CNIL 27e RAPPORT D’ACTIVITÉ 2006
Quel identifiant pour le
secteur de la santé ?
Le 26 octobre 2006, M. Alex Türk, président de la CNIL,
a décidé la création d’un groupe de travail ayant pour
mission l’évaluation de la doctrine sur l’utilisation du NIR,
numéro d’inscription au Répertoire national d’identification
des personnes physiques (RNIPP), communément appelé
numéro de sécurité sociale, au regard des nouveaux
contextes juridiques et techniques, et dans la perspective
de l’apparition d’autres identifiants nationaux.
Le groupe de travail, présidé par M. Jean Massot, a procédé à plusieurs auditions et effectué des visites sur place
lui permettant d’effectuer un certain nombre de constats et
de dégager des conclusions qui ont été approuvées par la
Commission en séance plénière le 20 février 2007.
Le constat selon lequel « le NIR n’est pas un numéro
comme les autres » a d’abord été rappelé. Il est signifiant,
unique et pérenne et a priori fiable puisqu’il est certifié par
l’INSEE à partir des données d’état civil.
Il apparaît ainsi que l’évolution des techniques qui facilite
le rapprochement de fichiers sans numéro d’identification
commun et l’émergence d’autres identifiants très intrusifs
(biométrie), ne font pas disparaître les craintes suscitées
par l’utilisation et la diffusion généralisée d’un identifiant
national unique et signifiant comme le NIR.
La question du choix d’un identifiant pour le secteur de la
santé était plus particulièrement posée à la CNIL. En effet,
le législateur a prévu la création d’un identifiant de santé
des personnes prises en charge par un professionnel de
santé ou un établissement de santé ou dans le cadre d’un
réseau de santé, notamment pour l’ouverture et la tenue
du dossier médical personnel (DMP). Un décret pris après
avis de la CNIL doit déterminer cet identifiant ainsi que
ses modalités d’utilisation.
Le NIR ne peut pas être
utilisé par des organismes de
recouvrement de créance ou
des établissements de crédit
En adoptant quatre refus d’autorisation lors de sa séance
plénière du 23 février 2006, la CNIL a rappelé qu’au
regard des risques présentés par la généralisation de
l’usage du NIR et de l’application du principe de proportionnalité défini à l’article 6-3° de la loi du 6 janvier 1978
modifiée en 2004, l’utilisation du NIR par des organismes
de crédit ou de recouvrement n’intervenant pas dans le
secteur de la protection sociale ne peut être admise.
Questions à …
Quel est l’encadrement spécifique de l’utilisation du NIR par des
organismes privés ?
BERNARD PEYRAT
Conseiller à la Cour de cassation
Commissaire en charge du secteur
« Commerce »
L’article 25-5° de la loi du 6 janvier 1978 modifiée par la
loi du 6 août 2004 soumet désormais à l’autorisation de la
CNIL les traitements des organismes privés portant sur des
données parmi lesquelles figure le NIR. Par ailleurs, il résulte
des dispositions de l’article 7-5° que la réalisation de l’intérêt
légitime du responsable de traitement doit être prise en compte
sous réserve de ne pas méconnaître l’intérêt ou les droits et
Pouvez-vous nous rappeler la dimension historique du NIR dans
la loi informatique et libertés ?
libertés fondamentaux de la personne concernée.
À l’origine de la loi informatique et libertés se trouve le rejet
du projet SAFARI d’interconnexion de fichiers publics à partir
du numéro de sécurité sociale ou NIR. En effet, l’utilisation
généralisée d’un identifiant unique dans l’ensemble des fichiers,
La lutte contre la fraude ou l’homonymie sont des finalités qui,
en ce qu’elle faciliterait leur interconnexion, permettrait de
suivre les individus dans tous les actes de la vie courante si un
encadrement et des garanties précises n’avaient été prévues
par le législateur en 1978 puis en 2004.
Ces considérations ont conduit la CNIL à limiter l’usage du
NIR en tant qu’identifiant propre à la sphère de la santé et à la
sphère sociale et à recommander le recours à des identifiants
spécifiques à chaque secteur d’activité. Les dérogations prévues
par le législateur n’ont porté que sur des cas limités, justifiés
par l’intérêt général.
58
Quels sont les motifs principaux qui ont motivé les refus
d’autorisation ?
bien que légitimes, ne suffisent pas, à elles seules, à justifier
l’utilisation du NIR dans le cadre de gestion de produits
d’épargne, de gestion de crédits ou encore du recouvrement
de créance. Les mutuelles, les entreprises d’assurances et
les institutions de retraite complémentaires et de prévoyance
sont autorisées à utiliser le NIR pour l’exercice de leurs
activités d’assurance maladie, de maternité, d’invalidité
complémentaires et d’assurance vieillesse mais non pour la
gestion de la relation commerciale. Pour la gestion de ses
actions commerciales, chaque organisme doit se doter d’un
identifiant spécifique.