RGPD, les données sensibles ont été étendues.
Suite à une question préjudicielle du tribunal lituanien le 1er Août 2022, la Cour de justice de l’Union Européen s’est positionnée sur une question longtemps interprétée de manière diverse. Elle étend ainsi la qualification des données sensibles aux données indirectement sensibles. Cette décision risque d’impacter un grand nombre d’entreprises qui, jusqu’ici, avait échappé aux obligations et aux formalités imposées par les données sensibles du RGPD.
Mais quelle réponse a été formulée par la cour ? Et quelles sont les implications pour les entreprises européennes ? Un appel et des pistes de solution pour les entreprises impactées.
Données indirectement sensibles
Lors d’un conflit opposant un directeur d’établissement public et une commission lituanienne, une question préjudicielle est notamment posée par la juridiction lituanienne. Cette question concerne essentiellement la divulgation de données personnelles et plus spécifiquement, le nom de son/sa partenaire/conjoint.
Cette question a pour objectif de savoir si le nom d’un conjoint qui habituellement n’est pas une donnée sensible, peut être considéré comme une donnée sensible. Car celle-ci permet implicitement de déduire l’orientation sexuelle de la personne. Car l’orientation sexuelle est également une donnée sensible.
Pour la Cour de Justice de l’UE, un traitement de données sensibles est “un traitement portant non seulement sur des données intrinsèquement sensibles, mais également sur des données dévoilant indirectement, au terme d’une opération intellectuelle de déduction ou de recoupement, des informations de cette nature”.
Par ces mots, la Cour définit la notion de données sensibles, non plus uniquement aux données sensibles listées par le RGPD, mais également à toutes données qui permettent, indirectement, de déduire ou de dévoiler par recoupement des données sensibles définies par le RGPD.
Les données sensibles avant cette décision
Pour rappel, les données sensibles listées par le RGPD sont les suivantes :
- origine raciale ou ethnique ;
- données génétiques ;
- données biométriques à des fins d’identification unique ;
- appartenance syndicale ;
- opinions politiques ;
- données concernant la santé ;
- convictions religieuses ou philosophiques ;
- données relatives à la vie sexuelle ou à l’orientation sexuelle ;
- données à caractère personnel relatives aux condamnations pénales et aux infractions.
En somme, il est vrai qu’une extension de la qualification de données sensibles avait déjà eu lieu pour les données sensibles relatives à la santé. Elle permettait, par exemple, de considérer comme données sensibles les données qui, recoupées, forment des données médicales sensibles. Cependant, cette extension ne concernait que les données de santé par recoupement et non l’ensemble des données sensibles par simple déduction comme c’est le cas ici.
Il est clair que le traitement des données sensibles a pris une toute nouvelle direction et s’est encore entendu.
Les implications et solutions
Ainsi, à partir de maintenant, des données dites «non-sensibles », peuvent devenir des données sensibles dès qu’on peut en déduire une donnée sensible. Le traitement de données indirectement sensibles devra donc respecter les mêmes obligations que celles imposées au traitement de données sensibles.
1. Le consentement devient nécessaire
Dans un premier temps, il faudra donc s’assurer de rentrer dans un des cas d’exception autorisant le traitement de données sensibles. Pour la majorité des entreprises, il sera autorisé de traiter des données sensibles pour autant que l’entreprise ait eu le consentement express de la personne concernée.
Il devient dès lors plus simple de demander d’office le consentement pour le traitement des données que de baser les traitements sur une autre base légale. Une solution peut être de prévoir dorénavant des clauses de consentements au traitement de données sensibles dans les contrats et les conditions générales.
2. Listing des personnes habilitées à consulter les données sensibles et le registre de traitement
Pour rappel, pour tout traitement de données sensibles, le responsable du traitement doit :
- lister les personnes autorisées à consulter les données sensibles et s’assurer que ces personnes sont tenues au respect du caractère confidentiel des données sensibles, tel que, par exemple, via un contrat ;
- tenir à jour un registre de traitement.
Conclusion
Après une telle extension de la qualification de données sensible, il est plus que conseillé de vérifier que vous ne traitez pas des données sensibles selon la nouvelle définition de la Cour. Si c’est la cas, une mise à jour de votre RGPD est alors nécessaire pour se conformer aux obligations relatives aux données sensibles.
En tant qu’employeur, vous souhaitez vous mettre à jour au regard du RGPD ? Prenez contact avec Légal PME pour une mise en conformité complète de votre entreprise et un accompagnement pas un juriste 3.0 qualifié en la matière.
Allons-y !Allons-y !
Et pour être tenu au courant des actualités transmises par Légal PME, inscrivez-vous à la newsletter : un condensé bimensuel d’articles pratiques à destination des entreprises !
Je m'inscris !Je m'inscris !
→ Articles similaires de Légal PME :
- Check-list RGPD : Vérification de la conformité de l’entreprise en 10 étapes
- Google Analytics, une utilisation qui risque de coûter cher ?
- Les entreprises face à la Cybercriminalité
- Et si le confinement vous incitait à revoir l’organisation du travail au sein de votre entreprise
- La communication combinée au RGPD
- RGPD, télétravail et confinement
- Le RGPD, 1 an après sa mise en route
- Les élections sociales et le RGPD : comment combiner les deux ?
- La concertation sociale en Belgique : une pyramide utile
- Que faire quand un travailleur concurrence son employeur