Guides & Ressources pratiques
Cession de bail commercial : conditions, formalités et pièges à éviter
Données sensibles au sens du RGPD : définition, liste complète (article 9) et obligations de l'entreprise
Points clés de l'article
- Les données sensibles RGPD sont les 8 catégories listées à l'article 9 : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques, données de santé et données relatives à la vie ou l'orientation sexuelle.
- Leur traitement est interdit par principe. Seules 10 dérogations strictes (article 9 §2) permettent de les traiter, chacune assortie de conditions précises.
- Les données bancaires, le NIR et les données d'infractions ne sont pas des données sensibles au sens de l'article 9, mais relèvent d'autres régimes de protection renforcée.
- Tout traitement de données sensibles impose une analyse d'impact (AIPD), des mesures de sécurité renforcées (chiffrement, pseudonymisation, contrôle d'accès) et une inscription au registre des traitements.
- Les sanctions CNIL peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, auxquelles s'ajoutent les actions collectives et le risque réputationnel.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Liste complète des données sensibles au sens du RGPD : les 8 catégories avec exemples concrets
Principe d'interdiction et les 10 dérogations strictes de l'article 9 §2 RGPD
Cadre renforcé en France : données de santé, recherche médicale et autorisations CNIL
Sanctions CNIL et risques en cas de traitement illicite de données sensibles : exemples récents
Qu'est-ce qu'une donnée sensible au sens du RGPD ? Définition de l'article 9 et distinction avec les données personnelles classiques
Le règlement général sur la protection des données (RGPD) distingue deux niveaux de protection. D'un côté, les données personnelles au sens large : toute information se rapportant à une personne physique identifiée ou identifiable (nom, adresse e-mail, numéro de téléphone, adresse IP). De l'autre, une catégorie restreinte qualifiée de données sensibles RGPD, soumise à un régime d'interdiction de principe.
L'article 9 §1 du RGPD définit les données sensibles comme celles qui révèlent des caractéristiques intrinsèquement liées à l'identité, aux convictions ou à l'état de santé d'une personne. Le critère de distinction est le risque d'atteinte aux droits fondamentaux : discrimination à l'embauche fondée sur l'origine ethnique, exclusion d'un contrat d'assurance liée à l'état de santé, pression exercée en raison de convictions politiques.
En pratique, cette distinction a une conséquence directe pour les directions juridiques : une donnée personnelle classique peut être traitée dès lors qu'une base légale de l'article 6 est identifiée (contrat, intérêt légitime, obligation légale). Une donnée sensible ne peut être traitée que si l'une des 10 dérogations de l'article 9 §2 est remplie, en plus d'une base légale de l'article 6. Le régime est donc cumulatif, et non alternatif.
Cette superposition d'exigences explique pourquoi la CNIL concentre ses contrôles sur les traitements impliquant des données sensibles. En 2023, 42 % des sanctions prononcées par la CNIL concernaient des manquements liés à des catégories de données à protection renforcée.
Liste complète des données sensibles au sens du RGPD : les 8 catégories avec exemples concrets
L'article 9 du RGPD énumère de manière exhaustive 8 catégories de données sensibles. Aucune interprétation extensive n'est admise : seules ces catégories relèvent du régime d'interdiction.
| Catégorie | Exemples concrets en entreprise |
|---|---|
| Origine raciale ou ethnique | Mention de la nationalité d'origine dans un dossier RH, photographie révélant l'origine |
| Opinions politiques | Adhésion à un parti mentionnée dans un réseau social interne, don politique identifié |
| Convictions religieuses ou philosophiques | Demande d'aménagement d'horaires pour pratique religieuse, régime alimentaire spécifique en restauration collective |
| Appartenance syndicale | Cotisation syndicale prélevée sur le bulletin de paie, participation à une réunion syndicale enregistrée |
| Données génétiques | Résultats de tests ADN, séquençage génomique dans le cadre d'un programme de recherche |
| Données biométriques (identification) | Empreintes digitales pour le contrôle d'accès, reconnaissance faciale |
| Données de santé | Arrêts maladie, résultats de la médecine du travail, prescriptions médicales |
| Vie sexuelle ou orientation sexuelle | Mention du conjoint de même sexe dans un dossier de mutuelle, données issues d'applications de rencontre |
Un point de vigilance : les données biométriques ne sont qualifiées de sensibles que lorsqu'elles sont traitées aux fins d'identifier une personne de manière unique. L'utilisation d'une empreinte digitale pour déverrouiller un téléphone professionnel relève de ce régime. En revanche, une photographie d'identité classique, qui ne fait pas l'objet d'un traitement biométrique, n'entre pas dans cette catégorie.
