Article 87 Traitement du numéro d'identification national

Notion d'identifiant à portée générale

L'article 87 vise non seulement les numéros d'identification nationaux au sens strict, mais également tout autre « identifiant à portée générale ». Cette notion englobe tous les identifiants uniques attribués à une personne et susceptibles d'être utilisés dans de multiples contextes pour relier différents traitements de données.

Sont notamment concernés les numéros de sécurité sociale, les numéros d'identification fiscale, les numéros de registre de la population, les numéros de carte d'identité nationale, et tout autre identifiant similaire attribué de manière systématique par l'État ou par une autorité publique. La caractéristique commune de ces identifiants est leur capacité à servir de clé de rapprochement entre différentes bases de données, facilitant ainsi le profilage et la surveillance.

En revanche, les identifiants à usage limité, utilisés uniquement dans un contexte spécifique (numéro de client auprès d'une entreprise, numéro d'étudiant dans une université), ne sont généralement pas considérés comme des identifiants à portée générale au sens de l'article 87, sauf s'ils sont de facto utilisés de manière généralisée pour relier différents traitements.

Compétence des États membres

L'article 87 confère aux États membres la compétence pour préciser les conditions spécifiques applicables au traitement des numéros d'identification nationaux et autres identifiants à portée générale. Cette compétence permet aux États membres d'adapter la réglementation à leurs traditions administratives et aux spécificités de leurs systèmes d'identification.

Les États membres peuvent notamment déterminer dans quels contextes l'utilisation du numéro d'identification national est autorisée, obligatoire ou interdite. Ils peuvent prévoir que certains traitements spécifiques (sécurité sociale, fiscalité, santé publique) sont autorisés à utiliser le numéro d'identification national, tout en en interdisant ou en limitant l'utilisation dans d'autres contextes.

Cette compétence nationale reflète le fait que les systèmes d'identification varient considérablement d'un État membre à l'autre. Certains États disposent d'un numéro d'identification unique utilisé dans tous les domaines de l'administration, tandis que d'autres ont opté pour des identifiants sectoriels distincts. L'article 87 permet à chaque État de maintenir son système tout en l'encadrant par des garanties appropriées.

Garanties appropriées pour les droits et libertés

L'article 87 impose que l'utilisation du numéro d'identification national ou de tout autre identifiant à portée générale ne soit autorisée qu'en tenant dûment compte des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties visent à prévenir les risques de profilage systématique, de surveillance généralisée, et d'atteinte à la vie privée que pourrait entraîner une utilisation non encadrée de ces identifiants.

Les garanties appropriées peuvent inclure plusieurs éléments : la limitation de l'utilisation du numéro d'identification national à des finalités spécifiques et légitimes ; l'interdiction du rapprochement automatisé de fichiers utilisant cet identifiant sans autorisation spécifique ; l'obligation d'évaluation d'impact sur la protection des données pour les traitements à grande échelle utilisant le numéro d'identification ; et des mesures de sécurité renforcées pour protéger ces identifiants contre l'accès non autorisé.

Les États membres doivent également prévoir des mécanismes de contrôle et de supervision de l'utilisation du numéro d'identification national. Les autorités de protection des données doivent pouvoir vérifier que cet identifiant n'est utilisé que dans les conditions prévues par la loi et que les garanties sont effectivement mises en œuvre.

Articulation avec les autres dispositions du RGPD

L'article 87 s'articule avec l'article 5, paragraphe 1, point c), qui consacre le principe de minimisation des données. L'utilisation d'un identifiant à portée générale doit être limitée à ce qui est strictement nécessaire aux finalités du traitement. Si un identifiant à usage limité suffit, l'utilisation du numéro d'identification national ne peut être justifiée.

Il se combine également avec l'article 35, qui impose la réalisation d'une analyse d'impact sur la protection des données pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes. L'utilisation à grande échelle d'un numéro d'identification national entre généralement dans cette catégorie et requiert donc une analyse d'impact préalable.

L'article 87 complète également l'article 6, qui établit les conditions de licéité du traitement. L'utilisation du numéro d'identification national doit reposer sur l'un des fondements de licéité prévus à l'article 6, généralement l'exécution d'une mission d'intérêt public ou le respect d'une obligation légale.

Jurisprudence relative à l'article 87

Bien que la jurisprudence spécifique à l'article 87 du RGPD soit encore limitée, les principes développés sous l'empire de la directive 95/46/CE restent pertinents. La Cour de justice de l'Union européenne a confirmé que l'utilisation de numéros d'identification nationaux doit être strictement encadrée et proportionnée aux objectifs poursuivis.

Les juridictions nationales et les autorités de protection des données ont eu l'occasion de préciser les conditions d'utilisation des numéros d'identification nationaux dans divers contextes. Elles ont notamment souligné que l'utilisation systématique de ces identifiants à des fins commerciales ou de marketing n'est généralement pas conforme au principe de minimisation des données et aux exigences de l'article 87.

Recommandations de la CNIL et du CEPD

La CNIL a publié des lignes directrices sur l'utilisation du numéro d'inscription au répertoire (NIR), également appelé numéro de sécurité sociale en France. Elle précise que l'utilisation de ce numéro est strictement encadrée par la loi et ne peut être autorisée que pour des finalités spécifiques liées à la sécurité sociale, à la santé publique, ou à d'autres missions d'intérêt public expressément prévues par la loi.

Le Comité européen de la protection des données (CEPD) encourage les États membres à adopter une approche harmonisée de la réglementation des identifiants à portée générale, tout en respectant les spécificités des systèmes nationaux. Il recommande de privilégier, lorsque cela est possible, l'utilisation d'identifiants sectoriels distincts plutôt qu'un identifiant unique universel, afin de limiter les risques de profilage systématique.

Implications pratiques pour les responsables de traitement

Les responsables de traitement doivent se familiariser avec la réglementation nationale applicable à l'utilisation du numéro d'identification national dans leur État membre. Ils ne peuvent utiliser cet identifiant que dans les cas expressément autorisés par la loi et dans le respect des garanties prévues.

Avant d'utiliser un numéro d'identification national, les organisations doivent évaluer si cette utilisation est réellement nécessaire ou si un identifiant à usage limité suffirait. Le principe de minimisation des données impose de privilégier les solutions les moins intrusives. Si l'utilisation du numéro d'identification national est justifiée, elle doit être documentée et faire l'objet de mesures de sécurité renforcées.

Les organisations doivent également informer les personnes concernées de l'utilisation de leur numéro d'identification national, des finalités de cette utilisation, et de leurs droits en matière de protection des données. Cette information doit être claire, accessible et conforme aux exigences des articles 13 et 14 du RGPD.