Décryptage complet de l’article 9 du RGPD
Le traitement des données sensibles est interdit, notamment celles révélant :
- L’origine raciale ou ethnique
- Les opinions politiques
- Les convictions religieuses ou philosophiques
- L’appartenance syndicale
- Les données génétiques ou biométriques permettant l’identification unique
- Les données de santé
- La vie sexuelle ou l’orientation sexuelle
L’interdiction ne s’applique pas si l’un des cas suivants est rempli :
- Consentement explicite de la personne concernée (sauf exception prévue par la loi).
- Respect du droit du travail, sécurité sociale, avec garanties appropriées.
- Sauvegarde des intérêts vitaux si la personne est dans l’incapacité de consentir.
- Traitement légitime par un organisme à but non lucratif à finalité politique, religieuse, philosophique ou syndicale.
- Traitement de données manifestement rendues publiques par la personne concernée.
- Exercice ou défense d’un droit en justice, ou fonction juridictionnelle.
- Intérêt public important, prévu par le droit de l’Union ou d’un État membre avec garanties appropriées.
- Objectifs médicaux, de santé au travail, diagnostics ou gestion sanitaire ou sociale.
- Santé publique : menaces sanitaires graves, normes de qualité des soins ou médicaments.
- Archivage, recherche scientifique ou historique, ou fins statistiques dans l’intérêt public (cf. article 89 §1).
Les données visées à l’exception h) peuvent être traitées uniquement si :
- Elles sont traitées par un professionnel de santé soumis au secret professionnel ;
- Ou par une personne sous sa responsabilité, également soumise à l’obligation de secret.
Les États membres peuvent introduire des conditions supplémentaires ou des limitations, notamment pour le traitement des données génétiques, biométriques ou de santé.
🛡️ Simulateur RGPD : Peut-on traiter ces données sensibles ?
Donnée sensible RGPD : de quoi parle-t-on vraiment ?
Le traitement des données sensibles n’est pas une option à la légère. L’article 9 fixe un cadre strict, souvent mal compris, pourtant crucial pour rester dans la légalité.
Toutes les données personnelles ne se valent pas. Certaines sont considérées comme « sensibles », car leur traitement peut porter atteinte à la dignité, aux droits fondamentaux ou aux libertés des personnes. Et c’est là que l’Article 9 du RGPD entre en jeu.
📜 L’article 9 interdit, par principe, le traitement des catégories particulières de données à caractère personnel.
🔎 Quelles sont ces données dites “sensibles” ?
Voici la liste exhaustive prévue par le RGPD :
- Origine raciale ou ethnique
Exemple : demande d’auto-déclaration ethnique dans une enquête interne - Opinions politiques
Exemple : base de données contenant les préférences de vote d’un usager - Convictions religieuses ou philosophiques
Exemple : mention de la religion sur un formulaire d’adhésion - Appartenance syndicale
Exemple : liste des adhérents à un syndicat gérée par l’employeur - Données génétiques
Exemple : résultats d’un test ADN dans un contexte médical - Données biométriques aux fins d’identification
Exemple : reconnaissance faciale pour accéder à un bâtiment - Données de santé
Exemple : antécédents médicaux, traitements en cours, handicap - Données concernant la vie sexuelle ou l’orientation sexuelle
Exemple : réponse à une enquête RH sur l’inclusion
🛑 Traitement interdit… sauf si vous cochez une (bonne) case
Par défaut, vous n’avez pas le droit de traiter ces données.
Elles sont considérées comme ultra-sensibles car leur utilisation abusive peut entraîner des discriminations, exclusions ou stigmatisations.
Mais (heureusement), il existe des exceptions strictement encadrées. On ne parle pas ici de petites marges d’interprétation : votre base légale doit être limpide.
Les 10 exceptions de l’article 9 RGPD : ce que vous pouvez faire
| ✅ Exception légale | 🧩 Exemple concret |
|---|---|
| Consentement explicite | Formulaire santé rempli par un patient |
| Droit du travail ou sécurité sociale | Suivi médical des salariés |
| Intérêt vital de la personne concernée | Urgence vitale sans possibilité de consentir |
| Activités associatives à but non lucratif | Gestion interne d’un culte ou syndicat |
| Données rendues publiques par la personne | Publication volontaire sur un réseau social |
| Nécessité juridique (litige, justice) | Traitement dans une procédure pénale |
| Intérêt public reconnu par le droit de l’UE/État | Étude statistique commandée par l’État |
| Médecine préventive, diagnostic, soins | Dossier patient dans un cabinet médical |
| Santé publique (grandes épidémies, sécurité sanitaire) | Suivi vaccinal obligatoire |
| Archivage/recherche scientifique ou historique | Étude académique anonymisée |
💡 Important : Le consentement ne suffit pas s’il n’est pas documenté, spécifique et librement donné.
