La loi ne fait pas dans la demi-mesure : l’article 9 du RGPD bouscule clairement la gestion des données personnelles. Ce texte verrouille l’accès aux informations les plus intimes, santé, opinions, origine, et transforme la façon dont entreprises et institutions traitent ces renseignements. Derrière ces restrictions, la volonté de limiter les dérapages. Mais pour les organisations, c’est aussi tout un parcours d’obstacles à franchir, sous peine de s’exposer à des sanctions sérieuses.
Comprendre l’article 9 du RGPD : définition et portée
L’article 9, depuis 2018, cible une liste précise de données dites sensibles, soumettant leur traitement à des règles strictes. Dans le viseur : informations sur l’origine raciale ou ethnique, opinions politiques, croyances religieuses ou philosophiques, appartenance syndicale, données génétiques et biométriques. À cette liste s’ajoutent les informations de santé, particulièrement scrutées. L’article 4-15 du RGPD précise qu’il s’agit de données sur l’état physique ou mental d’une personne, résultats d’examens médicaux ou tout ce qui a trait à une maladie. Le principe est simple : interdiction de traitement, sauf dans des cas bien définis.
Les données sensibles et leur traitement : ce que dit l’article 9
Pour mieux cerner les enjeux, voici les types de données concernés :
- Données sensibles : origine raciale ou ethnique, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, opinions politiques, données biométriques.
- Données de santé : informations relatives à une personne physique, résultats de tests médicaux, informations sur une maladie.
Le RGPD exige un haut niveau de vigilance pour le traitement de ces données. Impossible d’y toucher sans le consentement explicite de la personne concernée, à moins de répondre à des conditions très précises.
Les exceptions à l’interdiction de traitement des données sensibles
Quelques situations échappent à la règle, mais elles restent encadrées par le texte :
- Obtention du consentement de la personne concernée
- Prévention de la santé publique ou préservation des intérêts vitaux
- Appréciation médicale et médecine du travail
- Gestion des systèmes et services de santé
Les données sensibles et leur traitement : ce que dit l’article 9
L’encadrement du traitement de ces données reste l’un des piliers du RGPD. D’un côté, l’article 9 dresse la liste des informations jugées particulièrement sensibles : appartenance syndicale, convictions religieuses, données biométriques, opinions politiques, entre autres. De l’autre, il impose des garde-fous : toute collecte ou manipulation doit répondre à des exigences précises.
Définition des données de santé
Les données de santé, qui font partie intégrante de cette catégorie, couvrent toute information obtenue lors d’un examen médical ou relative à une maladie, qu’elle soit ancienne, actuelle ou à venir. L’article 4-15 du RGPD vient appuyer cette définition.
Conditions de traitement
En pratique, le traitement de ces données ne peut se faire que dans certains cas bien délimités. Parmi les conditions incontournables : obtenir le consentement explicite de la personne concernée. D’autres exceptions existent : prévention de la santé publique, intérêts vitaux, médecine du travail.
Exceptions à l’interdiction
- Prévention de la santé publique : Traitement autorisé pour parer à des menaces graves sur la santé collective.
- Intérêts vitaux : Possibilité d’agir pour protéger une personne incapable de donner son accord, en situation d’urgence par exemple.
- Appréciation médicale : Traitement permis pour des raisons médicales, notamment dans le contexte professionnel.
- Gestion des systèmes et services de santé : Mise en œuvre pour garantir le bon fonctionnement du système de soins.
Les exceptions à l’interdiction de traitement des données sensibles
Le RGPD détaille plusieurs cas où le traitement de ces informations sensibles s’avère licite. Ces exceptions ne sont pas nombreuses, mais elles offrent un cadre clair pour concilier protection de la vie privée et fonctionnement des services publics ou privés. Les principales dérogations prévues sont les suivantes :
- Obtention du consentement explicite : L’accord clair et précis de la personne est requis pour chaque finalité.
- Prévention de la santé publique : Nécessité d’agir dans l’intérêt public, par exemple lors de la gestion d’une crise sanitaire ou d’une alerte à grande échelle.
- Préservation des intérêts vitaux : Autorisation de traiter les données si la vie ou l’intégrité physique d’une personne est en jeu et qu’elle ne peut donner son accord.
- Appréciation médicale : Utilisation des données dans le cadre de l’évaluation de l’aptitude au travail, de soins médicaux ou de l’organisation des services de santé.
- Médecine du travail : Traitement permis pour évaluer la capacité de travail d’un salarié, en lien avec la réglementation.
- Gestion des systèmes et services de santé : Accès aux données dans l’optique de garantir qualité et sécurité des soins, des médicaments ou des dispositifs médicaux.
Ces exceptions, strictement encadrées, servent de balises pour éviter les abus tout en permettant la poursuite d’activités médicales, sociales ou professionnelles indispensables.
Implications pratiques pour les entreprises et les particuliers
Sur le terrain, appliquer l’article 9 du RGPD demande aux entreprises une vigilance de tous les instants. Désigner un Délégué à la Protection des Données (DPO) n’est plus une option pour les structures qui manipulent régulièrement des données sensibles. Ce professionnel supervise les traitements, veille au respect des règles et accompagne la mise en œuvre de mesures adaptées. Concrètement, deux obligations majeures s’imposent :
- Tenue d’un registre des traitements : Chaque activité touchant aux données sensibles doit être consignée et justifiée, notamment en ce qui concerne la base légale invoquée.
- Réalisation d’une analyse d’impact : Avant de lancer un nouveau traitement, il s’agit d’évaluer les risques que cela fait peser sur les personnes concernées, puis de définir les mesures de protection adéquates.
Côté particuliers, le RGPD renforce le contrôle sur leurs propres données. Chacun peut réclamer l’accès aux informations détenues par une entreprise, exiger leur correction si besoin, mais aussi demander que leur utilisation soit limitée ou que ces données soient transmises à un autre organisme. Ces droits sont concrets : il n’est pas rare, par exemple, qu’un patient demande à un laboratoire de santé de transférer son dossier vers un nouveau médecin.
La Commission Nationale de l’Informatique et des Libertés (CNIL) occupe une place centrale dans ce dispositif. Elle surveille la conformité des pratiques, peut prononcer des avertissements ou infliger des amendes qui, parfois, font date dans le secteur. Pour éviter de s’y frotter, mieux vaut former les équipes et instaurer une culture interne de protection des données.
En somme, l’article 9 du RGPD dessine une ligne de crête : pour les entreprises, une responsabilité qui ne souffre aucun relâchement ; pour les citoyens, une garantie solide que leur vie privée ne sera jamais une simple variable d’ajustement. La balance, désormais, penche du côté du respect et de la prudence. Reste à chaque acteur à se montrer à la hauteur du texte, car la confiance, elle, ne se décrète pas, elle se construit.
