Quelle est la définition des données sensibles ? Quels sont les exemples ? Pouvez-vous traiter des informations sensibles en vertu des lois sur la protection de la vie privée, comme le RGPD et le CCPA ?
Dans ce billet, nous répondrons à toutes ces questions et vous montrerons ce que vous devrez peut-être faire pour collecter et traiter des informations personnelles sensibles.
Lorsque nous parlons de données sensibles, nous faisons référence à des catégories spéciales d’informations personnelles, qui doivent être traitées avec plus de soin par le sous-traitant.
La principale différence entre les données personnelles ordinaires et les données sensibles est que les données sensibles peuvent potentiellement conduire à la discrimination de l’utilisateur, si elles sont partagées.
En effet, elles comprennent des informations telles que la race ou l’origine ethnique, l’orientation sexuelle, les croyances religieuses, mais aussi des informations sur la santé de l’utilisateur, par exemple.
International laws on data privacy may have different views on sensitive data. Quoi qu’il en soit, il existe un point commun : toutes les lois s’accordent à dire que vous devez collecter et traiter des données sensibles si elles sont réellement nécessaires à votre activité. If you do need to collect sensitive information, then you should store it securely and with the utmost care.
Cet article fait partie de notre série sur la protection des données. Lire aussi :
👉 Qu’est-ce qu’une violation de données et comment la prévenir ?
Les différentes lois sur la protection de la vie privée peuvent avoir des définitions différentes des données sensibles. Quoi qu’il en soit, nous pouvons trouver quelques exemples dans l’article 9 du GDPR, qui peuvent s’appliquer de manière plus large.
Dans ses catégories spéciales de données personnelles, le GDPR inclut :
La collecte et le traitement de données sensibles sont généralement autorisés. Toutefois, il se peut que vous deviez appliquer des couches de sécurité supplémentaires en la matière.
Examinons de plus près les principales législations et leurs exigences spécifiques :
UEn vertu du GDPR, vous ne pouvez traiter des données sensibles que si l’utilisateur a donné un consentement explicite et éclairé, ce qui signifie qu’il doit clairement comprendre ce à quoi il consent.
Les traitements sont également autorisés si les données revêtent une importance vitale en matière d’intérêt public, de sécurité publique, de santé, etc.
Le traitement est également autorisé si les données ont une importance vitale en matière d’intérêt public, de sécurité sociale, de santé, ect. Si vous collectez et traitez des données personnelles, et en particulier s’il s’agit d’un traitement à grande échelle, vous devez désigner un Data Protection Officer (DPO) et réaliser une Data Protection Impact Assessment (DPIA).
Vous pouvez en savoir plus sur les exigences du RGPD ici.Même si, aux termes de l’ACCP, la catégorie des données sensibles relève de la catégorie des données personnelles ordinaires, il peut être nécessaire de demander à l’utilisateur de donner son accord lorsque des informations sensibles sont en jeu.
Comme le CCPA ne comportait pas de définition des informations sensibles, il a été modifié. Le nouveau California Privacy Rights Act (CPRA) introduira des informations personnelles sensibles. (SPI), qui demande un niveau plus élevé de protection des données.
Comme le GDPR, le LGPD brésilien permet le traitement des données personnelles uniquement si les utilisateurs ont donné leur consentement ou si des exceptions de consentement s’appliquent.
Si votre entreprise recueille et traite des données sensibles, vous devrez peut-être prendre des mesures supplémentaires pour vous assurer que vous les stockez en toute sécurité.
Voici ce que vous devrez peut-être faire :
Découvrez les lois qui s’appliquent à vous et veillez à respecter les règles.
Voici comment les solutions d’iubenda peuvent grandement vous aider lorsque vous traitez des données sensibles :
The solution to generate your Privacy Policy. Customizable from 1700+ clauses, available in 9 languages and self-updating