Les 8 catégories de données sensibles imposent un cadre juridique spécifique que chaque direction juridique doit maîtriser pour sécuriser ses traitements.
Identifier un avocat spécialisé en protection des données
Cas particuliers et confusions fréquentes : NIR, données d'infractions, données bancaires et données de localisation
Plusieurs catégories de données font l'objet de confusions récurrentes avec les données sensibles RGPD. Elles bénéficient d'une protection renforcée, mais ne relèvent pas de l'article 9.
Le numéro de sécurité sociale (NIR)
Le NIR n'est pas une donnée sensible au sens du RGPD. Il relève d'un régime spécifique en droit français, encadré par le décret n° 2019-341 du 19 avril 2019. Son utilisation est limitée à des finalités précises : paie, protection sociale, fiscalité. La CNIL impose des mesures de sécurité renforcées (chiffrement, accès restreint), mais le fondement juridique est distinct de l'article 9.
Les données relatives aux infractions et condamnations
L'article 10 du RGPD leur consacre un régime autonome. En France, seules certaines personnes morales de droit public et les auxiliaires de justice peuvent traiter ces données. Un employeur ne peut pas, sauf exception légale, consulter le casier judiciaire d'un candidat. La confusion avec les données sensibles est fréquente, notamment dans les processus de recrutement.
Les données bancaires
Un RIB ou un numéro de carte bancaire est une donnée personnelle classique. Elle ne figure pas dans la liste de l'article 9. En revanche, la norme PCI-DSS et les recommandations de la CNIL imposent des mesures de sécurité spécifiques : tokenisation, chiffrement, limitation de la conservation.
Les données de localisation
Les données GPS d'un véhicule de fonction ou la géolocalisation d'un salarié ne sont pas des données sensibles. Elles relèvent du régime général de l'article 6, assorti des lignes directrices de la CNIL sur la géolocalisation des salariés (délibération du 4 juin 2015, mise à jour en 2021).
| Catégorie | Donnée sensible (art. 9) ? | Régime applicable |
|---|---|---|
| NIR | Non | Décret n° 2019-341, encadrement CNIL |
| Données d'infractions | Non | Article 10 RGPD, droit français restrictif |
| Données bancaires | Non | Article 6 RGPD + PCI-DSS + recommandations CNIL |
| Données de localisation | Non | Article 6 RGPD + lignes directrices CNIL |
Principe d'interdiction et les 10 dérogations strictes de l'article 9 §2 RGPD
Le traitement des données sensibles est interdit par principe. L'article 9 §1 pose cette interdiction de manière absolue. L'article 9 §2 prévoit 10 dérogations, chacune assortie de conditions cumulatives.
- Consentement explicite : la personne donne un accord spécifique, éclairé, libre et univoque. Le consentement doit être documenté. Un simple opt-in pré-coché ne suffit pas.
- Obligations en droit du travail et de la protection sociale : traitement nécessaire à l'exécution d'obligations légales (gestion de la paie incluant les cotisations syndicales, médecine du travail).
- Sauvegarde des intérêts vitaux : situation d'urgence médicale où la personne est physiquement incapable de donner son consentement.
- Traitement par une fondation, association ou organisme à but non lucratif : limité aux membres et aux personnes en contact régulier, sans communication à des tiers.
- Données manifestement rendues publiques : la personne a elle-même publié l'information (déclaration publique, profil ouvert sur un réseau social).
- Constatation, exercice ou défense de droits en justice : production de données de santé dans un contentieux prud'homal, par exemple.
- Intérêt public important : fondé sur le droit de l'Union ou le droit national, avec des garanties appropriées (lutte contre les discriminations, par exemple).
- Médecine préventive, médecine du travail, diagnostic médical : traitement par un professionnel de santé soumis au secret médical.
- Intérêt public dans le domaine de la santé publique : pharmacovigilance, protection contre les menaces transfrontalières graves.
- Archivage dans l'intérêt public, recherche scientifique ou historique, statistiques : sous réserve de garanties appropriées (pseudonymisation, minimisation).
Chaque dérogation exige une analyse au cas par cas. Le choix d'une dérogation inadaptée expose le responsable de traitement à une requalification par la CNIL et à une sanction.
L'identification de la bonne dérogation parmi les 10 prévues à l'article 9 §2 conditionne la licéité de tout traitement de données sensibles.
