Se rendre au contenu

Ai-je le droit de demander le numéro de sécurité sociale de mes clients pour créer leur compte ?


Un encadrement strict du numéro de sécurité sociale

Le numéro de sécurité sociale (NIR) est une donnée personnelle sensible, encadrée par l'article 87 du RGPD et la loi Informatique et Libertés. Son utilisation est strictement limitée à des cas spécifiques liés à la protection sociale, la santé ou la gestion administrative des salariés.

Les fondements légaux de l'encadrement

L'article 87 du RGPD stipule que "les États membres peuvent préciser les conditions spécifiques du traitement d'un numéro d'identification national ou de tout autre identifiant d'application générale". En France, cette disposition a été mise en œuvre par le décret n°2019-341 du 19 avril 2019, dit "décret cadre NIR", qui détermine de manière exhaustive les catégories de responsables de traitement et les finalités autorisées.


La sensibilité particulière du NIR

Le NIR présente une sensibilité particulière car il s'agit d'un numéro "signifiant" (non aléatoire) qui révèle des informations personnelles : le sexe, l'année et le mois de naissance, ainsi que le département et la commune de naissance. Cette composition unique permet d'identifier avec certitude une personne et facilite techniquement l'interconnexion de fichiers, ce qui explique l'attention particulière portée par la CNIL à son usage.


Qui peut collecter et utiliser le NIR ?

Les organismes habilités

Seuls certains organismes et professionnels habilités peuvent collecter et traiter le numéro de sécurité sociale, notamment :

  • Les organismes de sécurité sociale (CPAM, URSSAF, etc.)
  • Les professionnels de santé pour les échanges avec l'Assurance Maladie
  • Les employeurs pour la gestion de la paie et des cotisations sociales
  • Les opérateurs de compétences (OPCO) pour la prise en charge des formations professionnelles

Les secteurs d'activité concernés

Le décret cadre NIR identifie huit grands champs d'application où l'utilisation du NIR est autorisée :

  • La protection sociale
  • La santé
  • Le travail et l'emploi du secteur privé et public
  • Le domaine financier, fiscal et douanier
  • La justice
  • Les statistiques publiques et le recensement
  • L'éducation
  • Le logement

Les finalités autorisées pour les employeurs

Dans le secteur privé, les employeurs peuvent utiliser le NIR uniquement pour :

  • Le traitement automatisé de la paie et de la gestion du personnel
  • Les calculs de cotisations et de versements destinés aux organismes de protection sociale
  • L'instruction, le suivi et la gestion des dossiers d'accidents du travail et de maladies professionnelles
  • La mise en œuvre du prélèvement à la source

L'interdiction formelle pour la création de comptes clients

Toute collecte du NIR pour un usage non prévu par la loi, comme la création d'un compte client, est strictement interdite. Une telle pratique constituerait une violation du RGPD, exposant l'entreprise à des sanctions administratives et financières importantes.


Les principes de licéité et de minimisation

Le RGPD impose le respect du principe de licéité du traitement (article 6) et de minimisation des données (article 5). L'utilisation du NIR pour créer un compte client ne répond à aucune des bases légales prévues par le RGPD et ne respecte pas le principe de minimisation, car cette donnée n'est pas nécessaire à cette finalité.

La jurisprudence de la CNIL

La CNIL a toujours refusé l'usage du NIR en tant que numéro "universel" d'identification. Elle a notamment proscrit l'usage du terme "numéro national d'identité" au profit de l'appellation actuelle "numéro d'inscription au répertoire national d'identification des personnes physiques".


Un usage interdit sous peine de sanctions

Le cadre pénal

Le Code pénal prévoit des sanctions spécifiques en cas d'utilisation du NIR sans autorisation : une amende de 300 000 euros ainsi qu'une peine d'emprisonnement pouvant aller jusqu'à 5 ans. L'article 226-17 du Code pénal sanctionne le fait de procéder à un traitement de données personnelles sans mettre en œuvre les mesures prescrites par le RGPD.

Les sanctions administratives du RGPD

En application du RGPD, les amendes administratives peuvent atteindre des montants considérables :

  • Niveau 1 : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial pour les manquements aux obligations de sécurité (article 32 du RGPD)
  • Niveau 2 : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial pour les violations des principes fondamentaux du traitement de données


Les mesures de sécurité obligatoires

Lorsque l'utilisation du NIR est autorisée, les organismes doivent mettre en place des mesures de sécurité renforcées. La CNIL recommande notamment :

  • L'authentification multifacteur pour sécuriser les accès
  • La journalisation et la supervision des accès aux données
  • Le chiffrement des données sensibles
  • La limitation des accès aux seules personnes habilitées

Les conséquences pour les entreprises

L'utilisation inappropriée du NIR peut avoir des conséquences graves pour les entreprises :

  • Sanctions financières importantes
  • Atteinte à la réputation et perte de confiance des clients
  • Risque de contentieux avec les personnes concernées
  • Intervention de la CNIL avec mise en demeure ou sanction directe


Les alternatives légales pour l'identification des clients

La création d'identifiants spécifiques

Pour créer des comptes clients, les entreprises doivent utiliser des identifiants spécifiques générés aléatoirement, respectant ainsi le principe de minimisation des données. Ces identifiants peuvent être :

  • Des numéros clients générés automatiquement
  • Des combinaisons alphanumériques uniques
  • Des identifiants basés sur l'adresse email avec consentement explicite

Les données strictement nécessaires

Pour la création d'un compte client, seules les données strictement nécessaires à la finalité poursuivie peuvent être collectées :

  • Nom et prénom pour l'identification
  • Adresse email pour la communication
  • Adresse postale si une livraison est prévue
  • Numéro de téléphone si nécessaire au service

Le respect des droits des personnes

Les entreprises doivent garantir l'exercice des droits des personnes concernées :

  • Droit d'accès aux données collectées
  • Droit de rectification en cas d'inexactitude
  • Droit à l'effacement sous certaines conditions
  • Droit d'opposition au traitement
  • Droit à la portabilité des données

L'utilisation du numéro de sécurité sociale ne peut être collecté et traité que dans des cas bien définis par la loi. De plus, les données doivent être sécurisées et accessibles uniquement aux personnes habilitées. L'utiliser pour créer un compte client est illégal et expose l'entreprise à des sanctions administratives ou financières.


Une question sur la création d’identifiants clients conformes ?

Notre équipe chez Inkivari est à votre disposition pour toute interrogation concernant la gestion des données personnelles.

 


Par mail

Soumettre

En soumettant ce formulaire, j’accepte que les informations saisies soient exploitées par Inkivari SARL aux fins de gestion de réponse à votre demande. Pour en savoir plus sur la gestion de vos données à caractère personnel et sur vos droits, consultez notre politique de confidentialité