| N° de demande d’avis : 25010553 | Thématiques : RNIPP, état civil, NIR, identifiant, population d’intérêt |
| Organisme(s) à l’origine de la saisine : Institut national de la statistique et des études économiques (INSEE) | Fondement de la saisine : Article 30 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés |
L’essentiel :
1. Le projet de décret permet aux organismes autorisés à utiliser le Répertoire national d’identification des personnes physiques (RNIPP), de mieux répercuter, dans leurs propres traitements, les changements d’état-civil concernant les personnes dont elles ont récupéré les données pour les besoins de leurs missions – et qualifiées, de ce fait, de « population d’intérêt ». La CNIL considère, sous certaines réserves, que cet usage – rendu possible par l’instauration d’un identifiant unique, associé à chaque personne relevant d’une population d’intérêt donnée – va dans le sens de la fiabilité des traitements et de l’exactitude des données qu’ils contiennent.
2. La CNIL accueille favorablement le cloisonnement de ces identifiants prévu par l’Institut national de la statistique et des études économiques (INSEE), et l’invite à limiter strictement le nombre de personnes autorisées à y accéder. En effet, même s’ils sont non signifiants, ces identifiants n’en demeurent pas moins susceptibles d’apporter des informations sur les personnes inscrites au RNIPP en révélant les « populations d’intérêt » auxquelles elles sont rattachées.
La Commission nationale de l’informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) notamment son article 36 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment ses articles 8 et 30 ;
Après avoir entendu le rapport de Mme Laurence Franceschini, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. – La saisine
A. Le contexte
La Commission nationale de l’informatique et des libertés a été saisie par l’Institut national de la statistique et des études économiques (INSEE) d’une demande d’avis sur un projet de décret en Conseil d’Etat modifiant le décret n° 82-103 du 22 janvier 1982 relatif au répertoire national d’identification des personnes physiques (RNIPP), sur le fondement de l’article 30 de la loi informatique et libertés.
Le RNIPP, traitement mis en œuvre depuis 1946 par l’INSEE, recense toutes les personnes, vivantes ou décédées, qui sont nées en France – y compris les personnes nées avant cette date – ou ont vécu en France. Ce répertoire vise à enregistrer pour chaque personne ses informations d’état-civil et à lui attribuer un numéro d’inscription au répertoire (NIR). Il est mis à jour quotidiennement grâce aux bulletins statistiques de l’état civil transmis à l’INSEE par les communes, consécutifs aux naissances, décès ou à tout autre évènement modifiant l’état civil des personnes. Le RNIPP permet de certifier des états civils et de vérifier le statut vital des personnes qui y sont inscrites, et ainsi fiabiliser les très nombreux traitements adossés à ce répertoire dans les domaines social, fiscal ou médical.
Environ 113 millions de personnes (dont 85 millions de personnes en vie) sont inscrites depuis 1946 dans le RNIPP, dont le traitement est spécifiquement encadré par l’article 30 de la loi « informatique et libertés », le décret n° 82-103 du 22 janvier 1982 et le décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques ou nécessitant la consultation de ce répertoire (décret-cadre NIR).
La saisine concerne le décret encadrant le RNIPP dont le traitement n’a pas été substantiellement modifié depuis 1982, et n’a pas fait l’objet d’une saisine de la CNIL depuis cette date.
B. L’objet de la saisine
Le projet de décret vise à intégrer trois principales modifications à l’encadrement du RNIPP.
Le premier volet de modifications, qui s’inscrit dans un contexte d’accroissement du nombre de changements d’état civil (la loi n° 2022-301 du 2 mars 2022 relative au choix du nom issu de la filiation ayant permis, sous certaines conditions, de changer de nom sur simple déclaration à l’officier d’état civil), est relatif à la mise en place d’un identifiant non signifiant pour permettre une meilleure prise en compte des changements d’état-civil par les utilisateurs du RNIPP (autorisés par le décret-cadre NIR – comme par exemple les services de la direction générale des finances publiques – ou en vertu d’une législation spéciale, comme celle encadrant le casier judiciaire).
