Informations personnelles et informations personnelles sensibles

Les informations personnelles sensibles, une catégorie légale d'informations personnelles, doivent être stockées et traitées de manière spécifique en vertu de lois telles que le règlement général sur la protection des données (RGPD) et le California Privacy Rights Act(CPRA) en raison de leur vulnérabilité.

Bien que la définition juridique des informations personnelles varie en fonction des différentes lois sur la protection de la vie privée, il s'agit de toute donnée permettant d'identifier directement ou indirectement une personne ou un ménage.

Les informations sensibles, en revanche, peuvent déterminer des éléments tels que les opinions d'une personne, ses préférences personnelles ou d'autres détails susceptibles d'entraîner une fraude, une usurpation d'identité ou d'autres préjudices en cas de fuite, de violation ou de compromission des données.

Découvrez ci-dessous les différences entre les informations personnelles et les informations sensibles et comment gérer ce type de collecte de données dans le cadre des différentes lois sur la protection de la vie privée susceptibles d'avoir un impact sur votre entreprise.

Définition des informations personnelles sensibles

Les informations personnelles sensibles, parfois appelées IPS, sont des données qui font l'objet de directives de protection strictes en vertu de lois telles que le RGPD et la CCPA et comprennent des détails très intimes, tels que

• Affiliations politiques
• Croyances religieuses
• Croyances philosophiques
• Race ou ethnie
• Orientation sexuelle
• Données sur la santé
• Données biométriques
• Antécédents criminels
• Données sur le crédit ou les finances
• Informations sur les syndicats et les membres
• Numéros d'identification personnelle (ID) - permis de conduire, sécurité sociale, cartes d'identité nationales, passeports

Certaines lois fixent des lignes directrices plus strictes pour la collecte, l'utilisation et le stockage sécurisé de ce type d'informations en raison de la nature vulnérable des données.

Si les IPS sont compromises ou violées, cela peut causer un préjudice permanent à la qualité de vie de l'individu ou avoir un impact sur sa capacité à effectuer des activités quotidiennes. Il est donc essentiel de suivre toutes les lignes directrices juridiques pertinentes si vous traitez des données sensibles de l'utilisateur.

Différences entre les informations personnelles et les informations sensibles

Les différences entre les informations personnelles et les informations sensibles sont subtiles, mais les IPS constituent techniquement une catégorie distincte de données personnelles que vous devez traiter, stocker et manipuler différemment en fonction des lois applicables en matière de protection de la vie privée.

D'une manière générale, les informations personnelles désignent toutes les données permettant d'identifier directement ou indirectement une personne ou un ménage.

Les informations personnelles peuvent comprendre n'importe lequel des détails suivants :

• Noms
• Adresses électroniques
• Adresses postales
• Adresses IP
• Numéros de téléphone
• Dates de naissance
• Codes postaux
• Informations sensibles

Cependant, l'IPS est, par nature, plus vulnérable que d'autres identifiants personnels.

Parmi les exemples de données personnelles sensibles, on peut citer

• Les croyances d'une personne
• Données médicales et génétiques
• Antécédents criminels
• Opinions
• Identité sexuelle
• Course
• Autres détails plus intimes

La fuite de l'un ou l'autre type de données peut porter préjudice aux personnes concernées, mais l'accès non autorisé à des données sensibles est particulièrement préjudiciable car il peut conduire à.. :

• Discrimination
• Harcèlement
• Usurpation d'identité
• Autres types de dommages permanents

Par conséquent, différentes lois sur la confidentialité des données dictent la manière dont les entreprises peuvent légalement collecter, stocker et utiliser ces informations délicates et accordent aux utilisateurs davantage de droits sur ces données.

Types et exemples d'informations personnelles sensibles

Les lois sur la protection de la vie privée définissent différemment les données sensibles. Nous avons donc décrit ce qui constitue ou non un exemple d'information sensible en nous basant sur quelques-uns des textes législatifs les plus importants, notamment la loi sur la protection des données (LDP) :

Qu'est-ce qu'une information personnelle sensible ?

Le tableau ci-dessous présente une liste d'exemples de données à caractère personnel sensibles et les lois sur la protection de la vie privée qui les incluent dans leur définition juridique des IPS.

