La Commission nationale de l’informatique et des libertés,

Saisie par le ministre de l’économie, des finances et de la souveraineté industrielle et numérique d’une demande d’avis concernant un projet de décret en Conseil d’Etat relatif à la création du traitement automatisé de données à caractère personnel permettant la gestion du répertoire statistique d’individus et de logements, et sur l’arrêté y afférent ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, ci-après la loi « informatique et libertés », notamment son article 8-I-4°-a) ;

Après avoir entendu le rapport de M. Claude CASTELLUCCIA, commissaire, et les observations de M. Damien MILIC, commissaire du Gouvernement,

I. La saisine

A. Contexte de la saisine

L’Institut national de la statistique et des études économiques (INSEE) envisage de créer un traitement dénommé Répertoire statistique d’individus et de logements (ci-après « Résil »).

Pour la conduite de ses études statistiques sur la population française, l’INSEE procède notamment à des appariements de bases de données administratives. Lorsque cet appariement ne peut pas se faire en utilisant un numéro d’identification commun aux bases appariées, l’INSEE utilise des méthodes basées sur d’autres caractéristiques communes, qui conduisent à des taux d’erreur variables selon le contexte. Le projet Résil s’inscrit dans la volonté de l’INSEE d’améliorer les appariements de données et la qualité des résultats statistiques en créant un nouvel identifiant, à usage statistique, qui serait attribué à toute personne résidant sur le territoire français. Le traitement Résil permettrait également de fiabiliser et rendre moins couteux les appariements, allégeant la collecte d’informations par voie d’enquête. Ce projet s’inscrit dans une tendance largement partagée à l’international. Enfin, il répond en outre à un besoin conjoncturel pour faire face à la disparition en 2023 de la taxe d’habitation, dont le fichier constituait le support d’importantes opérations statistiques (tirage pour mener des enquêtes auprès des ménages, opérations de recensement, etc.).

Le traitement Résil constitue un projet d’ampleur inédite. L’INSEE disposera d’une liste exhaustive et à jour de la population résidente et du parc immobilier français. Conscient du caractère exceptionnel de ce projet, l’INSEE a constitué un groupe de concertation, composé de personnalités d’horizons différents, placé sous l’égide du Conseil national de l’information statistique (CNIS) et présidé par M. Delarue, ancien président la Commission Nationale Consultative des Droits de l’Homme (CNCDH) et ancien contrôleur général des lieux de privation de liberté. À l’issue d’auditions, ce groupe a établi un rapport rendu public en novembre 2022 et confirmant l’intérêt du traitement Résil. Plusieurs réunions de travail ont eu lieu en 2022 et 2023 entre les services de la CNIL et l’INSEE sur ce projet. Une analyse d’impact relative à la protection des données (AIPD) a également été menée par l’INSEE.

À l’issue de ses travaux d’auditions et de réflexions, le groupe de concertation n’a pas émis d’objection de principe au traitement Résil. Il a toutefois formulé une série de treize préconisations pour en assurer un encadrement juridique et déontologique adapté.

L’INSEE et le président du groupe de concertation ont été auditionnés par la CNIL, le 1^er juin 2023 pour présenter l’ensemble du projet et préciser leurs positions respectives.

B. Objet de la saisine

La CNIL est saisie d’une demande d’avis sur un projet de décret en Conseil d’État relatif à la création du traitement Résil et sur l’arrêté fixant la liste des sources pouvant être utilisées pour le constituer.

Le traitement Résil sera constitué notamment à partir des fichiers de déclaration Sociale Nominative (DSN), de prélèvement à la source pour les revenus autres (Pasrau) ou encore de différents fichiers fiscaux. Il sera composé de deux sous-répertoires distincts, l’un portant sur les personnes résidant sur le territoire national et l’autre sur les logements.

Les données que contiendra Résil se limiteront aux données énumérées à l’article 2 du projet de décret. Il ne comporte aucune donnée sensible.

