La Commission nationale de l’informatique et des libertés,

Saisie par la garde des sceaux, ministre de la justice, d’une demande d’avis concernant un projet de décret pris pour application de l’article 22 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la directive (UE) 2016/680 du 27 avril 2016 du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008 /977/JAI du Conseil ;

Vu la loi n° 51-711 du 7 juin 1951 modifiée sur l’obligation, la coordination et le secret en matière de statistique ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 22 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2018-349 du 15 novembre 2018 portant avis sur un projet d’ordonnance prise en application de l’article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel ;

Après avoir entendu M^me Marie-Laure DENIS, présidente, en son rapport, et M^me Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

Émet l’avis suivant :

La Commission a été saisie par la ministre de la justice d’une demande d’avis concernant un projet de décret pris pour application de l’article 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Le projet de décret a pour objet de préciser les conditions spécifiques du traitement du numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (ci-après NIR ) en déterminant les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre. Conformément aux termes de l’article 22 de la loi du 6 janvier 1978 modifiée, la mise en œuvre des traitements comportant le NIR intervient sans préjudice des obligations qui incombent aux responsables de traitement ou à leurs sous-traitants en application de la section 3 du chapitre IV du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ( Analyse d’impact relative à la protection des données et consultation préalable ).

En application des dispositions de ce même article, le présent décret-cadre doit être pris après avis motivé et publié de la Commission.

A titre liminaire, la Commission rappelle qu’elle a toujours porté une attention particulière aux conditions dans lesquelles pouvaient être mis en œuvre les traitements de données à caractère personnel reposant sur la collecte du NIR, considérant que les spécificités du NIR, et notamment son caractère signifiant, justifient que le recours à cet identifiant reste strictement encadré par la loi du 6 janvier 1978 modifiée et limité aux finalités pour lesquelles son utilisation est permise. A cet égard, la Commission a toujours considéré que l’emploi du NIR comme identifiant des personnes dans les fichiers ne devait être ni systématique, ni généralisé. Elle a ainsi veillé à ce que les projets de textes autorisant le traitement du NIR soient cantonnés à la sphère médico-sociale et n’a accepté, qu’à titre exceptionnel que le NIR soit utilisé dans d’autres secteurs, et pour des motifs d’intérêt public caractérisé.

Dans ce contexte, elle estime qu’il convient de porter une attention particulière aux dispositions du présent projet de décret, lesquelles ont vocation à fixer un cadre général pour le traitement du NIR pouvant conduire à étendre la liste des traitements et des organismes jusqu’à présent autorisés à traiter une telle donnée. A cet égard, la Commission précise qu’elle entend porter une attention particulière à ce que le présent projet de décret-cadre n’ait ni pour objet, ni pour effet de maintenir ou de créer des cas d’usages du NIR qui seraient contraires aux principes de finalité et de pertinence des données traitées ou facilitant l’interconnexion des fichiers entre différents secteurs.

Ces éléments rappelés, le projet de décret appelle les observations suivantes.

Sur le périmètre et l’économie générale du projet de décret

S’agissant du périmètre des traitements de données à caractère personnel couverts, le projet de décret appelle les observations suivantes.

Le premier alinéa de l’article 22 de la loi du 6 janvier 1978 modifiée prévoit qu’un décret en Conseil d’Etat détermine les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu’ils portent sur des données comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques . L’article 1^er du projet de décret, qui se limite à reprendre les termes de l’article précité ne précise pas si les traitements qui requièrent une consultation du répertoire national d’identification des personnes physiques (RNIPP) sans inclure le numéro d’inscription à ce répertoire entrent dans le champ du projet de décret.

Interrogé sur ce point, le ministère a précisé que le projet de décret a vocation à régir tant les traitements qui utilisent le NIR que ceux qui requièrent une simple consultation du RNIPP. Si la Commission en prend acte, elle estime qu’une telle précision pourrait utilement figurer au sein de l’acte réglementaire afin d’écarter toute ambiguïté quant à son périmètre effectif.

La Commission relève par ailleurs que certaines des dispositions du projet de décret se rapportent à des traitements ayant fait l’objet de formalités, avant le 25 mai 2018, sur le fondement de l’article 26 de la loi du 6 janvier 1978 modifiée et qui sont désormais susceptibles de relever du champ de la directive (UE) 2016/680 du 27 avril 2016 dite Police Justice . Interrogé sur le périmètre des traitements effectivement couverts, le ministère a précisé que les catégories de responsables de traitements et les finalités de ceux qui, relevant de la directive, requièrent le traitement du NIR sont inclus dans le périmètre du présent projet de décret.

