Selon l’article 9 du RGPD, les données sensibles sont des informations personnelles bénéficiant d’une protection renforcée. Elles incluent l’origine raciale, les opinions politiques, les convictions religieuses, l’appartenance syndicale, ainsi que les données génétiques, biométriques, de santé et d’orientation sexuelle. Leur traitement est en principe interdit, sauf exceptions légales.
Le RGPD impose des règles strictes pour toutes les données personnelles. Mais pour une catégorie précise — les données sensibles — les obligations sont encore plus lourdes, et les sanctions en cas de manquement, encore plus sévères. Si votre entreprise collecte des informations sur la santé, les convictions religieuses ou l’orientation sexuelle de vos clients ou employés, vous êtes soumis à des contraintes spécifiques que beaucoup ignorent. Pour bien cadrer le sujet, commençons par rappeler qu’est ce que le RGPD ? avant d’entrer dans le détail des règles applicables aux données sensibles.
Un salarié sur deux ne sait pas comment son employeur traite ses données. Cette méconnaissance coûte cher : les amendes CNIL pour mauvaise gestion des données sensibles peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel. Ce guide vous donne les règles, les exceptions, les mesures concrètes et les obligations légales — sans raccourci ni jargon inutile.
Ce Que le RGPD Range dans les « Données Sensibles »
La distinction fondamentale posée par le texte européen
Le RGPD ne distingue pas deux niveaux de données par hasard. L’article 9 du règlement identifie des catégories particulières de données qui font l’objet d’une interdiction de traitement par défaut. L’article 4, lui, pose la définition générale des données personnelles. La différence est simple : toute donnée personnelle vous identifie ; une donnée sensible peut, en plus, vous discriminer ou vous nuire directement si elle tombe entre de mauvaises mains.
Les 9 catégories que la loi protège le plus
Voici les catégories particulières de données visées par l’article 9 du RGPD, avec des exemples concrets :
- Origine raciale ou ethnique : photo permettant de déterminer l’origine, résultats d’un test ADN ancestral
- Opinions politiques : appartenance à un parti, historique de votes
- Convictions religieuses ou philosophiques : menu halal commandé via une appli RH, planning de congés lié à des fêtes religieuses
- Appartenance syndicale : liste des délégués syndicaux, cotisations syndicales
- Données génétiques : séquençage ADN, bilan génétique médical
- Données biométriques (permettant d’identifier une personne) : empreinte digitale utilisée pour un contrôle d’accès, reconnaissance faciale
- Données de santé : dossier médical, arrêt maladie, résultat d’un test de dépistage
- Vie sexuelle et orientation sexuelle : déclaration dans un formulaire RH, données d’une application de rencontres
- Condamnations pénales et infractions : extrait de casier judiciaire, mentions dans un dossier de candidature
| Catégorie de Donnée | Exemples |
|---|---|
| Origine raciale ou ethnique | Photo permettant de déterminer l’origine, résultats d’un test ADN ancestral |
| Opinions politiques | Appartenance à un parti, historique de votes |
| Convictions religieuses ou philosophiques | Menu halal commandé via une appli RH, planning de congés lié à des fêtes religieuses |
| Appartenance syndicale | Liste des délégués syndicaux, cotisations syndicales |
| Données génétiques | Séquençage ADN, bilan génétique médical |
| Données biométriques | Empreinte digitale utilisée pour un contrôle d’accès, reconnaissance faciale |
| Données de santé | Dossier médical, arrêt maladie, résultat d’un test de dépistage |
| Vie sexuelle et orientation sexuelle | Déclaration dans un formulaire RH, données d’une application de rencontres |
| Condamnations pénales et infractions | Extrait de casier judiciaire, mentions dans un dossier de candidature |
Données sensibles vs données personnelles : la différence en une ligne
La définition des données personnelles couvre tout ce qui permet d’identifier une personne : nom, adresse e-mail, adresse IP, numéro de téléphone. Une donnée sensible est un sous-ensemble de cette catégorie. Elle fait l’objet d’un régime juridique renforcé parce qu’elle touche à l’intimité profonde de la personne et expose à des risques de discrimination. Un nom est une donnée personnelle. Le groupe sanguin de la personne qui porte ce nom est une donnée sensible.