Concrètement, le traitement Résil est une liste exhaustive et mise à jour régulièrement de la population résidente et des logements en France, qui contiendra des données d’identification et des informations permettant d’établir de manière fiable des liens entre personnes et logements. Le numéro d’inscription au répertoire des personnes physiques (NIR) ne sera pas utilisé dans ces listes. Plus précisément, il sera fait usage du code statistique non signifiant (CSNS) créé par l’article 34 de la loi de 2016 pour une République numérique visant spécifiquement à permettre au service statistique public (SSP) de réaliser des appariements de données sans utiliser le NIR. Toute personne résidant sur le territoire français disposerait désormais d’un code statistique non signifiant.

Selon le projet de décret, Résil constituera un répertoire ayant une finalité exclusivement statistique et non administrative. Il ne servira qu’à l’élaboration de statistiques par le SSP composé de l’INSEE et de services statistiques ministériels. Aucune décision individuelle ne pourra être prise à l’égard d’une personne au vu des données enregistrées dans le répertoire ou des résultats issus d’appariement avec d’autres sources.

Le projet Résil poursuit plusieurs objectifs :

• améliorer les études statistiques et l’évaluation des politiques publiques, en fiabilisant et rendant moins coûteux les appariements de sources de données diverses, généralement constituées de fichiers administratifs opérationnels et d’enquêtes par échantillon, portant sur les personnes, les ménages et les logements ;

• constituer des bases de sondage dans lesquelles pourraient être tirés des échantillons pour les enquêtes réalisées par le SSP auprès des ménages, ainsi que préparer les enquêtes annuelles de recensement ;

• permettre la production des statistiques de population, à l’instar de l’utilisation actuelle des fichiers issus de la taxe d’habitation.

L’une des finalités du projet Résil est donc la création au sein de l’INSEE d’un service d’appariement réservé au SSP.

Il est envisagé une mise en œuvre progressive de ce répertoire à compter de janvier 2024 et une mise en service pour l’ensemble des services statistiques publics à la fin de l’année 2025.

II. L’avis de la CNIL

A. Sur la finalité et la nature du traitement Résil

Le traitement Résil constituerait un répertoire de la population résidant en France, au sens où il serait constitué d’une liste exhaustive d’entités (personnes et logements) assortie d’informations permettant d’identifier ces entités sans ambiguïté, et de les relier à d’autres données au moyen d’identifiants (CSNS, identifiant logement).

Il s’agit d’un répertoire statistique dès lors qu’il est exclusivement destiné à un usage de production de statistiques et n’aurait pas d’utilisation administrative. Comme le rapport du groupe de concertation l’a souligné, il existe une différence fondamentale entre un répertoire statistique et un répertoire administratif :

• un répertoire statistique ne sert qu’à l’élaboration de statistiques ;
• il n’est accessible qu’aux statisticiens de la statistique publique ;
• aucune décision ou appréciation individuelle ne peut être prise concernant une personne au vu des données stockées dans le répertoire.

Ce type de répertoire se distingue également de ce qui est souvent désigné sous l’appellation de « fichier de population » ou « registre de population ». Bien qu’il n’en existe pas de définition précise, les registres de population (dénommés « registre national » en Belgique, « registre central de la population » en Suède) s’apparentent à une base de données comportant des informations sur un administré : nom ; prénoms ; date et lieu de naissance ; coordonnées postales, téléphoniques ou électroniques, voire bancaires ; quotient familial, situation par rapport à l’emploi, voire situation par rapport au taux d’endettement ; éventuellement sa photographie. Il s’agit ainsi d’un « annuaire administratif », consultable par la plupart des administrations. Un tel fichier est généralement utilisé pour établir les titres d’identité et attribuer un numéro d’identification personnel. Ce type de registre repose parfois sur une obligation de déclarer un changement de domicile.

