L'article 9 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit Règlement général sur la protection des données (RGPD), instaure un régime juridique renforcé pour certaines catégories de données à caractère personnel présentant un risque élevé pour les libertés et droits fondamentaux des personnes concernées.

Il consacre le principe d'interdiction du traitement de ces données dites « sensibles », tout en prévoyant une liste limitative de dérogations strictement encadrées. Cet article constitue un pilier de la protection renforcée des personnes, en particulier contre les discriminations et les atteintes à la vie privée.

Les autorités de contrôle et les juridictions attachent une importance particulière au respect des exigences de l'article 9, en raison de la nature même des données concernées et des risques accrus qu'elles comportent.

Texte officiel de l'article 9 du RGPD

L'article 9, paragraphe 1, du RGPD dispose que le traitement des données à caractère personnel révélant :

  • l'origine raciale ou ethnique
  • les opinions politiques
  • les convictions religieuses ou philosophiques
  • l'appartenance syndicale
  • ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique
  • les données concernant la santé
  • les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne

est interdit.

L'article 9, paragraphe 2, prévoit toutefois que cette interdiction ne s'applique pas lorsque l'une des conditions qu'il énumère est remplie, notamment :

  • la personne concernée a donné son consentement explicite pour une ou plusieurs finalités spécifiques
  • le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits du responsable du traitement ou de la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique lorsque la personne concernée est physiquement ou juridiquement incapable de donner son consentement
  • le traitement est effectué par une fondation, une association ou tout autre organisme à but non lucratif à caractère politique, philosophique, religieux ou syndical
  • le traitement porte sur des données manifestement rendues publiques par la personne concernée
  • le traitement est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice
  • le traitement est nécessaire pour des motifs d'intérêt public important
  • le traitement est nécessaire à des fins de médecine préventive, de diagnostic médical, de soins ou de gestion des systèmes de santé
  • le traitement est nécessaire à des fins de recherche scientifique ou historique ou à des fins statistiques, sous réserve de garanties appropriées

Ces exceptions sont d'interprétation stricte.

Notion de catégories particulières de données

Les données visées à l'article 9 correspondent à des informations susceptibles d'entraîner des discriminations ou des atteintes graves à la vie privée.

Elles se distinguent des données « ordinaires » par leur sensibilité intrinsèque et par les conséquences particulièrement préjudiciables que pourrait avoir leur divulgation ou leur utilisation abusive.

La qualification d'une donnée comme relevant de l'article 9 dépend de son contenu et de sa finalité, et non du seul contexte dans lequel elle est collectée.

Principe d'interdiction et régime de dérogation

L'article 9 repose sur une logique d'interdiction de principe du traitement des données sensibles, tempérée par un nombre limité d'exceptions légales.

Le responsable du traitement doit être en mesure de démontrer non seulement l'existence d'une base juridique au sens de l'article 6 du RGPD, mais également la satisfaction d'une condition spécifique prévue à l'article 9, paragraphe 2.

Ainsi, la conformité d'un traitement de données sensibles suppose une double justification juridique.

Le consentement explicite

Lorsque le traitement repose sur le consentement, celui-ci doit être explicite.

Cette exigence implique une expression renforcée de la volonté de la personne concernée, distincte d'un simple consentement implicite ou tacite.

Le consentement explicite suppose généralement un acte affirmatif formalisé, tel qu'une déclaration écrite ou une action spécifique clairement identifiable.

Traitements fondés sur le droit du travail et la protection sociale

L'article 9 autorise certains traitements lorsqu'ils sont nécessaires à l'exécution des obligations légales en matière de droit du travail, de sécurité sociale ou de protection sociale.

Ces traitements doivent être prévus par le droit de l'Union ou le droit national et assortis de garanties appropriées pour les droits fondamentaux de la personne concernée.

Ils concernent notamment les données de santé traitées dans le cadre de la gestion des arrêts de travail ou de la protection des salariés.

Intérêt public et missions spécifiques

Certains traitements peuvent être justifiés par un motif d'intérêt public important, à condition qu'ils soient fondés sur un texte juridique et proportionnés à l'objectif poursuivi.

Il en va de même pour les traitements nécessaires à la gestion des systèmes de santé, à la médecine préventive ou à la recherche scientifique et statistique, sous réserve du respect des principes de minimisation, de pseudonymisation et de sécurité.

Données manifestement rendues publiques

Le traitement est autorisé lorsque les données ont été manifestement rendues publiques par la personne concernée.

