- Medibank (2022) : la violation de 9,7 millions de dossiers de santé a eu un impact réputationnel et réglementaire particulièrement sévère en raison de la nature sensible des données — les données de santé bénéficient d'un régime de protection renforcé qui aggrave les conséquences de leur exposition.
- Le consentement explicite pour les données sensibles requiert que la personne soit clairement informée qu'elle consent au traitement d'une catégorie particulière de données sensibles — un standard supérieur au consentement ordinaire.
- Les données biométriques (empreintes, reconnaissance faciale, iris) entrent dans la catégorie des données sensibles dans la quasi-totalité des réglementations modernes — leur collecte à des fins de contrôle d'accès ou d'identification requiert un consentement explicite.
- Les inférences sur des données sensibles (déduire des problèmes de santé à partir de données de localisation ou de consommation) sont soumises aux mêmes règles que les données sensibles originales.
- Les transferts de données sensibles à des tiers ou hors du territoire national sont soumis à des conditions supplémentaires qui ne s'appliquent pas aux données ordinaires.
- Le stockage des données sensibles doit être isolé et soumis à des contrôles d'accès plus stricts que les données ordinaires — une exigence technique qui découle directement des obligations juridiques.
Les données sensibles constituent une catégorie particulière au sein des données personnelles, soumise à un régime juridique renforcé. Les réglementations modernes — RGPD, Loi 18-07 et leurs équivalents — définissent des catégories de données dont le traitement est présumé présenter des risques plus importants pour les droits et libertés des personnes et qui, de ce fait, sont soumises à des conditions de traitement plus strictes.
Pour la direction générale, la distinction entre données ordinaires et données sensibles est à la fois une question juridique et une question de gouvernance. Les traitements de données sensibles requièrent des justifications plus solides, des consentements plus explicites et des protections techniques plus robustes. Ignorer cette distinction — ou ne pas avoir la visibilité sur les catégories de données traitées — est une source de risque réglementaire particulièrement sérieux.
Les catégories de données sensibles et leur régime
Les catégories de données sensibles varient légèrement selon les juridictions, mais incluent généralement : les données de santé (dossiers médicaux, résultats d'analyses, données génétiques), les données biométriques (lorsqu'elles permettent d'identifier une personne — empreintes digitales, reconnaissance faciale, iris), les données révélant l'origine raciale ou ethnique, les opinions politiques ou religieuses, les données sur la vie sexuelle ou l'orientation sexuelle, les données judiciaires et les données de vulnérabilité économique.
Le traitement de ces catégories de données est en principe interdit sauf si l'organisation peut se prévaloir d'une exception légale — dont le consentement explicite de la personne concernée est la principale. Le consentement explicite se distingue du consentement ordinaire par son niveau d'information : la personne doit comprendre qu'elle consent spécifiquement au traitement de données sensibles, pas seulement à un traitement de données personnelles en général.
La violation SingHealth de 2018 (1,5 million de patients) avait pour cible précise les données de santé, incluant les informations médicales du Premier Ministre de Singapour. L'impact particulièrement grave de cet incident — sur le plan national et sur le plan réglementaire — résultait directement de la nature sensible des données affectées. Les dossiers médicaux constituent l'une des catégories les plus sensibles de données personnelles : leur exposition peut avoir des conséquences sur l'assurabilité, l'emploi et la vie personnelle des personnes affectées. Le gouvernement de Singapour a engagé une révision complète du cadre de gouvernance des données de santé à la suite de cet incident, avec des exigences spécifiques sur le contrôle des accès et la traçabilité pour les systèmes traitant des données médicales.
Les données biométriques : une catégorie en expansion
Les données biométriques connaissent une expansion rapide dans les organisations, sous l'impulsion des systèmes de contrôle d'accès biométriques, des solutions de reconnaissance faciale pour l'identification des clients et des fonctionnalités d'authentification biométrique des applications mobiles. Cette expansion crée des risques réglementaires pour les organisations qui déploient ces solutions sans avoir analysé les implications en termes de consentement.
Le déploiement d'un système de contrôle d'accès biométrique dans un contexte de travail — lecteurs d'empreintes à l'entrée des locaux, par exemple — requiert un consentement explicite des employés. Ce consentement est difficile à obtenir dans un contexte de travail, où la relation de déséquilibre entre l'employeur et l'employé peut priver le consentement de son caractère libre. Les solutions alternatives (badges, codes PIN) doivent être proposées aux personnes qui refusent de donner leur consentement.
Les inférences sur les données sensibles
Une catégorie de risque émergente concerne les données qui permettent d'inférer des informations sensibles. Un historique de localisation peut révéler des visites à des établissements de santé — donnée de santé inférée. Des données de consommation peuvent révéler des pratiques religieuses — donnée sur la religion inférée. Ces inférences sont traitées par certains régulateurs comme équivalentes aux données sensibles originales, ce qui étend significativement le périmètre des obligations de consentement.
Les données exposées lors de la violation Equifax de 2017 (numéros de sécurité sociale, dates de naissance, adresses) ne constituent pas des données sensibles au sens strict de la réglementation américaine de l'époque, mais elles permettent des inférences et des fraudes d'une gravité équivalente. Les 147 millions de personnes affectées ont fait face à des risques de fraude à l'identité durables — des risques qui persistent des années après l'incident. La leçon pour les organisations traitant des données permettant des inférences sensibles est claire : même sans entrer dans le régime des données sensibles au sens strict, certaines combinaisons de données ordinaires créent des risques de protection équivalents qui méritent un niveau de gouvernance correspondant.
La publication de 9,5 Go de données Thales par LockBit en 2022 a soulevé des questions sur les données sensibles incluses dans les documents internes exposés. Dans le secteur de la défense et des technologies critiques, les données traitées incluent des catégories qui dépassent la sensibilité des données personnelles ordinaires : données relatives aux habilitations des personnels, informations sur les contrats avec les gouvernements, données techniques sur des systèmes sensibles. La gouvernance de ces données requiert un niveau de protection allant au-delà des exigences de la réglementation sur les données personnelles, mais les principes organisationnels sont similaires : identification précise des catégories sensibles, contrôles d'accès adaptés et traçabilité des accès.
L'incident Lapsus$ ayant exposé des données de Samsung en 2022 incluait des données biométriques utilisées dans les fonctionnalités de reconnaissance de ses produits. Ces données biométriques — soumises à un régime de protection renforcé dans de nombreuses juridictions — avaient été stockées dans des environnements de développement dont la sécurisation n'était pas au niveau de ce que requiert ce type de données. Samsung a dû revoir l'ensemble de son architecture de gestion des données biométriques dans ses processus de R&D, en isolant ces données dans des environnements spécifiques avec des contrôles d'accès et des journaux de traçabilité adaptés à leur niveau de sensibilité.