Un nouveau décret sur l’utilisation du NIR comme INS

utilisation du NIRLes conclusions de la Cnil, en date du 20 février 2007, sur l’utilisation du numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR) comme identifiant de santé, prévoyaient la restriction de l’utilisation du NIR, plus communément appelé numéro de sécurité sociale, à la sphère sociale, et interdisait son utilisation en tant qu’identifiant de santé.

Neuf ans plus tard, la loi de modernisation de notre système de santé du 26 janvier 2016 a modifié l’article L.1111-8-1 du Code de la Santé Publique (CSP). Les dispositions de ce texte ont été modifiées par l’Ordonnance du 12 décembre 2018, mais le principe reste le même : le NIR, et à défaut le Numéro Identifiant d’Attente (NIA), est utilisé comme Identifiant National de Santé (INS) des personnes pour leur prise en charge à des fins sanitaires et médico-sociales, dans les conditions prévues à l’article L.1110-4 du CSP relatif au secret médical, à l’échange et au partage des données de santé.

Conformément aux dispositions de cet article L.1111-8-1 du CSP, le dispositif a été complété par un décret n°2017-412 du 27 mars 2017.

Ce décret a été modifié très récemment par le décret n°2019-1036 du 8 octobre 2019, comme évoqué ci-après.

Référencement des données de santé

Caractéristiques du NIR

Le NIR est composé de treize chiffres et d’une clé de contrôle de deux chiffres. Il est attribué aux personnes nées en France, y travaillant ou y habitant de façon stable.

Comme le souligne la Cnil dans ses conclusions sur l’utilisation du NIR comme identifiant de santé, le NIR constitue un numéro particulier dans la mesure où il est :

  • « signifiant : il est composé d’une chaîne de caractères qui permettent de déterminer le sexe, le mois et l’année de naissance, et dans la majorité des cas, le département et la commune de naissance en France ou l’indication d’une naissance à l’étranger ;
  • unique et pérenne : un seul numéro est attribué à chaque individu dès sa naissance ;
  • a priori fiable : il est certifié par l’Institut National de la Statistique et des Études Économiques (INSEE), à partir des données d’état civil transmises par les mairies ».

Modalités d’utilisation du NIR comme INS

Les modalités d’utilisation du NIR comme INS afin de référencer les données de santé, notamment afin d’en empêcher l’utilisation à des fins autres que sanitaires et médico-sociales ont été définies par le décret du 27 mars 2017 ; elles ont été codifiées aux articles R.1111-8-1 et suivants du CSP.

Ainsi, l’article R.1111-8-2 du CSP dispose : « l’INS est utilisé pour référencer les données de santé et les données administratives de toute personne bénéficiant ou appelée à bénéficier d’un acte diagnostique, thérapeutique, de prévention, de soulagement de la douleur, de compensation du handicap ou de prévention de la perte d’autonomie, ou d’interventions nécessaires à la coordination de plusieurs de ces actes ».

Il est précisé à l’article R.1111-8-3 du CSP : « le référencement de données mentionnées à l’article R. 1111-8-2 à l’aide de l’INS ne peut être réalisé que par des professionnels, établissements, services et organismes mentionnés à l’article L. 1110-4 et des professionnels constituant une équipe de soins en application de l’article L. 1110-12 et intervenant dans la prise en charge sanitaire ou médico-sociale de la personne concernée ».

L’article R.1111-8-4 du CSP limite l’utilisation de données de santé et de données administratives référencées avec l’INS, dans le cadre d’un traitement de données à caractère personnel, aux seuls traitements ayant une finalité exclusivement sanitaire ou médico-sociale, y compris les fonctions nécessaires pour assurer le suivi social ou la gestion administrative des personnes prises en charge, et mis en œuvre dans le respect des dispositions de la loi informatique et libertés.

Le décret du 27 mars 2017 avait prévu une mise en conformité des acteurs concerné avec les nouvelles règles avant le 1er janvier 2020, date qui a été reportée au 1er janvier 2021 par le décret n° 2019-1036 du 8 octobre 2019.

Précisions sur l’utilisation du NIR comme INS

Nouveautés apportées par le décret du 8 octobre 2019

Le décret n° 2019-1036 du 8 octobre 2019 apporte des modifications au décret du 27 mars 2017 relatif à l’utilisation du NIR comme INS et aux articles R.1111-8-1 à R.1111-8-7 du CSP.

