La Commission nationale de l'informatique et des libertés,
Saisie par le garde des sceaux, ministre de la justice, d'une demande d'avis sur un projet de décret modifiant le décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques (ci-après « NIR ») ou nécessitant la consultation de ce répertoire ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 30 ;
Après avoir entendu le rapport de Mme Marie-Laure DENIS, présidente, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Etant rappelés les éléments de contexte suivants :
Le projet de décret en Conseil d'Etat soumis pour avis de la Commission a pour objet de modifier le décret n° 2019-341 du 19 avril 2019, dit décret cadre « NIR ». Ce décret détermine, sur le fondement de l'article 30 de la loi n° 78-17 du 6 janvier 1978 modifiée (ci-après loi « informatique et libertés »), les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu'ils portent sur des données comportant le NIR.
Dès 1978, la Commission a accordé une attention particulière aux conditions dans lesquelles peuvent être mis en œuvre les traitements de données à caractère personnel reposant sur la collecte du NIR, considérant que les spécificités de ce numéro, et notamment son caractère signifiant, justifient que le recours à cet identifiant soit strictement encadré.
La Commission a ainsi toujours considéré que l'emploi du NIR comme identifiant des personnes ne devait être ni systématique, ni généralisé. Elle a ainsi veillé à ce que les projets de textes autorisant le traitement du NIR soient cantonnés à la sphère médico-sociale et n'a accepté que le NIR soit utilisé dans d'autres secteurs que pour des motifs d'intérêt public caractérisé. L'utilisation du NIR a progressivement été étendue à divers usages dans le champ des relations de travail, dans les domaines financier, fiscal, douanier, éducatif ou du logement, dans certaines procédures juridictionnelles ou encore pour les besoins de la statistique publique.
Le projet de décret consiste essentiellement à élargir le nombre des cas dans lesquels le recours à cet identifiant est autorisé, souvent en dehors de la sphère médico-sociale.
Si la plupart de ces nouveaux usages paraît justifiée, la Commission relève la généralisation croissante du recours à cet identifiant sensible et s'interroge sur la recherche, ou non, par l'administration, de solutions et d'architectures alternatives permettant d'éviter l'usage du NIR.
Dans ce contexte, il convient de porter une attention particulière à ce que le présent projet de décret n'ait ni pour objet, ni pour effet de maintenir ou de créer des cas d'usage du NIR qui seraient contraires aux principes de finalité et de pertinence des données traitées ou facilitant l'interconnexion des fichiers entre différents secteurs.
Formule les observations suivantes :
Sur le projet dans son ensemble
Le degré de précision dans la formulation des finalités susceptibles de justifier le traitement du NIR est variable d'une partie du projet à autre, notamment lorsque la définition des finalités se fait par renvoi à d'autres textes ou par le recours à des formulations larges sans définition juridique (par exemple « la gestion d'une plateforme en ligne »).
Eu égard, tant au régime juridique particulier posé par l'article 30 de la loi « informatique et libertés » que du principe de transparence et de loyauté posé par l'article 5 du RGPD, la Commission rappelle au ministère de veiller à ce que la formulation des finalités énumérées dans le décret NIR soit définie avec suffisamment de précision.

