Article 87 du RGPD : Traitement du numéro d’identification national

Introduction

L’article 87 RGPD autorise les États membres à préciser les conditions spécifiques du traitement d’un numéro d’identification national ou d’un identifiant d’application générale

Explication de l’article

Le RGPD autorise les États membres à encadrer le traitement des numéros d’identification nationaux, comme le numéro de sécurité sociale, le numéro de passeport ou encore le numéro de carte d’identité. Chaque État peut ainsi préciser les conditions dans lesquelles ces identifiants peuvent être utilisés, à condition de respecter les garanties appropriées pour les droits et libertés des personnes concernées. En France, par exemple, l’utilisation du NIR (numéro de sécurité sociale) est strictement encadrée par la CNIL.

Ceci est une alerte Toute société ayant des bases de données se doit de respecter les règles du RGPD, quelle que soit la taille de l'entreprise.

Libérez-vous du RGPD

Un DPO externe certifié prend en charge votre conformité et sécurise vos données,
sans contrainte pour vous.

Échanger avec un expert RGPD

Texte original du RGPD

Les États membres peuvent préciser les conditions spécifiques du traitement d’un numéro d’identification national ou de tout autre identifiant d’application générale. Dans ce cas, le numéro d’identification national ou tout autre identifiant d’application générale n’est utilisé que sous réserve des garanties appropriées pour les droits et libertés de la personne concernée adoptées en vertu du présent règlement

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Article 8

(…).

7.Les États membres déterminent les conditions dans lesquelles un numéro national d’identification ou tout autre identifiant de portée générale peut faire l’objet d’un traitement.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté).

Article 30

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Un décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, détermine les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu’ils portent sur des données comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques. La mise en œuvre des traitements intervient sans préjudice des obligations qui incombent aux responsables de traitement ou à leurs sous-traitants en application de la section 3 du chapitre IV du règlement (UE) 2016/679 du 27 avril 2016.

N’entrent pas dans le champ d’application du premier alinéa du présent article ceux des traitements portant sur des données à caractère personnel parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques ou qui requièrent une consultation de ce répertoire :

1° Qui ont exclusivement des finalités de statistique publique, sont mis en œuvre par le service statistique public et ne comportent aucune des données mentionnées au I de l’article 6 ou à l’article 46 ;

2° Qui ont exclusivement des finalités de recherche scientifique ou historique ;

3° Qui ont pour objet de mettre à la disposition des usagers de l’administration un ou plusieurs téléservices de l’administration électronique définis à l’article 1er de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives au sens de ce même article 1er, et entre ces mêmes autorités administratives.

La dérogation prévue pour les traitements dont les finalités sont mentionnées aux 1° et 2° du présent article, n’est applicable que si le numéro d’inscription au répertoire national d’identification des personnes physiques fait préalablement l’objet d’une opération cryptographique lui substituant un code statistique non signifiant. Cette opération est renouvelée à une fréquence définie par décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés. Les traitements ayant comme finalité exclusive de réaliser cette opération cryptographique ne sont pas soumis au premier alinéa.

Pour les traitements dont les finalités sont mentionnées au 1°, l’utilisation du code statistique non signifiant n’est autorisée qu’au sein du service statistique public.

Pour les traitements dont les finalités sont mentionnées au 2°, l’opération cryptographique et, le cas échéant, l’interconnexion de deux fichiers par l’utilisation du code spécifique non signifiant qui en est issu ne peuvent être assurées par la même personne ni par le responsable de traitement.

Par dérogation au premier alinéa, les traitements de données à caractère personnel dans le domaine de la santé sont régis par la section 3 du chapitre III du titre II, à l’exception :

1° Des traitements mentionnés à l’article 67 ;

2° Des traitements comportant le numéro d’inscription au répertoire national d’identification des personnes physiques utilisé comme identifiant de santé des personnes en application de l’article L. 1111-8-1 du code de la santé publique, en dehors de ceux de ces traitements mis en œuvre à des fins de recherche.

