L’article 87 du RGPD dispose que « Les États membres peuvent préciser les conditions spécifiques du traitement d’un numéro d’identification national ou de tout autre identifiant d’application générale. Dans ce cas, le numéro de Sécurité Sociale ou tout autre identifiant d’application générale n’est utilisé que sous réserve des assurances adéquates pour les droits et libertés du sujet concerné adoptées en vertu du présent règlement ».
Qu’en est-il de la France ?
Conformément à l’article 22 de la Loi Informatique et Libertés de 1978 (modifié par la Loi n°2018-493 du 20 juin 2018), un décret (décret n°2019-341 du 19 avril 2019 – publié le 21 avril 2019) est venu lister les traitements dans le cadre desquels le numéro de sécurité sociale peut être utilisé.
Sont notamment concernés les employeurs de droit privé dans les hypothèses suivantes :
- pour remplir leurs obligations déclaratives nécessitant l’utilisation du NIR (notamment dans le cadre de la déclaration sociale nominative (DSN)) ;
- pour le traitement automatisé de la paie et de la gestion du personnel résultant de dispositions légales ou réglementaires et de conventions collectives concernant les déclarations, les calculs de cotisations et de versement destinées aux organismes de sécurité sociale et de prévoyance.
La CNIL précise dans son avis portant sur le projet de décret et publié le même jour, que les responsables de traitement autorisés à traiter cette donnée doivent le faire en respectant les principes et obligations du RGPD. Elle rappelle à ce titre que chaque traitement mis en œuvre devra respecter le principe de minimisation des données, qui doit conduire à ne traiter le NIR qu’en cas de besoin justifié par la finalité du traitement concerné.
En pratique, cela signifie que l’entreprise peut utiliser le NIR de ses collaborateurs uniquement dans les hypothèses listées ci-dessus, sans avoir à recueillir préalablement leur consentement car nous sommes dans une hypothèse légalement admise.
Il convient néanmoins d’informer les collaborateurs de ces utilisations et d’intégrer ces traitements dans le registre d’activité.
Chaque entreprise doit donc se poser la question suivante : a-t-elle informé ses collaborateurs des traitements de données personnelles réalisés ? a-t-elle finalisé l’élaboration de son registre de traitements des données personnelles ?