Il est précisé dans la notice même du décret que « le décret modifie les dispositions relatives à l’utilisation du NIR en tant qu’INS pour les mettre en conformité avec la loi Informatique et libertés, dans sa rédaction résultant de l’ordonnance n° 2018-1125 du 12 décembre 2018. Le décret adapte le calendrier de mise en œuvre de l’INS et renforce les règles de sécurité dans la prise en charge et la protection des données personnelles ».

En premier lieu, le décret ajoute à l’article R.1111-8-2 du CSP un alinéa prévoyant la possibilité d’avoir recours à l’INS à des fins de recherche autorisée dans les conditions prévues au titre II, chapitre III, section 3 de la loi Informatique et libertés relatif aux traitements de données à caractère personnel dans le domaine de la santé (et plus particulièrement aux traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé présentant une finalité d’intérêt public).

En outre, le décret modifie intégralement l’article R.1111-8-6 du CSP, dont le premier alinéa dispose désormais : « des téléservices permettent aux professionnels, établissements, services ou organismes mentionnés à l’article R.1111-8-3 d’accéder au NIR et de vérifier son exactitude dans le respect du référentiel mentionné à l’article R.1111-8-7. Ils sont mis en œuvre par la Caisse nationale de l’assurance maladie ».

L’article susvisé précise que le recours à ces téléservices est obligatoire sauf en cas d’indisponibilité des téléservices ou de motif légitime invoqué par les professionnels. Ce recours n’exonère pas de « mettre en place toute procédure de surveillance, de correction et de prévention des erreurs relevant de l’organisation de la prise en charge des personnes et concourant à la maîtrise du risque d’erreur dans l’identification des personnes ».

Enfin, le décret reporte au 1er janvier 2021 l’obligation de se conformer à l’ensemble des règles relatives à l’utilisation du NIR comme INS.

Attente de publication du référentiel INS définitif

Aux termes de l’article R.1111-8-7 du CSP, un référentiel doit définir les modalités de mise en œuvre de l’obligation de référencement des données de santé avec l’INS. Il doit préciser les procédures de surveillance et de gestion des risques et erreurs liés à l’identification des personnes prises en charge devant être mises en œuvre par les professionnels, établissements, services et organismes habilités à l’utiliser, ainsi que les mesures de sécurité applicables aux opérations de référencement de données à caractère personnel mentionnées au même article.

En application de l’article L.1110-4-1 du CSP, ce référentiel doit être élaboré par l’ASIP Santé, en concertation avec les acteurs du secteur santé et médico-social, et approuvé par arrêté du ministre de la Santé.

À ce jour, le projet de référentiel INS a été publié par l’ASIP Santé sur son site.

La Cnil doit être saisie pour rendre un avis sur ce projet de référentiel, lequel devra ensuite être approuvé par arrêté, afin d’être publié dans sa version définitive et être opposable aux acteurs concernés.

Marguerite Brac de la Perrière
Isabeau de Laage
Lexing Santé numérique




Sécurité des systèmes d’information et données de santé

SSI SantéMarguerite Brac de La Perrière traite de l’hébergement des données de santé dans un ouvrage dédié à la sécurité des systèmes d’information.

SSI Santé ou la sécurité des systèmes d’information en santé, cet ouvrage collectif, produit par l’APSSIS avec le support de l’ASIP Santé, réunit plus de 40 contributions.

La rédaction d’articles et de retours d’expériences a été proposée à un large panel de professionnels de la SSI Santé : selon Vincent Trély, président de l’APSSIS, l’objectif initial était de « donner la parole au terrain, par la plume de celles et ceux qui « exercent la SSI », qui mettent en œuvre les principes de la cybersécurité au cœur des organisations, tant sur le volet « technique » que sur le volet « politique » et qui connaissent succès et échecs, facilités et difficultés, joies et doutes, mais sont toujours accompagnés par la passion ».

L’ouvrage est organisé en sept thématiques :

  • Normes et référentiels,
  • Gouvernance de la SSI Santé,
  • Technologies de sécurité,
  • RGPD et cybersécurité,
  • Processus et procédures,
  • Conformité et audits, et
  • Prospective.

