Lorsque une entreprise traite des données personnelles sensibles en tant que responsable de traitement, elle doit systématiquement s’interroger pour savoir qu’elle est la base légale de ce traitement.
Pour rappel, une donnée personnelle sensible est une information sur la santé d’une personne, ses orientations sexuelles, qui révèle son origine raciale ou ethnique, ses opinions politiques, ses convictions religieuses ou philosophiques ou son appartenance syndicale, ses données génétiques ou encore biométriques.
La base légale, c’est ce qui autorise l’entreprise responsable de traitement, à faire un traitement de données.
S’il n’y a pas de base légale, le traitement est interdit.
LES 5 BASES LEGALES PREVUES PAR LE RGPD POUR LE TRAITEMENT DE DONNEES SENSIBLES SONT LES SUIVANTES :
1/ La personne concernée a donné son consentement explicite et préalable au traitement de ses données sensibles.
2/ Le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale.
3/ Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement.
4/ Le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées.
5/ Le traitement porte sur des données personnelles qui sont manifestement rendues publiques par la personne concernée
6/ Le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle
7/ Le traitement est nécessaire pour des motifs d’intérêt public important ou pour des motifs d’intérêt public dans le domaine de la santé publique.
8/ Le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis à une obligation de secret professionnel ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret.
Si le professionnel traite des données sensibles et qu’aucune base légale ne l’y autorise, sa responsabilité civile et pénale peut être engagée.