La doctrine de la CNIL a toujours été défavorable à la création de ce type de fichiers. Leur constitution soulève deux objections principales. D’une part, dans la mesure où elle permet potentiellement la mise en relation de toutes les informations contenues dans les fichiers où figure l’identifiant individuel utilisé dans le registre de population, elle augmente le risque qu’un acteur accède et traite plus de données à caractère personnel que nécessaires. La CNIL a toujours plaidé en faveur de fichiers sectoriels, par groupes homogènes de finalités dans les différents domaines d’action de l’administration, avec la constitution éventuelle d’identifiants individuels sectoriels. D’autre part, la constitution de tels fichiers soulève des enjeux importants en matière de sécurité.

Contrairement à d’autres pays européens (par exemple : Finlande, Espagne, Pays-Bas), la France ne dispose pas de « registre de population ». Selon le rapport du groupe de concertation, il n’est ni envisageable ni envisagé que la France s’oriente vers un tel dispositif.

Les pays ne disposant pas de registre de population ni d’identifiant individuel unique ont opté majoritairement pour la mise en place d’un répertoire statistique national permettant de faciliter l’appariement des données à des fins statistiques et de conduire des opérations de recensement de la population. Parmi ces différents modèles, Résil se rapprocherait des exemples néo-zélandais et canadien.

Enfin, la CNIL souligne que le projet Résil est différent du projet Safari (pour Système automatisé pour les fichiers administratifs et le répertoire des individus) initié en 1973. Le projet Safari reposait sur l’informatisation du Répertoire National d’Identification des Personnes Physiques (RNIPP), répertoire à finalité administrative. Il prévoyait d’utiliser le NIR comme identifiant unique à chaque personne pour l’ensemble des répertoires et fichiers publics dans le cadre général de l’informatisation et de la modernisation des administrations.

Le projet Safari a donné lieu à de vifs débats relatifs aux enjeux pour la vie privée et les libertés individuelles. Le risque majeur perçu concernait les interconnexions possibles, incontrôlables, entre fichiers publics, susceptibles d’entraîner un renforcement du pouvoir d’État sur les citoyens par une utilisation pour des finalités administratives par les ministères de l’intérieur et de la justice. Le second risque était de voir niée l’identité humaine, la personne n’étant désignée que par un numéro au détriment du respect de son identité. La loi « informatique et libertés » fut une réponse à ces risques. L’article 1^er de la loi pose le principe de la protection de l’identité humaine. L’article 30 soumet l’utilisation du RNIPP à un contrôle et une réglementation particulière. Enfin, la loi « informatique et libertés » a donné naissance à la CNIL, première autorité administrative indépendante créée en France.

Résil se distingue donc de Safari, d’abord par sa finalité strictement statistique, et non administrative.

En outre, il convient de souligner que la polémique autour du projet Safari intervenait dans un contexte technologique et réglementaire différent. Aujourd’hui, l’informatisation de l’action publique est encadrée.

L’encadrement juridique a également évolué, la protection des données à caractère personnel traitées par des moyens automatisés s’étant renforcée, notamment avec l’adoption du RGPD.

Au regard de l’ensemble de ces considérations, la CNIL estime que les finalités du projet Résil sont, en elles-mêmes, déterminées, explicites et légitimes. Un tel traitement relèverait du RGPD et serait placée sous la responsabilité de l’INSEE.

Il convient de vérifier que le traitement spécifiquement envisagé par l’INSEE est nécessaire et ne porte pas une atteinte disproportionnée à la vie privée, au regard des garanties apportées.