Il est important de noter que, dans certains cas, les informations ci-dessus ne sont considérées comme des données sensibles que si elles sont associées à d'autres données personnelles, telles que le nom complet d'une personne ou les informations nécessaires pour permettre l'accès au compte d'une personne.

En outre, certaines lois, comme le RGPD, utilisent à dessein des définitions larges afin que le terme puisse englober d'autres types de détails qui ne sont pas actuellement répertoriés.

Bien que le tableau ci-dessus soit un bon point de départ, il n'est en aucun cas exhaustif - de nombreuses autres lois sur la confidentialité des données dans le monde ont une incidence sur la manière dont les entreprises collectent, stockent et traitent les données à caractère personnel et les IPS.

Qu'est-ce qui n'est pas considéré comme une information personnelle sensible ?

En fonction des lois sur la protection de la vie privée auxquelles vous êtes soumis, les informations suivantes peuvent ne pas être considérées comme des informations personnelles sensibles :

• Informations accessibles au public provenant des archives du gouvernement fédéral, de l'État ou du gouvernement local.
• Informations véridiques obtenues légalement et qui constituent un sujet d'intérêt public.
• Informations dont une entreprise peut raisonnablement penser qu'elles ont été rendues légalement accessibles au grand public par le consommateur ou par des médias largement diffusés.
• Les informations mises à disposition par une personne à laquelle le consommateur a divulgué les données si le consommateur n'a pas restreint ces informations à un public spécifique.

Cependant, ce qui est considéré comme SPI et ce qui ne l'est pas peut varier d'une loi à l'autre.

Par exemple, le RGPD précise qu'il considère toujours certains types de données comme des IPS, mais accorde six cas spécifiques dans lesquels ces catégories sont autorisées à être traitées par un responsable du traitement des données:

1. Obtenir le consentement explicite des personnes concernées avant de commencer à les suivre
2. Exécution des obligations contractuelles
3. Obligations légales pour le respect de la loi
4. Pour mener à bien des intérêts vitaux et protéger ou sauver la vie d'une personne
5. Pour l'intérêt légitime du responsable du traitement des données
6. Pour l'exécution de tâches essentielles dans l'intérêt public

Les nuances des lois sur la protection de la vie privée sont subtiles mais importantes à comprendre, en particulier lors de la collecte d'informations sensibles.

Comment les lois sur la protection de la vie privée traitent-elles les informations sensibles ?

Dans la section suivante, nous examinons la définition technique des informations personnelles sensibles selon toutes les lois suivantes et nous vous fournissons des lignes directrices pour rester en conformité avec chacune d'entre elles :

• Règlement général sur la protection des données (RGPD)
• California Consumer Protection Act(CCPA) tel que modifié par le California Privacy Rights Act(CPRA) (loi californienne sur les droits en matière de protection de la vie privée)
• Loi californienne sur la protection de la vie privée en ligne(CalOPPA)
• Loi sur la protection des renseignements personnels et les documents électroniques(LPRPDE)
• Autres lois dans le monde

Définition de l'information sensible selon RGPD

Selon le RGPD, les informations sensibles constituent une catégorie spéciale de données à caractère personnel, et pour les collecter et les utiliser légalement, vous devez prouver qu'il existe une base légale pour le traitement de ce type d'informations.

La capture d'écran ci-dessous montre la définition légale des informations personnelles sensibles selon l'article 9 de la loi sur la protection des données. l'article 9 de la loi.

En vertu du RGPD, les informations suivantes sont considérées comme des informations personnelles sensibles :

• Race ou ethnie
• Opinions politiques
• Croyances religieuses ou philosophiques
• Adhésion à un syndicat
• Données génétiques
• Données biométriques
• Données sur la santé
• Orientation sexuelle et vie sexuelle

Pour traiter légalement des catégories spéciales de données à caractère personnel, les entreprises doivent prouver l'existence de l'une des bases légales suivantes :