Cet identifiant a en effet vocation à permettre à ces utilisateurs de mettre à jour l’identité des personnes ayant procédé à un changement d’état-civil, selon le schéma suivant : chaque utilisateur du RNIPP définit une « population d’intérêt », c’est-à-dire le champ des personnes dont les données lui sont nécessaires compte tenu de ses missions. Une fois cette population définie, toutes les personnes concernées se voient attribuer un identifiant unique (chaque personne inscrite au RNIPP pouvant ainsi se voir attribuer plusieurs identifiants si elle figure dans plusieurs populations d’intérêt). L’existence de cet identifiant non signifiant permet ensuite aux utilisateurs, via une API connectée au RNIPP, de mettre à jour les changements d’état civil concernant les personnes figurant dans leur population d’intérêt, de façon à fiabiliser leurs propres traitements de données.
Le deuxième volet de modifications concerne l’actualisation du décret de 1982 sur les dispositions relatives à l’exercice des droits des personnes concernées : intégration des droits de rectification et de limitation, exclusion du droit d’opposition compte tenu de l’évolution de la base légale du traitement en mission d’intérêt public et transfert de l’exercice des droits pour les habitants de Wallis-et-Futuna auprès des circonscriptions administratives territorialement compétentes.
Le troisième volet de modifications porte sur l’explicitation des finalités poursuivies par le RNIPP qui ne figuraient pas dans le décret initial de 1982, ainsi que sur l’ajout de précisions sur les durées de conservation.
II. – L’avis de la CNIL
A. Sur les finalités du traitement
Le projet de décret vient préciser les finalités du traitement : l’enregistrement des données d’état civil des personnes, l’attribution à ces personnes d’un NIR, la mise en œuvre des traitements mentionnés à l’article 30 de la loi « informatique et libertés », et enfin la reconstitution du NIR au bénéfice de la constitution du système national des données de santé pour la réalisation d’appariements afin de mettre en œuvre des traitements concernant la santé publique.
La CNIL accueille favorablement cette modification, qui dote ce traitement de finalités inscrites dans le texte règlementaire encadrant le RNIPP, au sein d’un article dont la rédaction n’avait pas été modifiée depuis 1982. En revanche, si la rédaction des trois premières finalités lui semble suffisamment explicite, la rédaction de la quatrième finalité concernant les usages du traitement en santé publique semble devoir être précisée.
Afin de limiter les usages du RNIPP dans le domaine de la santé publique, la CNIL relève que le ministère s’engage à modifier le projet de décret afin d’indiquer explicitement que la quatrième finalité vise la reconstitution du NIR aux fins de la constitution du système national des données de santé et la réalisation d’appariements pour les traitements de recherche mentionnés au 1° du I de l’article L. 1461-3 du code de la santé publique.
B. Sur les données collectées
Le projet de décret modifie le décret du 22 janvier 1982, notamment afin de substituer le « d’identifiants », lié à une personne physique, à celui « d’indicatifs », lié à l’inscription d’une personne dans une population d’intérêt.
L’objectif est de matérialiser la possibilité pour l’INSEE de créer un identifiant non signifiant pour un individu donné, afin de le rattacher à une population d’intérêt définie par les utilisateurs du RNIPP autorisés en vertu du décret n° 2019-341 du 19 juin 2019 ou par une disposition législative.
Ce numéro identifiant, créé au bénéfice des utilisateurs qui requêtent le RNIPP via une API, permettra uniquement de rendre plus fiables les identités des individus de leur population d’intérêt à l’occasion des changements d’état-civil, comme cela est par ailleurs explicitement prévu par l’article 9 du décret du 22 janvier 1982. Cet identifiant, dont le projet de décret précise qu’il n’est pas signifiant, sera spécifique à chaque utilisateur du RNIPP en fonction de ses populations d’intérêt, et n’est communiqué qu’à cet utilisateur.
