📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 9 du RGPD : Traitement portant sur des catégories particulières de données personnelles

Sommaire

Introduction

L’article 9 du RGPD est l’une des protections les plus fortes du règlement européen. Il interdit en principe le traitement des données dites sensibles, mais prévoit certaines exceptions. Pour utiliser ces données, il faut à la fois entrer dans une exception et respecter les règles générales de licéité : c’est ce qu’on appelle le système du « double verrou ». Cela concerne notamment les données liées à l’origine raciale, aux opinions politiques, aux convictions religieuses, à l’appartenance syndicale, ainsi que les données génétiques, biométriques, de santé, ou relatives à la vie sexuelle et à l’orientation sexuelle.

Explication de l’article

L’article 9 du RGPD protège tout particulièrement les données dites sensibles.

1. Pourquoi une protection particulière ?

Les données dites sensibles (origine, opinions, convictions, santé, biométrie, sexualité, etc.) peuvent révéler des informations très intimes et exposer les personnes à des discriminations. Pour cette raison, le RGPD leur applique un régime plus strict que pour les autres données personnelles.

2. Le principe : une interdiction de traitement

Par défaut, ces données ne peuvent pas être traitées. Contrairement aux données ordinaires, il ne suffit pas d’avoir une base légale : il existe une véritable interdiction de principe.

3. Les exceptions : dix cas strictement limités

Le traitement est permis uniquement si l’une des dix exceptions prévues s’applique, comme:

  • consentement explicite
  • obligations du droit social
  • sauvegarde des intérêts vitaux
  • organismes à but non lucratif
  • données manifestement rendues publiques
  • exercice d’un droit en justice
  • intérêt public important
  • médecine préventive
  • santé publique
  • archivage/recherche scientifique.

4. Le système du “double verrou”

Même lorsqu’une exception est remplie, il faut en plus respecter l’une des bases légales de l’article 6 du RGPD. Ce double contrôle renforce la protection.

5. Des garanties supplémentaires

  • Consentement explicite : il doit être clair, volontaire et sans ambiguïté.
  • Données de santé : elles doivent être traitées par des professionnels soumis au secret.
  • Minimisation : seules les données strictement nécessaires peuvent être collectées et traitées.

6. Finalité du dispositif

L’objectif est clair : que les données les plus sensibles ne soient traitées qu’exceptionnellement, par des acteurs légitimes et dans un cadre strictement encadré.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

Article 9 

1)Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :

a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;

b) le traitement est nécessaire aux fins de l’exercice des obligations et des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;

c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement;

d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes qui entretiennent avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;

e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;

f) le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;

g) le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;

h) le traitement est nécessaire aux fins de la médecine préventive, de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3;

i) le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit d’un État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel;

j) le traitement est nécessaire à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l’article 89, paragraphe 1, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

2) Les données à caractère personnel visées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel en vertu du droit de l’Union, du droit d’un État membre ou des règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne soumise également à une obligation de secret en vertu du droit de l’Union, du droit d’un État membre ou des règles arrêtées par les organismes nationaux compétents.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 8 

Les États membres interdisent le traitement de données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement de données relatives à la santé et à la vie sexuelle.

Le paragraphe 1 ne s’applique pas si:

a) la personne concernée a donné son consentement explicite à ce traitement, sauf dans le cas où la législation de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée;
 ou
 b) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement;
 ou
 c) le traitement est effectué, dans le cadre de ses activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres de cet organisme et aux personnes qui entretiennent avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées;
 ou
 d) le traitement porte sur des données rendues manifestement publiques par la personne concernée ou est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 6 

I- Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

II- L’interdiction mentionnée au I ne s’applique pas dans les cas mentionnés au 2 de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016 précité.

III. – Par dérogation au I, peuvent également faire l’objet d’un traitement les données mentionnées au même I :
 1° Lorsque la personne concernée y a consenti de manière expresse;
 2° Lorsque le traitement est expressément prévu par la loi et constitue une mesure nécessaire et proportionnée à la sauvegarde de la sécurité publique, à la défense, à la sécurité de l’État ou à la bonne exécution des missions de l’autorité publique, sous réserve que soient mises en place des garanties appropriées et spécifiques de protection des libertés et droits fondamentaux;
 3° Lorsqu’elles sont nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice;
 4° Lorsqu’elles sont nécessaires aux besoins de la recherche, de l’étude ou de l’évaluation dans le domaine de la santé, sous réserve que soient mises en place des garanties appropriées.

Analyse des 3 textes qui précèdent 

L’évolution du cadre juridique entre la directive 95/46/CE, l’article 9 du RGPD et la transposition française révèle un renforcement progressif et une sophistication croissante de la protection des données sensibles.

La directive 95/46/CE établissait déjà le principe d’interdiction des données sensibles, mais avec un champ d’application plus restreint. Elle ne couvrait pas explicitement les données génétiques, biométriques (sauf à des fins d’identification), et ne mentionnait l’orientation sexuelle qu’indirectement à travers « la vie sexuelle ». Les exceptions étaient moins nombreuses et moins précisément définies.

L’article 9 du RGPD opère trois révolutions majeures. 