SSI Santé : l’obligation générale de sécurité rappelée par le RGPD

A l’heure de l’entrée en application effective du RGPD, Marguerite Brac de La Perrière, qui dirige le département Santé numérique du cabinet Lexing Alain Bensoussan Avocats, traite de la question délicate de l’hébergement des données de santé à l’aune de la sécurité des systèmes d’information de santé.

Depuis le 25 mai 2018, le RGPD impose aux responsables de traitements et sous-traitants, « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques », de mettre en œuvre « les mesures techniques et organisationnelle appropriées afin de garantir un niveau de sécurité adapté au risque » , étant rappelé que toute infraction à ces dispositions expose à de lourdes sanctions.

Cette obligation générale de sécurité rappelée par le RGPD renvoie aux référentiels et bonnes pratiques sectoriels.

Or en matière d’hébergement de données de santé, ce référentiel sectoriel est celui relatif à l’obligation d’agrément ou de certification des hébergeurs, qui a largement évolué ces derniers mois.

Dans son article, Marguerite Brac de La Perrière fait le point sur le cadre juridique applicable et son périmètre.

L’heure est donc venue pour les acteurs du secteur de la santé d’appréhender ce cadre juridique applicable à l’hébergement de données de santé à caractère personnel, et son périmètre d’application.

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Assurance : deux nouvelles autorisations uniques de la Cnil

Assurance : deux nouvelles autorisations uniques de la CnilAssurance – La Cnil a répondu aux besoins du secteur de l’assurance en matière de traitements des données sensibles, en facilitant les formalités préalables aux traitements auprès de la Cnil. Par deux délibérations du 23 janvier 2014, la Cnil autorise tous les organismes d’assurance, de capitalisation, de réassurance, d’assistance, les intermédiaires d’assurance et par l’AGIRA, à accéder aux données personnelles de leurs assurés pour répondre certains besoins d’informations en matière d’assurance de personnes et d’automobile.

La norme d’Autorisation Unique n°014 concerne les traitements de données à caractère personnel relatifs à la consultation du Répertoire National d’Identification des Personnes Physiques (RNIPP) et à l’utilisation du Numéro d’Inscription au Répertoire (NIR ou numéro de sécurité social) mis en œuvre par les organismes précités.

Les finalités du traitement de données à caractère personnel sont la passation, la gestion et l’exécution des contrats d’assurance, de capitalisation, et réassurance et d’assistance nécessitant la collecte et le traitement du NIR par le responsable du traitement notamment pour :

  • Leurs activités d’assurance maladie, maternité, invalidité, retraite supplémentaire;
  • Leurs activités d’assurance pour les garanties perte d’exploitation et perte d’emploi uniquement à des fins probatoires ; 
  • Les relations avec les professionnels, les établissements et les institutions de santé ; 
  • Les déclarations sociales des entreprises souscriptrices de contrats d’assurance ; 
  • L’indemnisation des accidents ; 
  • La gestion des rentes ; 
  • Pour l’exécution des dispositions légales, réglementaires et administratives en vigueur ; 
  • L’accès aux données du RNIPP ; 
  • Et les traitements mise en œuvre par l’AGIRA ayant des objets prédéfinis.

L’Autorisation Unique n°15 concerne les traitements de données à caractère personnel relatifs aux infractions, condamnations ou mesures de suretés qui influencent la souscription ou la vie du contrat ou qui sont utiles pour la gestion des contentieux, mis en œuvre par les organismes précités.

Le responsable du traitement doit informer préalablement les personnes concernées:

  • de son identité, 
  • de la finalité du traitement, 
  • du caractère obligatoire ou facultatif des réponses,
  • des conséquences éventuelles d’un défaut de réponse,
  • des destinataires des données, de leur droit d’accès, de rectification et d’opposition et 
  • de l’éventuel transfert de données personnelles à destination d’un Etat non membre de l’UE.

S’agissant de la durée de conservation des données collectées, ces dernières doivent être conservées par le responsable de traitement pour la durée nécessaire à l’exécution du contrat.

Les entreprises concernées disposent d’un délai de 18 mois à compter de la publication des autorisations uniques pour se mettre en conformité, soit jusqu’au 7 août 2015.