B. Sur la nécessité du traitement Résil

L’INSEE fait valoir les éléments ci-après sur la nécessité du traitement :

• le besoin d’avoir une meilleure connaissance statistique de la population et de fiabiliser les appariements à des fins statistiques et de recherche pour éclairer les politiques publiques ;

• de façon plus conjoncturelle, la disparition de la taxe d’habitation utilisée pour des opérations statistiques, qui oblige à mobiliser de nouvelles sources de données pour constituer une base statistique ;

• les pays ne disposant pas de registre de population et d’identifiant partagé – comme dans le cas français – ont opté majoritairement pour la mise en place d’un répertoire statistique national (par exemple, en Nouvelle-Zélande et au Canada) ;

• enfin, il n’y aurait pas d’alternative satisfaisante à la constitution d’un répertoire national statistique exhaustif de la population. En particulier, un répertoire basé sur échantillon de la population ou un nombre limité de sources exclurait certaines populations (par exemple, les jeunes étudiants, ainsi que certains jeunes actifs et personnes âgées).

Le rapport du groupe de concertation a conclu à la nécessité de ce répertoire faute notamment d’une alternative convaincante et au regard des initiatives menées dans d’autres pays, notamment européens.

Il ressort effectivement des pièces du dossier que, en premier lieu, les appariements présentent des limites, notamment pour certains types de population (étudiants, personnes de nationalité étrangère, etc.), affectant la fiabilité fine de certaines statistiques. En second lieu, l’absence d’un répertoire statistique tel que Résil ne permet pas à l’INSEE de calculer aisément et précisément certaines statistiques de base sur l’ensemble de la population résidant en France. Eu égard aux besoins de l’administration, notamment en matière d’évaluation des politiques publiques, la CNIL considère que l’utilité et la nécessité du traitement Résil sont suffisamment démontrées au regard de l’ensemble des éléments présentés tant par l’INSEE que par le groupe de concertation.

C. Sur la proportionnalité du traitement Résil

Le traitement Résil tel qu’envisagé par l’INSEE, présente, de par son ampleur et les appariements de données qu’il permet, des risques pour les droits et libertés et en particulier la vie privée :

• la constitution d’un répertoire exhaustif et à jour comprenant des données à caractère personnel porte par elle-même une atteinte à la vie privée en permettant à son responsable d’accéder à tout moment à ces informations et de les traiter ; en l’espèce, le traitement comprendra des éléments d’état-civil mais aussi sur le logement des personnes ainsi que des informations, concernant des personnes nées à l’étranger ;

• les risques de détournement de finalité du répertoire, s’il est utilisé à des fins autres que statistiques (par exemple pour l’instruction d’une demande d’usager, pour la lutte contre la fraude, ou encore par les forces de l’ordre dans leurs missions de police administrative et judiciaire) ;

• risques liés à une violation de données (par exemple, compromission des identifiants, utilisation des données à d’autres fins par des tiers et notamment des acteurs privés).

Ces risques nécessitent que des garanties fortes soient prévues pour s’assurer de la proportionnalité du dispositif.

Une série de garanties techniques et juridiques seront mises en œuvre par l’INSEE, en particulier :

• le projet de décret exclut toute utilisation à des fins autres que statistiques des données. En effet, l’article 1^er du projet de décret précise que la finalité de ces traitements " ne peut être que statistique, fondée sur des motifs d’intérêt public, à l’exclusion de tout autre usage. Ces traitements sont réalisés dans le respect des règles déontologiques applicables à la profession de statisticien » ; le régime juridique des services statistiques publics, fixés par la loi n° 51-711 du 7 juin 1951, comprend par ailleurs un ensemble de garanties qui contribueront au respect de cette règle ;

• l’accès aux deux composantes du répertoire Résil sera limité à un nombre très restreint d’agents individuellement habilités de l’INSEE, soit une vingtaine d’agents environ. Le service d’appariement fourni par l’INSEE sera réservé aux seuls services statistiques ministériels (listés par décret n° 2009-250 du 3 mars 2009 relatif à l’Autorité de la statistique publique, à l’exclusion de tout chercheur extérieur) ;

• les données contenues dans Résil et celles résultant des appariements demeurent couvertes par le secret statistique garanti par la loi n° 51-711 du 7 juin 1951. La violation de ce secret est sanctionnée pénalement. Cela limite l’utilisation des données à la seule « sphère statistique » ;

