Données et traitements spécifiques

Si certaines données [personnelles] d’une nature particulièrement sensibles font l’objet de règles «durcies», ainsi en est-il également de certains trai- tements «à grande échelle».

L’analyse d’impact relative à la protection des données

Sont obligatoirement soumis à la réalisation d’une «analyse d’impact relative à la protection des données»45 les traitements «susceptibles d’engen- drer un risque élevé pour les droits et libertés des personnes» dont les données sont traitées, en par- ticulier les traitements suivants :

  1. a) les traitements portant sur «l’évaluation systématique et approfondie d’aspects personnels de personnes et sur la base desquels sont prises des décisions produisant des effets juridiques à leur égard» ;
  2. b) les «traitements à grande échelle» de don- nées sensibles ou pénales ;
  3. c) les traitements portant sur la «surveillance systématique à grande échelle d’une zone acces- sible au public».

Si le niveau «élevé» (ou non) pose un évident pro- blème d’interprétation pour les juristes, la notion particulière de «risque pour les droits et libertés des personnes» est assez précisément détail-

lée dans les «considérant»46 du RGPD-GDPR. Le «risque» identifié ici n’est pas celui des «violations de données» mais une «discrimination», «un vol ou une usurpation d’identité», une «atteinte à la réputation», «l’évaluation systématique et appro- fondie d’aspects personnels, y compris le profi- lage», un «volume important de données» tou- chant «un nombre important» de personnes, etc.

Le responsable de traitement doit en outre consul- ter préalablement l’autorité de contrôle dont il dépend lorsqu’une analyse d’impact indique que les mesures prises pour atténuer le risque ne permettent pas de réduire ce risque à un niveau acceptable et qu’il demeure des risques résiduels importants47 .

Des règles de traitement renforcées pour certaines données de nature particulière

Si le RGPD-GDPR s’applique à toute collecte (et tout autre traitement) de données [personnelles], il impose un régime spécifique de protection pour les données extrêmement personnelles (données de santé, opinion politique, orientation sexuelle, etc.). Dans ce dernier cas, le «traitement» (au sens juridique et technique) de ces données particu- lières est encadré de manière plus stricte : il s’agit des données dites «sensibles»39 , «pénales»40 ou concernant le consentement des mineurs de 13 à 16 ans41 .

L’exemple des données [personnelles] «sensibles»

La définition de ce que sont les «données sen- sibles» dans le RGPD-GDPR est quasi similaire à celle issue de la Directive 95/46 (données poli- tiques / syndicales / religieuses / philosophique et données relatives à la santé / la vie sexuelle, les données génétiques / biométriques, etc.).

Si le principe de l’interdiction du traitement des données «sensibles» reste identique de la Directive 95/46 au RGPD-GDPR, les exceptions légales per- mettant (tout de même) le traitement de ce type de données sont élargies à compter du 25 mai 2018.

Evidemment, si une personne a donné son «consentement explicite» , un véritable contrat est passé entre le «responsable du traitement» et la «personne concernée». Pour autant que le fonde- ment juridique du traitement et les finalités «spé- cifiques»43 du traitement soient clairs et révélés
au préalable à la personne concernée, le traitement sera juridiquement licite pour le médecin, le parti politique, le syndicat, le site web de rencontre…

A noter que par exception, un traitement de don- nées sensibles peut être opéré sans demande de «consentement explicite», notamment lorsque
des données ont été «manifestement rendues publiques» par la personne en question. Le «mani- festement rendu public»44 concerne par exemple les opinions (écrites ou vidéos), quelles qu’elles soient, mises en ligne volontairement par une per- sonne sur les réseaux sociaux.