• Vous avez obtenu le consentement explicite des utilisateurs pour traiter les données pour une ou plusieurs finalités spécifiques.
• Le traitement est nécessaire à l'exécution des obligations ou à l'exercice des droits du responsable du traitement ou de la personne concernée dans le cadre du droit du travail, de la sécurité sociale et de la protection sociale.
• Le traitement des données est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou de la personne juridiquement incapable de donner un consentement autonome.
• Le traitement est nécessaire pour les fondations, les associations ou tout autre organisme à but non lucratif ayant des objectifs politiques, philosophiques, religieux ou syndicaux, à condition qu'il ne concerne que les membres ou anciens membres et que les données ne soient pas divulguées en dehors de l'organisme sans le consentement des personnes concernées.
• Le traitement est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice ou lorsque les tribunaux agissent dans l'exercice de leurs fonctions judiciaires.
• Le traitement des données est nécessaire pour des raisons d'intérêt public important ou sur la base du droit de l'Union ou des États membres, pour autant que les droits fondamentaux de la personne concernée soient sauvegardés.
• Le traitement des données est nécessaire à des fins de médecine du travail préventive, d'évaluation de la capacité de travail d'un employé, de diagnostic médical, ou il existe des dispositions en matière de soins et de traitements médicaux ou sociaux.
• Le traitement des données est nécessaire pour des raisons d'intérêt public en matière de santé publique, comme les menaces transfrontalières pour la santé ou la garantie de normes élevées de qualité et de sécurité des soins de santé et des produits ou dispositifs médicaux.
• Le traitement des données est nécessaire à des fins d'archivage dans l'intérêt public, de recherche scientifique ou historique, ou à des fins statistiques.

Pour collecter des informations personnelles sensibles auprès des utilisateurs dans le cadre du RGPD, vous devez également stocker les données de manière sécurisée, conformément à l'article 32 de la loi, qui recommande les mesures techniques suivantes :

• Pseudonymisation et cryptage des données personnelles.
• Garantir en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement.
• Capacité à rétablir rapidement la disponibilité et l'accès aux données à caractère personnel en cas d'incident.
• Mettre en place un processus permettant de tester, d'évaluer et d'apprécier régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement des données.

Décrivez la base juridique pour laquelle et comment vous collectez des catégories de données sensibles et les mesures de sécurité mises en place pour les protéger dans des clauses distinctes d'une politique de protection de la vie privéeRGPD.

Définition de l'information sensible selon la CCPA/CPRA

Lorsque l'ACPR est entrée en vigueur, elle a modifié la LPCC et a créé une définition juridique spécifique pour les informations personnelles sensibles, ce qui a modifié de façon permanente la façon dont nous interprétons la LPCC.

Elle a également créé de nouveaux droits et obligations des consommateurs pour les entreprises qui suivent, stockent et utilisent ce type de données.

Selon la section 1798.40 de l'amendement, les informations personnelles sensibles sont des détails qui révèlent :

• le numéro de sécurité sociale, de permis de conduire, de carte d'identité nationale ou de passeport du consommateur
• Le numéro de compte, de compte financier, de carte de débit ou de carte de crédit d'un consommateur, en combinaison avec tout code de sécurité ou d'accès, mot de passe ou autre identifiant permettant d'accéder à un compte.
• Géolocalisation précise
• l'origine raciale ou ethnique, les croyances religieuses ou philosophiques, ou l'appartenance à un syndicat
• le contenu du courrier, des courriels et des messages textuels du consommateur, sauf si l'entreprise est le destinataire prévu des communications
• Données génétiques
• Traitement de données biométriques dans le but d'identifier une personne
• Données sur la santé
• Orientation sexuelle

En vertu de cette loi modifiée, les consommateurs ont le droit de demander à être exclus de la vente ou du partage de leurs informations personnelles sensibles, comme indiqué à l'article 1798.121.

Pour que les utilisateurs puissent exercer ce droit à la vie privée, les entreprises doivent apposer de manière claire et visible une mention du type "Ne pas vendre ou partager mes données personnelles".Ne pas vendre ou partager mes informations personnelles"sur la page d'accueil de leur site web ou de leur application.

Si vous traitez des informations personnelles sensibles, vous avez également besoin d'un lien "Limiter l'utilisation de mes informations personnelles sensibles", car les consommateurs ont également le droit de limiter le traitement des IPS en vertu de la loi sur la protection des données, telle que modifiée par l'ACPR.