• les données contenues dans les répertoires Résil seront essentiellement des clés d’identification pour assurer le rôle de liste de référence pour réaliser les appariements. Le répertoire n’est enrichi d’aucune donnée issue des appariements (par exemple, données de contact, revenus, détail des logements) et sert donc uniquement de « colonne vertébrale » à des appariements statistiques ;

• une attention importante sera portée à la sécurité de ce répertoire particulièrement sensible ;

• l’INSEE a indiqué dans son AIPD étudier la faisabilité d’un mécanisme de destruction de Résil en cas d’atteinte à l’intégrité du secret statistique. La CNIL prend acte de ce que le gouvernement s’oriente vers une solution permettant de rendre le répertoire indisponible, tout en conservant une sauvegarde chiffrée sur support externe, avec une clé de déchiffrement confiée à un tiers de confiance ;

• des mécanismes de prévention et de contrôle ont été prévus pour empêcher les détournements de finalité, qui devraient être renforcés (v. infra).

La CNIL estime que, au regard du très fort développement des outils informatiques dans la conduite des politiques publiques depuis trente ans et de l’enjeu important que constitue la fiabilité et la précision des statistiques publiques pour la conception, la conduite et l’évaluation de ces politiques, la création du traitement Résil porte une atteinte proportionnée à la vie privée des personnes, à condition que soient renforcées les garanties prévues pour prévenir tout détournement de finalité comme exposé ci-dessous.

En particulier, la CNIL considère que certaines garanties devraient être renforcées pour prévenir tout détournement de finalité du répertoire et assurer un contrôle sur les appariements qui peuvent être réalisés via le traitement Résil.

L’INSEE prévoit de créer un service d’appariement réservé au seul SSP. Afin d’éviter tout usage administratif de Résil ainsi que des appariements avec des bases de données administratives, il est nécessaire de mettre en place un mécanisme efficace de contrôle.

Il est à noter également qu’il n’est pas prévu d’ouvrir ces appariements directement à des chercheurs. Ces derniers pourront néanmoins, comme c’est le cas actuellement, accéder à des données pseudonymisées issues d’appariements.

A titre liminaire, la Commission relève que l’article 1^er du projet de décret prévoit que les appariements " constituent des interconnexions, telles que mentionnées au 3° du I de l’article 33 de la loi informatique et libertés, de sources de données statistiques tierces, fondés sur les données à caractère personnel conservées dans Résil et permettant de créer de nouveaux fichiers comprenant tout ou partie des variables de chacun des fichiers des sources d’origine ". La Commission s’interroge sur la qualification d’interconnexion pour l’ensemble des mises en relation au regard de la jurisprudence du Conseil d’Etat, notion qui n’est par ailleurs pas définie dans la loi et est sujette à interprétation.

En premier lieu, le projet de décret rappelle que ces appariements s’inscrivent dans les conditions prévues par la loi du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques et que leur finalité ne peut être que statistique, fondée sur des motifs d’intérêt public, ou d’évaluation des politiques publiques à l’exclusion de tout autre usage. Ces traitements doivent en outre être réalisés dans le respect des règles déontologiques applicables à la profession de statisticien.

Le secret statistique interdit strictement la communication de données individuelles ou susceptibles d’identifier les personnes, issues de traitements à finalités statistiques, que ces traitements proviennent d’enquêtes ou de bases de données. Par dérogation aux règles communes applicables au secret professionnel, le secret statistique est en effet opposable à toute réquisition judiciaire ou émanant d’autorités administratives (fiscale ou douanière par exemple). Les données protégées par le secret statistique peuvent néanmoins être communiquées, au cas par cas, après avis du Comité du secret statistique pour répondre aux demandes formulées à des fins statistiques ou de recherche scientifique ou historique d’intérêt public.

