Skip to main content
Fondamentaux RGPD

Quelles sont les données sensibles selon le RGPD ?

By 14 janvier 2026No Comments

Selon le RGPD (règlement général sur la protection des données), toute information permettant d’identifier directement ou indirectement une personne physique est une donnée personnelle, qui ne peut pas être traitée n’importe comment. Dans le cas particulier des données sensibles, le traitement est même interdit de principe, du moins dans le cas général. Ce guide liste les données sensibles et vous explique comment les gérer pour vous conformer au RGPD.

Ce qu’il faut retenir

  • Les données sensibles sont des données personnelles à caractère « intime », incluant notamment l’origine, l’orientation sexuelle et la santé.
  • Par principe, le traitement (collecte et utilisation) des données sensibles est interdit par l’article 9 du RGPD.
  • Il existe toutefois des exceptions.
  • Le traitement de ces données présente un risque élevé pour la vie privée des personnes et requièrent un niveau de protection élevé.

S’appuyer sur un cabinet conseil RGPD comme Lexagone vous permet de transformer vos obligations légales en avantages stratégiques.

PARLER À UN EXPERT

Qu’est-ce qu’une donnée sensible au sens du RGPD ?

données sensibles rgpd liste min

Une donnée à caractère personnel est dite sensible si elle touche à l’intime d’une personne physique

Le concept de données sensibles est définit par l’article 9 du RGPD afin d’encadrer le traitement de ces catégories spécifiques de données à caractère personnel. Sauf condition particulière, il est interdit de recueillir ou d’utiliser ces données.

Liste des données sensibles

En vertu de l’article 9 du RGPD, tout donnée révélant l’une des caractéristiques suivantes d’une personne physique est considérée comme sensible :

  • Origine raciale ou ethnique prétendue
  • Opinions politiques
  • Convictions religieuses ou philosophiques
  • Appartenance syndicale
  • Données génétiques
  • Données biométriques permettant d’identifier la personne de manière unique
  • Données de santé
  • Données concernant la vie sexuelle/l’orientation sexuelle

Le règlement européen fixe le cadre général. Les États membres sont néanmoins libres de préciser certaines conditions particulières et les modalités selon lesquelles le traitement des données génétiques, biométriques et concernant la santé est possible.

Les exceptions au traitement

exceptions traitement données sensibles min

Dans certains cas, il est possible de traiter des données sensibles

L’interdiction de traiter des données sensibles connaît des exceptions, notamment en cas de consentement explicite de la personne concernée, de données volontairement rendues publiques ou d’informations utiles au respect de la loi ou à l’intérêt public.

Le paragraphe 1 de l’article 9 du RGPD, interdisant le traitement des données sensibles, ne s’applique pas si au moins l’une des conditions suivantes est remplie (l’utilisation des données est possible mais toujours en respectant les principes édictés par le RGPD):

  • Consentement explicite: la personne concernée a donné son accord clair pour une ou plusieurs finalités spécifiques.
  • Droit du travail et protection sociale: le traitement est notamment nécessaire pour que le responsable de traitement respecte ses obligations légales dans ce cadre.
  • Intérêts vitaux: l’utilisation des données est indispensable pour sauver la vie d’une personne dans l’incapacité juridique ou physique de donner son accord.
  • Activités légitimes des associations : une structure à but non lucratif, et poursuivant par exemple une finalité syndicale, utilise les données de ses membres dans le cadre de son activité.
  • Données rendues publiques: la personne a elle-même rendu ces informations publiques de manière volontaire et manifeste.
  • Action en justice : les données sont nécessaires pour établir, exercer ou défendre un droit devant un tribunal.
  • Intérêt public important: cela est prévu sur la base du droit de l’Union ou d’un État membre).
  • Santé et médecine: les informations sont traitées dans le cadre de la médecine préventive, pour des diagnostics ou des soins.
  • Santé publique: le traitement est requis pour protéger la population contre des menaces sanitaires graves, comme des épidémies.
  • Recherche et archives: les données sont utilisées à des fins de recherche scientifique, historique ou pour des statistiques officielles d’intérêt public.

Comment gérer les données sensibles ?

gérer données sensibles rgpd min

La gestion des données sensibles impose notamment d’identifier l’exception de traitement prévue par le RGPD

La gestion des données sensibles ne s’improvise pas. Elle repose sur un principe de vigilance renforcée et une approche par les risques. Puisque leur traitement est par défaut interdit, la première responsabilité du responsable de traitement sur le conseil du DPO est de justifier leur nécessité au regard de la finalité poursuivie.

Une fois la légitimité établie, il convient d’appliquer des mesures de sécurité physique et logique proportionnées aux conséquences qu’aurait une fuite de ces données (discrimination, préjudice moral, corporel ou financier). Cela implique une gouvernance stricte où l’accès est limité aux seules personnes ayant une réelle nécessité d’accès pour l’exercice de leurs missions.

  1. Lister les données collectées et leur finalité
  2. S’assurer d’être concerné par une ou plusieurs exceptions
  3. Protéger la confidentialité des données sensibles (pseudonymisation, chiffrement)
  4. Documenter le traitement dans un registre des traitements

Rappel important : si vous traitez des données sensibles, une AIPD (Analyse d’Impact relative à la Protection des Données) est obligatoire. En plus de l’obligation légale, elle vous permet d’anticiper les risques et de construire un traitement respectueux de la vie privée, conforme au RGPD.

Questions fréquentes

Une condamnation pénale ou une infraction est-elle une donnée sensible ?

Les données à caractère personnel relatives aux condamnations pénales et aux infractions sortent du cadre de l’article 9 du RGPD. Elles ne sont donc pas concernées par l’interdiction de principe mais bénéficient elles aussi de conditions de traitement strictes.

Elles sont encadrées par l’article 10, qui autorise le traitement par les autorités publiques (police, justice, administration). Dans certains cas et sous certaines conditions très précises, un acteur privé peut être autorisé à traiter ces données.

Le numéro de sécurité sociale (NIR) est-il une donnée sensible ?

Non. Selon le RGPD (article 87), le numéro d’identification national appartient à une catégorie spécifique dont le traitement est encadré par le droit national. En France, la Loi informatique et Libertés limite strictement son usage, mais il ne suit pas le régime d’interdiction de principe des données sensibles. Il s’agit d’une donnée perçue comme sensible.

Quelles sont les sanctions en cas de non-respect de l’interdiction de traitement des données sensibles ?

Le non-respect du règlement général sur la protection des données peut entraîner une sanction administrative d’un montant maximal de 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent (le montant le plus haut est retenu). Ne laissez pas vos données sensibles devenir un risque juridique majeur

Le traitement des catégories particulières de données exige une expertise pointue qu’un DPO externalisé peut garantir au quotidien. De la réalisation de vos AIPD obligatoires à la sécurisation technique de vos flux, Lexagone vous accompagne pour transformer la gestion de vos données sensibles en gage de confiance et de pérennité pour votre organisation.

PARLER À UN EXPERT

Author Mathilde STINES

Forte de plusieurs années d’expérience en protection des données, tant comme CIL/DPO interne que comme DPO externe, Mathilde accompagne aujourd’hui des organisations de tous secteurs — privé, médico-social et e-santé — dans leur mise en conformité et la structuration de leur gouvernance RGPD.

More posts by Mathilde STINES