Les 3 Règles qui Déterminent si Vous Avez le Droit de Traiter ces Données
Pourquoi la loi commence par « non »
Le principe posé par le RGPD est une interdiction de traitement de plein droit. Vous ne pouvez pas collecter, stocker, analyser ou transmettre des données sensibles sauf si vous entrez dans l’une des exceptions prévues par la loi. Cette logique n’est pas administrative : elle reflète le risque réel. Les données de santé ou d’appartenance syndicale ont servi historiquement à des discriminations à l’embauche, à des fichages politiques, à des persécutions. La règle dit « interdit par défaut » pour forcer une réflexion avant d’agir.
Quand le traitement est autorisé malgré tout
Le RGPD prévoit 10 exceptions. Les plus utilisées en pratique :
- Consentement explicite : la personne a donné un accord clair, libre, spécifique et documenté — le cas le plus courant pour les applications santé ou les plateformes RH.
- Obligation légale ou intérêt vital : médecin qui traite le dossier médical d’un patient inconscient, employeur qui déclare un arrêt de travail à la Sécurité sociale.
- Intérêt public : recherche médicale encadrée, statistiques nationales, archivage à des fins historiques.
- Données rendues publiques par la personne elle-même : un candidat qui mentionne son appartenance syndicale dans une interview publiée.
- Défense de droits en justice : produire un dossier médical dans le cadre d’un litige professionnel.
Chaque exception a ses propres conditions. Entrer dans une exception ne vous dispense pas des autres obligations du RGPD (minimisation, durée de conservation, sécurité des données).
Ce que « consentement explicite » veut dire concrètement
Le consentement explicite est plus exigeant que le consentement ordinaire. Il doit être :
- Libre : pas de contrainte, pas de service conditionné à l’accord
- Spécifique : une finalité = un consentement distinct
- Éclairé : la personne sait exactement ce qu’elle accepte
- Univoque : une action positive claire (case cochée, signature, formulaire dédié)
Un consentement général en bas de page de CGU ne suffit pas. Vous devez conserver la preuve de l’accord (date, version du formulaire, identité de la personne). Une confusion fréquente : l’adresse IP. Elle est une donnée personnelle ordinaire, pas une donnée sensible au sens de l’article 9 — mais elle reste protégée par le RGPD et soumise aux règles générales de protection des données personnelles.
Sécuriser les Données Sensibles : ce Qui Doit Être en Place
Disposer d’une base légale est nécessaire — mais insuffisant. Le RGPD exige aussi que les données soient traitées dans des conditions de sécurité adaptées. Voici comment organiser cette sécurité des données en pratique.
L’AIPD : l’analyse obligatoire avant tout nouveau traitement à risque
L’Analyse d’Impact relative à la Protection des Données (AIPD) est obligatoire dès qu’un traitement est « susceptible d’engendrer un risque élevé ». Pour les données sensibles, c’est presque systématiquement le cas. Une AIPD comporte trois étapes :
- Description du traitement : quelles données, pour quelle finalité, qui y accède, combien de temps
- Évaluation des risques : accès non autorisé, perte, altération, divulgation — pour chaque risque, estimer la probabilité et la gravité
- Mesures pour réduire les risques : chiffrement, contrôle d’accès, pseudonymisation — avec un niveau de risque résiduel acceptable
La CNIL met à disposition un outil gratuit (PIA — Privacy Impact Assessment) qui structure cette démarche. Si après l’AIPD le risque résiduel reste élevé, vous devez consulter la CNIL avant de démarrer le traitement.
Les mesures techniques et organisationnelles non négociables
Chiffrement : toutes les données sensibles doivent être chiffrées au repos et en transit. Un dossier médical stocké en clair sur un serveur constitue une faute caractérisée.
Pseudonymisation : remplacer les identifiants directs par des codes. La donnée reste exploitable pour la recherche ou l’analyse, mais ne peut plus être directement attribuée à une personne sans clé séparée.
Contrôle d’accès : principe du moindre privilège. Un comptable n’a pas accès aux dossiers médicaux. Chaque accès est lié à un compte nominatif, avec authentification forte.
