Utilisation du numéro de sécurité sociale (NIR) dans les traitement de données des ESMS

A présent, nul n’ignore que le traitement des données personnelles est encadré depuis l’entrée en vigueur du RGPD, lequel définit de telles données comme toute information se rapportant à une personne physique identifiée ou identifiable.

Le Numéro d’Inscription au Répertoire (NIR), communément appelé « numéro de sécurité sociale » entre naturellement dans le cadre de cette définition et les traitements de cette donnée doivent donc être précisément encadrés.

L’article 22 de la loi n° 78-17 du 6 janvier 2018 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction issue de l’article 11 de la loi n° 2018-498 du 20 juin 2018, encadre le traitement du NIR et renvoie au gouvernement la charge d’en détailler ceux qui sont autorisés.

C’est donc le décret n° 2019-341 du 19 avril 2019 qui expose la liste de ces traitements, soit qu’ils portent sur l’exploitation du NIR, soit qu’ils portent sur la consultation du Répertoire National d’Indentification des Personnes Physiques.

Ces traitements sont répartis dans 8 grands champs d’application : la protection sociale ; la santé ; le travail et l’emploi ; la finance, la fiscalité et les douanes ; la justice ; les statistiques ; l’éduction et le logement.

Le décret ne comporte pas de date d’entrée en vigueur et est donc applicable au lendemain de sa publication au Journal Officiel, soit depuis le 22 avril 2019.

 

Traitement du NIR autorisé pour les ESSMS

Le décret prévoit toutes les hypothèses de recours au NIR, mais c’est particulièrement son article 2, A, 1°, j, qui précise ceux qui peuvent être mis en place par des ESSMS.

Ainsi, sont autorisés les traitements qui sont :

  • Nécessaires à la prise en charge des personnes à des fins sanitaires et médico-sociales
  • Nécessaires aux échanges avec les administrations et organismes chargés de la gestion d’un régime de base de la sécurité social ou habilités à la gestion d’un tel régime (ie : CPAM, MSA, RSI, SLM, etc.) ainsi qu’avec les MDPH.

Il y a lieu de considérer que ces conditions sont cumulatives.

En effet, la CNIL a rendu un avis en date du 14 mars 2019, par lequel elle apporte ses observations sur le projet de décret prévu par le gouvernement, modifié suite à cet avis et ayant abouti au décret du 19 avril 2019.

Le projet de décret prévoyait l’autorisation du traitement du NIR pour « la tenue du dossier de l’usager relatif à sa prise en charge ».

La CNIL, après avoir rappelé que l’utilisation du NIR doit être strictement limitée, a considéré que cette précédente formulation aurait pu permettre un traitement de cette donnée, sans qu’il n’y ait d’échange avec les professionnels de santé et les organismes de sécurité sociales.

Le gouvernement a donc modifié son projet en conséquence.

Précautions à prendre lors de l’utilisation du NIR dans un traitement

Le NIR est une donnée particulière, d’abord, parce qu’elle est la plus identifiante possible en FRANCE, et, ensuite, parce qu’elle est elle-même constituée de plusieurs données : genre, mois, année, département et commune de naissance.

La CNIL rappelle dans son avis du 14 mars 2019 que son utilisation ne doit être ni générale ni systémique, et cantonnée à la sphère médico-sociale, sauf motif d’intérêt public caractérisé. Elle fait ici application des principe généraux issus du RGPD.

Dans ce cadre, elle précise que les traitements demeurent soumis aux obligations posées par le RGPD et notamment :

  • Obligation de minimalisation des données, en raison de laquelle le traitement du NIR doit être limité aux seuls cas de besoin justifié par la finalité du traitement
  • Obligations préalables au traitement, la CNIL rappelant que de tels traitements doivent, a minima, faire l’objet d’une analyse d’impact préalable et, si le risque résiduel est élevé, qu’elle doit être consultée

Enfin, les données de santé sont des données sensibles et font l’objet d’un régime spécifique, dont l’interdiction du traitement est le principe et l’autorisation l’exception, conditionnée à l’application de règles strictes et protectrices (ie : tenue du registre, obligation de nommer un Délégué à la Protection des Données, etc.)

Or, une donnée de santé est non seulement une donnée qui porte sur la santé, mais également une donnée, qui, croisée avec d’autres, donne des indications sur la santé, ou encore une donnée traitée en vue d’être utilisée au plan médical.

Au regard de ces indications et compte tenu du cadre dans lequel les traitements du NIR sont autorisés pour les ESSMS, il y a lieu de considérer qu’il prendra le caractère de donnée de santé, et son traitement devra donc faire l’objet d’une vigilance particulièrement renforcée.

Il revient aux ESMS et au délégué à la protection des données (DPO) d’être vigilant quant à l’utilisation du NIR dans les fichiers de données (logiciels métiers, fichiers papier, word, excel, etc.).