Si la Commission prend acte de ces précisions, il en résulte que les traitements qui relèveraient de la directive précitée et qui reposeraient sur la collecte du NIR ou sur la consultation du RNIPP devront être mis en œuvre dans les conditions prévues à l’article 22 de la loi du 6 janvier 1978 modifiée et nécessairement figurer au sein du présent projet de décret. Elle observe qu’en l’espèce sont notamment visés les logiciels destinés à faciliter l’exploitation et le rapprochement d’informations sur les modes opératoires réunis au cours des procédures visées aux articles 74 et 74-1 du code de procédure pénale (projet d’article 1-70°) pour lesquelles la Commission prend acte que le NIR peut être utilisé dans le cadre de réquisitions à des fins de procéder à l’identification de personnes décédées ainsi que les traitements mis en œuvre dans le cadre du suivi des condamnations des personnes de moins de vingt et un ans confiés par l’autorité judiciaire (projet d’article 1-71°).

S’agissant de l’économie générale de la liste des traitements en cause, la Commission entend attirer l’attention du Gouvernement sur le degré de détail hétérogène retenu pour la rédaction des différents alinéas de l’article 1^er.

A ce titre, elle souligne que le recensement extrêmement détaillé auquel procède le présent projet s’agissant de certains traitements mis en œuvre dans le domaine de la santé (par exemple les projets d’articles 1-16° à 1-21°), qui est au demeurant susceptible d’entrainer une modification de l’acte réglementaire à chaque évolution des conditions de mise en œuvre des traitements concernés, nuit à la lisibilité globale du projet de décret dans la mesure où ces cas spécifiques sont par ailleurs susceptibles d’être englobés dans des cas plus généraux figurant à d’autres alinéas.

Elle relève, à l’inverse, que certaines des finalités et des catégories de responsables de traitement mentionnées dans le projet de décret ne sont pas suffisamment explicites et devraient être précisées.

En premier lieu, la Commission regrette que le projet de décret ne mentionne pas les hypothèses dans lesquelles seule une consultation du RNIPP est autorisée, sans inclure parmi les données consultées le NIR. Elle considère que le projet de décret devrait être explicité sur ce point. A titre d’illustration, la Commission considère que la rédaction des projets d’articles 1-48° et 49° demeure ambigüe dans la mesure où il n’est pas explicite que le NIR ne pourra être ni consulté, ni a fortiori conservé, au sein des fichiers visés à ces articles – à savoir le fichier bancaire des entreprises (FIBEN), le fichier central des chèques impayés (FCC) et le fichier national des incidents de remboursement des crédits aux particuliers (FICP) – ainsi que dans le cadre de la centralisation des décisions de retrait des cartes de paiement délivrées à leurs clients par les établissements de crédit.

La Commission considère par ailleurs que les personnes autorisées à mettre en œuvre des traitements comportant le NIR ne permettent pas toujours de déterminer précisément les catégories de responsables de traitement effectivement concernés comme en témoigne la formulation employée aux projets d’articles 1-4° et 1-39° ( les administrations et services de l’Etat ). Au regard de l’objet même du projet qui lui est soumis, elle estime que celui-ci devrait être modifié afin d’écarter toute ambigüité quant à la désignation des responsables de traitements autorisés à utiliser le NIR. En tout état de cause, la Commission rappelle que seules les personnes habilitées au regard des missions qui leur sont confiées ne devront pouvoir accéder et utiliser les données contenues dans les traitements mis en œuvre (respect du principe du besoin d’en connaître ).

La Commission invite dès lors, de manière plus générale, à ce que la rédaction du projet de décret soit uniformisée afin que le degré de détail soit homogène pour l’ensemble des secteurs concernés.

S’agissant de l’article 2 du projet de décret, la Commission rappelle que, conformément à l’article 22 de la loi du 6 janvier 1978, le projet de décret vise à autoriser le traitement de la donnée qu’est le NIR en tant que telle. Il n’a en revanche pas pour objet, et ne saurait avoir légalement pour effet d’autoriser par lui-même la mise en œuvre de l’ensemble des traitements nécessaires aux finalités mentionnées à l’article 1^er.

Elle rappelle ainsi que les catégories de responsables de traitement autorisés à traiter le NIR pour les finalités mentionnées à l’article 1^er du projet de décret devront respecter les principes et obligations résultant du RGPD. Elle insiste sur le fait que chaque traitement mis en œuvre devra respecter ces principes et notamment celui relatif à la minimisation des données qui doit conduire à ne traiter le NIR qu’en cas de besoin justifié par la finalité du traitement concerné. Par ailleurs, elle rappelle que les responsables de traitement devront respecter les obligations préalables à la mise en œuvre des traitements de données personnelles. En particulier, ils devront réaliser une analyse d’impact sur la protection des données dans les cas prévus à l’article 35 du RGPD et, dans les hypothèses de risque résiduel élevé prévues à l’article 36 du même texte, consulter le cas échéant l’autorité de contrôle.

Elle relève à cet égard que l’article 2 du projet de décret précise que les traitements devront être mis en œuvre sous réserve des garanties appropriées pour les droits et libertés des personnes concernées, et dans le respect de l’article 5 du RGPD. S’il n’appartient pas au décret de rappeler les principes figurant dans le RGPD, la Commission relève que, dans l’hypothèse où une telle référence serait maintenue, il conviendrait également de faire référence aux dispositions correspondantes prises pour la transposition de la directive (UE) 2016/680 susvisée.