Cas concrets : Données sensibles, situations à haut risque (et comment les encadrer)
Dans la vraie vie, les traitements de données sensibles ne sont pas toujours évidents à détecter. Voici quatre cas emblématiques, issus de décisions récentes ou de situations courantes, qui illustrent les pièges à éviter… et les bonnes pratiques à adopter.
Cas 1 – Réseaux sociaux : collecte implicite d’opinions sensibles
La CJUE a récemment rappelé, dans son arrêt visant Meta Platforms, une règle centrale du RGPD : aucune donnée sensible ne peut être traitée sans un consentement explicite, spécifique et informé.
➡️ Concrètement, lorsqu’un utilisateur « aime » une page politique ou religieuse sur une plateforme, cela peut révéler des données sensibles. L’entreprise commet une infraction si elle exploite cette information à des fins publicitaires sans obtenir un consentement clair.
🎯 Ce qu’il faut faire :
- Concevoir dès le départ des interfaces avec le niveau de confidentialité le plus strict par défaut.
- Intégrer les principes du Privacy by Design pour éviter les fuites implicites.
- N’autoriser la collecte qu’après action volontaire et consentement explicite.
Cas 2 – Santé : conformité dès la conception des systèmes
Dans l’affaire Krankenversicherung Nordrhein, la CJUE a souligné l’obligation d’intégrer dès la phase de conception toutes les garanties liées au traitement de données de santé.
➡️ Exemple : une appli de suivi médical qui enregistre les antécédents de patients devra démontrer que chaque traitement est justifié par une base légale (article 9 et 6 RGPD), documenté, et que les données sont sécurisées (hébergement HDS, accès restreint, logs).
🎯 Ce qu’il faut faire :
- Documenter dès le départ les fondements juridiques des traitements.
- Prévoir des mécanismes internes de contrôle et de validation.
- Limiter les données au strict nécessaire et sécuriser leur accès.
Cas 3 – Ressources humaines : les tests psychologiques en recrutement
Une plateforme RH propose des tests de personnalité dans le cadre de ses processus de sélection. Derrière une intention d’optimisation, se cache un risque : celui de collecter des informations sensibles sur la santé mentale, les croyances ou l’orientation du candidat.
➡️ La CNIL peut interdire ce type de données si vous ne l’encadrez pas par une base légale solide.
🎯 Ce qu’il faut faire :
- Obtenir un consentement explicite et séparé pour ces tests.
- Vérifier que l’analyse est proportionnée à l’objectif du poste.
- Inscrire le traitement dans le registre RGPD et l’auditer régulièrement.
Ce qu’il faut retenir
L’article 9 RGPD est souvent sous-estimé, mais c’est une ligne rouge réglementaire. En le respectant, vous :
- Évitez de lourdes sanctions en cas de contrôle
- Protégez la confiance de vos utilisateurs
- Améliorez votre culture de la donnée et de la sécurité
👉 Et pour aller plus loin, pensez à formaliser vos procédures, former vos équipes, et intégrer la conformité dès la conception.
FAQ – Les questions fréquentes
Existe-t-il un cadre pour décider si une donnée est vraiment « sensible » ?
Oui : posez-vous 3 questions critiques.
- Peut-elle être discriminante ou stigmatisante ?
- Révèle-t-elle une facette protégée de l’identité ?
- Son usage pourrait-il porter atteinte à la personne si mal encadré ?
Ce raisonnement contextuel va au-delà de la liste de l’article 9 : c’est ce que font les DPO expérimentés.
Dois-je documenter séparément les traitements impliquant des données sensibles ?
C’est fortement recommandé, bien que non exigé formellement.
Mettre en place un registre spécifique ou un filtre par criticité vous permet de piloter les traitements à fort enjeu (article 9 et 6), tracer les bases légales invoquées, et appliquer des mesures spécifiques (durées, accès restreints, chiffrement). C’est aussi une preuve de maturité RGPD en cas de contrôle.
À quel moment l’analyse d’impact (AIPD) devient-elle obligatoire pour des données sensibles ?
Dès que le traitement est à la fois :
- systématique,
- massif,
- automatisé,
- ou qu’il concerne plusieurs types de données sensibles.
La CNIL fournit une grille d’évaluation. En cas de doute, adoptez une approche proactive : une AIPD réalisée en amont est une garantie de transparence et de conformité.
Comment auditer concrètement l’usage réel des données sensibles dans mes outils ?
Combinez des audits techniques (logs d’accès, exports, modifications) avec une analyse métier de l’usage.
Déclarer un traitement dans le registre ne suffit pas : vous devez vérifier que son usage réel sur le terrain respecte bien les règles. Vous pourrez ainsi détecter les traitements « hors radar », souvent les plus risqués.
