Le numéro de sécurité sociale : une donnée qui bénéficie d’une protection particulière

Un décret détermine les traitements dans le cadre desquels le numéro de sécurité sociale peut être utilisé.

Le « numéro d’inscription au répertoire national d’identification des personnes physiques » (NIR), communément appelé « numéro de sécurité sociale » est, comme le rappelle la Cnil, attribué à chaque personne à sa naissance sur la base d’éléments d’état civil. Il est unique à chaque personne et dès lors particulièrement identifiant et signifiant. C’est pourquoi il s’agit d’une donnée bénéficiant d’une protection particulière.

Seuls certains traitements peuvent justifier l’utilisation du NIR

Antérieurement, l’utilisation à des fins de traitement nominatif du NIR était soumise à autorisation par décret en conseil d’Etat après avis de la Cnil. L’entrée en vigueur du RGPD le 25 mai 2018 a cependant signé la fin de la plupart des procédures de déclarations et d’autorisations préalables. Ces formalités étant remplacées par l’obligation pour les responsables de traitement de respecter les principes et obligations du RGPD tout en étant en mesure de démontrer à tout moment leur conformité (principe d’accountability).

Remarque : la mise en place d’un registre des traitements, la réalisation d’une analyse d’impact en cas de traitement à risque, la nomination d’un DPO lorsqu’il est obligatoire ou le respect des obligations d’information des personnes sont quelques-unes des obligations issues du RGPD.

Toutefois l’article 87 du RGPD a autorisé la mise en œuvre de régimes dérogatoires nationaux pour le traitement du numéro d’identification national ou de tout autre identifiant d’application générale. Un régime particulier a ainsi été maintenu par la loi n°2018-493 du 20 juin 2019 « relative à la protection des données personnelles » modifiant la loi « informatique et libertés » n° 78-17 du 6 janvier 1978. Est ainsi prévu que les catégories de responsable de traitement autorisées à utiliser le NIR ainsi que les finalités des traitements dans le cadre desquels le NIR peut être utilisé (ou qui requièrent une consultation du répertoire national d’identification des personnes physiques), doivent être strictement définis par voie réglementaire, après avis de la Cnil. En dehors de ce cadre, le NIR est une donnée qui ne peut pas être collectée.

Remarque : certains traitements sont, à certaines conditions, exclus de cette limitation, il s’agit des traitements exclusivement à finalité de statistique publique, de recherche scientifique ou historique, qui ont pour objet de mettre à disposition des usagers un ou plusieurs téléservices, ou de répondre à une alerte sanitaire en cas de situation d’urgence.

C’est désormais chose faite puisqu’un décret publié le 21 avril 2019 et entré en vigueur le 22 avril 2019 (sauf en Nouvelle-Calédonie, Polynésie française, dans les îles Wallis et Futuna et dans les Terres autrales et antarctiques françaises qui sont soumis à une entrée en vigueur différée), détermine champ par champ, les responsables de traitement pouvant utiliser cette donnée, et dans quel cadre.

Remarque : l’usage du NIR a vocation, selon la Cnil, à être circonscrit à la sphère médico-sociale, toutefois pour des motifs d’intérêts publics caractérisés, son utilisation est également autorisée dans d’autres secteurs comme celui du travail et de l’emploi, de l’administration fiscale, de la justice ou encore du logement par exemple.

Par ailleurs, la Cnil précise dans son avis portant sur le projet de décret et publié le même jour, que les responsables de traitement autorisés à traiter cette donnée doivent le faire en respectant les principes et obligations du RGPD. Elle rappelle à ce titre que chaque traitement mis en œuvre devra respecter le principe de minimisation des données, qui doit conduire à ne traiter le NIR qu’en cas de besoin justifié par la finalité du traitement concerné.

L’utilisation du NIR par les employeurs privés

Les employeurs privés et leurs tiers mandatés sont autorisés à collecter le NIR dans les cas suivants :

  • pour remplir leurs obligations déclaratives nécessitant l’utilisation du NIR (notamment dans le cadre de la déclaration sociale nominative (DSN)) ;
  • pour le traitement automatisé de la paie et de la gestion du personnel résultant de dispositions légales ou réglementaires et de conventions collectives concernant les déclarations, les calculs de cotisations et de versement destinées aux organismes de sécurité sociale et de prévoyance.

Remarque : les organismes de sécurité sociale et de prévoyance visés sont ceux détaillés à l’article 1er du décret n° 85-420 du 3 avril 1985 modifié, à savoir notamment : les organismes du régime général de sécurité sociale, les organismes chargés de la gestion du régime d’assurance maladie et maternité des travailleurs non-salariés des professions non-agricoles, les organismes d’assurance vieillesse des travailleurs non-salariés des professions non-agricoles, les organismes de mutualité sociale agricole, la caisse des dépôts et consignations, etc.).

Sont également autorisés à collecter le NIR, les entrepreneurs de travail temporaire pour la tenue et la transmission des relevés mensuels des contrats de mission.

Les autres cas d’utilisation du NIR dans les champs du travail et de la protection sociale

En matière de protection sociale, un certain nombre d’organismes limitativement énumérés par le décret peuvent utiliser le NIR pour l’accomplissement de leurs missions. Citons notamment les administrations et organismes chargés de la gestion d’un régime de base de sécurité sociale légalement obligatoire ou du service des allocations, prestations et aides (mentionnés dans le code de la sécurité sociale, le code rural et de la pêche maritime ou le code de l’action sociale et des familles), les caisses de congés payés, les organismes chargés du recouvrement, les organismes chargés de la gestion de l’assurance maladie complémentaire, de la retraite complémentaire, de la prévoyance, la caisse des dépôts et consignations pour assurer les services relatifs aux caisses, etc.
Le décret permet également l’usage du NIR par certains organismes ou services ministériels pour la mise en œuvre du compte personnel d’activité (CPA), du compte personnel de formation (CPF) ou du compte personnel de prévention (CPP).