par Kenza IKAOUI, étudiante du Master 2 Droit des médias électroniques
Le numéro d’inscription au répertoire (NIR), plus connu sous l’appellation « numéro de sécurité sociale » est un identifiant unique attribué à chaque personne dès sa naissance et composé d’éléments de l’état civil formant treize chiffres. Il nous identifie de manière individuelle mais il est surtout rattaché à notre dossier de santé qui, au sens de l’article 6 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), fait partie des « catégories particulières » de données personnelles, autrement dit, des données sensibles. L’on peut donc se demander pourquoi mentionne-t-on le NIR sur les bulletins de paie alors que les salariés vont souvent être amenés à les communiquer à des tiers, pour acheter ou louer un appartement par exemple ? D’ailleurs, la mention du NIR ne fait pas partie des mentions obligatoires dans les bulletins de paie (article R3243-1 du Code du travail), ni des mentions interdites (article R3243-4 du Code du travail).

Source : service-public.fr
Mention du NIR sur les bulletins de paie : entre droit social et protection des données
Nul doute, si le NIR est indiqué sur les bulletins de paie c’est à juste raison. Effectivement, il est nécessaire pour la gestion des ressources humaines en entreprise. Cependant sa relation très étroite avec des données sensibles justifie un questionnement en matière de protection des données.
- Pourquoi le NIR est nécessaire pour les besoins de la gestion des ressources humaines ?
Selon le décret n°2019-341 du 19 avril 2019 « cadre NIR », le numéro de sécurité sociale ne peut être utilisé […] que pour les déclarations d’embauche et le traitement automatisé de la paie et de la gestion du personnel. De même, la CNIL a affirmé qu’il est possible de faire figurer le NIR du salarié sur le bulletin de paie. D’ailleurs, pour la gestion des ressources humaines, le NIR permet de s’assurer qu’il n’y a pas d’erreur dans sa saisie permettant la transmission des cotisations sociales qui vont lui ouvrir ses droits à l’assurance maladie. À ce jour, le NIR constitue la clé commune à toutes les bases de données sociales, il est ainsi utile de le faire apparaître sur les bulletins de paie.
- Pourquoi la mention du NIR est-elle susceptible de poser des difficultés en matière de protection des données ?
Le décret du 19 avril 2019 « cadre NIR », cité précédemment, est un décret qui vient encadrer le NIR en raison de la sensibilité particulière de cette donnée et définit les catégories de responsables de traitements concernés. De plus, en combinaison avec l’article 30 de loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (LIL), il détermine les finalités des traitements pour lesquelles l’utilisation du NIR est autorisée, notamment dans le domaine de la santé.
Cependant, il est important de noter que le NIR n’est pas une donnée sensible au sens de l’article 6 de la LIL et de l’article 9 du RGPD. En effet, le Comité européen de la protection des données (CEPD) considère le NIR comme une donnée à caractère hautement personnel.
Des lignes directrices sur une analyse d’impact sur la protection des données (AIPD) édictées par le G29 le 4 avril 2017 permettent de considérer le NIR comme un des neuf critères permettant d’évaluer le niveau de risque d’un traitement pour les droits et libertés d’une personne.
Bien qu’en France on ait le décret « cadre NIR » et l’article 30 de la LIL, le responsable de traitement doit tout de même respecter les principes et obligations présents au sein du RGPD, à savoir :
– principe minimisation (article 5, 1°, c) du RGPD) : ce principe impose au responsable de traitement de ne traiter le NIR qu’en cas de besoin justifié par la finalité du traitement concerné et uniquement s’il n’existe pas d’autres moyens moins intrusifs pour répondre à cet objectif.
– prendre des mesures (article 32 du RGPD) : le responsable de traitement doit mettre en place des mesures techniques et organisationnelles destinées à garantir la sécurité et la confidentialité.
– AIPD (article 35 du RGPD) : le responsable de traitement doit réaliser une analyse d’impact sur la protection des données si un risque dans le traitement du NIR existe.
À cet effet, la CNIL a énoncé, dans une délibération du 14 mars 2019, n°2019-029, que le décret « n’a pas pour objet et ne saurait avoir légalement pour effet d’autoriser par lui-même la mise en œuvre de l’ensemble des traitements nécessaire aux finalités mentionnées ». Ainsi, si le traitement du NIR se fonde uniquement sur le décret de 2019 ou sur l’article 30 de la LIL, sans respecter les principes de licéité du traitement prévus à l’article 5 du RGPD, celui-ci sera illicite.
Il est temps de répondre à la question : est-ce que la mention du NIR dans les bulletins de paie est contraire au RGPD ?
Tout d’abord, nous avons vu que la mention du NIR était nécessaire à la gestion des ressources humaines en entreprise et particulièrement en ce qui concerne l’ouverture des droits à l’assurance maladie. Le principe de minimisation est donc bien respecté.
Ensuite, la réponse dépend du respect, par le responsable de traitement, de l’article 32 du RGPD. En effet, s’il ne prend pas des mesures techniques et organisationnelles suffisantes et efficaces, il crée un risque dans le traitement du NIR et devra effectuer une AIPD.
Ainsi, l’on peut imaginer des mesures telles que la mise en place d’un logiciel de gestion de paie sécurisé, la possibilité de hacher certains éléments du bulletin de paie ou encore l’envoie de deux exemplaires de bulletin de paie dont l’un ne contient pas la mention du NIR afin de le communiquer à des tiers.