La CNIL rappelle que la finalité statistique au sens du RGPD, doit satisfaire cumulativement aux critères tenant :

• à la nature des résultats. Les résultats obtenus doivent constituer des données agrégées et anonymes au sens de la réglementation sur la protection des données ;

• à l’usage des résultats. Le traitement doit tendre à la production de données agrégées pour elles-mêmes. Ces données peuvent ensuite servir à orienter les politiques publiques.

En second lieu, si l’accès au service d’appariement par les seuls membres du SSP ainsi que le caractère exclusivement statistique de la finalité des appariements sont des garanties importantes, la CNIL recommande de les compléter dans le prolongement de certaines préconisations émises par le de groupe de concertation :

• • la liste des appariements réalisés devrait être publiée avec, pour chaque appariement, la mention de leur responsable de traitement, des catégories de données mobilisées, des finalités des traitements et modalités d’exercice des droits. La CNIL recommande de prévoir cette obligation explicitement dans le projet de décret qui lui est soumis ;

• • la composition du CNIS devrait être élargie à des personnalités reconnues pour leur expertise en matière de protection des données issues du monde académique, associatif mais aussi de la sphère publique afin de prendre en compte les enjeux éthiques des appariements et ceux liées aux droits et libertés des personnes ;

• • le CNIS pourrait avoir la mission explicite de donner un avis d’opportunité sur les appariements réalisés par la statistique publique, avis prenant en compte les dimensions éthiques et celles liées aux droits et libertés des personnes ;

• • la CNIL recommande la publication par l’INSEE d’un bilan annuel comportant les chiffres clés sur l’utilisation du Résil et le nombre d’appariements.

En tout état de cause, la création de Résil ne devrait pas avoir pour conséquences de modifier le cadre actuel relatif à l’accès des chercheurs aux bases détenues par l’INSEE ainsi qu’aux données statistiques.

D. Sur la minimisation des données

L’article 5 du projet de décret prévoit que pour constituer et mettre à jour le répertoire Résil, différentes sources de données, listées dans un arrêté pris après avis de la CNIL, pourront être utilisées. Ces sources sont notamment issues de la Déclaration Sociale Nominative (DSN), des prélèvements à la source pour les revenus (Pasrau) et d’autres fichiers fiscaux.

Lorsque ces sources contiennent le NIR, celui-ci fait l’objet d’une l’opération cryptographique prévue au troisième alinéa de l’article 30 de la loi du 6 janvier 1978 (production d’un code statistique non signifiant ou CSNS).

La Commission relève que suite aux recommandations du groupe de concertation, l’INSEE a écarté certaines sources relatives notamment aux titres de séjour des étudiants étrangers (AGEDREF), à l’utilisation de la carte vitale et au Répertoire National Commun de la Protection Sociale (RNCPS).

La CNIL rappelle que l’ajout de toute nouvelle source de données dans le projet d’arrêté exigerait un nouvel avis de sa part ainsi que du CNIS, conformément à l’article 5 du projet de décret. Elle sera particulièrement vigilante sur la nécessité de l’ajout de toute nouvelle source.

L’article 2 du projet de décret énumère les données à caractère personnel qui seront enregistrées dans Résil. La CNIL estime que cette collecte est limitée aux données d’identification strictement nécessaires à la mise en œuvre des finalités de Résil, à l’exclusion de toute autre donnée.

Le répertoire comportera :

• des données relatives à l’état civil des personnes ;
• des données permettant l’identification des personnes (p. ex : CSNS, identifiant Résil ou identifiant techniques d’autres sources administratives) ;
• des données permettant d’identifier les logements (code non signifiant du logement) ;
• des données permettant de faire le lien entre les personnes et les logements.

La Commission relève que le NIR ne sera pas traité, ni aucune donnée sensible au sens de l’article 9 du RGPD. De même, le fichier ne comportera aucune donnée d’adresse des logements (cette adresse ne pouvant être obtenue que par l’INSEE via le code non signifiant du logement) ni de données de contact (ex : numéro de téléphone, adresse électronique, etc.).