S’agissant des dispositions transitoires du projet de décret, la Commission s’interroge sur le devenir de tous les cas d’utilisation du NIR qui ont été antérieurement autorisés par des actes réglementaires dans le cadre d’un décret en Conseil d’Etat pris après avis de la CNIL.

Si le ministère a précisé que le présent décret-cadre avait vocation à reprendre l’ensemble des traitements existants utilisant le NIR, il a également indiqué que les traitements qui n’auraient pas été repris ne deviennent pas illégaux de ce seul fait et que les traitements autorisés notamment par un acte réglementaire unique ne sont pas soumis jusqu’à leur modification, et au plus tard le 25 mai 2020, à l’obligation d’être mentionnés dans le décret-cadre. De manière générale, la Commission rappelle dès lors l’importance de s’assurer qu’au-delà de la date du 25 mai 2020, l’ensemble des traitements qui reposent sur le traitement du NIR ou la consultation du RNIPP figurent effectivement au sein de ce décret. De la même manière elle s’interroge sur ce qu’il advient des dispositions relatives aux conditions de mise en œuvre des traitements déjà autorisés antérieurement et fixés au sein d’actes réglementaires dédiés.

Sur les catégories de responsables de traitement et les finalités des traitements portant sur le NIR dans le champ de la protection sociale

L’article 1-1° du projet de décret prévoit d’autoriser le traitement du NIR pour toute une série d’organismes afin de permettre l’accomplissement de leurs missions en matière de protection sociale, y compris lorsque l’utilisation du NIR est nécessaire pour la réalisation d’évaluations, d’études, de statistiques et de recherches, ou pour mettre en œuvre des échanges ou traitements intéressant plusieurs acteurs de la protection sociale.

Ces dispositions appellent les seules observations suivantes de la part de la Commission.

L’article 1-1°-c) du projet de décret prévoit d’autoriser le traitement du NIR par les groupements constitués par les organismes et administrations ou services chargés de la gestion d’un régime de protection sociale entre eux . A cet égard, la Commission prend acte que la notion de groupements recouvre le Groupement d’Intérêt Public de Modernisation des déclarations sociales (GIP-MDS), le Groupement d’Intérêt Public Union-Retraite (GIP-UR), et le Groupement d’Intérêt Economique (GIE) SESAM-Vitale et qu’une liste exhaustive de ces groupements ou services chargés de la gestion d’un régime de la protection sociale sera publiée et notifiée à la Commission.

L’article 1-1°-j) du projet de décret prévoit notamment l’utilisation du NIR par les établissements et services sociaux mentionnés au I de l’article L. 312-1 du code de l’action sociale et des familles pour la tenue du dossier de l’usager relatif à sa prise en charge . La Commission souligne qu’une telle rédaction serait susceptible d’être comprise comme permettant l’utilisation du NIR par les services sociaux pour la prise en charge d’un usager sans qu’il n’y ait d’échanges avec les professionnels de santé et les organismes de sécurité sociale et de prévoyance. Or, la Commission rappelle qu’une telle utilisation du NIR, dans ce cadre-là, n’a jamais été autorisée et qu’il convient dès lors d’écarter toute ambiguïté quant à ce que recouvre, dans ce contexte, la notion de prise en charge . Elle estime indispensable que le projet de décret soit précisé sur ce point.

S’agissant de l’article 1-4° du projet de décret, la Commission souligne la portée assez large de cette disposition et s’interroge sur son articulation avec l’article 1-24° du présent projet. A cet égard, le ministère a précisé qu’il s’agissait de limiter l’utilisation du NIR aux ministères de la défense et de la justice conformément, respectivement, aux décrets n° 91-549 du 6 juin 1991 et n° 86-835 du 10 juillet 1986. La Commission estime dès lors que le projet devrait être modifié en ce sens.

Le projet d’article 1-64° prévoit d’autoriser le traitement du NIR par le service des douanes pour la gestion informatisée du réseau des débits et des débitants de tabac . Interrogé sur cet article, le ministère a précisé que l’utilisation du NIR poursuivait deux objectifs, à savoir éliminer le risque de doublons de bénéficiaires du régime d’allocation viagère des débitants de tabac (RAVGDT) basée sur un code spécifique attribué au débitant et généré automatiquement par le traitement GIMT autorisée par arrêté du 1er mars 2006 (gestion informatisée du monopole des tabacs), d’une part, et faciliter les échanges entre organismes de sécurité sociale d’autre part. Sans remettre en cause la légitimité des objectifs poursuivis, la Commission considère que l’utilisation du NIR à des fins de gestion informatisée du réseau des débits et des débitants de tabac par le service des douanes poursuit d’autres finalités que la gestion du régime d’allocation viagère. Elle estime en conséquence qu’une telle autorisation du NIR pour la gestion informatisée du réseau des débits et des débitants de tabac devrait être limitée à ces deux objectifs.