Cette exception suppose un acte volontaire et conscient de divulgation par l'intéressé.

Elle ne permet pas de traiter des données rendues publiques par un tiers sans l'accord de la personne concernée.

Portée juridique et articulation avec les autres dispositions

L'article 9 doit être interprété en articulation avec l'article 6 relatif aux bases juridiques, l'article 5 relatif aux principes fondamentaux, l'article 7 relatif au consentement et l'article 32 relatif à la sécurité du traitement.

Il est également complété par l'article 10 pour les données relatives aux condamnations pénales et infractions, qui font l'objet d'un régime spécifique distinct.

Le non-respect des conditions posées par l'article 9 entraîne l'illicéité du traitement, indépendamment du respect des autres obligations du RGPD.

Les autorités de contrôle fondent régulièrement leurs décisions de sanction sur des manquements relatifs au traitement illicite de données sensibles.

Implications pratiques pour les responsables de traitement

Les organisations doivent identifier avec précision si les données qu'elles traitent relèvent de l'article 9.

En présence de données sensibles, elles doivent documenter la condition juridique applicable, renforcer les mesures de sécurité et limiter strictement les accès aux seules personnes habilitées.

Elles doivent également intégrer ces traitements dans leur registre et, le cas échéant, réaliser une analyse d'impact relative à la protection des données (article 35 du RGPD).

Jurisprudence relative à l'article 9

L'article 9 du RGPD a donné lieu à une jurisprudence importante, tant au niveau européen que national, en raison de la sensibilité des données concernées. La Cour de justice de l'Union européenne (CJUE) a précisé, dans plusieurs arrêts, que la notion de données relatives à la santé doit être interprétée largement et inclut toute information concernant l'état de santé physique ou mentale d'une personne, y compris les données relatives à la fourniture de services de soins de santé.

Les autorités de contrôle sanctionnent régulièrement les traitements illicites de données sensibles, notamment dans le secteur de la santé, des ressources humaines et des services en ligne. La CNIL a prononcé plusieurs sanctions à l'encontre d'organisations traitant des données de santé sans disposer d'une base juridique valable au sens de l'article 9, paragraphe 2, ou en l'absence de garanties appropriées pour protéger ces données.

La jurisprudence souligne également que le consentement explicite prévu à l'article 9, paragraphe 2, point a), impose des exigences renforcées par rapport au consentement ordinaire de l'article 6. Il doit résulter d'une déclaration expresse et formalisée, et ne peut être présumé ni déduit d'un comportement passif. Les autorités de contrôle considèrent que le simple fait de cocher une case ne suffit pas toujours à caractériser un consentement explicite, selon le contexte et les modalités de présentation.

Recommandations de la CNIL et du CEPD

La Commission nationale de l'informatique et des libertés (CNIL) a publié de nombreux guides sectoriels relatifs au traitement des données sensibles, notamment dans les domaines de la santé, des ressources humaines et de la biométrie. Elle recommande aux responsables de traitement de vérifier systématiquement l'existence d'une double base juridique : une base au sens de l'article 6 et une exception au sens de l'article 9, paragraphe 2.

Le Comité européen de la protection des données (CEPD) a adopté des lignes directrices sur le traitement des données de santé à des fins de recherche scientifique et sur l'utilisation des données biométriques. Il insiste sur la nécessité de mettre en œuvre des mesures de sécurité renforcées, telles que le chiffrement, la pseudonymisation, la restriction stricte des accès et la traçabilité des consultations. Le CEPD recommande également la réalisation systématique d'une analyse d'impact relative à la protection des données pour tout traitement de grande ampleur portant sur des catégories particulières de données.

La CNIL et le CEPD soulignent que les traitements de données sensibles doivent être documentés de manière exhaustive dans le registre des activités de traitement et que les garanties mises en œuvre doivent être proportionnées aux risques identifiés. Ils rappellent également que les données sensibles ne peuvent être conservées que pour la durée strictement nécessaire et doivent être supprimées ou anonymisées dès que la finalité du traitement est atteinte.

L'article 9 du RGPD instaure ainsi un régime juridique de protection renforcée des catégories particulières de données à caractère personnel. Il vise à prévenir les risques de discrimination et d'atteinte grave à la vie privée, tout en permettant certains traitements strictement encadrés lorsque l'intérêt général ou les droits fondamentaux l'exigent. Sa maîtrise est indispensable pour sécuriser juridiquement les traitements impliquant des données sensibles et démontrer une conformité effective en cas de contrôle.