Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Délibération du 5 octobre 2023, n° 2023-103
CNIL 5 octobre 2023

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Nécessité d'un traitement pour l'intérêt public

    La CNIL a estimé que la création de cette base de données est justifiée par les missions d'intérêt public du ministère, notamment pour la mise à jour des traitements de données.

  • Accepté
    Conformité avec le RGPD

    La CNIL a confirmé que le projet de traitement relève du RGPD et qu'il vise à fiabiliser la connaissance de l'état civil des personnes.

  • Accepté
    Mise à jour nécessaire des fichiers

    La CNIL a reconnu la nécessité de ce traitement pour permettre aux services de mettre à jour leurs fichiers et d'accéder aux informations pertinentes.

Résumé par Doctrine IA

La Commission Nationale de l'Informatique et des Libertés (CNIL) a été saisie par le ministre de l'Intérieur concernant un projet d'arrêté pour créer un traitement automatisé de données personnelles, dénommé « table de correspondance des noms et prénoms ». Les questions juridiques posées concernent la légalité de ce traitement au regard du RGPD et de la loi n° 78-17. La CNIL a conclu que ce traitement est justifié par l'intérêt public, nécessaire pour la mise à jour des fichiers d'identité et la vérification des changements de nom ou prénom. Elle a cependant recommandé des précautions sur la durée de conservation des données, la limitation des accédants et la réalisation d'une analyse d'impact relative à la protection des données.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Délibération n°2023-103 du 5 octobre 2023 portant avis sur un projet d’arrêté portant création d’un traitement automatisé de données à caractère personnel dénommé « Table de correspondance des noms et prénoms »

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, délib. n° 2023-103, 5 oct. 2023
Numéro : 2023-103
Nature de la délibération : Avis
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000049109931

Texte intégral

Date de l’avis : 5 octobre 2023

N° de la délibération :2023-103

N° de demande d’avis : 23012925

Texte concerné : projet d’arrêté portant création d’un traitement automatisé de données à caractère personnel dénommé « table de correspondance des noms et prénoms »

Thématiques : ministère de l’intérieur et des outre-mer, RNIPP, changement de nom, changement de prénom

Fondement de la saisine : e) du 2° du I de l’article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée

L’essentiel :

La CNIL estime que la création d’une base de données comprenant les changements de nom et de prénoms des personnes physiques, est nécessaire aux missions d’intérêt public poursuivies par les services du ministère de l’intérieur, en particulier pour la mise à jour de ses traitements.

Elle invite le ministère à prioriser les mises à jour informatiques de ses traitements.

LA COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS,

Saisie par le ministre de l’intérieur et des outre-mer d’une demande d’avis sur un projet d’arrêté portant création d’un traitement automatisé de données à caractère personnel dénommé « table de correspondance des noms et prénoms » ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés et notamment son article 8 ;

Vu la délibération n° 2023 du 5 octobre 2023 portant avis sur un projet de décret modifiant le décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques ou nécessitant la consultation de ce répertoire ;

Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Damien MILIC, commissaire du Gouvernement ;

ADOPTE LA DÉLIBERATION SUIVANTE :

I. La saisine

A. Le contexte

La mise en œuvre de la loi n°2022-301 du 2 mars 2022 a conduit le ministère de l’intérieur à prévoir une modification du décret n° 2019-341 du 19 avril 2019 afin de permettre la consultation du répertoire national d’identification des personnes physiques (RNIPP) afin de consulter l’identité des personnes ayant changé de nom ou de prénom et de mettre à jour les traitements de données à caractère personnel dont les services compétents du ministère et les établissements publics qui lui sont rattachés ont la charge (pour l’instant, n’est concerné que le CNAPS).

Le ministère prévoit la mise en place d’une plateforme numérique interne où l’ensemble des changements de nom ou de prénom seraient transmis par l’Institut national de la statistique et des études économiques (INSEE), responsable du RNIPP. Cette extraction du RNIPP permettrait de constituer la table de correspondance des noms et prénoms des personnes ayant changé l’un ou l’autre des éléments de son état-civil. Cette extraction ne contiendrait pas le numéro d’immatriculation au RNIPP (NIR).

Le ministère a saisi la CNIL, au titre de sa mission de conseil, d’un projet d’arrêté le 22 puis le 29 septembre 2023.

B. L’objet de la saisine

Le ministère souhaite créer un traitement de données à caractère personnel mis en œuvre par la direction des libertés publiques et des affaires juridiques (DLPAJ) dénommé « table de correspondance des noms et prénoms » qui aurait pour finalités :

  • la consultation de l’identité des personnes ayant changé de nom ou de prénom en application des articles 60, 61, 61-3-1 du code civil : certains services pourront consulter ce traitement afin de vérifier qu’une personne n’a pas changé de nom dans le cadre de la consultation de traitements pour lesquels ils ne sont pas accédants ;
  • la mise à jour de cette identité dans les traitements de données à caractère personnel mis en œuvre par le ministère ou les établissements publics qui lui sont rattachés. Cette mise à jour serait, dans un premier temps, manuelle, puis, automatisée.