L’article 1-82° du projet de décret prévoit l’utilisation du NIR par les administrations et organismes chargés, par des dispositions législatives ou réglementaires, de la détermination de droits et du versement des allocations et prestations associées à ces droits dans le cadre d’échanges de données visant à améliorer la détermination des ayants-droit et simplifier les procédures administratives de versement des allocations et prestations associées à ces droits.

Interrogé sur ce point, le ministère a précisé que cette disposition couvre l’ensemble des droits liés à des prestations et allocations versées par les services et organismes qui en ont la charge afin de lutter contre le non-recours des usagers qui remplissent les conditions d’accès à ces droits .

La Commission souligne la légitimité de la finalité de lutte contre le non-recours.

Elle estime cependant que, dans sa rédaction actuelle, cet alinéa ne permet de déterminer ni la nature des allocations et prestations versées, ni les catégories de responsables de traitement ou encore les finalités poursuivies par les traitements qui seraient visés. Dans ces conditions, elle s’interroge sur la légalité de cette disposition figurant au sein du présent décret-cadre dont l’objet est, en application des dispositions de l’article 22 de la loi du 6 janvier 1978 modifiée, d’apporter des précisions sur ces deux points.

En tout état de cause, la Commission rappelle que les échanges à des fins de lutte contre le non recours ne peuvent pas conduire à étendre l’utilisation du NIR par les administrations concernées par ces échanges au-delà des usages qui leur sont par ailleurs autorisés, chacune en ce qui la concerne, par les autres alinéas de l’article 1^er.

Sur les catégories de responsables de traitement et les finalités des traitements portant sur le NIR dans le champ de la santé (projets d’articles 1-6° à 1-22°)

D’une manière générale, la Commission relève que le projet de décret procède, dans la sphère de la santé, à un recensement complet et particulièrement détaillé de l’ensemble des hypothèses d’utilisation du NIR et détermine, pour chacune d’entre elles, les catégories de responsables de traitement et les finalités des traitements. Elle observe que ce projet reprend des traitements existant antérieurement utilisant le NIR tels qu’ils résultaient des textes réglementaires et des délibérations de la Commission (normes simplifiées notamment).

En particulier, elle observe que, d’une part, la nouvelle finalité de référencement des données prévue par l’article 1-6° du projet de décret et, d’autre part, celle de facturation et de prise en charge financière des dépenses de santé énoncée à l’article 1-10° du projet de décret, associées aux responsables de traitements adéquats, couvrent la majorité des hypothèses d’utilisation du NIR dans le secteur sanitaire (mise en œuvre des programmes de dépistage organisée des cancers, gestion des cabinets médicaux et paramédicaux par les membres des professions médicales et paramédicales, prise en charge coordonnée des patients diabétiques par les orthoptistes et les médecins, etc.).

La Commission renvoie aux observations précédemment formulées sur ces points.

Par ailleurs, la Commission rappelle que la réalisation d’études, d’évaluations et de recherches (y compris celles réalisées par l’Agence technique de l’information sur l’hospitalisation en ce qui concerne le coûts des établissements médico-sociaux et sociaux mentionnée au projet d’article 1-9°), relevant des dispositions de la section 2 du chapitre IX de la loi, ne rentre pas, par application du dernier alinéa de l’article 22 de la loi, dans le champ d’application du projet de décret. Elle demande, par conséquent, que les hypothèses d’utilisation du NIR pour ces études, évaluations et recherches soient supprimées du projet ; seuls devraient figurer dans le projet de décret les études à usage interne visées par l’article 53-2° de la loi du 6 janvier 1978 modifiée, exclues du chapitre IX de ladite loi.

En ce qui concerne l’utilisation du NIR aux fins de référencement des données de santé et des données administratives (projet d’article 1-6°), la Commission rappelle, qu’en vertu de l’article R. 1111-8-3 du code de la santé publique (CSP), l’obligation d’utiliser le NIR comme INS pour procéder à ce référencement concerne exclusivement les professionnels, établissements, services ou organismes mentionnés à l’article L. 1110-4 du CSP et les professionnels constituant une équipe de soins, sous réserve que ceux-ci interviennent dans la prise en charge sanitaire ou médico-sociale des usagers. Or, elle relève que le projet de décret ouvre la possibilité d’utiliser le NIR comme INS aux fins de référencement des données aux organismes assurant des échanges d’informations concernant les orientations prononcées par la commission des droits et de l’autonomie des personnes handicapées entre les maisons départementales des personnes handicapées et les établissements et services sociaux et médico-sociaux. La Commission rappelle que les échanges intervenant avec ces organismes doivent respecter les dispositions des articles R. 1111-8-3 et R. 1111-8-4 du CSP. Dans ces conditions, elle s’interroge sur la nécessité de viser expressément ces organismes dans le projet de décret dans la mesure où ils entrent déjà dans le champ de ces dispositions du CSP et que ces dispositions sont elles-mêmes visées par l’article 1-6° du projet de décret.

