Le Règlement général sur la protection des données (Règlement 2016/679 ou RGPD) permet aux États membres de préciser les conditions spécifiques au traitement de leur « numéro d’identification national ». En France, il s’agit du numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (RNIPP), plus communément appelé NIR ou « numéro de sécurité sociale ».
Un responsable de traitement ne peut mettre en œuvre un traitement comprenant le NIR que s’il s’inscrit dans l’une des hypothèses listées de manière limitative à l’article 30 de la loi n°78-17 du 6 janvier 1978 dite « loi Informatique et Libertés ». En complément des catégories de traitement directement listées, cet article prévoit l’adoption d’un décret en Conseil d’État afin de préciser les catégories de responsables de traitements et les finalités des traitements pour lesquels il est possible de traiter le NIR.
Ce décret a été adopté le 19 avril 2019 (décret n°2019-341). Le projet de décret a fait l’objet d’un avis de la Commission nationale de l’informatique et des libertés (délibération n°2019-029 du 14 mars).
Une liste détaillée
Le décret consiste essentiellement en une liste détaillée des finalités pour lesquelles il est licite de traiter le NIR ou de consulter le RNIPP, et des responsables de traitement pouvant mettre en œuvre les traitements correspondants. Le décret vise à l’exhaustivité, et énonce précisément les hypothèses visées.
Cette liste soulève toutefois une problématique. Bien qu’elle soit détaillée, il n’est pas possible d’exclure qu’elle omette une finalité qui nécessiterait le traitement du NIR, ou une catégorie de responsable de traitement qui pourrait légitimement s’y trouver.
Dans son avis, la Cnil avait souligné que « le recensement extrêmement détaillé auquel procède le présent projet […] qui est au demeurant susceptible d’entraîner une modification de l’acte réglementaire à chaque évolution […] nuit à la lisibilité globale du projet de décret ». La Commission visait ici en particulier la rédaction concernant des traitements mis en œuvre dans le domaine de la santé et listés dans le décret. Dans d’autres cas, la Commission regrettait à l’inverse que certaines finalités et catégories de responsables « ne soient pas suffisamment explicites ».
Toutefois, dans son avis sur le projet, la Cnil a notamment proposé des reformulations et des ajouts, afin de clarifier les finalités et les types de responsables de traitements concernés, et d’inclure explicitement certains traitements. Ceci pourrait limiter le risque d’omission ou de conflit d’interprétations.
A noter que les traitements comprenant le NIR ayant été autorisés antérieurement au 25 mai 2018 demeurent licites jusqu’au 25 mai 2020, y compris s’ils n’ont pas été repris dans le décret. La Commission souligne sur ce point « l’importance de s’assurer qu’au-delà de la date du 25 mai 2020, l’ensemble des traitements qui reposent sur le traitement du NIR ou la consultation du RNIPP figurent effectivement au sein de ce décret ».
Quels traitements peuvent comporter le NIR ?
Le décret liste en son article 2 des traitements comprenant le NIR dans de nombreux domaines :
- La protection sociale ;
- La santé ;
- Le travail et l’emploi (secteur privé et public) ;
- Domaines financier, fiscal et douanier ;
- La justice ;
- Les statistiques publiques et le recensement ;
- L’éducation ;
- Le logement ;
- L’indemnisation des victimes d’essais nucléaires.
Pour chacun de ces domaines, le décret précise à la fois les responsables de traitement pouvant se prévaloir du décret pour traiter le NIR, ainsi que les finalités précises pour lesquelles ce traitement est possible.
Par exemple, dans le domaine du travail et de l’emploi (article 2, C. du décret), le décret permet notamment aux employeurs privés comme publics de traiter le NIR dans le cadre des déclarations obligatoires prévues par l’article L.133-5-3 du Code de la sécurité sociale (notamment, la Déclaration Sociale Nominative ou DSN). Le projet de décret prévoit également que le NIR puisse être traités par ces mêmes responsables aux fins de gestion de la paie et celle du personnel. Notons que la Cnil a publié un projet de référentiel en matière de gestion des ressources humaines, qui recouvre les finalités listées dans le décret, qui est actuellement soumis à consultation publique.
Dans les domaines financier, fiscal et douanier (article 2, D. du décret), on trouve également les entreprises d’assurance, les mutuelles, les institutions de prévoyances, ou encore les entreprises de réassurances. Celles-ci sont autorisées à traiter le NIR notamment dans le cadre de la passation, gestion et exécution des contrats d’assurance, à des fins de lutte contre la fraude à l’assurance interne ou externe, ou encore pour la recherche des assurés, adhérents, souscripteurs ou bénéficiaires de contrats d’assurance sur la vie.
Le traitement du NIR reste soumis au RGPD
Le décret du 19 avril 2019 et l’article 30 de la loi n°78-17 permettent aux responsables de traitement d’identifier les traitements pour lesquels il leur est possible de traiter le NIR.
Toutefois, la Cnil rappelle dans son avis sur le projet de loi que la présence d’un traitement dans ce décret ou cet article n’exonère pas le responsable du traitement de ses obligations au regard de la réglementation. La Cnil souligne que le décret « n’a pas pour objet, et ne saurait avoir légalement pour effet d’autoriser par lui-même la mise en œuvre de l’ensemble des traitements nécessaires aux finalités mentionnées à l’article [2] ».
La Commission souligne que les responsables de traitements « devront respecter les principes et obligations résultant du RGPD ». Chaque responsable devra ainsi s’assurer du respect de l’ensemble des principes directeurs de la protection des données, d’identifier la base légale pertinente pour le traitement, de remplir son obligation d’information à l’égard de la personne concernée, etc.
La Commission insiste en particulier sur le fait que chaque traitement mis en œuvre devra respecter le principe de minimisation des données « qui doit conduire à ne traiter le NIR qu’en cas de besoin justifié par la finalité du traitement concerné ». De même, le cas échéant, les responsables de traitements « devront réaliser une analyse d’impact sur la protection des données dans les cas prévus à l’article 35 du RGPD ».
Enfin, en cas de mise en œuvre d’un traitement comportant le NIR, les responsables du traitement devront se montrer particulièrement vigilants quant à la mise en œuvre de mesures techniques et organisationnelles destinées à garantir la sécurité et la confidentialité des données (article 32 du RGPD).