II. L’avis de la CNIL

A. Sur le régime juridique applicable et ses finalités

Le fichier poursuit une double finalité :

  • d’une part, il servira à la mise à jour des fichiers utilisés par les services du ministère de l’intérieur et le CNAPS, qui ne sont plus informés des changements de nom ainsi que des changements de prénoms ni par une publication, ni par un autre canal, et ne peuvent pas, contrairement à d’autres responsables de traitement, consulter le RNIPP à partir du NIR ;
  • d’autre part, il pourra être consulté par une série d’accédants listés par l’arrêté qui pourront ainsi vérifier si une personne a changé de nom.

Le projet de traitement relève du RGPD en ce qu’il vise à permettre la mise à jour des fichiers pouvant relever, eux, d’autres régimes juridiques. La base légale de ce traitement pourrait relever de l’intérêt public (art. 6 1 e du RGPD).

S’agissant de la seconde finalité de consultation d’un changement d’identité, le ministère a précisé qu’il s’agissait de permettre à des services d’enquête d’avoir connaissance d’un changement de nom ou de prénom, pour leur permettre de réaliser leurs missions.

La CNIL estime que cette seconde finalité relève également du RGPD, dès lors que le traitement vise à fiabiliser la connaissance de l’état civil d’une personne.

B. Sur les catégories de données collectées

Les données du traitement « table de correspondance des noms et prénoms » reprennent la majorité des données contenues dans le RNIPP, à l’exception du NIR.

Le projet d’arrêté prévoit que l’extraction du RNIPP contiendra " le cas échéant " la filiation afin de pouvoir traiter certains cas d’homonymie en l’absence du NIR. Tout en reconnaissant la nécessité de pouvoir traiter les cas d’homonymie, la CNIL invite le ministère à étudier la faisabilité d’un dispositif qui n’extrairait cette donnée que lorsqu’il existe dans le RNIPP un homonyme quasi parfait.

Cette donnée, dont le traitement ne doit servir qu’à fiabiliser la mise à jour des données d’identité, ne pourra être reportée, en cas de changement de nom ou de prénom, dans les fichiers du ministère de l’intérieur et du CNAPS.

C. Sur la durée de conservation

Le projet d’arrêté prévoit que les données à caractère personnel seront conservées jusqu’à six ans à compter de leur enregistrement.

La mise à jour des fichiers ne nécessite pas, à elle-seule, la conservation des données pendant six ans.

A ce stade, cependant, le ministère a indiqué ne pas avoir de visibilité sur l’échéance permettant à chaque gestionnaire de fichiers relevant de sa responsabilité de pouvoir automatiser la mise à jour de ses traitements. La mise à jour sera donc manuelle et pourra s’échelonner sur plusieurs années.

Par ailleurs, le projet d’arrêté prévoit que les différents services du ministère et le CNAPS pourront consulter la base de données pour vérifier qu’une personne n’a pas changé de nom sans que cela ait été porté à leur connaissance ou pris en compte dans leurs fichiers ou ceux dont ils sont destinataires.

Cette finalité justifie une durée de conservation plus longue que celle normalement admissible pour les simples opérations de mise à jour. Le ministère a fixé cette durée à six ans, ce dont la CNIL prend acte.

D. Sur les accédants

L’article 4 du projet d’arrêté liste huit catégories d’accédants, au sein desquelles devront être désignés et spécialement habilités des agents ou des personnels : police nationale, gendarmerie nationale, service national des enquêtes administratives de sécurité, commandement spécialisé pour la sécurité nucléaire, CNAPS, etc.

La CNIL estime que les accédants qui seront habilités doivent être limités à un nombre restreint eu égard au grand nombre de fichiers concernés par la mise à jour via le traitement « table de correspondance des noms et prénoms ».

Ces accès devraient être authentifiés et faire l’objet d’une journalisation.

Dans la perspective d’une automatisation des mises à jour opérées dans les différents fichiers du ministère à partir de la table de correspondance, la CNIL estime qu’une attention supplémentaire devrait être portée à éviter des accès réciproques, susceptibles d’engendrer une source supplémentaire de risques pour les fichiers en question. La mise en œuvre d’interfaces de programmation applicatives (API) sécurisées pourrait, entre autres, être considérée afin d’éviter de tels risques.