En ce qui concerne l’utilisation du NIR aux fins de facturation ou de prise en charge financière des dépenses relatives aux actes de télémédecine (projet d’article 1-11°), le projet de décret vise, comme responsables de traitement autorisés à utiliser, le NIR : les professionnels, institutions, structures ou établissements et leurs groupements qui dispensent à des assurés sociaux ou à leurs ayants droit des actes ou prestations pris totalement ou partiellement en charge par l’assurance maladie, y compris les comptables publics attachés à ces établissements et les professionnels visés par l’article R. 6316-1 du CSP (professionnels de santé, dont les professionnels médicaux).

La Commission constate, qu’au-delà de ces responsables de traitements, d’autres acteurs participant au déploiement du dispositif de télémédecine ont besoin de traiter le NIR à des fins de facturation ou de prise en charge financière et ne semblent pas être visés dans le projet de décret. Il en est notamment ainsi des fournisseurs de solutions techniques, qui dans le cadre des expérimentations de télémédecine pour l’amélioration des parcours en santé (programme ETAPES), distribuent la solution technique permettant d’effectuer la télésurveillance médicale du patient et collectent le NIR à des fins de facturation auprès de l’assurance maladie. Dans ces conditions, la Commission observe qu’il conviendrait d’ajouter les fournisseurs de solutions techniques aux catégories de responsable de traitement visées par l’article 1-10° du projet de décret.

En ce qui concerne l’utilisation du NIR aux fins de mise en œuvre des programmes de dépistage organisé des cancers par les structures conventionnées en charge de la gestion des dépistages des cancers, les centres de lecture associés aux programmes de dépistage, les organismes d’assurance maladie, les médecins spécialistes ayant réalisé des examens complémentaires (projet d’article 1-12°), la Commission observe que l’utilisation du NIR est déjà couverte, comme indiqué précédemment, soit par les dispositions de l’article 1-6° du projet de décret soit par celles de l’article 1-10°, à l’exception des traitements des populations éligibles au dépistage envoyés aux fins d’invitation par les caisses d’assurance maladie aux structures de gestion conventionnées. Dans ces conditions, la Commission suggère de ne mentionner, dans le projet de décret, que la seule exception des traitements transmis par les caisses d’assurance maladie et mis en place aux fins d’invitation des populations cibles.

En ce qui concerne l’utilisation du NIR aux fins d’identification des professionnels intervenant dans le système de santé par le groupement d’intérêt public chargé du développement des systèmes d’information de santé partagés (ASIP) (projet d’article 1-13), la Commission rappelle qu’a été autorisée, par l’arrêté du 6 février 2009 modifié par l’arrêté du 18 avril 2017, la création par le ministère des affaires sociales et de la santé d’un traitement de données à caractère personnel dénommé Répertoire partagé des professionnels intervenant dans le système de santé (RPPS), dont la mise en œuvre a été confiée à l’ASIP. Elle observe que, par application des dispositions de l’article 3 de l’arrêté précité, l’ASIP est autorisée aux fins de collecte et d’enregistrement dans le RPPS des traits d’identité du professionnel de santé (nom de famille, nom d’usage, prénoms, etc.) à consulter le répertoire national d’identification des personnes physiques (RNIPP). Dans la mesure où la simple consultation de ce répertoire est suffisante pour permettre à l’ASIP d’exercer ses missions, la Commission demande que, seule soit visée, dans le projet de décret, la consultation par l’ASIP du RNIPP aux fins de fiabiliser les données du RPPS.

En ce qui concerne l’utilisation du NIR aux fins de gestion de la pharmacie par les pharmaciens, pour la réalisation d’analyses statistiques de vente (projet d’article 1 – 19°), en l’absence d’informations suffisantes lui permettant d’apprécier dans quelle mesure la collecte du NIR serait pertinente, la Commission demande la suppression de la collecte du NIR par les pharmaciens pour cette finalité. Elle formule la même réserve en ce qui concerne l’utilisation du NIR par les professionnels de santé pour la gestion des fournisseurs, la traçabilité des produits et des intervenants et la gestion des prospects (projet d’article 1-20°).

Sur les catégories de responsables de traitement et les finalités des traitements portant sur le NIR dans le champ des ressources humaines

L’article 1-24° du projet de décret prévoit le traitement du NIR pour la gestion administrative, financière et opérationnelle des ressources humaines de l’administration. Elle estime ainsi nécessaire de préciser le périmètre des traitements visés par cet alinéa et rappelle, en particulier, que l’utilisation du NIR devrait être cantonnée aux échanges avec les organismes de sécurité sociale. S’il apparait en effet légitime d’utiliser le NIR dans les opérations de paie et pour les déclarations sociales, ce numéro ne saurait devenir un numéro de matricule unique pour identifier les employés dans l’ensemble des fichiers de gestion des ressources humaines d’une entreprise ou d’une administration.