La CNIL prend acte de ce que la collecte et la conservation des données d’état-civil dans le répertoire permettront en outre de supprimer progressivement ces données dans les autres fichiers détenus par l’INSEE et de les remplacer par un code non signifiant utilisé uniquement à des fins statistiques.

E. Sur les droits des personnes

Le projet de décret prévoit que l’information du public sera réalisée au moyen d’une fiche d’information publiée sur le site web « insee.fr » spécifiquement consacré au traitement Résil.

L’article 7 du projet de décret prévoit l’exclusion des droits d’opposition et de rectification, conformément aux dérogations ouvertes aux traitements à des fins statistiques par le 2 de l’article 89 du RGPD.

Compte tenu de l’ampleur exceptionnelle du répertoire Résil et des craintes qu’il pourrait susciter au sein de la population, l’INSEE se doit d’être exemplaire en matière de transparence. Il devrait prolonger l’action initiée avec la constitution du groupe de concertation et la publication de son rapport au mois de novembre 2022 en développant une communication active à destination d’un public non statisticien sur l’utilisation de données administratives et les appariements, en s’inspirant des bonnes pratiques des instituts nationaux de statistique étrangers. Celle-ci pourrait se concrétiser par exemple par la création d’un portail dédié.

F. Sur la durée de conservation des données

L’article 6 du projet de décret prévoit les durées de conservation des données du répertoire Résil. Ces données sont conservées et actualisées, pour les personnes physiques, durant toute leur vie et jusqu’au 31 décembre de la dixième année suivant le décès, et, s’agissant des logements, jusqu’au 31 décembre de la dixième année suivant l’affectation d’un logement un autre usage ou sa démolition.

Selon l’INSEE ces durées permettront d’assurer des appariements sur une période d’étude longue et sont communes à d’autres traitements qu’elle met en œuvre à des fins statistiques.

Pour les traitements relatifs aux appariements qui seraient réalisés par l’INSEE à la demande des services statistiques ministériels, il est prévu que les fichiers seront supprimés une fois le résultat validé et transmis au service demandeur.

Ces durées de conservation apparaissent pertinentes.

G. Sur la sécurité

En premier lieu, au vu du caractère particulier des données ainsi que de la gravité des risques pour les personnes physiques en cas d’atteinte à la confidentialité des données, la CNIL considère que la restriction de l’accès au seul petit groupe de personnes nommément habilitées pour les seules finalités décrites est une mesure essentielle à la sécurité du dispositif.

En deuxième lieu, la CNIL souligne l’importance de classifier les répertoires statistiques sur les personnes et les locaux, ainsi que l’ensemble des fichiers d’appariement, leurs copies et archives, au plus haut niveau de sensibilité dans les processus de l’INSEE, donc en l’occurrence de relever de la catégorie « sous haute protection ».

Dans la suite de ces deux observations, le contrôle de l’accès logique constitue une mesure de première importance. La CNIL considère à cet égard qu’une authentification multi-facteurs des personnes accédant au registre serait de nature à garantir un niveau de sécurité adéquat, en complément des modalités rigoureuses d’habilitation, de gestion des droits d’accès et de traçabilité prévues par l’INSEE.

La CNIL considère en outre que le chiffrement de la base Résil constitue une garantie essentielle.

Par ailleurs, parmi les mesures de sécurité annoncées, la CNIL tient à souligner l’engagement de l’INSEE à faire régulièrement auditer le dispositif par un tiers. Afin de répondre à la fois aux besoins de sécurité et de protection des données, la CNIL recommande que ces audits prennent en compte ces deux aspects et que les éléments soulevés par l’audit soient intégrés dans un plan d’action dont la mise en œuvre s’effectuerait dans des délais raisonnables.

Les autres dispositions n’appellent pas d’observations de la part de la CNIL.

La Présidente

M.-L. DENIS