Enregistrement et utilisation du numéro de sécurité sociale ou

Enregistrement et utilisation du numéro de sécurité sociale ou numéro d’inscription au
répertoire (NIR) national d’identification des personnes physiques (RNIPP)
dans les traitements de données personnelles
1) Autorisés dans les traitements de données relatifs à la paie et à la gestion du personnel
L'enregistrement du numéro de sécurité sociale dans ce type de fichiers n’est autorisé que
pour :
• L’établissement des bulletins de paie et des différentes déclarations sociales obligatoires (décret n°
91-1404 du 27 décembre 1991, articles R.115-1 et R.115-2 du code de la sécurité sociale) ;
• La tenue des comptes d’épargne salariale (article L.444-5 du code du travail).
Les états produits et les documents édités ne peuvent donc porter mention de ce numéro que dans le
cadre des opérations précitées.
Cette règle s'applique même dans le cas de logiciels intégrés de gestion et de paie qui doivent être
paramétrés pour limiter l’utilisation du numéro de sécurité sociale aux seules opérations
précédemment décrites.
En particulier, le numéro de sécurité sociale ne fait pas partie de la liste des informations qui doivent
figurer dans le registre unique du personnel, fixée par les articles L.620-3 et R. 620-3 du code du
travail, et ne doit donc pas être enregistré dans ce cadre.
Le numéro de sécurité sociale d’un employé ne peut donc pas être utilisé comme numéro de matricule
unique pour l’identifier dans tous les fichiers de gestion des ressources humaines de son entreprise ou
de son administration.
2) Autorisés exceptionnellement par la CNIL pour la poursuite d’un besoin d’intérêt général
La CNIL rappelle qu’au regard des risques présentés par la généralisation de l’usage du NIR et de
l’application du principe de proportionnalité défini à l’article 6-3° de la loi du 6 janvier 1978, l’utilisation
du NIR par un organisme n’intervenant pas dans le secteur de la sécurité sociale, ne peut être admise
que si elle correspond à la poursuite d’un besoin d’intérêt général.
En effet, l’utilisation généralisée d’un identifiant unique dans l’ensemble des fichiers, en ce qu’elle
faciliterait leur interconnexion, permettrait de tracer les individus dans tous les actes de la vie
courante.
Ces considérations ont conduit la CNIL à limiter l’usage du NIR en tant qu’identifiant propre à la
sphère de la santé et à la sphère sociale et à recommander le recours à des identifiants spécifiques à
chaque secteur d’activité. Les dérogations prévues par le législateur n’ont porté que sur des cas
limités, justifiés par l’intérêt général.
La loi « Informatique et Libertés » soumet à l’autorisation de la CNIL les traitements portant sur des
données parmi lesquelles figure le numéro d’inscription au NIR ou numéro de sécurité sociale.
Ex. : La lutte contre l’homonymie est une finalité qui, bien que légitime, ne suffit pas, à elles seule,
pour justifier l’utilisation du NIR.
3) La déclaration :
- Elle s’opère auprès de la CNIL (via la DSI CNRS) avant la mise en œuvre du traitement
- Déclaration normale
L’enregistrement et l’utilisation du n° de sécurité sociale dans un traitement doivent toujours faire
l’objet d’une déclaration normale auprès de la CNIL.
Cette déclaration permettra à la CNIL d’autoriser ou non les traitements qui n’entrent pas dans le
cadre du 1) ci-dessus.
CNRS - DSI - Fce - Synthèse utilisation N° SS dans les traitements de données personnelles/01-2007
1 /3
Enregistrement et utilisation du numéro de sécurité sociale ou numéro d’inscription au
répertoire (NIR) national d’identification des personnes physiques (RNIPP)
dans les traitements de données personnelles
- Déclaration de conformité à une norme CNIL
La norme n° 46 Délibération CNIL n° 2005-002 du 13 janvier 2005 portant adoption d’une norme
destinée à simplifier l’obligation de déclaration des traitements mis en œuvre par les organismes
publics et privés pour la gestion de leurs personnels
Cette norme exclue l’utilisation du numéro de sécurité sociale MAIS permet aux unités qui
s’engagent à se conformer à cette norme de bénéficier d’une formalité déclarative simplifiée
(déclaration de conformité à une norme simplifiée CNIL).
