Données sensibles et données personnelles : ce qui les différencie
Depuis l’entrée en vigueur du RGPD, le terme “donnée sensible” est souvent utilisé à tort. Pourtant, il existe une différence fondamentale entre donnée sensible et donnée personnelle. Faisons le point pour bien comprendre les enjeux et éviter toute confusion.

Qu’est-ce qu’une donnée sensible ?

Une donnée sensible est une information personnelle particulièrement protégée par le RGPD, car sa divulgation pourrait entraîner une discrimination ou une atteinte aux droits fondamentaux d’un individu.

Exemples de données sensibles :

  • Origine raciale ou ethnique
  • Opinions politiques
  • Convictions religieuses ou philosophiques
  • Appartenance syndicale
  • Données de santé
  • Données biométriques ou génétiques
  • Orientation sexuelle

Quand peut-on les traiter ?

Le traitement de données sensibles est interdit par défaut, sauf dans des cas très précis, comme :

  • ✅ Consentement explicite de la personne concernée
  • ✅ Publication volontaire par la personne
  • ✅ Protection vitale de la personne
  • ✅ Intérêt public avec autorisation de la CNIL
  • ✅ Gestion d’adhérents d’une organisation à caractère politique, religieux, syndical, etc.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est toute information permettant d’identifier directement ou indirectement une personne physique.

Exemples de données personnelles :

  • Nom, prénom
  • Adresse email, numéro de téléphone
  • Numéro de sécurité sociale
  • Adresse IP
  • Données de localisation
  • Informations croisées (ex. : "Un homme, né le 1er janvier, jouant au tennis à Dijon")

📌 Même si une seule donnée ne permet pas une identification, un croisement de données peut la rendre possible.

Données sensibles VS données personnelles

Donnée personnelle Donnée sensible
Peut identifier une personne Peut discriminer ou porter atteinte à une personne
Soumise aux principes du RGPD Interdite sauf exceptions prévues par le RGPD
Ex. : nom, téléphone, adresse email Ex. : religion, orientation sexuelle, santé

Toutes les données sensibles sont personnelles, mais toutes les données personnelles ne sont pas sensibles.

Ce que dit le RGPD

Le RGPD s’applique à toute donnée concernant un citoyen de l’UE, même si le traitement est effectué hors de l’Union.

  • Les responsables de traitement et leurs sous-traitants sont tenus de respecter les obligations légales.
  • Le non-respect peut entraîner des sanctions importantes.

En résumé

  • Donnée personnelle = permet d’identifier une personne
  • Donnée sensible = donnée personnelle avec un risque de discrimination
  • Le RGPD encadre strictement leur collecte et leur traitement
  • Bien distinguer les deux types de données est essentiel pour rester conforme

Pour aller plus loin

Pourquoi gérer vos données personnelles avec le Data Masking et l’Anonymisation ?