I. - Dans le champ de la protection sociale

Concernant la modification de l'article 2.A.1.e :
Le projet de décret prévoit une modification de l'article 2.A.1.e du décret en vigueur, en vue de permettre à la Caisse des dépôts et consignations (CDC) de traiter le NIR pour la gestion de la plateforme numérique nationale d'information et de services personnalisés à destination des personnes handicapées prévue à l'article 42 de la loi n° 2021-502 du 26 avril 2021 visant à améliorer le système de santé par la confiance et la simplification.
Les éléments fournis par le ministère indiquent que cette plateforme devra notamment permettre l'interconnexion avec les téléservices des maisons départementales pour les personnes handicapées (MDPH) et, à terme, avec d'autres téléservices d'organismes susceptibles d'ouvrir des droits spécifiques ou des services aux personnes en situation de handicap, afin de faciliter les démarches en ligne relatives à l'ensemble du parcours de vie de la personne. Plus précisément, la plateforme permettra de proposer un accompagnement personnalisé à la saisie et à la complétude du dossier.
La Commission prend acte de ce que le NIR fera uniquement l'objet d'un traitement pour l'interconnexion avec des téléservices spécifiques et ne sera pas traité à des fins d'amélioration du service. Dans ces conditions, elle estime la modification légitime.
Concernant la modification de l'article 2.A.1.k :
L'article 2.A.1.k du décret en vigueur autorise certains agents de la Caisse nationale de solidarité pour l'autonomie (CNSA) à utiliser le NIR « pour les missions définies à l'article R. 146-38 du code de l'action sociale et des familles (CASF) » sous réserve de pseudonymisation de certaines des données traitées. Cet article du CASF renvoie aux finalités poursuivies par le système national d'information statistique mis en œuvre par la CNSA.
Le projet de décret ajoute deux nouvelles finalités :

- la mise en œuvre des missions prévues par l'article L. 14-10-1 du CASF ;
- la mise en œuvre des services numériques dans le cadre de la création de la nouvelle branche « Autonomie » mentionnée au 5° de l'article L. 200-2 du code de sécurité sociale (CSS).

En premier lieu, le projet prévoit que le traitement du NIR à des fins de mise en œuvre des missions prévues au 2° de l'article L. 14-10-1 du CASF ne peut intervenir que sous réserve de la mise en œuvre de mesures de pseudonymisation du NIR « permettant d'assurer la confidentialité de l'identité des personnes ». Cet article renvoie à la CNSA le rôle de piloter et d'assurer l'animation et la coordination, dans le champ des politiques de soutien à l'autonomie des personnes âgées et des personnes handicapées, des acteurs participant à leur mise en œuvre.
Interrogé quant à l'absence de pseudonymisation s'agissant des autres missions prévues par les dispositions de l'article L. 14-10-1 du CASF, le ministère a indiqué que l'identification par l'utilisation du NIR des usagers était nécessaire notamment dans le cadre de la création des services numériques ou encore pour la mise en œuvre de systèmes d'information pouvant comporter l'hébergement de données de santé.
La Commission prend acte de ces précisions mais s'interroge néanmoins sur les raisons conduisant le ministère à écarter la nécessité de recourir aux mesures de pseudonymisation du NIR s'agissant de certaines autres missions de la CNSA, notamment celles définies aux alinéas 1° (mission de veiller à l'équilibre financier de la branche), 3°, 5°, 6° (contribution à la réflexion prospective sur les politiques de l'autonomie) et 7° (contribuer à l'attractivité des métiers) de la disposition projetée.
Elle prend acte de l'engagement du ministère de modifier la rédaction du projet de décret de sorte à recourir aux mesures de pseudonymisation du NIR pour l'ensemble des missions prévues à l'article L. 14-10-1 du CASF, « sauf lorsqu'il s'agit de la mission définie au 4° du même article et de lutter contre la fraude en application du 1° du même article ».
En second lieu, le nouvel alinéa 3 du projet d'article prévoit que les agents de la CNSA peuvent utiliser le NIR « pour la mise en œuvre de services numériques, dans le cadre de la création de la nouvelle branche Autonomie mentionnée au 5° de l'article L. 200-2 du code de la sécurité sociale ».
La Commission estime que la généralité de cette formulation ne permet pas de délimiter de manière suffisamment précise les cas de recours au traitement du NIR dans ce contexte. Elle invite dès lors le ministère à affiner la rédaction de cette disposition permettant d'atteindre, dans la mesure du possible, le même degré de précision que celui résultant des autres dispositions du décret.