NB : L’engagement de conformité à la norme de l’unité suppose le respect des obligations
suivantes :
Respecter les objectifs du fichier
Les informations exploitées dans un fichier doivent être cohérentes par rapport à son objectif.
Elles ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont
été collectées.
Fixer une durée raisonnable de conservation des informations collectées
La durée de conservation est proportionnelle aux objectifs du fichier.
Protéger le fichier
Le responsable du traitement de données personnelles doit sécuriser ses locaux et son système
d’information en fonction de la nature des données et des risques présentés par le traitement.
Ne pas divulguer les informations
Seules les personnes autorisées (destinataires des données) peuvent accéder aux données
personnelles contenues dans un fichier.
Agir dans la transparence - Informer
Le responsable d’un fichier doit informer les personnes concernées : de son identité, de la
finalité/objectifs de son traitement, du caractère obligatoire ou facultatif des réponses (dans le cadre
d'une enquête par ex.), des destinataires des informations, de l’existence de leurs droits, des
transmissions du fichier envisagées (Cf. Exemples sur le site de la DSI rubrique CNIL/Qui informer et
comment ?).
Déclarer les fichiers et suivre l’évolution des traitements dans le temps
Après la déclaration, la CNIL doit être informée de toute modification ou suppression affectant les
traitements (notamment finalité, nature des données, durée de conservation, personnes concernées,
destinataires des données, changement d’adresse ou de nom du responsable du traitement...)
ANNEXES
Art. R115-1 du code de la sécurité sociale :
(Décret nº 95-649 du 9 mai 1995 art. 3 Journal Officiel du 10 mai 1995)
(Décret nº 96-793 du 12 septembre 1996 art. 1 I Journal Officiel du 13 septembre 1996)
(Décret nº 2003-303 du 27 mars 2003 art. 1 Journal Officiel du 3 avril 2003)
Sont autorisés à utiliser le numéro d'inscription au Répertoire national d'identification des personnes
physiques et à consulter ledit répertoire pour les traitements mentionnés à l'article R. 115-2 :
1º Les organismes et administrations chargés de la gestion d'un régime obligatoire de base de
sécurité sociale et, le cas échéant, les organismes habilités par la loi ou par une convention à
participer à la gestion de ces régimes ;
2º Le Fonds de solidarité vieillesse, ainsi que la Caisse des dépôts et consignations pour les fonds
suivants : fonds spécial d'invalidité, service de l'allocation spéciale vieillesse, fonds commun des
accidents du travail et fonds commun des accidents du travail agricole ;
3º Les mutuelles régies par le code de la mutualité, les entreprises régies par le code des assurances
et les institutions régies par les titres II et III du livre IX du présent code ;
CNRS - DSI - Fce - Synthèse utilisation N° SS dans les traitements de données personnelles/01-2007
2 /3
Enregistrement et utilisation du numéro de sécurité sociale ou numéro d’inscription au
répertoire (NIR) national d’identification des personnes physiques (RNIPP)
dans les traitements de données personnelles
4º Les professionnels, institutions ou établissements qui dispensent à des assurés sociaux ou à leurs
ayants droit des actes ou prestations pris totalement ou partiellement en charge par l'assurance
maladie, y compris les comptables publics attachés le cas échéant à ces établissements ;
5º Les collectivités publiques qui servent des prestations d'aide sociale, visées à l'article L. 182-1 ;
6º Les organismes gérant les régimes mentionnés aux articles L. 223-16 et L. 351-2 du code du
travail, ainsi que l'organisme mentionné au dernier membre de phrase du premier alinéa du I de
l'article L. 133-5."
