. Un simple formulaire d’absence mentionnant un arrêt maladie constitue déjà un traitement de données sensibles.

Différence entre données personnelles et données sensibles

C’est l’une des questions que l’on me pose le plus souvent. La confusion entre données personnelles et données sensibles est compréhensible, mais la distinction est essentielle pour déterminer vos obligations.

Une donnée personnelle est toute information permettant d’identifier directement ou indirectement une personne physique : nom, prénom, adresse email, numéro de téléphone, adresse IP, identifiant client. Selon la définition de la CNIL, ces données relèvent du cadre général du RGPD et peuvent être traitées dès lors qu’une base légale existe (consentement, contrat, intérêt légitime, etc.).

Une donnée sensible, en revanche, est un sous-ensemble spécifique des données personnelles. Elle bénéficie d’un régime de protection renforcé parce qu’elle touche à l’intimité la plus profonde de la personne. Son traitement est interdit par défaut, sauf exception.

Pour illustrer concrètement cette différence, prenons l’exemple d’un salarié :

• Données personnelles classiques : nom, adresse, numéro de sécurité sociale, salaire, poste occupé
• Données sensibles : certificat médical mentionnant une pathologie, adhésion syndicale apparaissant sur la fiche de paie, reconnaissance de travailleur handicapé

Le niveau de protection requis n’est pas le même. Pour les données personnelles classiques, les mesures de sécurité prévues par l’article 32 du RGPD s’appliquent. Pour les données sensibles, des garanties supplémentaires sont nécessaires : chiffrement renforcé, contrôle d’accès strict, analyse d’impact préalable.

Article 9 du RGPD : interdiction de principe et exceptions

L’article 9 du RGPD pose un principe clair : le traitement des données sensibles est interdit. Mais il prévoit immédiatement dix exceptions qui permettent, sous conditions strictes, de traiter ces données. Voici les plus courantes que je rencontre dans mes missions.

Le consentement explicite

La personne concernée donne son consentement explicite au traitement de ses données sensibles, pour une ou plusieurs finalités déterminées. Attention : ce consentement doit être libre, spécifique, éclairé et univoque. Une case pré-cochée ne suffit pas. Dans la pratique, je recommande un acte positif clair, séparé du consentement général aux CGU.

Les obligations en droit du travail

Le traitement est nécessaire pour respecter les obligations et exercer les droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail et de protection sociale. C’est le cas, par exemple, de la gestion des arrêts maladie ou de la reconnaissance du statut de travailleur handicapé.

La protection des intérêts vitaux

Lorsque la personne est physiquement ou juridiquement incapable de donner son consentement et que le traitement est nécessaire à la sauvegarde de ses intérêts vitaux. Exemple typique : un patient inconscient aux urgences.

Les données rendues publiques

Si la personne a elle-même rendu ses données sensibles manifestement publiques, leur traitement est autorisé. Un homme politique qui déclare publiquement son appartenance religieuse en est un exemple.

La médecine préventive ou professionnelle

Le traitement est nécessaire à des fins de médecine du travail, de diagnostic médical ou de gestion des systèmes de santé. Cette exception concerne principalement les professionnels de santé soumis au secret médical.

Je conseille systématiquement à mes clients d’identifier précisément l’exception sur laquelle ils s’appuient avant de commencer tout traitement. Un logiciel RGPD adapté facilite grandement cette documentation obligatoire.

Données bancaires : un cas particulier souvent mal compris

Voilà une question que je reçois quasi systématiquement : les données bancaires sont-elles des données sensibles au sens du RGPD ? La réponse est non, et c’est une source de confusion majeure.

Les coordonnées bancaires (IBAN, numéro de carte, RIB) sont des données personnelles, mais elles ne figurent pas dans la liste des huit catégories de données sensibles de l’article 9. Elles ne révèlent ni l’origine ethnique, ni les convictions religieuses, ni l’état de santé d’une personne.

Cela ne signifie pas pour autant qu’elles peuvent être traitées à la légère. Les données bancaires nécessitent des mesures de sécurité renforcées en raison du risque financier qu’une fuite représente. La CNIL précise d’ailleurs que ces données exigent une vigilance particulière, même si elles n’entrent pas dans le périmètre des données sensibles.

Dans la même logique, le numéro de sécurité sociale (NIR) n’est pas une donnée sensible mais fait l’objet d’un encadrement spécifique par le décret du 19 avril 2019. Son utilisation est strictement limitée à des cas définis par la loi.

Mon conseil : même si une donnée n’est pas qualifiée de « sensible », évaluez toujours le risque réel qu’une violation ferait peser sur les personnes concernées. C’est cette approche par le risque que je privilégie dans mes missions de consulting RGPD.

Obligations concrètes pour traiter des données sensibles

Si vous avez identifié que votre organisation traite des données sensibles RGPD, voici les obligations que vous devez impérativement respecter. Je les ai ordonnées par priorité, en m’appuyant sur les recommandations de la CNIL et sur mon expérience terrain.