II. - Dans le champ du travail et de l'emploi

Concernant la modification de l'article 2.C.10° :
Cette disposition autorise actuellement le traitement du NIR à des fins « d'accomplissement de leurs missions de suivi, de pilotage, d'études et d'évaluation des politiques publiques en matière d'emploi et de formation professionnelle, ainsi qu'à des fins d'études, notamment de suivi de parcours et des dispositifs qu'ils mettent en œuvre » par :

- les services de la délégation générale à l'emploi et à la formation professionnelle (DGEFP) ;
- les services de la direction générale de l'administration et de la fonction publique (DGAFP).

La modification projetée consiste à permettre cette utilisation du NIR à un troisième organisme, la Défense mobilité, dont le ministère indique qu'il s'agit d'un service spécifique faisant partie du service des ressources humaines du ministère de la défense.
Interrogé par la Commission sur le statut spécifique de cette entité et sur l'étendue de son autonomie au regard de la détermination des finalités et des moyens des traitements de données, le ministère a proposé de remplacer dans le projet de décret les mots : « Défense mobilité » par les mots : « Direction des ressources humaines du ministère de la défense », ce que la Commission accueille favorablement.
Concernant l'insertion d'un nouvel article 2.C.26° :
Ce nouvel article vise à autoriser le traitement du NIR dans le cadre de l'organisation des élections professionnelles dans la fonction publique, selon deux modalités distinctes.
La première modalité concerne l'utilisation du NIR à des fins de « mise à disposition des identifiants de connexion sur l'espace numérique […] » (c.-à-d. la plateforme Espace numérique sécurisé de l'agent public ou « ENSAP »), et a fait l'objet d'échanges préalables dès janvier 2022 avec la Commission.
Dans ce cas de figure la plateforme « ENSAP » serait utilisée comme l'un des deux canaux recommandés par la CNIL dans sa recommandation n° 2019-053 du 25 avril 2019 relative à la sécurité des systèmes de vote par correspondance électronique, en l'occurrence pour la transmission de l'identifiant généré par le prestataire de vote et permettant d'accéder à la plateforme de vote électronique (la transmission du mot de passe s'effectuant par la messagerie professionnelle de l'électeur).
Des identifiants seraient ainsi générés par le prestataire de vote et le NIR serait utilisé pour affecter à chaque agent son identifiant et l'intégrer dans la plateforme « ENSAP ». L'électeur se connecterait à cette plateforme (avec son NIR et son mot de passe habituel pour l'accès à cette plateforme) pour y récupérer son identifiant et voterait ensuite sur une plateforme de vote électronique.
Dans l'attente d'un dispositif d'identité spécifique aux agents publics, dénommé AgentConnect, qui est en cours de développement, la Commission considère cette solution satisfaisante ; elle rappelle qu'elle implique une modification des textes encadrant le fonctionnement de la plateforme ENSAP (décret n° 2016-1073 du 3 août 2016 modifié et arrêté du 23 décembre 2016 portant création d'un traitement automatisé de données à caractère personnel dénommé « ENSAP »).
La seconde modalité concerne l'utilisation du NIR à des fins « d'identification et d'authentification » des électeurs auprès des plateformes de vote électronique utilisées lors de ces mêmes élections.
Cette disposition a été précisée par le ministère, qui a indiqué que seul un NIR « tronqué » (c'est-à-dire un extrait du NIR) serait utilisé en tant que réponse à une question défi non triviale (ce qui correspond à une finalité d'authentification), lors de la connexion initiale sur la plateforme de vote électronique ou lors de la procédure de réassort. La procédure de réassort permet de récupérer les informations permettant de voter lorsque l'électeur n'a pas reçu ces informations par un courrier papier.
La CNIL rappelle que, lors des échanges de janvier 2022 sur l'organisation du vote électronique pour les élections professionnelles en cause, l'utilisation de l'IBAN avait été évoquée en tant que secret complémentaire. La Commission estime par ailleurs que le NIR, tronqué ou non, est un secret complémentaire faible, dans la mesure où il est déjà utilisé pour de nombreux usages et partagé avec un très grand nombre d'entités (dans les domaines de la santé, de la protection sociale, des ressources humaines, etc.), et qu'il n'est aucunement modifiable par l'électeur. Elle est donc défavorable à son utilisation comme secret complémentaire dans un processus de vote électronique.
Le gouvernement a fait valoir que la plupart des ministères utiliseront l'IBAN ou un numéro d'immatriculation de l'agent utilisé dans le cadre de son ministère d'affectation. Toutefois, trois départements ministériels utiliseront le NIR. Pour deux d'entre eux, le gouvernement fait valoir que l'IBAN sera utilisé à titre principal mais que pour une faible partie des agents (probablement environ de 5 %), une modification de la nomenclature des IBAN utilisés nécessite d'avoir un secret complémentaire subsidiaire, au cas où l'IBAN connu de l'agent est différent de celui en possession de l'administration. Pour un seul département ministériel, l'IBAN ne sera pas du tout utilisé car les établissements en dépendant ne connaissent pas l'IBAN de leurs agents, et seul le NIR sera utilisé, avec une possibilité alternative de recourir au service FranceConnect pour la procédure de réassort.
Pour justifier cet usage du NIR comme « secret complémentaire » lorsque l'IBAN s'avère impossible à utiliser ou qu'il n'existe pas de numéro d'immatriculation propre, le gouvernement évoque les difficultés rencontrées par les administrations pour définir un autre secret partagé avec leurs agents, à partir d'une donnée individuelle et non triviale déjà présente dans leurs systèmes d'information, à la fois facilement mobilisable par les électeurs. Il s'appuie également sur une autorisation ponctuelle d'utilisation du NIR accordée par la Commission, en 2018, à l'occasion des précédentes élections professionnelles. En raison de ces difficultés et de la proximité des élections, le gouvernement indique qu'il lui paraît impossible d'utiliser un autre secret pour les trois départements ministériels en cause.
La Commission regrette que les ministères n'aient pas été en mesure d'éviter totalement le recours au NIR, soit par la définition d'autres secrets, soit en déployant une solution sécurisée uniforme telle que AgentConnect.
Si le gouvernement maintient le choix de recourir à l'utilisation du NIR tronqué comme secret complémentaire, la Commission estime indispensable que le décret soit modifié :