Premièrement, l’extension significative du périmètre : ajout explicite des données génétiques, biométriques aux fins d’identification unique, et de l’orientation sexuelle. 

Deuxièmement, l’introduction du système de « double licéité » qui exige le respect cumulatif d’une exception (article 9.2) et d’une base légale (article 6.1), créant un verrou de sécurité supplémentaire.

Troisièmement, la précision des exceptions avec des conditions strictes et des garanties appropriées pour chacune d’elles.

La loi Informatique et Libertés va au-delà du RGPD sur plusieurs points. Elle affirme idéologiquement le rejet des théories raciales par la mention de « prétendue origine raciale ». Elle élargit les exceptions d’intérêt public (article 6.III) en prévoyant des dérogations spécifiques pour la sécurité publique, la défense et la sécurité de l’État. Cette approche témoigne d’une adaptation aux spécificités nationales tout en respectant le cadre européen de protection.

L’arrêt C-184/20 a élargi la protection en considérant aussi les données qui permettent de déduire indirectement des informations sur la vie privée. Désormais, c’est le risque lié aux données, et non seulement leur nature, qui détermine l’application de l’article 9.

Jurisprudences

Européennes

C-184/20 (1er août 2022) – Vyriausioji tarnybinės etikos komisija

La Cour de Justice Européenne a établi une interprétation extensive des données sensibles. Elle a jugé que des données objectives (comme les intérêts économiques d’un conjoint) peuvent constituer des catégories particulières si elles permettent de révéler indirectement des informations sensibles, notamment l’orientation sexuelle. Cette décision élargit considérablement le champ d’application de l’article 9 en y incluant les données permettant des inférences sur la vie privée.

C-667/21 (21 décembre 2023) – Krankenversicherung Nordrhein

Cet arrêt fondamental clarifie le système de « double licéité » pour les données de santé. La CJUE confirme qu’un traitement fondé sur l’exception de l’article 9.2.h (médecine préventive) doit également respecter les conditions de l’article 6.1. L’exception de l’article 9.2.h peut s’appliquer même lorsque l’employeur traite les données de ses propres salariés, sous réserve des garanties strictes de l’article 9.3 relatives au secret professionnel.

C-708/18 (11 décembre 2019) – Asociaţia de Proprietari bloc M5A-ScaraA

Bien que concernant principalement l’article 6, cette décision précise que la vidéosurveillance ne peut traiter des données sensibles, sauf exception justifiée par un intérêt légitime prépondérant avec des garanties appropriées.

Françaises

Délibération SAN-2024-014 du 26 septembre 2024

Affaire COSMOSPACE : la CNIL a infligé une amende de 250 000 € pour violation de l’article 9 RGPD sur les données sensibles.

La société a collecté des données sensibles sans consentement explicite, les a conservées trop longtemps, a enfreint les règles de prospection commerciale et a procédé à un enregistrement systématique des appels disproportionné.

La CNIL rappelle que le simple fait de partager spontanément des données sensibles en voyance ne constitue pas un consentement valable.

Cette décision confirme la rigueur de la CNIL sur le traitement des données sensibles et la notion de consentement.

Délibération SAN-2024-015 du 26 septembre 2024

Affaire TELEMAQUE : le 26 septembre 2024, la CNIL a sanctionné la société à 150 000 € pour violation de l’article 9 du RGPD relatif aux données sensibles.

TELEMAQUE, offrant des services de voyance par chat et SMS, a collecté et conservé illégalement des données sensibles (santé, vie sexuelle, convictions religieuses, orientation sexuelle) sans consentement explicite et les a gardées 6 ans, en violation du principe de limitation de conservation (art. 5-1-e).

Elle a aussi utilisé une base de données commune avec COSMOSPACE pour de la prospection électronique sans transparence ni consentement préalable.

La CNIL a rappelé que demander une prestation de voyance ne vaut pas consentement au traitement de données sensibles.

Cette sanction, parallèle à celle de COSMOSPACE, souligne la rigueur de la CNIL sur le traitement des données sensibles et le recueil du consentement.

Recommandations

CEPD

Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/67

Le CEPD précise que le consentement aux données sensibles doit être « explicite », ce qui exclut toute forme de consentement tacite. Le consentement doit faire l’objet d’une déclaration ou d’un acte positif clair, distinct des autres consentements. Les cases pré-cochées, le silence ou l’inactivité ne peuvent constituer un consentement explicite.

Lignes directrices sur la pseudonymisation et l’anonymisation (janvier 2025) 

Ces lignes directrices spécialisées pour les données de santé recommandent des techniques robustes de pseudonymisation avec séparation stricte des informations supplémentaires permettant la ré-identification. L’approche doit être graduée selon les risques.

Lignes directrices 3/2019 sur le traitement de données par dispositifs vidéo

Le CEPD interdit en principe la collecte de données sensibles par vidéosurveillance, sauf circonstances exceptionnelles avec garanties appropriées. La simple captation d’images ne constitue pas une « publication manifeste » au sens de l’article 9.2.e.

CNIL

Guide sur la réutilisation de bases de données (2025)

Recommandations sur les données de santé

Post sur les données de santé 



Le RGPD peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne de A à Z.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.