En janvier 2018, la CNIL avait distingué trois types de données de santé: par nature, par croisement ou par destination.
Près de six ans plus tard, on peut se demander si cette distinction a toujours un sens, alors que les décisions des juridictions et autorités de protection des données se contredisent, divergent ou multiplient les exceptions lorsqu’il s’agit de qualifier une donnée comme étant relative à la santé. Pour illustrer ce point, il suffit de renvoyer aux décisions relatives aux données de rendez-vous médicaux, souvent considérés comme des informations sur la santé, alors que la Cour de Justice a été interrogée, début 2023, quant à savoir si le ticket de caisse d’une pharmacie, pour des médicaments OTP, entre dans le champ de l’article 9 du RGPD.
Mais surtout, le principe selon lequel l’inférence – même intellectuelle – d’une donnée à partir des données collectées constitue un traitement de la donnée inférée (CJUE, 1er août 2022, Vyriausioji, n° C-184/20) ne suffit-il pas à faire voler en éclat cette classification?
Dans une décision Conecta5 Telecinco du 21 mars 2023, l’APD espagnole a sanctionné un média pour la diffusion de la voix d’une victime de crime, considérant que celle-ci permettait de déduire son état de santé. Allant plus loin encore, l’autorité roumaine a estimé que le surnom d’une personne pouvait suffire à révéler son origine ethnique, au sens de l’article 9 (ANSPDCP, communiqué du 23 août 2023, Body Line).
A l’évidence, un quatrième type aurait donc vu le jour, celui de la donnée de santé par inférence.
Et cette typologie ne serait pas limitée aux données de santé.
Une transposition concrète de ce mécanisme juridique au monde de l’entreprise conduit à déconseiller fortement à l’employeur de conditionner le télétravail à la production d’une attestation d’assurance couvrant le salarié. Un tel document peut contenir les données d’un tiers, voire révéler l’orientation sexuelle de la personne, comme dans l’arrêt Vyriausioji.