Mais la loi précise que les entreprises n'ont pas besoin d'inclure des liens si les signaux de préférence d'exclusion envoyés par les consommateurs avec leur consentement par une plateforme, une technologie ou un mécanisme sont utilisés et suivis, comme le montre la capture d'écran ci-dessous.

Les plates-formes, technologies et mécanismes mentionnés dans cette partie de la loi font référence aux paramètres du navigateur tels que le Contrôle mondial de la protection de la vie privée(GPC), qui avertit les sites web des préférences de l'utilisateur en matière de consentement dès qu'il entre sur le site.

Toute information personnelle que vous recueillez auprès des utilisateurs, y compris les IPS, doit être décrite dans un document conforme à la CCPA ( politique de confidentialité ), en suivant des lignes directrices spécifiques.

Définition de la CCPA des informations sensibles avant les modifications de l'ACPR

Avant que l'ACPR ne modifie la LPCC, il n'y avait pas de distinction entre les données à caractère personnel ordinaires et les informations sensibles.

Voir la capture d'écran ci-dessous pour la définition juridique originale des informations personnelles décrites dans l'article 1798.140 de la CCPA.

Le texte original de la loi mentionnait les détails suivants comme exemples de données personnelles:

• Noms réels, pseudonymes, adresses postales, identifiants personnels uniques, identifiants en ligne, adresses de protocole Internet, adresses électroniques, noms de comptes, numéros de sécurité sociale, numéros de permis de conduire, numéros de passeport ou autres identifiants similaires.
• Informations commerciales, registres des biens personnels, produits ou services achetés, obtenus, envisagés, ou autres historiques et tendances en matière d'achat et de consommation.
• Informations biométriques
• Activité sur Internet et sur les réseaux électroniques, informations, historique de navigation, historique de recherche, informations concernant l'interaction du consommateur avec un site web, une application ou une publicité
• Données de géolocalisation
• Informations sonores, électroniques, visuelles, thermiques, olfactives ou similaires
• Informations professionnelles ou liées à l'emploi
• Informations sur l'éducation qui ne sont pas accessibles au public

Désormais, il existe une catégorie d'informations sensibles, qui fait l'objet d'une définition complète et qui est soumise à des exigences plus strictes que les données à caractère personnel ordinaires.

Définition des informations sensibles selon la CalOPPA

Établie en 2003, la CalOPPA est la première loi exigeant que les sites web accueillant des visiteurs californiens publient des politiques de confidentialité, mais elle ne comporte pas de catégorie d'informations sensibles.

La CalOPPA définissait à l'origine les informations personnelles identifiables (PII) aux États-Unis comme l'une des informations suivantes :

• Nom et prénom
• Domicile ou autre adresse physique
• Adresse électronique
• Numéro de téléphone
• Numéro de sécurité sociale
• Tout autre identifiant permettant de contacter physiquement ou en ligne une personne spécifique.
• Les informations concernant un utilisateur que le site web ou le service en ligne collecte et qui peuvent identifier une personne physique lorsqu'elles sont combinées à un identifiant décrit ci-dessus.

En vertu de cette loi, les entités qui collectent des IPI doivent afficher de manière visible une page politique de confidentialité décrivant :

• Les catégories d'IPI collectées et les personnes avec lesquelles elles sont partagées
• S'il existe une procédure permettant aux consommateurs d'examiner ou de demander des modifications de leurs données
• Comment informerez-vous les consommateurs des changements apportés à la politique de confidentialité
• Une date d'entrée en vigueur clairement affichée
• Indiquer comment vous répondez aux signaux "ne pas suivre" ou à d'autres mécanismes.
• Indiquer si d'autres parties peuvent collecter des données à caractère personnel sur les activités en ligne d'une personne au fil du temps ou sur différents sites web.
• Fournir un lien hypertexte clair et bien visible sur le site politique de confidentialité expliquant les protocoles de demande de "Do Not Track" que vous suivez.

Toutefois, la CCPA, telle que modifiée par la CPRA, étend les obligations des entreprises, les droits des consommateurs et les protocoles techniques décrits à l'origine dans la CalOPPA ; il convient donc de savoir comment ces trois lois peuvent affecter le suivi et le traitement de vos données personnelles sensibles.