Consulter un avocat en protection des données pour sécuriser vos traitements
Obligations spécifiques à respecter : base légale, AIPD, mesures de sécurité renforcées et registre des traitements
Le traitement licite de données sensibles RGPD suppose le respect simultané de 4 blocs d'obligations.
Double fondement juridique
Le responsable de traitement doit justifier d'une base légale au titre de l'article 6 (consentement, contrat, obligation légale, intérêt légitime, mission d'intérêt public, intérêt vital) et d'une dérogation au titre de l'article 9 §2. Ces deux fondements doivent être documentés dans le registre des traitements.
Analyse d'impact relative à la protection des données (AIPD)
L'article 35 du RGPD rend l'AIPD obligatoire lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. La CNIL a publié en 2019 une liste de 14 types de traitements nécessitant systématiquement une AIPD. Les traitements de données sensibles à grande échelle y figurent expressément. L'AIPD doit décrire les opérations de traitement, évaluer la nécessité et la proportionnalité, identifier les risques et détailler les mesures d'atténuation.
Mesures de sécurité renforcées
L'article 32 du RGPD impose des mesures techniques et organisationnelles adaptées au niveau de risque. Pour les données sensibles, la CNIL recommande :
- Chiffrement des données au repos et en transit (AES-256 minimum)
- Pseudonymisation systématique lorsque l'identification directe n'est pas nécessaire au traitement
- Contrôles d'accès granulaires : principe du moindre privilège, authentification multi-facteurs
- Journalisation des accès et des opérations sur les données sensibles
- Cloisonnement des bases de données contenant des données sensibles
Registre des traitements
Chaque traitement de données sensibles doit être inscrit au registre prévu à l'article 30 du RGPD, avec mention explicite de la catégorie de données sensibles concernée, de la dérogation invoquée et des mesures de sécurité appliquées.
Cadre renforcé en France : données de santé, recherche médicale et autorisations CNIL
Le droit français ajoute des exigences spécifiques au cadre européen, en particulier pour les données de santé.
Hébergement certifié HDS
Depuis le décret n° 2018-137 du 26 février 2018, tout organisme hébergeant des données de santé pour le compte d'un tiers doit être certifié HDS (Hébergeur de Données de Santé). Cette certification, délivrée par un organisme accrédité par le COFRAC, impose des exigences en matière de sécurité physique, de continuité d'activité et de gestion des incidents. Le non-respect de cette obligation constitue un délit pénal (article L.1115-1 du Code de la santé publique), puni de 3 ans d'emprisonnement et 150 000 euros d'amende.
Recherche médicale et méthodologies de référence
La CNIL a adopté des méthodologies de référence (MR-001 à MR-006) qui encadrent les traitements de données de santé à des fins de recherche. Lorsqu'un traitement est conforme à une MR, il n'est pas nécessaire de solliciter une autorisation individuelle : un engagement de conformité suffit. En dehors de ces MR, une autorisation préalable de la CNIL est requise, après avis du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES).
Système national des données de santé (SNDS)
L'accès au SNDS, qui regroupe les données de l'Assurance maladie, des hôpitaux et des causes de décès, est soumis à une procédure d'autorisation spécifique auprès de la CNIL, avec un avis préalable du CESREES et du Health Data Hub.
Sanctions CNIL et risques en cas de traitement illicite de données sensibles : exemples récents
Les traitements non conformes de données sensibles figurent parmi les infractions les plus lourdement sanctionnées par la CNIL.
Échelle des sanctions
L'article 83 §5 du RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Ce plafond s'applique spécifiquement aux violations de l'article 9.
Exemples récents de sanctions
- Clearview AI (2022) : 20 millions d'euros d'amende pour collecte et traitement de données biométriques (reconnaissance faciale) sans base légale ni consentement. La CNIL a retenu la violation de l'article 9 comme facteur aggravant.
- Doctissimo (2023) : 380 000 euros pour traitement de données de santé collectées via des questionnaires en ligne sans consentement explicite conforme et sans AIPD.
- Société d'HLM (2023) : 200 000 euros pour collecte de données relatives à l'origine ethnique de locataires dans le cadre de l'attribution de logements sociaux, en violation directe de l'article 9.
Risques complémentaires
Au-delà des amendes administratives, les personnes concernées peuvent exercer des actions collectives (article 80 du RGPD, transposé en droit français par la loi n° 2016-1547). Le préjudice moral lié au traitement illicite de données sensibles est reconnu par la jurisprudence de la CJUE (arrêt Österreichische Post, C-300/21, 4 mai 2023), même en l'absence de dommage matériel.
