Les données dites sensibles regroupent les informations :
- portant sur les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale (par exemple la pratique d’un culte, le fait qu’une personne soit membre d’un parti politique, etc.) ;
- concernant la santé (exemple : les comportements de prévention, le renoncement à des soins, les traitements médicaux, etc.) ;
- concernant la vie sexuelle ou l’orientation sexuelle (existence de relations sexuelles, les préférences sexuelles, etc.) ;
- relatives aux :
- données génétiques (exemple : ADN, caryotype) ;
- ou aux données biométriques aux fins d’identifier une personne physique de manière unique (exemple : empreintes digitales, gabarit facial, gabarit vocal, empreintes palmaires, système veineux, frappe de clavier ou autres caractéristiques comportementales telles que la signature manuscrite ou encore la démarche ;
- révélant la prétendue origine raciale ou ethnique.
En revanche, certaines informations, bien qu’elles soient confidentielles (par exemple le secret industriel, le secret de l’instruction, etc.), ne sont pas considérées comme étant des données sensibles au sens du RGPD.
A noter
Certains traitements nécessaires à la conduite d’études sur la mesure de la diversité des origines peuvent porter sur des données objectives, telles que la langue parlée ou l’origine géographique au sein d’un territoire national. Cependant, comme l’a jugé le Conseil constitutionnel, ils ne peuvent reposer sur l'origine ethnique ou la prétendue « race ».
Il est possible de collecter des données subjectives (exemple : le « ressenti d’appartenance », via des questions sur l’image de soi ou les expériences de discriminations et le regard des autres) si celle-ci n’a pas pour objet, directement ou indirectement, de classifier les personnes interrogées en fonction soit de leur origine ethnique ou prétendument raciale déclarée, soit d’un référentiel ethno-racial.
Exemples :
Dans le cadre d’une recherche, les utilisations de données personnelles suivantes contiennent des données sensibles :
- un projet de recherche visant à étudier des pages de personnalités publiques sur les réseaux sociaux qui contiennent des propos rattachés à certaines opinions politiques (orientation politique) ;
- un projet de recherche consistant à interroger des personnes sur leurs comportements sexuels (collecte de données relatives à la vie sexuelle et à l’orientation sexuelle) ;
- un projet de recherche relatif à l’étude du rapport à la laïcité et aux pratiques religieuses (convictions religieuses) ;
- un projet de recherche visant à développer un algorithme de reconnaissance faciale (données biométriques).
Attention : une donnée a priori non sensible peut toutefois le devenir en cas de recoupement d’informations.
Exemple : des recherches portant sur la géolocalisation des véhicules pourraient révéler des convictions politiques réelles ou supposées, des convictions religieuses et/ou des données relatives à la santé par l’étude des habitudes de déplacement et du stationnement sur le parking de lieux particuliers (locaux d’un parti politique, fréquentation de lieux de culte, etc.).
Si le RGPD pose un principe d’interdiction du traitement de ces données, des exceptions, présentées ci-dessous, sont toutefois prévues.
Quatre exceptions à cette interdiction peuvent être mobilisées pour la recherche (la dernière exception ci-dessous ne concerne que les traitements dans le domaine de la recherche publique). Ces exceptions se distinguent de la base légale définie pour l’ensemble du traitement :
- La personne concernée a donné son consentement explicite à l’utilisation de ces données pour un ou des objectifs spécifiques
Pour être valide, le consentement soit libre, spécifique, éclairé et univoque.
Si un accord est donné pour être contacté dans le cadre d’une enquête, celui-ci ne peut pas être considéré comme étant un consentement valable au sens du RGPD, s’il ne remplit pas les conditions explicitées ci-dessus.
De même, ne peuvent être considérés comme valables les consentements recueillis au moyen d’une case précochée ou les consentements « groupés » (un seul consentement demandé pour plusieurs traitements distincts).
- Les données sensibles sont manifestement rendues publiques par la personne concernée
La notion de « données manifestement rendues publiques par la personne concernée » concerne notamment les contenus se rapportant à la personne qui les a, délibérément, divulgués. Par exemple, on pourrait estimer que cela ne concerne pas les commentaires publiés par un tiers sur un réseau social.
Exemple : des opinions politiques tenues par un candidat à une élection lors d’une émission télévisée constituent des données manifestement rendues publiques par la personne concernée.
Les données présentes sur les réseaux sociaux
Selon le Comité européen de la protection des données (CEPD), les éléments suivants peuvent être pertinents pour aider à évaluer si les données ont été manifestement rendues publiques par la personne concernée :
- le paramétrage par défaut de la plate-forme de médias sociaux (c'est-à-dire si la personne concernée a fait une action pour changer ces paramètres privés par défaut en paramètres publics) ; ou
- la nature de la plate-forme de médias sociaux (c'est-à-dire si cette plate-forme a vocation à connecter des connaissances proches avec la personne concernée ou à nouer des relations intimes (comme les sites de rencontres), ou s'il est destiné à fournir un plus large éventail de relations interpersonnelles, telles que les relations professionnelles, ou le microblogging, le partage de médias, les réseaux sociaux plateformes de partage d'avis en ligne, etc. ; ou
- l'accessibilité de la page où les données sensibles sont publiées (c'est-à-dire si les informations sont accessibles au public ou si, par exemple, la création d'un compte est nécessaire avant d'accéder aux informations) ; ou
- la visibilité de l’information sur le caractère public des contenus publiés par les personnes concernées (exemple : c'est-à-dire s'il y a une bannière continue sur la page ou si le bouton de publication informe la personne concernée que les informations seront rendues publiques…) ; ou
- si la personne concernée a elle-même publié les données sensibles, ou si, à l’inverse, les données ont été publiées par un tiers (exemple : une photo publiée par un ami qui révèle des données sensibles) ou déduites.
Le CEPD note que la présence d'un seul élément peut ne pas toujours suffire à établir que les données ont été « manifestement » rendues publiques par la personne concernée. En pratique, une combinaison de ces ou d'autres éléments peut devoir être prise en compte pour pouvoir démontrer que la personne concernée a manifesté clairement l'intention de rendre les données publiques.
- La recherche est nécessaire pour des motifs d’intérêt public importants
Cette exception concerne principalement les recherches mis en œuvre par les autorités publiques. Elle peut néanmoins autoriser la mise en œuvre de traitements par des organismes privés, s’ils poursuivent une mission d’intérêt public ou sont dotés de prérogative de puissance publique.
Le responsable de traitement devra démontrer:
- la condition de « nécessité » pour la mission d’intérêt public ;
- la présence de motifs d’intérêt public importants ;
- que l’intérêt public est défini par le droit national ou le droit européen.
Pour mobiliser cette exception, la loi Informatique et Libertés exige un texte, par exemple un décret en Conseil d’État après avis de la CNIL.
- L’utilisation des données est nécessaire à la recherche publique
Certaines utilisations de données peuvent être nécessaires à la recherche publique, sous réserve que des motifs d'intérêt public important les rendent nécessaires (nécessite un avis de la CNIL). Pour être considérée comme une recherche publique, celle-ci doit respecter certains critères précisés dans le code de la recherche.
La recherche privée, qui ne rentre pas dans les critères définis dans le code de la recherche, ne peut donc pas mobiliser cette exception prévue par la loi Informatique et Libertés. Par conséquent, pour ces traitements, des données sensibles ne pourront être collectées seulement en vertu des exceptions mentionnées plus haut. En effet, l’article 9.2-j du RGPD relatif à la recherche tant publique que privée n’est pas encore adapté dans la loi française : il n’est donc pas possible de mobiliser cet article.