Définition des informations sensibles dans la CDPA de Virginie

La Virginia Consumer Data Protection Act (VCDPA), l'une des plus récentes lois sur la protection des données de l'État américain, établit légalement deux catégories d'informations : les données personnelles et les données personnelles sensibles.

La section 59.1-571 de la CDPA définit les données à caractère personnel comme suit :

... toute information liée ou pouvant raisonnablement être liée à une personne physique identifiée ou identifiable.

Mais il exclut toute information dépersonnalisée ou accessible au public.

La loi définit également une catégorie distincte d'informations appelée "données sensibles", qui englobe toute catégorie d'informations comprenant :

• Origine raciale ou ethnique
• Croyances religieuses
• Diagnostic de santé mentale ou physique
• Orientation sexuelle
• Citoyenneté ou statut d'immigrant
• Traitement des données biométriques ou génétiques
• Toute donnée collectée auprès d'un enfant connu
• Géolocalisation précise

En vertu de la LPDC, les responsables du traitement des données doivent obtenir le consentement explicite du consommateur pour traiter des données sensibles. Ce consentement doit être donné librement par le consommateur, en connaissance de cause et sans ambiguïté, comme le montre la capture d'écran ci-dessous.

Définition des informations sensibles dans la LPRPDE

Au Canada, la loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est une loi fédérale sur la confidentialité des données qui impose des restrictions sur la manière dont les organisations collectent et utilisent les données personnelles, y compris les informations sensibles.

En 2022, le Commissariat à la protection de la vie privée du Canada (CPVP) a publié un bulletin d'interprétation sur les informations sensibles, indiquant qu'en vertu de la LPRPDE, toute donnée peut être considérée comme sensible en fonction du contexte, comme le montre la capture d'écran ci-dessous.

Elle précise que les informations suivantes sont généralement considérées comme sensibles et nécessitent un degré de sécurité et de protection plus élevé :

• Données sur la santé
• Données financières
• Origines ethniques ou raciales
• Opinions politiques
• Données génétiques
• Données biométriques
• Orientation sexuelle
• Croyances religieuses
• Croyances philosophiques

Si vous collectez des données personnelles et que vous tombez sous le coup de la LPRPDE, vous devez respecter dix principes d'équité en matière d'information énoncés par la loi et prendre des mesures supplémentaires pour stocker les données de manière sûre et appropriée.

Comment d'autres lois définissent les informations personnelles sensibles

D'autres lois dans le monde ont un impact sur la collecte et l'utilisation des données personnelles sensibles. Nous avons donc compilé plusieurs définitions dans le tableau ci-dessous.

Si les définitions des informations sensibles se recoupent, chacune d'entre elles introduit des identifiants, des lignes directrices et des exigences uniques que les entreprises doivent respecter pour suivre, stocker et utiliser ces informations.

Tout cela peut sembler insurmontable, mais nous sommes là pour vous aider.

FAQ sur les informations personnelles sensibles

Pour en savoir plus sur les informations personnelles sensibles, consultez ci-dessous les questions les plus fréquemment posées sur le sujet.

Résumé

En vertu de lois sur la protection de la vie privée telles que la CCPA et le RGPD, les informations personnelles sensibles constituent une catégorie distincte de données, et les entreprises doivent les traiter avec des garanties supplémentaires.

En fonction de la loi sur la protection de la vie privée qui s'applique, les utilisateurs ont des droits différents sur leurs IPS par rapport aux catégories normales de données à caractère personnel.

Étant donné que les données sensibles comprennent des détails vulnérables tels que les croyances, l'orientation sexuelle, les affiliations politiques ou la race d'une personne, l'exposition de ces données peut causer un préjudice à l'utilisateur, notamment :

• Discrimination
• Humiliation
• Usurpation d'identité
• Fraude
• Diffamation

Si vous recueillez auprès des utilisateurs des informations qui entrent dans la catégorie des IPS, prenez des mesures supplémentaires pour vous assurer que les données sont stockées en toute sécurité et à l'abri d'éventuelles cybercriminalités.

Affichez ostensiblement sur votre site web ou votre application une page politique de confidentialité décrivant les données sensibles que vous collectez, la base juridique sur laquelle vous vous appuyez, et expliquant les droits des utilisateurs sur ces données.

En savoir plus sur l'auteur

Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur