Extension de la notion de données sensibles au sens du GDPR

Extension de la notion de données sensibles au sens du GDPR et ses impacts pratiques

Introduction

Ce 1er août 2022, à l’occasion de l’analyse de la conformité d’une disposition du droit lituanien relative à la transparence dans le service public avec le Règlement général sur la protection des données à caractère personnel ("RGPD"), la Cour de Justice a interprété de manière large la notion de données à caractère personnel sensible.

La législation soumise à l’examen de la Cour imposait au personnel du service public de remplir une déclaration dite "d’intérêts privés" contenant, notamment, le nom des conjoints, concubins et partenaires. Ces informations faisaient l’objet d’une publication sur un site Internet librement accessible à tous.

Il était ainsi demandé à la Cour de justice si les données contenues dans cette déclaration devaient être considérées comme des données sensibles visées par l’article 9 du RGPD. 

Dans son analyse, la Cour relève que l’article 9 du RGPD fait une distinction entre, d’une part, les données "révélant" (y compris indirectement) l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale et, d’autre part, les données "concernant" (directement) la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Cependant, la Cour de Justice considère qu’il n’y a pas lieu de maintenir cette distinction et qu’il convient, en vue d’assurer une protection maximale des personnes concernées, d’interpréter largement la notion de "données sensibles". Ce faisant, elle considère que des données qui révèlent, indirectement, l’orientation sexuelle d’une personne, comme, par exemple, le prénom d’un conjoint, doivent être considérées comme des données sensibles.

Du changement en vue pour les praticiens

Cette interprétation extensive faite par la Cour n’est pas sans conséquence, puisque l’article 9, 1er§ du RGPD pose le principe d’une interdiction totale de traitement des données sensibles. Cette interdiction ne peut être levée que lorsque le responsable du traitement se prévaut d’une des 10 exceptions prévues au paragraphe 2 du même article ; or, ces exceptions ont trait, pour la plupart, à l’intérêt public ou au milieu médical. Il n’existe, ainsi, aucune exception relative au traitement de données sensibles nécessaires à l’exécution d’un contrat.

Partant, lorsqu’aucune exception ne trouvera à s’appliquer, il faudra désormais obtenir le consentement des personnes intéressées.

Cela peut mener à des situations cocasses. Ainsi, l’hôtelier qui loue une chambre à deux personnes et collecte l’identité des deux occupants sera considéré comme traitant des données sensibles, puisque les renseignements recueillis peuvent, éventuellement, donner des indications sur l’orientation sexuelle de ses clients. Il devra, dès lors, solliciter leur consentement explicite au traitement de ces données.

Conclusion

L’exemple cité est loin d’être un cas isolé et il faut s’attendre à du changement dans les pratiques des entreprises qui recueillent habituellement des données relatives à la situation personnelle et familiale des personnes avec lesquelles elles nouent ou envisagent de nouer des relations contractuelles, dont il serait possible de  de déduire des informations sur leur vie ou orientation sexuelle.