Le NIR, ça ne vous dit sans doute pas grand-chose… Pourtant, vous connaissez très bien ce numéro sous son petit nom : le fameux « numéro de Sécurité sociale » qui figure entre autres sur votre carte Vitale. Bien plus qu’un simple numéro, il permet d’identifier son titulaire de manière très précise. Dès lors son utilisation est forcément ultra réglementée. Big broter is watching you ? Sécu-jeunes.fr décrypte pour vous l’utilisation de votre numéro de Sécu.
Le NIR, qu’est-ce que c’est ?
Le numéro de Sécurité sociale s’appelle donc en réalité le NIR pour « numéro d’inscription au répertoire national des personnes physiques ». Ce numéro est unique est attribué à chaque assuré social dès sa naissance ou lors de sa première immatriculation à la Sécurité sociale lors de son arrivée en France.
Il indique le sexe, l’année et le mois de naissance de la personne ainsi que le code chiffré de la commune de naissance. On vous a même fait une super illustration pour décrypter ce numéro et à quoi correspondent les différents chiffres juste en dessous :
Ce numéro fournit donc des informations assez précises sur son détenteur et il est donc assez sensible. La Commission nationale de l’informatique et des libertés (Cnil), en charge de la protection des données personnelles en France, bien consciente de ce fait, est d’ailleurs particulièrement attentive à son utilisation.
Qui gère ce numéro ?
Tous les NIR sont regroupés au sein du Répertoire national d’identification des personnes physiques (RNIPP) géré par l’INSEE, organisme en charge de la production des statistiques nationales françaises. La Caisse nationale d’assurance vieillesse (Cnav) pour sa part gère le Système national de gestion des identifiants (SNGI), fichier miroir du RNIPP utilisé pour fiabiliser l’identification des assurés sociaux. La Cnav est en outre chargée, par délégation de l’Insee, d’attribuer un NIR aux personnes nées à l’étranger, à Mayotte et dans les Territoires d’Outre-mer.
Qui peut utiliser ce numéro et comment ?
Le NIR étant un numéro unique associé à chaque individu, il permet donc de vous identifier avec certitude. Son utilisation est très encadrée car il permet de référencer un nombre important de données personnelles sur un individu, y compris des données sensibles de santé. De ce fait la Cnil contrôle l’utilisation qui est faite de ce numéro. Le NIR ne peut ainsi être utilisé que dans des domaines et par des organismes précis, pour des finalités limitées. Michel au café du coin n’a pas besoin de connaître votre NIR pour vous offrir un café. De même, votre agent immobilier n’en a pas besoin pour vendre votre appartement ou vous louer un T3.
Qui peut utiliser le NIR alors ? Il s’agit principalement des organismes de sécurité sociale, des professionnels de santé dans le cadre de leurs échanges avec les organismes d’assurance maladie, des employeurs (public ou privés) concernant la gestion de la paie et le calcul des cotisations, de Pôle emploi pour le paiement des cotisations chômage.
Un décret du 19 avril 2019 est venu préciser les organismes qui sont autorisés à mettre en œuvre des traitements informatiques faisant usage du numéro de Sécurité sociale et préciser les finalités pour lesquelles ce traitement est autorisé. Par exemple, les départements peuvent utiliser le NIR pour gérer une demande de RSA, assurer le versement de la prestation et contrôler le bénéficiaire ainsi que pour conduire des actions d’insertion. Mais attention ce n’est pas un blanc-seing donné à ces organismes pour utiliser le NIR pour chacune des finalités listées ! Il leur faudra respecter toutes les exigences de la loi Informatique et libertés, c’est-à-dire ne collecter que les données strictement nécessaires, les sécuriser au niveau adéquat, les purger à la fin du traitement, etc, et surtout : informer l’individu concerné du traitement de ses données personnelles !
Quelles sanctions pour une mauvaise utilisation du NIR ?
Le Code pénal prévoit des sanctions en cas d’utilisation du NIR sans autorisation. Il prévoir en effet une amende de 300 000 euros ainsi qu’une peine d’emprisonnement pouvant aller jusqu’à 5 ans. La formation restreinte de la CNIL peut également dans le cadre du règlement général sur la protection des données, prononcer une sanction pécuniaire pouvant aller jusqu’à 20 millions d’euros (ou 4% du chiffre d’affaires annuel mondial pour une entreprise).