- d'une part, pour définir la finalité de façon plus précise, afin qu'elle soit cantonnée à la définition d'un secret complémentaire dans le cadre des procédures d'authentification pour le vote ;
- d'autre part, pour que cet usage ne soit pas autorisé de façon pérenne par le décret mais uniquement pour les élections professionnelles de décembre 2022, en l'insérant, par exemple, dans une disposition transitoire ou dans un décret spécifique à ces élections.

Enfin, la Commission appelle le gouvernement à mettre en place les garanties suivantes :

- l'exclusion de l'usage du NIR complet, en précisant les modalités acceptables de troncature permettant d'empêcher, autant que possible, toute reconstitution du NIR ;
- l'utilisation d'opérations cryptographiques permettant de substituer au NIR un code statistique non signifiant.

III. - Dans les champs financier, fiscal et douanier

Concernant l'insertion de l'article 2.D.20° :
Le projet d'article 2.D.20° prévoit la possibilité pour les établissements de crédit, les entreprises d'investissement ou les établissements habilités pour les activités de conservation ou d'administration d'instruments financiers, de traiter le NIR pour l'exécution des obligations définies à l'article L. 312-21-1 du code monétaire et financier (CMF) relatives à la lutte contre la déshérence des contrats de retraite supplémentaire.
Les obligations définies à l'article L. 312-21-1 du CMF ne concernent que les établissements de crédit, et ne visent pas les entreprises d'investissement et les établissements habilités pour les activités de conservation ou d'administration d'instruments financiers.
Dans ces conditions, la Commission prend acte de l'engagement du ministère de compléter le projet d'article 2.D.20° de manière à y faire apparaître expressément les finalités pour lesquelles le NIR peut être traité par ces organismes.

