Parmi les données à caractère personnel (DCP), on distingue la catégorie des données sensibles qui révèlent une situation particulière de la personne.

Les données sensibles :

•  Toute Information révélant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale,
•  Les données relatives à la santé ou la vie ou l’orientation sexuelle
• Les données génétiques ou biométriques traitées dans le but d’identification des personnes

En principe, ces données ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes*.

La collecte et le traitement de ces données doivent être justifiés au cas par cas au regard des objectifs recherchés.

Attention aux inférences !  Elles peuvent permettre de déterminer des données sensibles par déduction :

• Ex : déduction d’une opinion religieuse à partir de jours de congés posés dans une application de gestion du temps
• Ex : formulaire de collecte relatif au régime alimentaire selon formulation

Tout traitement de données sensibles relatives aux élèves ou au personnel doit avoir fait l’objet d’une étude d’impact sur la vie privée (cf fiche EIVP)

Exemples de traitement de données sensibles :

• Accès restauration scolaire avec système d’authentification par contour de la main
• Recueil de données biométriques associé à des performances sportives
• Enregistrement dans un logiciel des PAI/PPS des élèves
• Utilisation d’un module type infirmerie dans un logiciel de vie scolaire

* hors professionnels de santé, l’article 9.2 du RGPD, dans certaines circonstances, autorise les organismes publics à traiter les données sensibles. Il y a lieu alors de faire la balance entre le risque encouru et la nécessité de traiter sans consentement.  

Points de vigilance :

• Champs autres dans les formulaires et applications => les données qui y sont saisies peuvent être des données sensibles engageant alors la responsabilité du responsable de traitement
• Le consentement ne peut être implicite, le responsable de traitement doit être en mesure d’en apporter la preuve matérielle è formulaire de consentement
• Les données sensibles doivent faire l’objet d’une sécurisation renforcée, les mesures retenues sont évaluées lors de l’étude d’impact

Autres données à risque :

• Données relatives aux infractions pénales, aux condamnations
• Données comprenant le numéro NIR (numéro de sécurité sociale)

A contrario, certaines situations ou données peuvent être ressenties comme sensibles sans pour autant être des données sensibles au sens du RGPD. C’est par exemple le cas de la donnée éducative qui demeure une question sensible, sans être une donnée sensible.

Données scolaires : ce ne sont pas des données sensibles mais des données avec une sensibilité particulière è traitement sensible