RGPD : ne pas confondre données sensibles et données confidentielles

RGPD : ne pas confondre données sensibles et données confidentielles

Ce qu’il faut retenir


La notion de “données sensibles” est souvent confondue avec les données confidentielles. Or, deux expressions ne sont pas synonymes en droit de la protection des données. De leur qualification dépendra la mise en oeuvre des obligations de conformité.


Le RGPD accorde un niveau de protection renforcé pour les données sensibles. Toutefois, la notion de “données sensibles” est souvent confondue avec les données confidentielles. Ces deux expressions ne sont pas synonymes en droit de la protection des données.

Alors que les données sensibles sont définies et encadrées par l’article 9 du RGPD, le règlement ne consacre pas, en tant que telle, la notion de “données confidentielles”. La confidentialité est néanmoins au cœur du dispositif.

Cette distinction entre données sensibles et données confidentielles n’a rien de théorique. Pour les responsables de traitement, elle permet d’éviter deux erreurs fréquentes : qualifier à tort de “sensibles” des données qui relèvent d’un niveau élevé de sécurité ou, à l’inverse, sous-estimer les contraintes particulières attachées aux catégories de données visées par l’article 9 du RGPD. Bien distinguer ces notions permet ainsi de mieux structurer sa conformité, mieux hiérarchiser ses risques et mieux sécuriser ses traitements.

Le présent article a pour objet de faire le point sur la distinction entre données sensibles et données confidentielles et les conséquences en matière de conformité.


1. Les données sensibles : des données encadrées par le RGPD

    1.1 Les catégories de données visées par l’article 9 du RGPD 

La notion de donnée sensible ne relève pas d’un simple niveau de confidentialité ou d’une appréciation de criticité. Il s’agit d’une catégorie de données spécifiquement définie par l’article 9 du RGPD. 

Sont visées les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les données génétiques, les données biométriques utilisées pour identifier une personne de manière unique, et les données concernant la santé, la vie sexuelle ou l’orientation sexuelle. 

Ainsi, une donnée est qualifiée de “sensible” parce qu’elle entre dans l’une des catégories visées par le texte. Cette qualification emporte des conséquences immédiates en matière de gouvernance.

    1.2 Les données de santé, au coeur des données sensibles

Parmi ces catégories, les données de santé occupent une place centrale, dans la mesure où elles touchent directement à la sphère intime de la personne et peuvent générer des risques élevés en cas d’accès non autorisé, de divulgation ou de détournement. 

Les données de santé comprennent les données d’une personne physique relatives à sa santé physique et mentale, passée, présente ou future, y compris les prestations de services de soins, dès lors qu’elles révèlent des informations sur l’état de santé de la personne.

Sont également inclus dans cette catégorie : les résultats d’analyse, une information sur une pathologie, un handicap, un arrêt de travail, un parcours de soins ainsi que certaines informations collectées via une application de santé en ligne. 

    1.3 Les autres catégories de données sensibles

Il serait toutefois réducteur d’assimiler les données sensibles aux seules données de santé. L’article 9 du RGPD liste également les données relatives à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, et à l’appartenance syndicale. Au même titre que les données de santé, ces données peuvent générer des risques élevés, notamment en matière de discrimination ou de harcèlement, en cas d’accès non autorisé, de divulgation ou de détournement. 

Ainsi, un formulaire en ligne qui collecte l’appartenance syndicale, une plateforme RH qui traite certaines données biométriques à des fins d’identification, ou un service communautaire qui fait apparaître des convictions religieuses ou des opinions politiques peut également traiter des données sensibles, même en dehors du secteur médical.

    1.4 Les données sensibles : des traitements interdits, sauf exceptions

Les traitements de données sensibles sont par principe interdits, sauf si l’une des exceptions prévues par le RGPD s’applique.