A cet égard, la Commission souligne que cette disposition ne doit avoir ni pour objet ni pour effet d’étendre le traitement du NIR à l’intégralité des opérations de gestion du personnel mais doit viser les seules opérations pour lesquelles son traitement est nécessaire. Sur ce point, elle rappelle que certains décrets antérieurs ont entendu limiter expressément le recours au NIR à des opérations particulières relevant de la gestion du personnel, telle que la liquidation de la paie. Cette restriction a par exemple été posée par le décret n° 2013-450 du 31 mai 2013 autorisant un traitement automatisé de données à caractère personnel dénommé ReHuCIT-GP relatif à la gestion des ressources humaines du ministère de l’égalité des territoires et du logement et du ministère de l’écologie, du développement durable et de l’énergie. Aux précisions qui ont été demandées, il a été répondu que cette disposition était nécessaire dans le cadre de la gestion de la paie particulièrement pour la resynchronisation des dossiers de paie avec les dossiers financiers des agents dans les systèmes d’information des ressources humaines des ministères. Or, la Commission observe qu’une telle utilisation semble déjà couverte par l’article 1-23°. Dans ces conditions, elle demande à ce que l’articulation entre ces dispositions soit précisée ou à défaut, que cette disposition soit retirée.

L’article 1-25° du projet de décret prévoit l’utilisation du NIR, par les employeurs publics, leurs tiers mandatés ainsi que les employeurs privés, dans le cadre de l’accès des personnes à des restaurants administratifs. Il résulte des précisions apportées qu’une telle utilisation, présentée comme ayant un intérêt pratique pour l’ensemble des employeurs public et privés, n’apparaît ni nécessaire ni proportionnée. La Commission estime dès lors qu’il n’y a pas lieu de recourir au NIR pour une telle finalité et demande que le projet de décret soit modifié en ce sens.

L’article 1-26° du projet de décret permet le traitement du NIR pour le pilotage et la gestion de l’action sociale concernant les services centraux et déconcentrés des administrations de l’Etat. La Commission prend acte qu’il s’agit de l’extension, à tous les ministères, du traitement dénommé SAXO que seul le ministère de l’éducation nationale a été autorisé à mettre en œuvre par arrêté du 26 septembre 2011. Au-delà de l’extension significative des acteurs habilités à traiter le NIR, la Commission relève que l’arrêté du 26 septembre 2011 ne permet qu’une utilisation d’un NIR tronqué ne présentant pas les mêmes caractéristiques que le NIR. Elle estime, compte tenu de ces éléments, que l’article 1-26° devrait être supprimé.

S’agissant de l’article 1-31° du projet de décret, la Commission relève qu’il prévoit notamment que la Direction générale de la cohésion sociale (DGCS) recourt au NIR pour le versement, le contrôle et le pilotage des dispositifs d’aide à l’emploi. La Commission prend acte que le projet de décret sera modifié afin d’ôter la référence aux services de la DGCS dans la mesure où seule l’Agence de service et de paiement est responsable des traitements visés et justifie donc du besoin de traiter le NIR à ces fins.

En ce qui concerne les déclarations des employeurs aux fins d’alimenter le compte personnel de formation (CPF) mentionné à l’article 1-35° du projet de décret, la Commission s’interroge sur le fait qu’elles soient contenues dans le périmètre de l’article 1-23° relatif aux déclarations sociales réalisées par les employeurs. En tout état de cause, elle s’interroge sur l’absence du compte professionnel de prévention (C2P) dans le projet de décret, au regard notamment des autres organismes impliqués.

S’agissant du projet d’article 1-39°, la Commission relève qu’il autorise le traitement du NIR pour la réalisation d’études et d’enquêtes socio-professionnelles dans le domaine de l’emploi, par les administrations et services de l’Etat. Si la Commission ne remet pas en cause l’intérêt de disposer du NIR pour certaines études telles que celle sur la mortalité par catégorie socioprofessionnelle réalisée par l’INSEE, elle estime que la rédaction imprécise de cette disposition lui confère une portée trop étendue. Par ailleurs, la Commission estime qu’il conviendrait de clarifier l’articulation entre les finalités prévues par les projets d’articles 1-33° 1-39° du projet de décret.

Sur les catégories de responsables de traitement et les finalités des traitements portant sur le NIR dans le champ du logement

Le projet d’article 1-81° reprend les finalités prévues par le décret n° 2017-917 du 9 mai 2017 relatif aux demandes de logement locatif social et autorisant le traitement de données à caractère personnel dénommé Numéro unique , en procédant toutefois à certains ajouts.

La Commission relève à cet égard que ce si cet article autorise les agents des personnes et des services énumérés à l’article R. 441-2-6 du code de la construction et de l’habitation à traiter le NIR, il est pourtant bien spécifié dans le décret du 9 mai 2017, que ces mêmes agents sont destinataires des données listées dans le texte à l’exception du numéro d’inscription au répertoire national d’identification des personnes physiques . Dans ces conditions, elle est réservée sur une telle extension susceptible de concerner un grand nombre de personnes et estime que cette disposition ne saurait être maintenue dans le projet de décret.