Journalisation : tracer qui accède à quoi, quand et depuis où. Ces journaux permettent de détecter des comportements anormaux et de reconstituer les faits en cas de qu’est-ce qu’une fuite de données ?
ChatGPT et LLM en entreprise : c’est un point de vigilance majeur en 2026. Des administrateurs système ont constaté que des employés collaient des données médicales ou des coordonnées de clients dans des interfaces d’IA générative. Ces données partent vers des serveurs tiers, souvent hors UE. La règle est simple : aucune donnée sensible ne doit être saisie dans un LLM public sans accord contractuel (DPA) conforme au RGPD avec le prestataire. Mettez en place une politique écrite et un outil de supervision des usages.
Appareils d’enregistrement et objets connectés : microphones, caméras, badges RFID — vérifiez systématiquement où les données sont stockées, qui y a accès, et si le fabricant offre des garanties RGPD. Un doute sur la fiabilité du prestataire suffit à exclure son utilisation pour des données sensibles.
Outils de messagerie professionnelle : Slack, Teams, et autres messageries d’entreprise ne sont pas conçus pour transmettre des données sensibles. Des tokens d’accès, des résultats d’analyse médicale ou des données RH partagés dans un canal Slack constituent une violation potentielle. Utilisez des canaux chiffrés de bout en bout, avec des droits d’accès restreints.
Systèmes d’exploitation pour le traitement médical : pour les structures de santé, le choix de l’environnement technique compte. Certaines distributions Linux durcies offrent un meilleur niveau de contrôle que des systèmes propriétaires dont l’auditabilité est limitée.
Former le personnel : la mesure la plus sous-estimée
La majorité des violations de données implique une erreur humaine. La formation n’est pas une option. Elle doit couvrir :
- Identifier une donnée sensible dans le quotidien du poste (e-mail, tableur, formulaire papier)
- Ne jamais transmettre de données sensibles par e-mail non chiffré ou outil non validé
- Savoir à qui signaler immédiatement une anomalie ou une perte de données
Un exercice annuel de simulation de violation (un e-mail envoyé au mauvais destinataire, par exemple) permet de tester les réflexes. La documentation des formations est une preuve de conformité en cas de contrôle CNIL.
Ce que la Loi Vous Oblige Concrètement à Faire
Les obligations des entreprises en matière de RGPD couvrent un périmètre large dès lors que des données sensibles sont traitées. Voici les quatre obligations clés.
Quand nommer un DPO devient obligatoire
Le délégué à la protection des données (DPO) est obligatoire pour trois types de structures : les organismes publics, les entreprises dont l’activité principale implique un suivi régulier et systématique à grande échelle des personnes, et celles qui traitent à grande échelle des catégories particulières de données. Un cabinet médical traitant des milliers de dossiers patients est concerné. Une PME de 15 salariés qui gère simplement les arrêts maladie de ses employés peut ne pas l’être — mais reste soumise aux autres obligations RGPD.
DPO interne ou externe ? Un DPO interne connaît bien l’organisation mais peut manquer d’indépendance. Un DPO externe apporte une expertise spécialisée et une indépendance garantie, au prix d’une disponibilité parfois limitée. Dans les deux cas, le DPO doit être clairement désigné et ses coordonnées communiquées à la CNIL.
Le registre des activités de traitement : votre cartographie obligatoire
Le registre des activités de traitement doit recenser pour chaque traitement : le responsable, la finalité, les catégories de données et de personnes concernées, les destinataires, les durées de conservation, et les mesures de sécurité. Pour les données sensibles, une colonne dédiée à la base légale (et à l’exception de l’article 9 applicable) est indispensable.
Le registre n’est pas un document qu’on crée une fois et qu’on oublie. Il doit être mis à jour à chaque nouveau traitement, chaque changement de prestataire, chaque modification de finalité. C’est la première chose que la CNIL demande lors d’un contrôle.
Notifier une violation de données : 72 heures pour agir
En cas de violation de données (accès non autorisé, perte, destruction), vous avez 72 heures à compter de la découverte pour notifier la CNIL — sauf si la violation est « peu susceptible d’engendrer un risque ». Pour les données sensibles, ce seuil est presque toujours atteint. La notification doit indiquer : la nature de la violation, les catégories et le nombre de personnes concernées, les conséquences probables, et les mesures prises ou envisagées.
