Données sensibles
Certaines données sont tellement sensibles qu'elles ne peuvent être traitées que dans des cas très spécifiques. Un nom et une adresse sont des données plutôt anodines, mais il n'en va pas de même pour l'origine raciale, la santé, les opinions politiques, les convictions religieuses, les préférences sexuelles ou votre passé judiciaire.
Une protection accrue est prévue pour l'utilisation et le traitement des données à caractère personnel sensibles suivantes :
- les catégories particulières de données à caractère personnel telles que mentionnées à l'article 9.1 du RGPD, plus particulièrement :
- l'origine raciale ou ethnique ;
- les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale ;
- les données génétiques (par exemple une analyse ADN) (voir également le considérant 34 du RGPD) ;
- les données biométriques à des fins d'identification unique (par exemple des données d'empreintes digitales ou la reconnaissance faciale ou de l'iris) ;
- les données concernant la santé (voir également le considérant 35 du RGPD) ;
- les données relatives à la vie sexuelle ou à l'orientation sexuelle.
- les données à caractère personnel relatives aux condamnations pénales et aux infractions (article 10 du RGPD)
Le traitement des catégories particulières de données à caractère personnel visées à l'article 9.1 du RGPD est en principe interdit. L'article 9.2 du RGPD prévoit toutefois plusieurs exceptions à cette interdiction de principe, à savoir pour certaines situations déterminées dans lesquelles le traitement de ces données sensibles est quand même permis :
- la personne concernée y a consenti expressément ;
- le traitement est nécessaire en exécution d'obligations découlant du droit du travail, de la sécurité sociale et de la protection sociale ;
- le traitement est nécessaire à la sauvegarde d'intérêts vitaux ;
- les traitements réalisés par des associations et organismes - poursuivant une finalité politique, philosophique, religieuse ou syndicale - au sujet de leurs membres ; les données ne peuvent pas être communiquées à des tiers sans le consentement des personnes concernées ;
- le traitement est nécessaire pour des motifs d'intérêt public important, par ou en vertu de la loi ;
- le traitement est nécessaire pour la prise en charge sanitaire ;
- pour des fins archivistiques dans l'intérêt public ou pour la recherche scientifique, historique, ou statistique.
Les données à caractère personnel relatives à des condamnations pénales et à des infractions ou aux mesures de sûreté connexes (par exemple une interdiction de conduire et/ou une amende infligée par le juge de police pour cause de vitesse excessive ou d'intoxication alcoolique ou une condamnation à une peine de prison pour vol avec violence) ne peuvent être traitées que dans les cas suivants :
- par des personnes physiques ou des personnes morales pour autant que la gestion de leurs propres contentieux l'exige ;
- par des avocats ou des conseils juridiques, pour autant que la défense de leurs clients l’exige ;
- le traitement est nécessaire pour des motifs d'intérêt public important pour l'accomplissement d'une tâche d'intérêt général prescrite par ou en vertu d'une loi (par exemple le règlement relatif au Casier judiciaire central dans le Code d'instruction criminelle) ;
- le traitement est nécessaire pour la recherche scientifique, historique ou statistique ;
- la personne concernée y a consenti explicitement et par écrit ; (renvoi/lien vers l'explication relative au consentement)
- pour une finalité dans le cadre de laquelle la personne concernée a elle-même rendu les données publiques.
Outre les garanties habituelles à respecter dans le cadre du traitement de données, un responsable du traitement doit prendre les mesures supplémentaires suivantes à l'égard d'un traitement de données à caractère personnel "sensibles" :
- Le traitement des catégories particulières de données à caractère personnel de l'article 9.1 du RGPD en vue de la prise en charge sanitaire (article 9.2.h) du RGPD) doit se faire sous la responsabilité d'un professionnel de la santé soumis à une obligation de secret professionnel ou par une autre personne soumise à une obligation de secret ;
- Pour tout traitement de données à caractère personnel "sensibles", le responsable du traitement se conforme aux articles 9 et 10, § 2 de la Loi-cadre, plus précisément :
- il désigne les (catégories de) personnes - avec une description de leur fonction - qui peuvent consulter les données à caractère personnel sensibles ;
- il tient cette liste de (catégories de) personnes à la disposition de l'APD ;
- il veille à ce que les personnes soient tenues au respect du caractère confidentiel des données visées (par exemple via un contrat).
- La prise de décision individuelle automatisée (dont le profilage) ne peut se faire sur la base des catégories particulières de données à caractère personnel de l'article 9.1 du RGPD, sauf si la personne concernée y a consenti expressément ou si cette mesure est prescrite par ou en vertu de la loi pour des motifs d'intérêt public important. (voir également le considérant 71 du RGPD)
- Un responsable du traitement qui traite des données à caractère personnel "sensibles" ne peut jamais être dispensé de l'obligation de tenir un registre des activités de traitement (article 30.5 du RGPD).
- En cas de traitement à grande échelle de données à caractère personnel "sensibles", un responsable du traitement doit non seulement désigner un délégué à la protection des données, mais il devra aussi toujours réaliser une analyse d'impact relative à la protection des données (article 35.3.b) du RGPD).