La Commission relève également que le décret du 9 mai 2017 précité indique expressément que les données non nominatives sont transmises exclusivement à des fins d’exploitations statistiques et d’études aux personnes et services dont les missions et les attributions le justifient . Aussi, la Commission s’interroge sur l’opportunité d’autoriser désormais les agents des personnes et des services énumérés à l’article R. 441-2-6 du code de la construction et de l’habitation à procéder à la réalisation de statistiques sur la base d’informations nominatives et notamment du NIR. Dans ces conditions, la Commission appelle à amender le projet de décret de sorte à y faire figurer les conditions posées par le décret du 9 mai 2017.

Sur les catégories de responsables de traitement et les finalités des traitements portant sur le NIR dans le champ financier et fiscal

En premier lieu, la Commission prend acte que, pour la finalité de recherche des titulaires décédés de comptes ou coffres forts mentionnée au projet d’article 1-50°, seule la consultation des données figurant au RNIPP sans aucune autre utilisation du NIR est autorisée par les établissements du secteur bancaire et financier soumis aux obligations relatives aux comptes inactifs prévues par la section 4 du chapitre II du titre Ier du livre III du code monétaire et financier, ou par la personne mandatée à cet effet ayant signé une licence d’usage avec l’Institut national de la statistique et des études économiques. Elle rappelle que le NIR ne peut en aucun cas être utilisé pour servir de clef de consultation du RNIPP et considère que le projet de décret devrait dès lors être précisé en ce sens.

La Commission relève que, pour la finalité de recherche des bénéficiaires des contrats en déshérence mentionnée au projet d’article 1-51°, le projet de décret élargit le périmètre des contrats aux bons ou contrats de capitalisation concernant des personnes décédées. En outre, le projet de décret étend la liste des organismes autorisés à accéder aux données du RNIPP pour la finalité exclusive de recherche des personnes bénéficiaires des contrats en déshérences, aux organismes de retraite professionnelle supplémentaire. Enfin, elle prend acte de la possibilité pour les organismes d’assurance de collecter le NIR des personnes assurées, bénéficiaires ou adhérentes aux fins de comparaison avec le fichier des personnes décédées transmis par l’INSEE pour améliorer leur gestion opérationnelle et rendre plus effective la lutte contre les contrats en déshérence. Ces dispositions n’appellent pas d’observations particulières.

Concernant le projet d’article 1-59°, la Commission prend acte de l’élargissement du périmètre des organismes autorisés à utiliser le NIR dans le cadre de lutte contre la fraude, d’une part, au Fonds de garantie des assurances obligatoires de dommages (FGAO) et, d’autre part, au Fonds de garantie des victimes des actes de terrorisme et d’autres infractions (FGTI) ; cet élargissement n’appelle pas d’observation spécifique au regard des précisions apportées relatives à la volonté de donner à ces deux entités les mêmes prérogatives en matière de lutte contre la fraude que les organismes d’assurance dès lors qu’elles remplissent des missions de même nature.

Par ailleurs, la Commission rappelle que le NIR peut être collecté et traité par les organismes d’assurance en relation avec les professionnels de santé (établissements et institutions) dans le cadre de leurs obligations relatives aux déclarations sociales et pour l’indemnisation des accidents ; il peut également être traité pour la gestion des rentes ou pour les garanties perte d’exploitation et perte d’emploi . Les organismes d’assurance peuvent traiter ce numéro pour leur traitement de lutte contre la fraude dans les seules hypothèses visées précédemment.

Le projet d’article 1-59° mériterait d’être précisé pour limiter les cas de collecte et de traitement du NIR à ces seules activités.

En deuxième lieu, la Commission relève que le projet d’article 1-44° prévoit l’utilisation du NIR afin de vérifier la fiabilité des éléments d’identification des personnes figurant dans le traitement de données relatives à l’assiette, au contrôle et au recouvrement de tous impôts, droits, taxes et redevances ou amendes et pour l’exercice du droit de communication auprès des énumérées à l’article R. 81-A du livre des procédures fiscales . Elle relève qu’une telle utilisation, qui n’appelle pas d’observation particulière au regard du cadre juridique actuellement en vigueur, sera subordonnée à la collecte du NIR dans les conditions strictement énumérées à l’article R. 287-1-II du livre des procédures fiscales.

Par ailleurs, sans remettre en cause la légitimité d’un traitement de données à caractère personnel qui aurait pour objet de lutter contre la fraude (projet d’article 1-57°), la Commission estime que la seule référence à cette notion au sein du présent projet de décret ne permet pas d’expliciter les traitements visés. Le ministère ayant été interrogé sur ce point, elle prend acte des précisions apportées selon lesquelles il s’agit de lutter contre la fraude sociale et fiscale en permettant l’accès au répertoire commun de la protection sociale (RNCPS) prévu à l’article L. 114-12-1 du code de la sécurité sociale. Au regard de ces précisions, la Commission demande que le projet de décret soit modifié en ce sens.