Si la violation est susceptible d’engendrer un risque élevé pour les personnes, vous devez aussi les informer directement — sans délai injustifié.
Coopérer avec la CNIL en cas de contrôle
Un contrôle CNIL peut être annoncé ou inopiné. Dans les deux cas, la règle est la même : coopération totale, documentation disponible, interlocuteur désigné. Les sanctions en cas de non-respect du RGPD sont aggravées lorsque l’organisme contrôlé a fait preuve de mauvaise foi ou d’obstruction. En revanche, une structure qui peut prouver sa démarche de conformité — AIPD réalisée, registre à jour, personnel formé — bénéficie d’une appréciation plus favorable même en cas d’incident.
FAQ : Réponses aux Questions que Tout le Monde Se Pose
Le numéro de sécurité sociale est-il une donnée sensible ?
Non, au sens strict de l’article 9. Le NIR (numéro de sécurité sociale) est une donnée personnelle à fort caractère identifiant, soumise à une réglementation spécifique en France (loi Informatique et Libertés), mais il n’entre pas dans les catégories particulières de données du RGPD. Cela dit, sa collecte et son traitement nécessitent une base légale solide et des mesures de sécurité des données renforcées.
Les données bancaires sont-elles des données sensibles ?
Non, pas au sens de l’article 9. Les coordonnées bancaires sont des données personnelles ordinaires, mais leur traitement obéit à des règles sectorielles strictes (DSP2, PCI-DSS) qui s’ajoutent au RGPD. En pratique, elles doivent être protégées avec le même niveau d’exigence que des données sensibles.
Quelles sont les sanctions encourues ?
Pour les catégories particulières de données, les manquements peuvent entraîner une amende jusqu’à 20 millions d’euros ou 4 % du CA mondial. La CNIL peut aussi imposer des mesures correctrices, voire une suspension du traitement.
Comment prouver le consentement explicite obtenu ?
Conservez : la date et l’heure de l’accord, la version exacte du formulaire présenté, l’identité de la personne, et la preuve que le formulaire était conforme (case à cocher active, pas pré-cochée). Un log horodaté en base de données est la solution la plus robuste.
Peut-on utiliser des données sensibles à des fins de marketing ?
Non, sauf exception très rare et difficilement applicable. Le marketing n’est pas une finalité légitime suffisante pour justifier le traitement de données sensibles. Le consentement explicite obtenu à cette fin serait difficile à qualifier comme « libre » si la personne doit y consentir pour accéder à un service.
La journalisation des accès à des données personnelles est-elle conforme au RGPD ?
Oui, à condition que les journaux eux-mêmes soient protégés et ne conservent que ce qui est nécessaire. Journaliser qui accède à un dossier médical est une mesure de sécurité des données attendue. Mais les journaux doivent avoir une durée de conservation définie, un accès restreint, et ne pas servir à une surveillance disproportionnée des employés.
Ce qu’il Faut Retenir pour Agir
Les données sensibles ne sont pas une catégorie administrative abstraite. Ce sont des informations dont la fuite ou le mauvais usage peut détruire une réputation, coûter un emploi, ou mettre une vie en danger. Le RGPD le sait — c’est pour ça qu’il commence par l’interdiction.
La conformité sur ce sujet repose sur quatre piliers : une base légale claire pour chaque traitement, une AIPD systématique, des mesures de sécurité techniques et organisationnelles documentées, et des équipes formées. Aucun de ces piliers ne peut tenir seul.
Si vous traitez des catégories particulières de données et que vous n’avez pas encore de registre à jour, pas d’AIPD réalisée, ou pas de procédure de notification des violations — commencez là. Pas demain.
Vous voulez savoir où en est réellement votre organisation ? Demandez un audit RGPD ciblé sur vos traitements de données sensibles. En une demi-journée d’analyse, vous savez ce qui est conforme, ce qui est à risque, et ce qu’il faut corriger en priorité. Un DPO externalisé peut aussi prendre en charge cette conformité dans la durée, sans alourdir votre structure interne.