Skip to Content
RGPDPartie 5 — Données sensibles & mineursVue d'ensemble

Partie 5 — Données sensibles & mineurs

⏱️ TL;DR — Toutes les données personnelles ne se valent pas. Certaines sont si intimes qu’une fuite ou un détournement peut discriminer, stigmatiser ou mettre en danger : ce sont les catégories particulières de l’article 9 (santé, origine, opinions, religion, orientation sexuelle, données génétiques et biométriques…), dont le traitement est interdit par principe sauf exception. À côté, l’article 10 encadre les données pénales, la France verrouille le NIR (numéro de sécurité sociale), et l’article 8 protège spécialement les mineurs — avec un âge du consentement numérique fixé à 15 ans en France. Pour une EdTech, ce n’est pas un coin obscur du RGPD : les aménagements de handicap, les élèves de collège, l’appli scolaire installée sur le téléphone d’un enfant, c’est le cœur du métier. Cette partie t’apprend à repérer ces données et à leur appliquer le bon niveau de protection.

Le problème qu’on résout

La plupart des devs savent vaguement que « les données de santé, c’est sensible ». Mais dans le code réel, le piège est ailleurs : une donnée sensible arrive souvent par la bande. Un champ « régime sans porc » à la cantine révèle une religion. Une case « tiers-temps » sur un examen révèle un handicap. Une photo de classe révèle l’origine. Un simple champ notes en texte libre finit par contenir « suivi par le psy du collège ». On croit gérer des données ordinaires, et on a en base des données art. 9 sans protection ni base légale renforcée — c’est-à-dire une bombe à retardement en cas de contrôle ou de fuite.

Et puis il y a les mineurs. Une EdTech scolaire traite, par construction, des données d’enfants — parfois très jeunes. Le RGPD leur réserve une protection maximale : consentement des parents en dessous de 15 ans, information dans un langage qu’un enfant comprend, interdiction de fait du profilage publicitaire. Se tromper ici, c’est le manquement qui fait les gros titres.

On répare ça en apprenant à nommer ces données, à connaître le régime interdiction + exceptions, et à traduire cette protection en décisions d’architecture : où on stocke, qui accède, quelle base légale, faut-il une AIPD.

Ce que tu sauras faire à la fin de cette partie

  • Réciter la liste des catégories particulières de l’article 9 et reconnaître une donnée sensible, même par déduction.
  • Appliquer le régime interdiction de principe + exceptions (à commencer par le consentement explicite).
  • Traiter correctement les aménagements de handicap (PAP, PPS, tiers-temps) comme des données de santé.
  • Situer le risque très élevé de la biométrie et de la génétique, et savoir quand une AIPD s’impose.
  • Encadrer les données pénales (art. 10) et ne jamais collecter le NIR « par confort ».
  • Gérer les mineurs : seuil des 15 ans, consentement parental, langage adapté, prudence maximale.

Les chapitres

#ChapitreEn un mot
5.1Les catégories particulières (art. 9)La liste, l’interdiction de principe, les exceptions.
5.2Données de santé & handicapLe cas EdTech central : les aménagements.
5.3Biométrie & génétiqueIdentifier une personne : le très haut risque.
5.4Données pénales & NIRArt. 10 et le numéro de sécurité sociale.
5.5Les mineurs15 ans, parents, langage adapté : le sujet EdTech.

On commence : Les catégories particulières (art. 9).

Last updated on