D’une manière générale, le traitement de données sensibles sera licite, notamment dans les cas suivants :
    - si la personne concernée a donné son consentement explicite au traitement, pour une ou plusieurs finalités spécifiques ; (1)
    - si le traitement est nécessaire dans le cadre du droit du travail, de la sécurité sociale et de la protection sociale ;
    - si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, dans le cas où elle se trouve dans l'incapacité physique ou juridique de donner son consentement ;
    - si le traitement concerne les membres et anciens membres et est effectué dans le cadre des activités légitimes par une fondation, une association poursuivant une finalité politique, philosophique, religieuse ou syndicale ;
    - si le traitement porte sur des données manifestement rendues publiques par la personne concernée ;
    - si le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ; ou
    - si le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel.

    1.5 Une obligation de sécurité renforcée

Comme pour toute donnée personnelle, le responsable de traitement doit mettre en place des mesures techniques et organisationnelles appropriées en cas de traitements de données sensibles afin de garantir un niveau de sécurité adapté au risque. Une analyse d’impact (AIPD) devra également être réalisée préalablement à la mise en oeuvre du traitement de données sensibles.

Les données de santé se distinguent des autres données sensibles par l’existence d’exigences complémentaires, notamment en matière d’hébergement sur support numérique. Le Code de la santé publique prévoit que toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte du producteur de ces données ou du patient lui-même, doit le faire dans les conditions prévues à l’article L.1111-8 (hébergeur certifié HDS). (2)

En revanche, les autres catégories de données sensibles ne sont pas soumises, en principe, à un dispositif équivalent ; elles relèvent principalement du cadre général du RGPD, avec des mesures de sécurité renforcées.


2. La notion de donnée confidentielle

    2.1 Une donnée confidentielle n’est pas forcément sensible

Même si les données sensibles sont généralement confidentielles, les données confidentielles ne sont pas nécessairement sensibles.

À l’inverse des données sensibles, la notion de donnée confidentielle n’est pas définie par le RGPD comme une catégorie juridique spécifique. Le règlement ne fournit aucune liste de “données confidentielles” comparable à celle de l’article 9. La notion de confidentialité est cependant mentionnée à de multiples reprises dans le règlement.

Le RGPD impose que les données à caractère personnel soient traitées de manière à garantir leur intégrité et leur confidentialité. Il oblige les organismes à mettre en place des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque. 

La confidentialité doit donc être comprise avant tout comme une exigence de sécurité.

    2.2 La confidentialité : une exigence de sécurité

Ainsi, une donnée n’est pas “confidentielle” parce qu’elle appartiendrait à une catégorie définie par le RGPD, mais parce que son accès, son usage ou sa divulgation doivent être strictement maîtrisés par des mesures techniques et organisationnelles adaptées. Inversement, une donnée sensible appelle en pratique un niveau élevé de confidentialité. Les deux notions peuvent donc se recouper, mais elles ne se confondent pas : l’une relève d’une qualification juridique, l’autre d’une exigence de sécurité et de gouvernance.

Une donnée peut être confidentielle non pas en raison de sa nature au sens du RGPD, mais parce que son accès, sa circulation ou sa divulgation doivent être strictement maîtrisés. 

C’est le cas, par exemple, d’identifiants de connexion, de coordonnées bancaires, d’un dossier RH, d’un contrat, ou d’un échange interne sur une faille de sécurité. Ces données ne sont pas “sensibles” au sens de l’article 9, mais elles exigent néanmoins un haut niveau de protection, soit parce qu’elles exposent les personnes concernées, soit parce qu’elles créent un risque important pour l’organisme en charge de leur traitement.

Par conséquent, la confidentialité renvoie à une logique de maîtrise des accès. La question n’est pas seulement de déterminer de quelles données il s’agit, mais aussi qui peut y accéder, dans quelles conditions, pour quel besoin, avec quelles garanties et quelle traçabilité. C’est la raison pour laquelle les données confidentielles sont en pratique soumises à des mesures de sécurité renforcées comprenant la gestion des habilitations, la séparation des fonctions des personnes habilitées à y accéder, l’authentification, la journalisation, l’encadrement des accès distants et des procédures de gestion des incidents.