Art. R115-2 du code de la sécurité sociale :
(Décret nº 96-793 du 12 septembre 1996 art. 1 I Journal Officiel du 13 septembre 1996)
(Décret nº 2003-303 du 27 mars 2003 art. 2 Journal Officiel du 3 avril 2003)
L'autorisation donnée à l'article R. 115-1 vaut exclusivement pour les traitements, mis en oeuvre dans
le respect des dispositions de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et
aux libertés :
1º Que les organismes visés aux 1º et 2º dudit article effectuent dans l'exercice de leurs missions de
sécurité sociale conformément aux lois et règlements en vigueur ou, le cas échéant, lors de la phase
administrative initiale de traitement de la déclaration préalable à l'embauche prévue par l'article L. 320
du code du travail, à seule fin de vérifier l'identité du salarié faisant l'objet de cette déclaration ;
2º Que les organismes visés au 3º du même article effectuent dans l'exercice de leurs activités
d'assurance maladie, maternité et invalidité complémentaire conformément à la loi nº 89-1009 du
31 décembre 1989 renforçant les garanties offertes aux personnes assurées contre certains risques,
ou dans leurs activités d'assurance vieillesse complémentaire ;
3º Que les professionnels, institutions ou établissements visés au 4º du même article effectuent pour
leurs échanges avec les organismes mentionnés aux 1º et 3º dudit article ;
4º Que les comptables publics visés au 4º du même article effectuent pour le recouvrement de
créances auprès des assurés sociaux soignés par leurs établissements ;
5º Que les collectivités publiques qui servent des prestations d'aide sociale mettent en oeuvre dans le
cadre des dispositions du chapitre II du titre VIII du livre Ier du présent code, relatives aux
bénéficiaires de l'aide médicale ;
6º Que les organismes mentionnés aux 1º, 3º et 6º du même article effectuent en application du I de
l'article L. 133-5 pour les déclarations sociales auxquelles sont assujetties les entreprises.
Art. L444-5 du code du travail :
(Loi nº 2001-152 du 19 février 2001 art. 3 I 1º Journal Officiel du 20 février 2001)
(Loi nº 2006-1770 du 30 décembre 2006 art. 3 Journal Officiel du 31 décembre 2006)
I. - Tout salarié d'une entreprise proposant un des dispositifs prévus aux articles L. 441-1, L. 442-10,
L. 443-1, L. 443-1-1 ou L. 443-1-2 reçoit, lors de la conclusion de son contrat de travail, un livret
d'épargne salariale présentant l'ensemble de ces dispositifs.
Tout salarié quittant l'entreprise reçoit un état récapitulatif de l'ensemble des sommes et valeurs
mobilières épargnées ou transférées au sein de l'entreprise dans le cadre des dispositifs prévus aux
chapitres Ier à III du présent titre ; cet état distingue les actifs disponibles, en mentionnant tout
élément utile au salarié pour en obtenir la liquidation ou le transfert, et ceux qui sont affectés au plan
prévu à l'article L. 443-1-2, en précisant les échéances auxquelles ces actifs seront disponibles ainsi
que tout élément utile au transfert éventuel vers un autre plan.
L'état récapitulatif est inséré dans un livret d'épargne salariale dont les modalités de mise en place
et le contenu sont fixés par un décret en Conseil d'Etat.
Le numéro d'inscription au répertoire national d'identification des personnes physiques est la
référence pour la tenue du livret du salarié. Il peut figurer sur les relevés de compte individuels et l'état
récapitulatif. Les références de l'ensemble des établissements habilités pour les activités de
conservation ou d'administration d'instruments financiers en application de l'article L. 542-1 du code
monétaire et financier, gérant des sommes et valeurs mobilières épargnées ou transférées par le
salarié dans le cadre des dispositifs prévus aux chapitres Ier à III du présent titre, figurent sur chaque
relevé de compte indivi duel et chaque état récapitulatif.
CNRS - DSI - Fce - Synthèse utilisation N° SS dans les traitements de données personnelles/01-2007
3 /3