Catégories particulières de données : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Les catégories particulières de données, parfois dénommées données sensibles dans le langage courant, désignent au sens de l'article 9 paragraphe 1 du Règlement (UE) 2016/679 les données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé, ou les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Les catégories particulières de données, parfois dénommées données sensibles dans le langage courant, désignent au sens de l'article 9 paragraphe 1 du Règlement (UE) 2016/679 les données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé, ou les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

L'enjeu pratique de cette qualification est central. Le RGPD pose un principe d'interdiction du traitement de ces catégories particulières, qui ne peut être levé que par les exceptions limitativement énumérées à l'article 9 paragraphe 2. Ce régime renforcé reflète la particulière sensibilité de ces données, dont la circulation incontrôlée peut produire des conséquences graves pour les personnes concernées (discrimination, exclusion sociale, persécution, atteinte à l'intimité).

Le caractère limitatif de la liste ne doit pas occulter sa portée extensive en pratique. Les données concernant la santé couvrent toute information liée à l'état physique ou mental, passé, présent ou futur, y compris les informations indirectement révélatrices (consommation médicamenteuse, fréquentation d'établissements de soins). Les données biométriques couvrent toutes les caractéristiques physiologiques permettant l'identification unique (empreintes digitales, reconnaissance faciale, scan de l'iris). La qualification doit donc être analysée au cas par cas, en tenant compte du contexte du traitement.

Vous traitez ou souhaitez traiter des catégories particulières de données ? Le Cabinet Aurore Bonavia accompagne les organisations dans l'analyse juridique et la sécurisation des traitements de données sensibles. → Voir l'accompagnement en droit du numérique

Le principe d'interdiction et les exceptions

L'article 9 paragraphe 1 du RGPD pose le principe :

« Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. »

L'article 9 paragraphe 2 énumère limitativement les dix exceptions permettant de lever cette interdiction :

  • le consentement explicite de la personne concernée pour une ou plusieurs finalités spécifiques ;
  • la nécessité aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ;
  • la nécessité à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans les cas où la personne concernée est dans l'incapacité physique ou juridique de donner son consentement ;
  • les traitements effectués par une fondation, une association ou tout autre organisme à but non lucratif poursuivant une finalité politique, philosophique, religieuse ou syndicale, sous réserve qu'ils ne portent que sur les membres ou anciens membres et qu'ils ne soient pas divulgués à des tiers ;
  • les traitements portant sur des données manifestement rendues publiques par la personne concernée ;
  • la nécessité à la constatation, à l'exercice ou à la défense de droits en justice ou pour les juridictions agissant dans le cadre de leur fonction juridictionnelle ;
  • les motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un État membre, qui doit être proportionné à l'objectif poursuivi ;
  • la nécessité aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale ;
  • les motifs d'intérêt public dans le domaine de la santé publique (protection contre les menaces transfrontalières, garantie des normes de qualité et de sécurité des soins) ;
  • la nécessité à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sous réserve des garanties prévues à l'article 89.

Les exigences renforcées du consentement explicite

L'exception du consentement explicite (article 9 paragraphe 2 a du RGPD) se distingue du consentement habituel de l'article 6 paragraphe 1 a) par son caractère renforcé. L'EDPB a précisé dans ses Lignes directrices 5/2020 sur le consentement que le consentement explicite suppose :

  • une manifestation expresse de la volonté, qui ne peut résulter d'un acte tacite ou d'une simple navigation ;
  • une information renforcée sur la nature sensible des données et les conséquences spécifiques du traitement ;
  • une séparation claire entre le consentement aux catégories particulières et les autres consentements éventuellement recueillis ;
  • la possibilité de retrait aussi simple que le recueil initial.

La pratique impose typiquement un double consentement : un consentement général aux conditions du service et un consentement explicite et séparé pour le traitement des catégories particulières concernées. Cette architecture protège la personne concernée contre l'inclusion implicite de données sensibles dans un consentement global moins exigeant.