3. La mise en conformité : qualifier les données et adapter la sécurité

Pour les responsables de traitement, dans une démarche de “privacy by design” (respect de la vie privée dès la conception), le bon réflexe consiste à raisonner en plusieurs étapes : 

    a. Qualifier juridiquement la donnée : s’agit-il d’une donnée personnelle classique, d’une donnée personnelle confidentielle ou d’une donnée sensible au sens de l’article 9 du RGPD ? s’il s’agit d’une donnée sensible, le traitement repose-t-il sur l’une des exceptions prévues par le RGPD ? puis, 

    b. Déterminer le niveau de sécurité et de confidentialité à appliquer : l’hébergement est-il soumis à des contraintes réglementaires particulières, quel personnel a besoin d’accéder aux données, quelles restrictions faut-il mettre en place, comment prévenir la divulgation non autorisée, comment détecter et traiter un incident ?

Cette approche permet d’éviter les erreurs de qualification, de mieux prioriser les risques et de construire une conformité plus robuste, à la fois sur le plan documentaire et sur le plan opérationnel.


    En conclusion, la distinction entre données sensibles et données confidentielles doit être clarifiée dès le départ dans tout projet numérique. Définies à l’article 9 du RGPD, les données sensibles relèvent d’une qualification juridique précise. 

Quant aux données confidentielles, elles ne constituent pas une catégorie autonome du RGPD. La confidentialité doit plutôt être comprise comme une exigence de sécurité, directement liée au principe d’intégrité et de confidentialité et à l’obligation de mettre en œuvre des mesures techniques et organisationnelles adaptées au risque.


* * * * * * * * * * *


(1) Sur la notion de consentement explicite de la personne concernée en matière de données sensibles, on retiendra notamment que lorsque des données de santé ou d’orientation sexuelle peuvent être communiquées au cours d’une prestation, il ne suffit pas que la personne parle librement. La manifestation positive du consentement explicite est nécessaire. Celle-ci doit être accompagnée d’une information spécifique sur la nature sensible des données et leur usage. Délibérations CNIL SAN-2024-014 et SAN-2024-015 du 26 septembre 2024

(2) https://esante.gouv.fr/ens/offre/hds 


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2026

Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (8) adwords (3) ai (29) anssi (3) arcep (5) arcom (21) audiovisuel (4) audit (4) base de données (4) bitcoin (1) blockchain (8) cbpr (7) cgv (2) chine (1) cjue (1) cloud computing (3) cnil (24) commerce (6) communication (9) compliance (44) confidentialité (4) conformité (25) consommateurs (5) contrat (11) contrefaçon (10) cookies (8) copyright (5) cryptologie (1) csa (1) cybercriminalité (5) cybersquatting (3) data (1) data privacy framework (2) dma (4) données à caractère personnel (22) données personnelles (39) dpf (2) droit d'auteur (11) dsa (10) e-commerce (17) e-consommateurs (2) enfance (6) etats-unis (6) eu (26) europe (25) formation (4) fraude (3) gdpr (38) google (4) hébergeur (5) ia (20) ico (1) informatique (14) informatique et libertés (4) intelligence artificielle (19) internet (36) jeu vidéo (3) liberté d'expression (3) logiciel (13) loi informatique et libertés (5) loi sren (6) marque (3) métavers (3) méthode agile (2) monnaie électronique (1) moteur de recherche (7) nda (1) nft (4) nom de domaine (1) numérique (15) originalité (5) privacy shield (2) propriété intellectuelle (15) protection des données (16) publicité (6) référencement (4) réglementation (13) réseau (2) réseaux sociaux (11) responsabilité (10) responsable du traitement (14) rgpd (29) robotique (7) rpa (6) salariés (4) santé (1) santé publique (1) sécurité (8) singapour (8) site web (5) us (3) vie privée (23)