Un traitement illicite de données sensibles expose l'entreprise à des sanctions financières, des actions collectives et une atteinte durable à sa réputation.
Faire auditer vos traitements par un avocat spécialisé
Quand mobiliser un avocat spécialisé RGPD pour auditer et sécuriser les traitements de données sensibles ?
Plusieurs situations justifient l'intervention d'un avocat spécialisé en protection des données :
- Qualification incertaine : lorsque la direction juridique hésite sur le caractère sensible d'une donnée (photographies traitées par un algorithme de reconnaissance faciale, données de santé collectées indirectement via un objet connecté), un audit de qualification permet de trancher.
- Choix de la dérogation : l'identification de la bonne dérogation parmi les 10 de l'article 9 §2 nécessite une analyse juridique contextualisée. Une erreur de qualification expose à une requalification par la CNIL.
- Réalisation de l'AIPD : l'analyse d'impact requiert une expertise croisée entre droit et sécurité informatique. L'avocat spécialisé coordonne l'évaluation juridique des risques et la proportionnalité des mesures.
- Contrôle CNIL en cours : en cas de contrôle sur place ou sur pièces, l'avocat assiste le responsable de traitement dans la production des documents de conformité et la gestion des échanges avec les agents de la CNIL.
- Incident de sécurité : une violation de données impliquant des données sensibles doit être notifiée à la CNIL dans les 72 heures (article 33 du RGPD). L'avocat pilote la notification, évalue l'obligation d'information des personnes concernées (article 34) et prépare la stratégie de défense.
La complexité du régime applicable aux données sensibles — superposition du RGPD, du droit français, des référentiels sectoriels et de la doctrine CNIL — rend l'accompagnement juridique spécialisé nécessaire dès lors que le traitement dépasse les cas simples encadrés par les méthodologies de référence.
FAQ
Quelle est la différence entre une donnée personnelle et une donnée sensible au sens du RGPD ?
Une donnée personnelle est toute information permettant d'identifier directement ou indirectement une personne physique (nom, e-mail, adresse IP). Une donnée sensible appartient à l'une des 8 catégories listées à l'article 9 du RGPD (santé, biométrie, opinions politiques, etc.). Les données sensibles sont soumises à une interdiction de traitement par principe, levée uniquement par l'une des 10 dérogations de l'article 9 §2.
Le numéro de sécurité sociale (NIR) est-il une donnée sensible ?
Non. Le NIR ne figure pas dans la liste de l'article 9 du RGPD. Il bénéficie d'un régime de protection spécifique en droit français, encadré par le décret n° 2019-341. Son utilisation est restreinte à des finalités précises (paie, protection sociale, fiscalité) et impose des mesures de sécurité renforcées, mais il ne relève pas du régime des données sensibles.
L'AIPD est-elle obligatoire pour tout traitement de données sensibles ?
L'AIPD est obligatoire lorsque le traitement de données sensibles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. En pratique, la CNIL considère que tout traitement de données sensibles à grande échelle nécessite systématiquement une AIPD. Pour un traitement ponctuel et limité (par exemple, la gestion des arrêts maladie d'une PME de 15 salariés), l'obligation dépend de l'analyse des critères de risque du Comité européen de la protection des données.
Quelles sanctions risque une entreprise en cas de traitement illicite de données sensibles ?
L'amende administrative peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. S'y ajoutent les actions collectives des personnes concernées, l'indemnisation du préjudice moral (reconnu par la CJUE même sans dommage matériel) et l'atteinte réputationnelle. En France, le non-respect de l'obligation d'hébergement certifié HDS pour les données de santé constitue en outre un délit pénal.
Le consentement explicite suffit-il pour traiter des données sensibles ?
Le consentement explicite est l'une des 10 dérogations de l'article 9 §2, mais il ne suffit pas à lui seul. Le responsable de traitement doit également justifier d'une base légale au titre de l'article 6 du RGPD. Le consentement doit être libre, spécifique, éclairé et univoque. Dans le contexte employeur-salarié, la CNIL considère que le consentement est rarement libre en raison du lien de subordination, ce qui impose de recourir à une autre dérogation.
Pour aller plus loin
Définition - Donnée sensible - CNIL
Règlement européen sur la protection des données (RGPD) - Chapitre 2 Article 9 - CNIL
Loi Informatique et Libertés - Légifrance
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