Chloé Torres 
Lexing Droit Informatique et libertés




Conditions d’accès au fichier des renseignements généraux

En principe, les fichiers des renseignements généraux (RG) ne peuvent faire mention de vos opinions politiques, religieuses ou syndicales sauf si vous êtes « fiché » pour atteinte à la sûreté de l’Etat ou à la sécurité publique (terrorisme notamment). Par ailleurs, un tel fichier fait partie de ceux dont les données ne vous sont pas directement accessibles. Ils sont soumis à un contrôle indirect exercé par la CNIL.
Seules les informations qui ne mettent pas en cause la sûreté de l’État et la sécurité publique, peuvent vous être communiquées par l’intermédiaire de la CNIL après accord du ministre de l’Intérieur. Ce dernier peut toutefois s’y opposer. Il doit alors motiver son refus. Ce refus peut être contesté devant le Conseil d’Etat. Ainsi, une personne ayant saisit la CNIL d’une demande d’accès aux informations la concernant contenues dans les fichiers des services des RG, a contesté devant le Conseil d’Etat la décision de refus de communication du ministre de l’intérieur. Cette haute juridiction a considéré que ce refus fondé exclusivement sur l’appartenance de cette personne à l’Eglise de Scientologie et sur la menace pour la sécurité publique que représentent les mouvements à caractère sectaire, était un motif « d’ordre général » qui n’était pas de nature à justifier un tel refus de communication. Le Conseil d’Etat a alors demandé au ministre de l’intérieur de réexaminer la demande d’accès de cette personne et a condamné l’Etat à lui verser la somme de 500 euros au titre des frais de procédures.

CE 28-7-2004 n° 243417




L’élargissement du droit d’accès au RNIPP

La Cnil s’est prononcée sur un projet d’arrêté relatif à la cession de données issues du répertoire national d’identification des personnes physiques (RNIPP) par délibération en date du 18 décembre 2008. La loi 2007-1775 du 17 décembre 2007 consent en effet un droit d’accès aux organismes professionnels habilités à proposer des contrats d’assurance sur la vie, sous réserve que les données consultées se rapportent exclusivement au décès de personnes inscrites audit répertoire. Il est, par ailleurs, fait obligation à l’INSEE d’en favoriser l’accès.

La commission constate que la modification du traitement RNIPP soumise à son examen vise à permettre à l’INSEE de produire, au bénéfice d’une nouvelle catégorie de destinataires et pour une nouvelle finalité, des fichiers obtenus à partir d’une consultation du répertoire, sans que le numéro d’inscription n’intervienne à aucun moment dans les traitements automatisés concernés. Ceux-ci relèvent dès lors de l’article 27 de la loi Informatique et libertés qui prévoit la consultation de la Commission préalablement à leur autorisation par publication d’un arrêté. Elle rappelle, en outre, que la loi du 17 décembre 2007 précise que la transmission des données du RNIPP n’est autorisée qu’à seule fin de rechercher les assurés et les bénéficiaires des contrats d’assurance sur la vie qui sont décédés.

La Commission prend acte de ce que les fichiers ont pour seul destinataire l’Association pour la gestion des informations sur le risque en assurance (AGIRA), que la transmission des données s’effectuera sous forme chiffrée sur des supports de disque numérique, que le mot de passe permettant le déchiffrement sera communiqué à un correspondant désigné par courrier recommandé et que le DVD-ROM contenant les données ne sera envoyé qu’au vu de l’accusé réception du mot de passe. En conséquence, elle considère que les données mentionnées sont adéquates, pertinentes et non excessives au regard de la finalité de recherche des assurés et bénéficiaires décédés.

Délib. 2008-580 du 18-12-2008
Arrêté du 21 janvier 2009




Condamnation de la politique britannique de fichage ADN

La Cour européenne des droits de l’homme a condamné, le 4 décembre 2008, la politique de fichage ADN du Royaume-Uni. La législation britannique, instituant le premier fichier ADN d’Europe, permet de conserver pour une durée indéterminée les prélèvements biométriques effectués sur une personne arrêtée, quelle que soit la gravité de l’infraction.
Les empreintes digitales et les données génétiques sont collectées sur des bases de données nationales sans possibilité pour les intéressés d’obtenir la destruction des échantillons. Les juges ont estimé, à l’unanimité, que la conservation à caractère « général et indifférencié » des empreintes génétiques des personnes innocentées constitue une violation du « droit à la vie privée » protégé par l’article 8 de la Convention européenne de sauvegarde des droits de l’homme.

