Le traitement des données sensibles, c’est possible ?
Publié le :
Dernière modification le :
Vous êtes un professionnel de santé et vous avez besoin d’un site Web respectueux du RGPD ?
« Le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits. » (RGPD, Article 9)
Les données sensibles font partie des données à risque. Leur traitement est interdit, à moins de lever cette interdiction. Elles doivent dans ce cas faire l’objet d’une protection particulière.
Quelles sont les données à risque ?
Les données à risque sont des données qui, si elles tombent entre de mauvaises mains, peuvent porter préjudice aux personnes. Parmi les données à risque on distingue les données sensibles, le numéro de sécurité sociale, et les données relatives aux condamnations pénales, aux infractions et aux mesures de sûreté.
Les données à risque susceptibles d’être envisagées sur un site Web sont les données sensibles.
Les coordonnées bancaires sont-elles des données sensibles ou à risque ?
Non, pas au sens du RGPD, puisqu’en soi les données bancaires n’ont pas d’incidence sur les droits et libertés des personnes. Par contre elles présentent un risque financier évident, donc un risque élevé pour les personnes.
Le traitement des données sensibles sur un site Web
Nous avons vu que le traitement des données sensibles est par principe interdit. Pourtant, certains sites Web recueillent des données sensibles.
Quels sites Web sont concernés par le traitement des données sensibles ?
Ces traitements sont rendus possibles si une exception permet de lever l’interdiction de traitement des données sensibles. Ces sites Web vont nécessiter des précautions particulières.
Vous créez un site Web de rencontres amoureuses ?
Celui-ci va traiter de nombreuses données sensibles : origine raciale, convictions religieuses, orientation sexuelle, pratiques sexuelles, santé… Le conseil d’un avocat spécialisé RGPD est indispensable !
Des exceptions autorisent le traitement des données sensibles
Il existe une liste d’exceptions prévues par le RGPD qui permettent de lever l’interdiction de traitement des données sensibles. L’une d’entre elles peut être réalisée sur un site Web :
Par explicite, on entend que le consentement doit être incontestable, qu’il ne peut faire l’objet d’aucune mauvaise interprétation. Comme tout consentement, il doit aussi être libre, spécifique, éclairé, univoque et facilement révocable.
Le consentement au traitement des données sensibles vient s’ajouter à la base légale.
En effet, le consentement recueilli autorise le recueil des données sensibles. Mais votre traitement de données garde la base légale que vous avez définie.
Même avec le consentement explicite des personnes, le recueil de données sensibles sur un site Web reste soumis à l’obligation de mesures particulières de protection des données.
Votre site médical ne propose pas de formulaire de contact et vous pensez qu’il ne traite aucune donnée sensible ?
Erreur ! Toutes les données collectées sur le site d’un professionnel de santé sont des données sensibles y compris l’IP de l’internaute recueillie par les cookies statistiques.
Quelles mesures particulières pour un site médical ?
Prenons le cas d’un professionnel de santé qui souhaite un site vitrine et la possibilité d’être contacté via un formulaire de contact. Ce traitement de données sensibles sur son site Web nécessite des mesures particulières :
Qu’est-ce qu’un serveur HDS ?
Le site Web d’un professionnel de santé doit être hébergé chez un hébergeur certifié HDS (pour « Hébergeur de Données de Santé »).
C’est un serveur qui répond à des exigences de sécurité très strictes (ISO 27001, ISO 20000, infrastructures redondantes et géographiquement distinctes…).
La certification HDS est la seule qui permet d’assurer un niveau de sécurité adéquat pour les données de santé. Retrouvez ici la liste des hébergeurs certifiés HDS.
La sécurité renforcée des données sensibles
Bien évidemment, l’obligation de sécurité renforcée des données sensibles vaut pour l’ensemble du traitement mis en oeuvre par le professionnel de santé, c’est-à-dire qu’il faut assurer un niveau de sécurité approprié au-delà du site Web donc au sein même des locaux. Cet aspect n’est pas développé sur ce blog.
Quelles sont vos obligations en cas de piratage du site Web ?
Malgré toutes les mesures de protection que vous avez mises en place pour assurer la sécurité des données sensibles, le site a été piraté ?
Vous êtes dans le cas d’une violation de données personnelles qui, étant donné le caractère sensible de ces dernières, doit faire l’objet d’une déclaration à la CNIl ainsi qu’aux personnes concernées, en respectant les délais prévus par le RGPD.
Vous êtes un professionnel de santé et vous avez besoin d’un site Web respectueux du RGPD ?