Sur les autres dispositions du projet de décret

La Commission rappelle que l’article 22 de la loi du 6 janvier 1978 contient notamment des dispositions relatives aux traitements qui ont exclusivement des finalités de statistique publique et qui sont mis en œuvre par le service statistique public et ne comportent aucune des données mentionnées au I de l’article 8 ou à l’article 9 , lesquels n’ont dès lors pas vocation à figurer au sein du présent projet de décret.

Elle rappelle à cet égard que l’article 22 précité dans sa rédaction antérieure aux modifications apportées par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles contenait déjà des dispositions visant à alléger, dans certaines conditions, le régime de formalité applicable à certains traitements qui portaient sur des données à caractère personnel parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques ou qui requièrent une consultation de ce répertoire. En particulier, la Commission souligne que cet allègement des formalités était soumis à ce que le NIR ait préalablement fait l’objet d’une opération cryptographique lui substituant un code statistique non signifiant.

De manière générale, elle rappelle que la Commission s’est toujours montrée favorable à la facilitation des travaux de recherche, sous réserve que des garanties appropriées soient prévues lorsque le NIR est traité. Dans le cadre de son avis sur le projet de loi pour une République numérique du 19 janvier 2015, elle a ainsi rappelé que tout assouplissement des formalités préalables en vigueur concernant le traitement du NIR à des fins de recherche devait répondre à deux conditions impératives à savoir :

• être assorti de garanties fortes assurant la protection des données des personnes concernées et appropriées aux traitements en cause ;
• ne pas avoir pour effet de porter atteinte au cantonnement de l’utilisation du NIR comme identifiant de la seule sphère médico-sociale .

En l’espèce, elle observe que le projet d’article 1-65° vise notamment les traitements mis en œuvre par le service statistique public qui ont des finalités de statistique publique, d’études, de recherche ou d’évaluation, réalisés dans le respect de la loi du 7 juin 1951 susvisée et qui ne font pas l’objet d’une opération cryptographique substituant au NIR un code statistique non signifiant sans qu’il ne soit possible de déterminer avec précision la manière dont s’articule cette disposition spécifique avec celle de l’article 22 de la loi du 6 janvier 1978.

En particulier, la Commission relève que cette disposition peut être lue comme permettant l’utilisation du NIR en l’absence de tout procédé cryptographique pour des traitements qui seraient mis en œuvre à des fins de statistiques publiques par le service statistique public et qui reposeraient, par exemple sur la collecte de données mentionnées au I de l’article 8 ou à l’article 9 de cette même loi, tout en étant exemptés de la garantie relative à la mise en œuvre d’un procédé cryptographique.

Dans l’hypothèse où une telle lecture serait retenue, elle estime que le maintien de la référence, à cet alinéa 65°, aux traitements mis en œuvre par le service statistique public pour des finalités de statistique, devrait être réexaminé pour éviter toute contradiction avec la lettre de l’article 22 ou, en tout état de cause, avec la finalité de minimisation des données traitées qui sous-tend l’exigence de recours à un procédé cryptographique prévue par la loi pour les traitements à finalité exclusivement statistique.

En tout état de cause, elle estime impératif que toute ambiguïté soit écartée sur les traitements effectivement concernés ainsi que sur l’articulation de cette disposition réglementaire avec les dérogations mentionnées à l’article 22 de la loi du 6 janvier 1978 modifiée.

La Commission relève par ailleurs que le projet d’article 1-76° prévoit notamment que l’Institut national de la statistique puisse mettre en œuvre des traitements qui portent sur des données comportant le NIR aux fins de recensement de la population.

A titre liminaire, elle souligne que dès le début des années 1980, la CNIL a mis en évidence la singularité des fichiers mis en œuvre dans le cadre du recensement général de la population en soulignant leur portée générale et les nombreuses informations qu’ils permettent de collecter tant sur les logements concernés que sur leurs occupants.

La Commission relève qu’en application de l’article 156 de la loi n° 2002-276 du 27 février 2002 relative à la démocratie de proximité, le recensement général de la population poursuit trois finalités à savoir le dénombrement de la population de la France, la description des caractéristiques démographiques et sociales de la population ainsi que le dénombrement et la description des caractéristiques des logements. Elle observe que le traitement mis en œuvre à cette fin repose sur la collecte de données devant illustrer les principales caractéristiques des individus interrogés (sexe, âge, activité, professions exercées, caractéristiques des ménages, taille et type de logement, modes de transport, déplacements quotidiens) et ce, afin d’adapter le cas échéant, au niveau national et local les politiques mises en œuvre.

Compte tenu des finalités poursuivies par le traitement mis en œuvre afin de procéder au recensement de la population, la Commission estime que la collecte du NIR à cette fin n’apparait ni nécessaire ni proportionnée. Elle émet, en tout état de cause, des réserves sur la possibilité de prévoir une telle utilisation du NIR par voie réglementaire.

Enfin, à des fins de clarté, la Commission estime que TRACFIN devrait être expressément visé à l’article 1-58° du projet de décret.

La Présidente

Marie-Laure DENIS