En matière de protection des données personnelles, votre entreprise doit mettre en place un traitement spécifique et plus sécurisé pour les données dites « sensibles » au sens du RGPD.
Dans un premier temps, vous devez déterminer si vous traiter réellement ce type de données au sein de votre société puis vous assurez que vous respectez bien la réglementation.
1. Les données personnelles sensibles
La CNIL donne pour définition :
Une donnée sensible « C’est une information qui révèle les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle d’une personne physique ».
2. Quelles sont vos obligations si vous traiter des données sensibles
En principe, il est interdit de collecter et d’utiliser des données personnelles sensibles.
Vous en avez le droit uniquement dans les cas suivants :
- si la personne concernée a donné son consentement écrit, clair et spécifique
- si il est indispensable d’avoir recours à ce type de données dans un cadre médical
- si c’est dans l’intérêt public et validé par la CNIL
- si elles portent sur des membres et adhérents d’une association ou d’un groupe politique, religieux, syndical ou philosophique.
Il sera alors nécessaire que vous preniez des mesures supplémentaires pour protéger ces données personnelles sensibles. Cela passe notamment par une pseudonymisation des données ou par leur chiffrement.
