Données personnelles vs données sensibles

Lorsqu’on traite les données d’utilisateur·trices, que ce soit dans le cadre de l’utilisation d’une application développée par nos soins ou alors de données fournies par nos étudiant·es, il est important d’établir la nature de ces données.

En effet la façon de traiter ces données, et notamment la manière de les stocker, sera différentes en fonctions de leur nature.
Au niveau de la protection des données, on distingue deux types principaux : données personnelles et données sensibles. Mais quelle est la différence entre les deux ?

L’Etat de Fribourg nous donne une réponse assez précise.

Qu’est-ce que des données « personnelles » ?

Les données personnelles sont les informations qui se rapportent à une personne identifiée ou identifiable (c’est-à-dire dont l’identification est possible sans recours à des moyens disproportionnés) sous forme de mots, images, signes. Il doit s’agir de personnes déterminées ce qui exclura en principe les statistiques dont le principe est de travailler avec des données « anonymisées » (ne permettant pas d’identifier les personnes concernées). La LPrD (art. 3 let. a LPrD) part de l’idée que toutes données personnelles sont dignes de protection. Ce sont en premier lieu le but et le contexte dans lesquels une information est utilisée qui déterminent le besoin de protection. Encore faut-il que les données se réfèrent à une personne qui soit au moins identifiable.

Quand parle-t-on de données « sensibles » ?

Le besoin de protection d’une donnée dépend en premier lieu du contexte et du but dans lesquels cette donnée est utilisée. Il y a cependant des données, énumérées de façon exhaustive à l’art. 3 let. c LPrD, qui peuvent être considérées comme sensibles par nature. Ce sont des informations qui ont une importante répercussion sur la personnalité de la personne concernée, qui ont trait à des caractéristiques essentielles, qui concernent le domaine personnel secret ou privé ou qui affectent la réputation ou le crédit d’une personne (opinions ou activités religieuses, philosophiques, politiques ou syndicales, la santé, la sphère intime ou l’appartenance à une race, des mesures d’aide sociale, des poursuites ou sanctions pénales ou administratives).

Quelles sont les exigences à respecter en matière de données sensibles ?

Ces données exigent dans tous les cas des mesures de protection particulières :

> un devoir de diligence accru (art. 8 LPrD),

> une justification de la nécessité de les traiter (art. 19 al. 2 in fine LPrD),

> une obligation générale de déclarer les fichiers contenant de telles données (art. 20 al. 1 LPrD).

On voit donc que les données sensibles nécessitent une attention particulière.
Dans tous les cas, que les données soient personnelles ou sensibles, celle-ci ne doivent pas être traitées à la légère. Le choix des outils et systèmes de stockage doit faire partie d’une réflexion aboutie, que nous développerons dans de futurs billets de blog.

Sources

• https://www.fr.ch/etat-et-droit/transparence-et-protection-des-donnees/generalites-protection-des-donnees
• https://www.unifr.ch/it/fr/securite-it/
• Photo by Tom Sodoge on Unsplash