Article réservé aux abonnés Archimag.com

Comprendre et gérer les données sensibles : définition, caractéristiques, et cadre légal

Le

  • comprendre-gerer-donnees-sensibles-definition-caracteristiques-cadre-legal.jpg

    En 2024, des cyberattaques ont exposé les données personnelles de millions de Français, révélant l’immense valeur des informations sensibles sur le dark web (Freepik).
    • L’année 2024 a une nouvelle fois été marquée par des violations de données touchant massivement des particuliers. La première a touché 33 millions de français et concernait les données de santé traitées par Almerys dans le cadre du tiers payant. La seconde a touché plus de 43 millions de nos concitoyens via France Travail et concernaient principalement des données financières. Pourquoi un tel intérêt pour ces données ? Ces données sont aujourd’hui les plus valorisées et convoitées sur le dark web, notamment parce qu’elles présentent justement un caractère sensible.

    enlightenedRETROUVEZ CET ARTICLE ET PLUS ENCORE DANS NOTRE GUIDE PRATIQUE : DROIT DE L'INFORMATION, 6E ÉDITION
    mail Découvrez Le Brief de l'IT, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de l'IT, de la digitalisation et de la transformation numérique !

    1. Données sensibles : qu'est-ce que c'est ?

    D’une façon générale, les données personnelles se définissent comme toute information permettant d’identifier de façon certaine un individu, que ce soit de manière directe ou indirecte.

    Dès 1978, le législateur français avait prévu une catégorie particulière de données, communément appelées sensibles bien que ce terme ne soit pas clairement indiqué dans les textes. La définition a été reprise quasiment à l’identique dans le cadre du Règlement général sur la protection des données (RGPD).

    Les données communément admises comme sensibles sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. On y inclut généralement également les données relatives aux condamnations et aux infractions pénales.

    Lire aussi : Du cloud vers une nouvelle culture de la donnée

    2. Pourquoi ces données sont-elles qualifiées de sensibles ?

    Ces données ont plusieurs points communs. Tout d’abord, les données sensibles révèlent bien entendu des informations particulièrement personnelles d’un individu. Plus précisément, ces informations ne permettent pas seulement d’identifier de façon unique un individu comme une adresse e-mail pourrait le permettre, mais elles révèlent des éléments que les personnes ne souhaitent en règle générale partager qu’avec un cercle de proches particulièrement restreint.

    Ensuite, et c’est le point commun le plus important, toute intervention non souhaitée ou non encadrée (altération, perte ou divulgation non autorisée) sur ces données pourrait avoir un impact très important sur les personnes concernées.

    En effet, prenons l’exemple d’une donnée de santé : dans l’hypothèse où une donnée comme le groupe sanguin ou une allergie d’un patient d’un hôpital serait altérée ou perdue, l’impact potentiel pour le patient pourrait être très important. Il pourrait par exemple ne pas recevoir les soins appropriés, ou plus grave, se voir administrer un médicament auquel il serait allergique et avoir de graves séquelles.

    Dans un registre moins dramatique mais tout aussi impactant, la divulgation d’une orientation sexuelle ou d’une condamnation, peut avoir de lourds impacts psychologiques, mais aussi matériels. Elle peut par exemple priver un individu du bénéfice d’un droit à un prêt, un logement ou même plus simplement un service. 

    Nous pouvons répéter les exemples à l’envie mais l’idée est que l’altération, la perte ou la divulgation de ces données, quel que soit l’objectif pour lequel elles ont été initialement collectées, auraient nécessairement un très lourd impact sur les personnes concernées, et ce indépendamment de tout contexte.

    Lire aussi : Hébergement des données de santé : le nouveau référentiel est publié au Journal officiel

    3. Quel cadre juridique pour encadrer l’exploitation des données sensibles ?

    C’est la raison pour laquelle l’article 9 du RGPD interdit par principe le traitement, c’est-à-dire la collecte mais également l’exploitation, de ces données.

    La réglementation européenne admet cependant qu’il soit possible pour quiconque le souhaite de traiter ces informations dés lors que ces dernières ont été collectées, reçues ou stockées avec le consentement exprès, préalable et éclairé de la personne concernée. Ce consentement doit être donné de façon explicite, par exemple au moyen d’une case à cocher ou en signant un document spécifique.

    Dans l’hypothèse où cette condition serait remplie, le RGPD exige par ailleurs que des mesures de protection spécifiques soient mises en œuvre par les responsables. Au-delà des durées de conservation limitée, il peut s’agir de mesures techniques comme la limitation des accès ou le chiffrement des données. Ces mesures doivent être renforcées par rapport à des données personnelles usuelles.