IV. - Dans le champ de la justice

Concernant la modification de l'article 2.E.8° :
L'article 2.E.8° du projet de décret prévoit la possibilité d'utiliser le NIR par le secrétariat général du ministère de la justice dans le cadre des échanges d'informations entre les organismes qui participent au Système d'information interministériel des victimes d'attentats et de catastrophes (SIVAC) (p. ex. : les caisses d'assurance maladie, le Fonds de garantie des victimes des actes de terrorisme et d'autres infractions), à des fins de prise en charge, d'accompagnement et de mise en œuvre des droits des victimes d'accidents, sinistres, catastrophes ou infractions susceptibles de provoquer de nombreuses victimes et de leurs proches, conformément au 3° de l'article R2-15-1 du code de procédure pénale (CPP) relatif au SIVAC.
La Commission prend acte de ce que, s'agissant des proches des victimes, le NIR sera uniquement traité pour les proches de victimes d'actes de terrorisme et les proches qui bénéficieront d'un accompagnement, d'une prise en charge ou de droits spécifiques assurés par les caisses d'assurance maladie, la Caisse nationale des allocations familiales, la sous-direction des pensions du ministère des armées, ou par le Fonds de garantie des victimes des actes de terrorisme et d'autres infractions.
A cet égard, le ministère indique que l'utilisation du NIR contribuera à réduire les risques d'erreur et permettra d'accélérer la gestion des dossiers des victimes et de leurs proches ainsi que la mise en œuvre de leurs droits. Il n'estime cependant pas nécessaire de préciser dans le projet de décret que seul le NIR de certains proches des victimes pourra être traité dans le projet de décret dans la mesure où le 3° de l'article R2-15-1 du CPP indique, concernant les victimes et leurs proches pouvant bénéficier d'un accompagnement, d'une prise en charge ou de droits spécifiques, que le NIR ne peut être collecté que pour les actes terroristes.
Sans remettre en cause le traitement du NIR dans ce cadre, la Commission considère toutefois que le projet de décret pourrait être complété afin de clarifier que le NIR pourra être traité « pour l'échange d'informations, à des fins de prise en charge, d'accompagnement et de mise en œuvre des droits des victimes d'accidents, sinistres, catastrophes ou infractions susceptibles de provoquer de nombreuses victimes et de leurs proches » dans le cadre exclusivement de ce qui est prévu par le traitement SIVAC, la rédaction actuelle du projet d'article 2.E.8° pouvant être interprétée plus largement.

V. - Dans les autres champs

Concernant l'insertion d'un nouvel article 2.I.3° :
Le projet de décret prévoit d'ajouter un nouvel article 2.I.3° autorisant le traitement du NIR par la direction interministérielle du numérique (DINUM) pour « la collecte, l'utilisation et la diffusion ou la communication par transmission des données strictement nécessaires aux administrations en application des dispositions des alinéas 8° à 10° de l'article 6 du décret n° 2019-1088 du 25 octobre 2019 et de la section 4 du chapitre IV du titre Ier du livre Ier du code des relations entre le public et l'administration » (CRPA).
Le ministère a précisé que la DINUM est responsable de traitement des systèmes d'échange de données qu'elle propose en application de l'article R. 114-9-5 du CRPA qui prévoit que l'échange de données entre administrations s'opère directement par celles-ci ou, à défaut, par l'intermédiaire de la DINUM. A ce titre, elle est responsable de traitement des systèmes d'échange de données qu'elle met en œuvre, et ce, dans le respect des dispositions afférentes déjà prévues par le CRPA.
Dans la mesure où la DINUM intervient pour le compte des administrations qu'elle accompagne concernant les missions qui lui sont confiées par les alinéas 8° à 10° de l'article 6 du décret n° 2019-1088, la Commission prend acte des engagements du ministère de ne pas faire figurer ces missions dans le projet de décret.
A cet égard, la Commission recommande que l'article 2.I.3° du projet de décret mentionne l'article R. 114-9-5 du CRPA et non les dispositions du décret n° 2019-1088, et elle prend acte de l'engagement du ministère de modifier le projet de décret en ce sens.
Les autres dispositions du projet de décret n'appellent pas d'observations de la Commission.