1. Réaliser une analyse d’impact (AIPD)

L’analyse d’impact relative à la protection des données est obligatoire pour tout traitement de données sensibles à grande échelle. Elle consiste à évaluer la nécessité, la proportionnalité et les risques du traitement, puis à définir les mesures pour y remédier. Selon l’article 35 du règlement européen, cette analyse doit être menée avant la mise en œuvre du traitement.

2. Désigner un DPO si nécessaire

La désignation d’un délégué à la protection des données (DPO) devient obligatoire lorsque votre activité principale implique un traitement à grande échelle de données sensibles. C’est le cas, par exemple, des hôpitaux, des mutuelles ou des laboratoires d’analyses médicales.

3. Mettre en place des mesures de sécurité renforcées

Au-delà des mesures standard prévues par l’article 32, le traitement de données sensibles exige des garanties supplémentaires :

• Chiffrement des données au repos et en transit (AES-256 minimum)
• Contrôle d’accès granulaire avec authentification forte
• Journalisation des accès et traçabilité complète
• Pseudonymisation ou anonymisation quand c’est possible
• Sauvegardes chiffrées et plan de reprise d’activité

4. Documenter et tenir un registre

Votre registre des traitements doit mentionner spécifiquement les traitements portant sur des données sensibles, la base légale utilisée (quelle exception de l’article 9), les mesures de sécurité appliquées et les durées de conservation. Un logiciel RGPD dédié automatise cette documentation et vous fait gagner un temps précieux.

5. Informer les personnes concernées

L’obligation de transparence est renforcée. Vous devez informer clairement les personnes de la collecte de leurs données sensibles, de la finalité du traitement, de la base légale retenue et de leurs droits (accès, rectification, effacement, opposition). Cette information doit être facilement accessible et rédigée dans un langage clair.

Sanctions et risques en cas de non-conformité

Le non-respect des règles encadrant les données sensibles expose votre organisation à des sanctions parmi les plus lourdes du RGPD. Voici ce que vous risquez concrètement.

Les infractions liées aux données sensibles relèvent du niveau supérieur de sanctions, soit jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Ce n’est pas théorique : la CNIL a déjà prononcé des amendes significatives pour des manquements relatifs aux données de santé.

Au-delà des amendes, les conséquences incluent également le risque réputationnel. Une violation de données sensibles fait l’objet d’une communication publique et peut durablement entamer la confiance de vos clients. J’ai vu des entreprises perdre des contrats majeurs suite à une simple mise en demeure de la CNIL, avant même qu’une sanction financière ne soit prononcée.

Pour les consultants RGPD que je forme, j’insiste sur le fait que la conformité n’est pas qu’une obligation légale ; c’est un avantage concurrentiel. Les entreprises qui protègent correctement les données sensibles de leurs utilisateurs inspirent confiance et se différencient sur leur marché.

Bonnes pratiques pour protéger les données sensibles

Après douze ans de terrain, voici les pratiques que je recommande systématiquement à mes clients pour sécuriser leurs traitements de données sensibles. Ces conseils s’appliquent aussi bien aux TPE qu’aux structures plus importantes.

Cartographier avant d’agir

La première étape est toujours de recenser exhaustivement les données sensibles que vous traitez. Beaucoup d’entreprises découvrent qu’elles manipulent des données de santé via leurs formulaires RH, des données biométriques via leur système de pointage ou des données relatives aux convictions via un fichier client historique. Sans cartographie, impossible de se protéger efficacement.

Appliquer le principe de minimisation

Ne collectez que les données strictement nécessaires à la finalité du traitement. Si vous n’avez pas besoin de connaître l’appartenance syndicale d’un candidat, ne posez pas la question. Si un formulaire de contact demande des informations de santé sans raison, supprimez le champ. Moins vous collectez de données sensibles, moins vous vous exposez.

Cloisonner les accès

Seules les personnes qui ont un besoin opérationnel avéré doivent pouvoir accéder aux données sensibles. Le service comptabilité n’a pas besoin de consulter les dossiers médicaux. Le service marketing n’a pas à connaître les affiliations syndicales. Mettez en place des rôles et permissions granulaires dans vos systèmes d’information.

Former les équipes

La faille de sécurité la plus fréquente reste l’erreur humaine. Un email envoyé au mauvais destinataire, un fichier partagé sans protection, un mot de passe faible : ces négligences sont à l’origine de la majorité des violations de données. Formez régulièrement vos collaborateurs aux bonnes pratiques et aux réflexes à adopter face aux données sensibles.

Prévoir un plan de réponse aux incidents

En cas de violation de données sensibles, vous disposez de 72 heures pour notifier la CNIL (article 33 du RGPD). Préparez un plan de réponse en amont : qui contacter, comment évaluer la gravité, quel processus de notification suivre. Selon la procédure de notification de la CNIL, tout retard injustifié peut constituer un manquement supplémentaire.

Pour aller plus loin sur les mesures techniques à implémenter, je vous recommande de consulter mon guide sur l’article 32 du RGPD et la sécurité des données. Vous y trouverez un plan d’action détaillé pour renforcer la protection de votre système d’information.