CEDH 4-12-2008 aff. S et Marper c./ Royaume-Uni




Autorisation de croisement des fichiers informatiques pour lutter contre la fraude

Informatique et libertés

NIR et NRIPP

Autorisation de croisement des fichiers informatiques pour lutter contre la fraude

Le projet de loi de financement de la sécurité sociale pour 2007 comporte toute une série de mesures destinées à lutter contre la fraude et les abus en matière de prestations sociales comme l’autorisation du croisement des fichiers informatiques des administrations et organismes sociaux chargés du remboursement de l’assurance maladie ou du versement des allocations sous conditions de ressources (CMU, RMI, prestations familiales, etc.). Il est créé un répertoire national commun aux organismes chargés de la gestion d’un régime obligatoire de sécurité sociale, aux caisses assurant le service des congés payés et aux aux organismes servant aux salariés des prestations et avantages de toute nature. Ce répertoire sera également accessible aux collectivités territoriales pour les procédures d’attribution d’une forme quelconque d’aide sociale (RMI notamment). Les moyens des organismes de contrôle sont considérablement renforcés par des dispositions permettant de prendre en compte, les éléments de train de vie (comme le patrimoine mobilier ou immobilier) pour le versement des allocations. La saisine du Conseil constitutionnel le 1er décembre 2006 retardera d’autant la promulgation de la loi. Le Conseil constitutionnel doit statuer dans le délai d’un mois sauf en cas d’urgence, ce délai peut être ramené à 8 jours à la demande du Gouvernement.

Projet de loi adopté le 30 novembre 2006

(Mise en ligne Novembre 2006)




Refus d’utiliser le NIR par des organismes de recouvrement de créances

Informatique et libertés

NIR et NRIPP

Refus d’utiliser le NIR par des organismes de recouvrement de créances

La Cnil fait mention de cinq refus d’autorisation adopté lors de sa séance plénière du 23 février 2006 relatifs à l’utilisation par des organismes de gestion de produits d’épargne, de crédit ou de recouvrement de créances, du numéro d’inscription au répertoire national d’identification des personnes physiques(1). Compte tenu du risque de « tracer les individus dans tous les actes de la vie courante », le législateur a modifié la loi Informatique et libertés en 2004 pour soumettre à l’autorisation de la Cnil les traitements des organismes privés portant sur des données parmi lesquelles figure le NIR(2). La Cnil a donc considéré, concernant le projet de mise en place de tels traitements par des organismes de recouvrement de créances et des établissements de crédit, que la lutte contre la fraude, l’homonymie ou la gestion de la relation commerciale ne justifie pas l’utilisation du NIR et qu’un identifiant spécifique doit être créé par les organismes concernés pour chacune de ces fonctions.

(1)Délibération n°2006-043 du 23 février 2006
Délibération n°2006-044 du 23 février 2006
Délibération n°2006-045 du 23 février 2006
Délibération n°2006-046 du 23 février 2006
Délibération n°2006-055 du 23 février 2006

(2)Loi n°78-17 du 6 janvier 1978 modifiée, art. 25 5°

(Mise en ligne Février 2006)




Condamnation d’une société qui avait collecté des données personnelles sensibles

En juin 2004, le Tribunal correctionnel de Nanterre a condamné, sur dénonciation de la Cnil (1), le dirigeant d’une société qui avait adressé un courrier électronique présenté sous la forme d’un sondage politique anonyme pour, en fait, recueillir des adresses électroniques et d’autres données personnelles (2). La société a été reconnue coupable de l’infraction de collecte de données nominatives par un moyen frauduleux, déloyal ou illicite, d’enregistrement et conservation de données nominatives sensibles sans l’accord des intéressés et de détournement de la finalité d’un traitement automatisé d’information nominative. Elle s’est désistée de son appel en avril 2006.

(1) Cnil, Délibération n° 02-054 du 9-7-2002
(2) T. cor. Nanterre 4 juin 2004