RGPD : Que sont les données personnelles sensibles ?

Nous avons récemment discuté des données étant considérées comme personnelles dans le cadre du Règlement Général Européen sur la Protection des Données (RGPD). Cependant, nous n’avons pas couvert la notion de données personnelles sensibles.

Avant d’entrer dans les détails, revoyons la définition de données personnelles du RGPD :

« Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (dénommée « personne concernée »). »

En d’autres termes, toute information qui concerne clairement une personne en particulier. Dans certaines circonstances, cela pourrait inclure toute sorte d’informations allant du nom d’une personne à son apparence physique.

Les données personnelles sensibles sont un ensemble spécifique de « catégories spéciales » qui doivent être traitées avec une sécurité supplémentaire. Ces catégories sont :

  • Origine raciale ou ethnique ;
  • Opinions politiques ;
  • Les croyances religieuses ou philosophiques ;
  • L’adhésion à un syndicat ;
  • Données génétiques ; et
  • Données biométriques (lorsqu’elles sont traitées dans le but d’identifier une personne).

Les données personnelles sensibles doivent être conservées séparément des autres données personnelles, de préférence dans une armoire ou un tiroir verrouillé. Comme pour les données personnelles en général, elles ne devraient être conservées que sur des ordinateurs portables ou des appareils portables si le fichier a été chiffré et/ou pseudonymisé.

La pseudonymisation masque les données en remplaçant les informations d’identification par des identifiants artificiels. Bien qu’elle soit essentielle à la protection des données – elle est mentionnée 15 fois dans le RGPD – et peut aider à protéger la confidentialité et la sécurité des données personnelles, la pseudonymisation a ses limites, c’est pourquoi le RGPD mentionne également la notion de cryptage.

Le cryptage masque également les informations en remplaçant les identifiants par autre chose. Mais alors que la pseudonymisation permet à quiconque ayant accès aux données d’afficher une partie des données, le cryptage permet uniquement aux utilisateurs autorisés d’accéder à l’ensemble des données.

La pseudonymisation et le cryptage peuvent être utilisés simultanément ou séparément.

 

Obtenir le consentement

Une méprise courante sur le RGPD est que toutes les entreprises doivent obtenir le consentement pour traiter les données personnelles. En fait le consentement n’est que l’une des six raisons légitimes de traitement des données personnelles, et les règles strictes concernant les demandes de consentement légal en font généralement l’option la moins souhaitable.

Cependant, dans certains cas le consentement est la base la plus appropriée, et les entreprises doivent être conscientes qu’elles ont besoin d’un consentement explicite afin de traiter des données personnelles sensibles.

Des nuances comme celle-ci sont courantes dans tout le RGPD, et toute entreprise qui n’a pas pris le temps d’étudier minutieusement ces exigences de conformité risque de trébucher. En effet, cela pourrait entrainer des dommages durables, allant des mesures d’exécution et des amendes réglementaires à la mauvaise presse voire la perte de clients.

Vous pouvez éviter les pièges de la non-conformité en lisant notre Guide de poche – RGPD. Ecrit par Alan Calder, fondateur et président exécutif d’IT Governance, ce livre vous aidera à acquérir une compréhension claire du RGPD, et explique :

  • Les termes et définitions utilisés dans le règlement ;
  • Les exigences de conformité les plus importantes ; et
  • Les méthodes de conformité des entreprises face au RGPD.

 

Acheter ce guide de poche maintenant >>

 

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.