Analyse des 3 textes qui précèdent

Directive 95/46/CE posait les principes généraux de protection des données et autorisait, dans certaines circonstances, des dérogations pour des finalités spécifiques (par ex. données sensibles, finalités statistiques, ou journaux officiels) tout en imposant des garanties minimales et un cadre de contrôle par les autorités nationales. L’article correspondant à l’identifiant national permettait aux États membres d’établir des conditions spécifiques pour le traitement de tels identifiants, sous réserve de garanties adéquates et du respect des droits des personnes.

Loi Informatique et Libertés (LIL) en France: ajustée à l’ère RGPD, elle transpose les exigences européennes et précise les finalités, les catégories de responsables de traitement et les garanties pour les traitements contenant des numéros d’identification nationaux (NIR, RNIPP, etc.). Elle prévoit des mécanismes comme des opérations cryptographiques ou l’utilisation de codes non significatifs dans certaines finalités, afin de protéger l’identité tout en permettant les finalités statistiques ou administratives.

RGPD (article 87): introduit une approche plus harmonisée au niveau européen tout en conservant une marge d’adaptation nationale. Il autorise les États membres à préciser les conditions spécifiques du traitement d’un numéro d’identification national ou d’autres identifiants d’application générale, à condition que l’utilisation de ces identifiants soit encadrée par des garanties appropriées pour les droits et libertés des personnes concernées. Cette architecture assure une cohérence européenne tout en respectant les particularités nationales.

Jurisprudences

Françaises

Cass. Fr., n°13-14.991 (8 octobre 2014)

Portée: cette affaire française porte sur des éléments de preuve et la loyauté du traitement des données dans le cadre du droit du travail et des systèmes de gestion des ressources humaines. Elle illustre comment la CNIL et les juridictions nationales examinent les conditions de collecte, de déclaration et d’utilisation des données personnelles lorsque des systèmes automatisés sont impliqués, et les exigences de transparence et de proportionnalité.

Lien avec l’article 87 RGPD: l’arrêt souligne, dans le cadre des identifiants et des traitements nationaux, que les dérogations ou dispositions spécifiques peuvent exister au niveau national pour les finalités professionnelles et administratives, tout en imposant des garanties pour protéger les droits des personnes concernées lorsque des identifiants nationaux ou d’application générale entrent en jeu.

CE Fr., n°358876 (15 octobre 2014)

Portée: cet arrêt traite des mécanismes procéduraux autour des traitements de données dans un contexte administratif, avec des éléments touchant aux interactions entre les autorités, la CNIL et les traitements de données personnelles sous contrainte administrative.

Lien avec l’article 87 RGPD: il illustre comment, en pratique, les États membres peuvent encadrer plus précisément les traitements impliquant des identifiants nationaux ou des systèmes d’identification dans le cadre de finalités administratives, tout en imposant des garanties et en respectant les droits fondamentaux des personnes.

CE Fr., n°406664 (6 avril 2018)

Portée: cette décision porte sur des traitements automatiques liés à des manifestations sportives et au contrôle d’accès, et sur la qualification des données collectées comme relevant ou non d’un régime d’autorisation. Elle montre que certains traitements d’information sur les personnes peuvent être compatibles avec les objectifs de sécurité et de gestion sans tomber sous les cadres les plus restrictifs du RGPD, à condition d’appliquer les garanties et les règles de sécurité adéquates.

Lien avec l’article 87 RGPD: elle illustre l’importance des garanties et des finalités spécifiques lorsque des identifiants nationaux ou des données personnelles liées à des personnes sont traités dans des contextes particuliers. Elle montre également que des dérogations ou régimes spéciaux peuvent exister lorsque les finalités publiques justifient certains traitements, sous réserve de respecter les garanties prévues par le RGPD et le droit national.

Recommandations

À ce jour, aucune ligne directrice, recommandation ou interprétation officielle n’a été publiée par les autorités de contrôle ou par le Comité européen de la protection des données(CEPD) concernant cette disposition du Règlement (UE) 2016/679 (RGPD).

Si votre organisation manipule des identifiants nationaux, le recours à un DPO peut s’avérer précieux pour garantir une conformité rigoureuse. Confiez votre conformité à un DPO externe certifié.