E. Sur les droits des personnes concernées

Le projet d’arrêté prévoit d’écarter le droit d’opposition en application de l’article 23 du RGPD afin de garantie la sécurité nationale, la sécurité publique ainsi que la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

La CNIL estime nécessaire et proportionnée l’exclusion de ce droit d’opposition et appelle le ministère à compléter le projet d’arrêté avec les mentions requises par l’article 23.

F. Sur la nécessité de réaliser une analyse d’impact relative à la protection des données

Ce traitement devrait faire l’objet d’une AIPD, car réunissant deux critères au sens des lignes directrices du 4 octobre 2017 du groupe de travail de l’article 29 : traitement à large échelle (au regard de la proportion que représentent les personnes concernées sur l’ensemble de la catégorie des personnes ayant opéré un changement de nom ou de prénom, large échelle géographique) portant sur des personnes vulnérables (mineurs, réfugiés dont les actes d’état civil sont réalisés auprès de l’Office français de protection des réfugiés et des apatrides).

Au-delà de la réunion de ces critères, la CNIL considère qu’une AIPD est nécessaire eu égard aux risques élevés pour les droits et libertés pour les personnes concernées en cas de violation de ces données, notamment en ce que le traitement établit une liste exhaustive des personnes ayant changé de prénom en raison de leur genre.

La Présidente

Marie-Laure DENIS


Décisions similaires

Citées dans les mêmes commentaires3

  • Entrepôt ·
  • Données de santé ·
  • Traitement ·
  • Exportation ·
  • Projet de recherche ·
  • Sécurité ·
  • Chiffrement ·
  • Informatique ·
  • Génétique ·
  • Recherche
  • Entrepôt ·
  • Données de santé ·
  • Information ·
  • Exportation ·
  • Identifiants ·
  • Responsable ·
  • Personne concernée ·
  • Personnes ·
  • Traitement de données ·
  • Anonymisation
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Formation restreinte ·
  • Délibération ·
  • Commissaire du gouvernement ·
  • Journal officiel ·
  • Règlement intérieur ·
  • Vote
1 commentaire

Citant les mêmes articles de loi3

  • Commission nationale ·
  • Informatique ·
  • Traitement de données ·
  • Parlement européen ·
  • Liberté ·
  • Habilitation ·
  • Protection ·
  • Directive (ue) ·
  • Commission ·
  • Personnes physiques
  • Protection des données ·
  • Cnil ·
  • Intelligence artificielle ·
  • Recommandation ·
  • Informatique ·
  • Commission nationale ·
  • Acteur ·
  • Système ·
  • Fiche ·
  • Réutilisation de données
  • Plateforme ·
  • Données de santé ·
  • Cnil ·
  • Entrepôt ·
  • Accès ·
  • Consortium ·
  • Traitement de données ·
  • Base de données ·
  • Information ·
  • Scientifique

De référence sur les mêmes thèmes3

  • Formation restreinte ·
  • Données ·
  • Personne concernée ·
  • Sociétés ·
  • Prospection commerciale ·
  • Consentement ·
  • Formulaire ·
  • Traitement ·
  • Utilisateur ·
  • Fichier
5 commentaires
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Formation restreinte ·
  • Délibération ·
  • Commissaire du gouvernement ·
  • Élus ·
  • Journal officiel ·
  • Gouvernement
  • Cnil ·
  • Finalité ·
  • Service de renseignements ·
  • Consultation ·
  • Traitement ·
  • Accès ·
  • Protection ·
  • Données ·
  • Décret ·
  • Liste

Sur les mêmes thèmes3

  • Formation restreinte ·
  • Données ·
  • Mot de passe ·
  • Durée de conservation ·
  • Traitement ·
  • Sociétés ·
  • Compte utilisateur ·
  • Manquement ·
  • Cnil ·
  • Caractère
3 commentaires
  • Cnil ·
  • Données ·
  • Tabac ·
  • Entrepôt ·
  • Traçabilité des produits ·
  • Traitement ·
  • Opérateur ·
  • Finalité ·
  • Commission européenne ·
  • Identifiants
  • Sanction ·
  • Juriste ·
  • Protection ·
  • Service ·
  • Innovation ·
  • Technologie ·
  • Plainte ·
  • Contrôle ·
  • Système d'information ·
  • Contentieux

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  3. Loi n° 78-17 du 6 janvier 1978
  4. Décret n°2019-341 du 19 avril 2019
  5. LOI n°2022-301 du 2 mars 2022
  6. Code civil
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Délibération du 5 octobre 2023, n° 2023-103
  1. Doctrine
  2. Décisions de justice
  3. 2023
  4. CNIL, délib. n° 2023-103, 5 oct. 2023
Contactez notre service commercial au 01 84 80 33 48