La CNIL prend acte du fait que le projet de décret n’intègre pas la collecte de données supplémentaires, et considère que la collecte du nouvel identifiant est justifiée au regard des finalités du traitement. Elle considère en outre que la transmission de cet identifiant non signifiant aux utilisateurs dans le cadre de la définition de leur population d’intérêt permet de fiabiliser les traitements de données effectués par les administrations publiques recourant aux données issues du RNIPP, notamment le NIR.
C. Sur la notion de population d’intérêt
La CNIL prend acte des précisions fournies par l’INSEE quant au fait qu’il n’a pas connaissance des caractéristiques précises utilisées par les responsables de traitements pour définir leurs populations d’intérêt respectives, et que les utilisateurs auront eux-mêmes connaissance des seuls identifiants relatifs à leur propre population d’intérêt. Ce cloisonnement, à la fois interne et externe au RNIPP, contribue au principe de sécurité et de limitation des données.
Toutefois les identifiants relatifs à l’appartenance à des « populations d’intérêt », à plus forte raison lorsqu’une même personne cumule plusieurs identifiants, sont susceptibles de révéler des informations sur ces personnes, quand bien même l’INSEE ne dispose pas des critères précis qui définissent les populations en question. La CNIL considère que ces circonstances devraient accroître l’attention portée à la confidentialité des données, pour les personnels de l’INSEE comme pour les tiers qui seraient susceptibles d’y accéder.
La CNIL relève que l’INSEE a prévu des mesures permettant que seul un nombre réduit de ses agents techniques puissent visualiser l’ensemble des identifiants correspondant aux populations d’intérêt. En dehors de ces agents un cloisonnement est prévu entre les différents utilisateurs qui n’auront accès qu’aux identifiants qui leur seront propres.
Elle accueille favorablement cette mesure et rappelle que les droits d’accès à ces identifiants ne doivent être accordés que s’ils répondent à une nécessité appréciée très strictement.
D. Sur les droits des personnes concernées
a. Sur les dispositions relatives à Wallis-et-Futuna
Le projet de décret introduit une modification des modalités d’exercice des droits des personnes résidant à Wallis-et-Futuna afin qu’ils soient exercés « par l’intermédiaire » des autorités administratives compétentes.
Cette modification s’inscrit dans la continuité des modalités d’exercice des droits déjà en vigueur en Polynésie française où les résidents exercent leurs droits auprès de l’Institut de la statistique de la Polynésie française depuis 2004. Dans le cas des demandes d’exercice des droits à Wallis-et-Futuna, la procédure apparaît plus protectrice car l’INSEE transmet aux autorités administratives les données relatives aux demandeurs qui les saisissent et limite ainsi la transmission de données à une administration tierce.
La CNIL considère que ces modalités d’exercice des droits sont satisfaisantes et n’appellent pas d’observation complémentaire.
b. Sur les droits des personnes inscrites au RNIPP
L’AIPD fournie par l’INSEE mentionne l’exécution d’une mission d’intérêt public comme fondement légitime du traitement, au sens du e du 1 de l’article 6 du RGPD et du 5° de l’article 5 de la loi « informatique et libertés ». La CNIL constate que le projet de décret qui lui a été transmis ne fait pas mention de cette base légale, notamment dans ses visas.
La CNIL relève que si l’analyse d’impact relative à la protection des données écarte l’application du droit d’opposition et du droit à l’effacement des données conformément à l’article 23 du RGPD, seul le droit d’opposition est écarté dans le projet de décret.
La CNIL invite l’INSEE à mettre en cohérence l’analyse d’impact relative à la protection des données et le décret relatif au RNIPP en inscrivant dans ce dernier la base légale du traitement et l’absence d’application du droit d’effacement, conformément aux limitations prévues par le RGPD.
Les autres dispositions du projet de décret n’appellent pas d’observations de la part de la CNIL.