- RGPD L'article 9 interdit le traitement de données de catégorie spéciale à moins qu'une des dix conditions spécifiques ne soit remplie
- Catégories particulières : origine raciale/ethnique, opinions politiques, religion, appartenance syndicale, données génétiques/biométriques, santé, vie sexuelle/orientation, condamnations pénales (article 10)
- Vous avez besoin à la fois d'une base légale de l'article 6 ET d'une condition de l'article 9 — on ne suffit pas
- Le traitement à grande échelle de données de catégorie spéciale nécessite automatiquement une DPIA
Les données de catégorie spéciale sont des données à caractère personnel se rapportant à des aspects particulièrement sensibles de la vie d'une personne — aspects dans lesquels une utilisation abusive pourrait causer des dommages graves, y compris la discrimination, la violence ou des dommages financiers ou sociaux importants. RGPD L'article 9 interdit par défaut le traitement de données de catégorie spéciale, avec une liste fermée d'exceptions.
Voie d'achat HubSecure connexe
Conformité CRM guide conformité CRM pour les entreprises en croissance CRM module HubSpot comparaison conformité CRM guide Guide Bibliothèque réserver une démo workflow
Ressources connexes en matière de sécurité, de protection de la vie privée et de gouvernance
Continuer avec HubSecure centre de sécurité et de confiance , accord de traitement de données , sous-processeurs , flux de travail de conformité , opérateur AI régi .
Cas d'utilisation connexe
Ce guide appartient au cluster Workspace Alternatives and Tool Consolidation Guides. Continuer avec le moyeu produit pour les alternatives d'espace de travail et la consolidation des outils .
Ce qui compte comme données de catégorie spéciale
Les catégories suivantes sont définies à l'article 9, paragraphe 1:
- Origine raciale ou ethnique
- Avis politiques
- Croyances religieuses ou philosophiques
- Participation syndicale
- Données génétiques
- Données biométriques traitées aux fins d'identification unique d'une personne (empreintes digitales, reconnaissance faciale)
- Données sur la santé — y compris la santé physique et mentale, le handicap, les dossiers de santé
- Données concernant la vie sexuelle ou l'orientation sexuelle
Les données sur les condamnations pénales et les infractions sont traitées séparément en vertu de l'article 10 et sont soumises à des restrictions similaires — le traitement n'est autorisé que par l'autorité officielle ou conformément à la législation nationale.
Remarque : La catégorie est déclenchée par la nature de l'information, pas par la façon dont vous l'avez obtenue ou par ce que vous comptez faire avec elle. La divulgation d'un client qui révèle par hasard un état de santé ou une appartenance religieuse signifie que vous possédez maintenant des données de catégorie spéciale, même si vous ne l'avez pas cherché.
Les conditions de l'article 9 pour la transformation
Le traitement de données de catégorie spéciale exige que l'une des conditions suivantes soit remplie (en plus d'une base légale de l'article 6):
- Le consentement explicite — plus exigeant que le consentement régulier; doit être spécifique pour les données de catégorie spéciale
- Obligations en matière d'emploi et de sécurité sociale — par exemple, traitement des données de santé pour les indemnités de maladie et les logements pour personnes handicapées
- Intérêts vitaux — lorsque l'individu ne peut donner son consentement (urgences médicales)
- Organismes à but non lucratif ayant un intérêt légitime — limité aux membres et anciens membres seulement
- Données rendues publiques par l'individu — seulement si elles l'ont clairement manifestée publiquement
- Créances juridiques — établissement, exercice ou défense d'une action en justice
- Intérêt public substantiel — en vertu du droit national, avec garanties proportionnées
- À des fins médicales ou de santé — obligation de secret professionnel
- Santé publique — en droit national
- Archivage, recherche, statistiques — en droit national, avec garanties
Exemples pratiques pour les entreprises réglementées
Avocats
Les questions concernant les clients, notamment les blessures corporelles, l'immigration, la discrimination en matière d'emploi ou le droit de la famille, concernent souvent des données sur la santé, l'origine raciale ou la vie sexuelle. Procédure prévue à l'article 9, paragraphe 2, point f) (réclamations légales) avec consentement explicite comme base secondaire, le cas échéant. Veiller à ce que les dossiers comportant des données de catégorie spéciale fassent l'objet de contrôles d'accès améliorés.
Fournisseurs de soins de santé
Les données sur la santé sont au cœur de l'entreprise. La condition énoncée à l'article 9, paragraphe 2, point h), (fins médicales, secret professionnel) couvre la plupart des traitements cliniques. Les systèmes doivent assurer un accès strict fondé sur le rôle et des pistes de vérification exhaustives.
Employeur
Le traitement des données relatives à la santé des employés en cas d'absence de maladie, d'hébergement pour personnes handicapées ou d'évaluation de la santé au travail repose généralement sur l'article 9, paragraphe 2, point b), (obligations de droit du travail). Ne recueillez pas systématiquement des renseignements sur la santé au-delà de ce qui est nécessaire à des fins d'emploi particulières.
Prescriptions supplémentaires pour les données de catégorie spéciale
- Le traitement à grande échelle de données de catégorie spéciale déclenche automatiquement une exigence de DPIA [article 35, paragraphe 3, point b)]
- Les systèmes contenant des données de catégorie spéciale devraient mettre en place une sécurité accrue — chiffrement au repos et en transit, contrôles d'accès stricts, stockage séparé dans la mesure du possible
- Le personnel ayant accès à ces informations devrait recevoir une formation spécifique sur le traitement des informations sensibles
- Les périodes de conservation devraient être examinées avec soin — les données de catégorie spéciale devraient généralement être conservées pendant la période défendable la plus courte
Si un client mentionne son état de santé en passant, est-ce que nous détenons des données de catégorie spéciale?
Oui, si elle est enregistrée. Une note dans un CRM ou un fichier qui fait référence à l'état de santé d'un client signifie que votre dossier contient maintenant des données de catégorie spéciale. Vérifiez si vous devez conserver cette information ou si elle peut être retirée. S'il est conservé, veiller à ce que la condition appropriée de l'article 9 s'applique.
Les données du casier judiciaire relèvent-elles de l'article 9?
Les données sur les condamnations pénales et les infractions sont couvertes par l'article 10 plutôt que par l'article 9, mais sont soumises à des restrictions similaires. Le traitement n'est autorisé que par l'autorité officielle ou par le droit national. Les contrôles du casier judiciaire liés à la LAM peuvent être autorisés en vertu de la législation nationale de la LAM.
Contrôles sur le terrain pour les données sensibles
HubSecure Vault prend en charge les restrictions d'accès accrues par champ et par type d'enregistrement, de sorte que les données sensibles des clients ne sont visibles que pour ceux qui ont un besoin légitime.
Réservez une démoExamen des équipes réglementées
Préparé par l'équipe de rédaction HubSecure à l'intention des exploitants, des responsables de la conformité et des examinateurs de TI qui évaluent les logiciels d'exploitation sécurisés des clients.
Auteurs · évaluateurs · Politique éditoriale