Les données concernant la santé

Les données concernant la santé constituent l'une des catégories particulières les plus traitées en pratique, particulièrement par les professionnels de santé, les établissements hospitaliers, les organismes de prévoyance, les éditeurs d'applications de santé et les acteurs de la recherche médicale. L'article 4 paragraphe 15 du RGPD définit ces données :

« Données concernant la santé, les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne. »

Le considérant 35 du RGPD précise l'étendue de cette définition : sont concernées toutes les informations relatives à l'état de santé physique ou mentale, passé, présent ou futur, y compris les informations relatives à la prestation de services de soins, les informations résultant d'examens ou d'analyses médicales, et les numéros et identifiants utilisés pour identifier une personne dans le cadre de la prestation de soins.

La législation française complète le RGPD par la loi n° 78-17 du 6 janvier 1978 modifiée et le Code de la santé publique. L'article L1110-4 du Code de la santé publique organise notamment le secret médical, dont la portée s'articule étroitement avec les obligations du RGPD. L'Hébergement de Données de Santé (HDS) est par ailleurs soumis à un régime de certification spécifique (référentiel HDS publié par l'ANS).

Les données biométriques aux fins d'identification

L'article 4 paragraphe 14 du RGPD définit les données biométriques :

« Données biométriques, les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques. »

L'article 9 du RGPD ne couvre que les données biométriques aux fins d'identifier de manière unique une personne physique. Cette limitation distingue la biométrie d'identification (couverte par les exigences renforcées) de la biométrie d'authentification dans des dispositifs propriétaires (qui peut relever du régime habituel de l'article 6 du RGPD).

La CNIL et l'EDPB retiennent toutefois une interprétation large de la notion d'identification unique. La sanction prononcée par la CNIL le 21 décembre 2023 contre Amazon France Logistique (32 millions d'euros) a notamment retenu un manquement aux exigences renforcées de l'article 9 pour un dispositif de surveillance fondé sur des scanners portatifs collectant des données biométriques de productivité, considéré comme révélant des informations sur la santé des salariés.

Spécificité juridique sur les données pénales et l'article 10

L'article 10 du RGPD organise un régime spécifique pour les données relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes :

« Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l'article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l'autorité publique, ou si le traitement est autorisé par le droit de l'Union ou par le droit d'un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique. »

Ces données ne figurent pas dans la liste de l'article 9 mais font l'objet d'un régime distinct, généralement plus strict en pratique. La loi française n° 78-17 du 6 janvier 1978 modifiée encadre les traitements de ces données par les organisations privées (lutte contre la fraude, sécurité, vigilance bancaire) en imposant des conditions spécifiques.

L'Avis CNIL sur les dispositifs de prévention de la fraude et de lutte contre le blanchiment des capitaux (notamment les délibérations de 2023 sur les listes anti-blanchiment) précise les conditions opérationnelles de traitement de ces données pénales par les acteurs financiers et commerciaux concernés. La pratique impose une analyse juridique fine, distincte du régime de l'article 9, pour chaque traitement portant sur des données relatives aux condamnations pénales ou aux infractions.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de catégories particulières de données

  • l'analyse juridique de la qualification de vos données comme catégories particulières au sens de l'article 9 ;
  • la qualification des bases légales applicables (consentement explicite, intérêt public, recherche scientifique) ;
  • la rédaction des consentements explicites conformes aux exigences renforcées du RGPD ;
  • la mise en place des garanties appropriées exigées par le règlement et le droit national ;
  • l'accompagnement des projets de recherche médicale et scientifique nécessitant le traitement de données sensibles ;
  • la sécurisation des dispositifs biométriques d'identification au regard de l'article 9 ;
  • l'articulation entre RGPD, Code de la santé publique et certification HDS pour les acteurs de santé ;
  • la défense face aux contrôles CNIL portant sur le traitement de catégories particulières ;
  • l'analyse des dispositifs de prévention de la fraude et anti-blanchiment au regard de l'article 10.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 4.13 à 4.15, art. 9, art. 10, art. 89, considérants 35, 51 à 56, EDPB Lignes directrices 5/2020 sur le consentement, Code de la santé publique (art. L1110-4), Code monétaire et financier sur la lutte anti-blanchiment, sanctions CNIL Amazon France Logistique 21 décembre 2023, Cegedim Santé 22 décembre 2023. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.