    Il existe toutefois des situations dans lesquelles le traitement des données sensibles est permis sans avoir à obtenir un consentement explicite. Ces exceptions sont strictement encadrées et incluent, par exemple :

    • l'intérêt public : Le traitement est autorisé lorsqu'il sert un intérêt public important, comme la protection de la santé publique ou la sécurité nationale (c’est ce que nous avons connu pendant la période du COVID par exemple) ;
    • la médecine préventive ou les soins de santé : Les professionnels de la santé peuvent traiter les données sensibles sans consentement explicite dans le cadre de soins médicaux, pour garantir une prise en charge rapide et efficace des patients ;
    • les données concernant les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale : le traitement de ces informations est alors autorisé.

    En dehors du RGPD, d’autres réglementations peuvent trouver à s’appliquer aux traitements de ces données sensibles. Ce sera par exemple le cas pour les données de santé auxquelles plusieurs chapitres du Code de la Santé Publique sont consacrées, notamment concernant les conditions d’hébergement et d’information. Certains textes viennent par ailleurs compléter des dispositions sur des secteurs géographiques et il faudra en tenir compte (il est par exemple interdit d’héberger des données de santé en dehors de l’Allemagne).

    Il faudra donc jongler entre les différents textes pour ne pas se retrouver en défaut, ce qui complique la tâche de nos entreprises.

    Lire aussi : 4,2 milliards d'euros d'amendes infligées en Europe au titre du RGPD

    4. Quelles bonnes pratiques pour la gestion des données sensibles ?

    Pour qu'une collecte de données sensibles soit légale et sécurisée, plusieurs points doivent être respectés. Le prérequis est bien entendu de les avoir identifiées.

    • La première bonne pratique consiste à ne collecter que les informations absolument nécessaires. Ce principe de minimisation des données signifie qu'il est inutile de demander plus d'informations que ce qui est requis pour l'objectif visé. Cela limite les risques en cas de fuite et évite de gérer des données inutiles.
    • La seconde bonne pratique consiste à stocker les données selon les plus hauts standards de sécurité. Cela peut notamment inclure le chiffrement des données (qui rend illisibles les données même en cas de vol), le contrôle des accès (authentification à double facteur, gestion des habilitations) ou bien encore la mise en place de sauvegardes régulières des données (sauvegardes devant elles-mêmes faire l’objet de mesures de sécurité spécifiques).
    • La troisième bonne pratique consiste à s’assurer que les partages et transferts de données soient particulièrement encadrés. Il peut bien entendu s’agir de mettre en place des contrats contenant des clauses contraignants vos partenaires aux mêmes niveaux d’engagement de sécurité et de conformité réglementaires, ou bien plus simplement de la formation de vos salariés aux risques inhérents à la manipulation de ces informations.
    • Enfin, la dernière bonne pratique consiste à supprimer de façon régulière ces informations. Il conviendra donc d’une part de définir des durées de conservation extrêmement limités en fonction des objectifs poursuivis, mais également de vous assurer que leur destruction se fasse de manière sécurisée.

    5. Conclusion 

    La protection des données sensibles n'est pas seulement une obligation légale, mais un impératif pour préserver la confiance des citoyens dans un monde de plus en plus digitalisé. Le cadre juridique, dominé par des régulations comme le RGPD, impose des règles strictes que les entreprises doivent respecter, qu’il s’agisse de la collecte, du stockage ou du partage de ces informations.

    Cependant, les réglementations ne sont qu’une partie de la solution. Il est essentiel pour les organisations d’adopter des pratiques exempmarine_brogli_donnees_sensibles.jpeglaires et de former leurs employés pour minimiser les risques.

    Les exceptions prévues pour l’intérêt public ou la santé publique montrent que la protection des données ne doit pas être un obstacle à des missions essentielles, mais ces situations doivent toujours être encadrées par des mesures de sécurité robustes.

    Finalement, dans un monde où les cyberattaques et les fuites de données deviennent monnaie courante, le véritable défi réside dans l’équilibre entre innovation, protection et responsabilité. Plus que jamais, la gestion proactive des données sensibles est la clé pour protéger les individus et les entreprises de dommages potentiels.

    L'autrice, Marine Brogli, est présidente de DPO Consulting.

    Sur le même sujet: 
    45 ans de la Cnil et 5 ans du RGPD : le bilan
    La donnée : quel statut juridique ?
    0 Commentaire
    GP78
    données sensibles
    Droit de l'information
    gestion des données
    RGPD
    À lire sur Archimag
    Les podcasts d'Archimag
    La mise à disposition des décisions de justice en Open Data a vu le jour grâce à la loi pour une République numérique votée en 2016. Les articles 20 et 21 prévoient la mise en open data des quatre millions de décisions de justice produites chaque année par les tribunaux français. Camille Girard-Chanudet est chercheuse en sociologie au sein du Centre d’étude des mouvements sociaux. En 2023, elle a soutenu une thèse devant l’École des hautes études en sciences sociales (EHESS) : "La justice algorithmique en chantier, sociologie du travail et des infrastructures de l’intelligence artificielle". Dans ce cadre elle a rencontré les équipes de la Cour de cassation qui procèdent à l’anonymisation des décisions de justice.
    Lire la suite...

    Serda Formations Data 2023