En application de l’article 87 du Règlement Général sur la Protection des Données ou « RGPD »[1], la loi nationale peut préciser les conditions spécifiques du traitement d’un numéro d’identification national ou de tout autre identifiant d’application générale tel que le numéro de sécurité sociale ou « NIR ».
Ce numéro est considéré en France comme une donnée personnelle à protéger tout particulièrement en raison d’une part, de son caractère unique et d’autre part, du fait que le numéro en lui-même contient des données personnelles.
À cet effet, la France a complété récemment la règlementation par un décret.
Un décret en conseil d’État
La Loi informatique et libertés (article 22 à la date du décret, mais article 30 à compter du 1 juin 2019) dispose qu’un décret pris en Conseil d’État après avis motivé et publié de la CNIL détermine les catégories de responsables de traitement ainsi que les finalités pour lesquelles les traitements peuvent contenir le numéro d’identification au registre des personnes physiques, le NIR ou plus communément « le numéro de sécurité sociale ».
Ainsi est paru le décret n°2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l’usage du NIR ou numéro de sécurité sociale, qui est extrêmement précis.
Les domaines couverts sont les suivants :
- La protection sociale, la santé,
- Le travail et l’emploi du secteur privé et du secteur public,
- Le domaine financier, fiscal et douanier,
- La justice
- Les statistiques publiques et le recensement
- L’éducation
- Le logement
- La prise en charge des victimes des essais nucléaires
Pour la plupart d’entre eux, les responsables de traitement sont des organismes publics, des agences, associations, fonds, autorités, caisses, ministères, magistrats etc.
En ce qui concerne les traitements qui peuvent être effectués par des employeurs privés, il s’agit sans surprise des traitements :
- de la paie ;
- de la gestion du personnel résultant de dispositions légales ou réglementaires et de conventions collectives concernant les déclarations, les calculs de cotisations et de versement destinées aux organismes ;
- de La mise en œuvre du compte personnel d’activité ;
- de la mise en œuvre du prélèvement à la source.
Par ailleurs le décret prévoit aussi pour les agents habilités des employeurs publics ainsi que ceux de leurs tiers mandatés, les agents habilités des employeurs privés et les médecins du travail et de prévention, les traitements dans le cadre de la gestion des dossiers des accidents de service, des accidents du travail et des maladies professionnelles.
La mise en œuvre des traitements intervient sans préjudice des obligations qui incombent aux responsables de traitement ou à leurs sous-traitants en application de la section 3 du chapitre IV du RGPD.
Traitements couverts par d’autres articles de la loi Informatique et libertés
La loi Informatique et Libertés prévoit un régime spécifique pour différent types de traitement à savoir :
- Les traitements qui ont exclusivement des finalités de recherche scientifique ou historique ;
- Les traitements qui ont pour objet de mettre à la disposition des usagers de l’administration un ou plusieurs téléservices de l’administration électronique ;
- Les traitements de données à caractère personnel dans le domaine de la santé qui sont régis par une section spécifique de la Loi Informatique et Libertés à savoir la section III du Chapitre III du Titre II (de la version en vigueur à compter du 1 juin 2019) ;
- Les traitements comportant le NIR utilisé comme identifiant de santé des personnes en application de l’article L. 1111-8-1 du code de la santé publique pour leur prise en charge à des fins sanitaires et médico-sociales ;
- Les traitements en réponse à une urgence sanitaire ;
- Les traitements à finalité de statistique publique, qui sont mis en œuvre par le service statistique public et ne comportent aucune des données sensibles ou relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes.
Cette réglementation montre, si besoin était, à quel point la réglementation sur les données personnelles peut être complexe et contraignante dans un souci légitime de protéger les individus. Elle démontre aussi que dans certains domaines, l’harmonisation souhaitée ne peut pas être accomplie.
Contact : stephanie.faber@squirepb.com
[1] règlement (UE) 2016/679