Le Numéro d’Inscription au Repertoire (NIR), plus couramment appelé « Numéro de Sécurité Sociale », est un identifiant unique, et qui ne change jamais, attribué à chaque citoyen français.
De par son unicité, il est pratique pour individualiser un enregistrement dans un jeu de données, pour isoler une personne, un individu. Néanmoins, il ne peut être utilisé n’importe comment.
Qui gère le NIR en France ?
Le NIR est un numéro unique créé et tenu par l’INSEE (Institut National de la Statistique et des Etudes Economiques) dans un mégafichier : le Répertoire National d’Identification des Personnes Physiques (RNIPP).
Ce mégafichier n’est pas issu ni géré par la Sécurité Sociale, malgré l’usage du NIR en tant que clé principale d’identification des assurés sociaux.
Comment est constitué le NIR ?
Le NIR est unique parce-qu’il correspond à un ensemble d’informations qui, entre individus, sont forcément différentes.
Il est ainsi composé de 13 chiffres :
- Le 1er correspond au sexe de la personne (1 pour les hommes, 2 pour les femmes) ;
- Le 2ème et 3ème chiffres sont les deux derniers chiffres de l’année de naissance de la personne ;
- Le 4ème et 5ème chiffres représentent le mois de naissance (de 01 pour janvier jusqu’à 12 pour décembre) ;
- Le 6ème et 7ème chiffres sont le département de naissance de la personne ;
- Les 8ème, 9ème et 10ème chiffres sont le Code commune Insee de la commune de naissance de la personne ;
- Les 11ème, 12ème et 13ème chiffres sont l’ordre de naissance.
Le cadre juridique à respecter
Le NIR est ce que l’article 87 du RGPD appelle un « numéro d’identification national ».
Ces numéros sont soumis au cadre général du RGPD bien sûr, mais cet article précise que les Etats qui mettent en oeuvre un traitement de création et d’attribution de ces numéros uniques peuvent préciser, dans leurs propres réglementations, les conditions de son utilisation.
Pour cette raison, la France a choisi de mettre à jour le cadre d’utilisation du NIR par le décret n° 2019-341 du 19 avril 2019, « relatif à la mise en oeuvre de traitements comportant l’usage du numéro d’inscription au répertoire nationale d’identification des personnes physiques ou nécessitant la consultation de ce répertoire ».
Qui peut utiliser le NIR ?
Le décret NIR de 2019 liste plusieurs entités pour lesquelles l’usage du NIR est directement prévu, et rendu obligatoire ou nécessaire par d’autres textes de loi :
- Les administrations et collectivités territoriales ;
- Les organismes de sécurité sociale et de prévoyance ;
- Professionnels de santé ;
- Les entreprises d’assurance et mutuelles ;
- Pôle Emploi (maintenant France Travail) et la Caisse des Dépôts et Consignations ;
- Les professionnels du droit dans le cadre de la justice ;
- L’INSEE.
Néanmoins, les cas d’usage du NIR ouvrent, de facto, la possibilité (ou plutôt l’obligation) de le traiter pour toute organisme intervenant dans la santé, l’emploi, la justice ou la fiscalité, ainsi que pour tout organisme, public ou privé, à but lucratif ou associatif, employant des salariés.
Pour quelles raisons peut-on utiliser le NIR ?
Le NIR ne peut être utilisé que pour certaines finalités très précises :
Santé, Protection sociale & Médico-social
- La gestion des prestations de sécurité sociale ou de remboursement de soins par les organismes d’assurance ou de mutuelle.
- Le suivi médical des personnes (coordionation des soins, dossier médical, DMP, …).
- La recherche en santé (pourvu que des garanties de confidentialité adaptées soient adoptées).
Travail, Emploi et Formation professionnelle
- La gestion de la Déclaration Sociale Nominative (DSN).
- Le suivi du parcours professionnel de la personne (droits au chômage, CPF, …).
Logement et Action sociale
- Identification des bénéficiaires pour l’attribution des Aides Personnalisées au logement (APL).
- Mise en oeuvre des dispositifs de lutte contre la précarité (aides et assistance sociale).
Justice et Etat civil
- Identification dans les registres d’état civil.
- Suivi des décisions de justice, du casier judiciaire et de l’aide juridictionnelle.
Fiscalité et Finances publiques
- Identification fiscale.
- Lutte contre la fraude sociale et fiscale.
Puis-je utiliser le NIR pour d’autres finalités si mon organisme le récolte déjà ?
Même si votre organisme récolte déjà le NIR, par exemple pour la réalisation des DSN (activités des Ressources Humaines), cette donnée ne peut pas être réutilisée en dehors des cas prévus par le décret.
Sont à éviter, voire à bannir (pour des raisons tant de responsabilité juridique que de sécurité) :
- L’utilisation du NIR comme identifiant unique dans des jeux de données de test ;
- L’utilisation du NIR comme identifiant unique dans des jeux de données servant à l’entraînement d’un Système d’Intelligence Artificielle ;
- L’utilisation du NIR comme identifiant principal ou secondaire dans des outils servant au suivi commercial (à l’exception de ceux utilisés par les officines et professionnels de santé dialoguant avec la Sécurité Sociale) ;
- L’utilisation du NIR comme identifiant principal ou secondaire de bénévoles, adhérents, croyants ou encartés dans des organismes à but non lucratif ;
- L’usage du NIR comme identifiant principal ou secondaire pour la recherche ou l’identification de fraudeurs, voleurs, etc. (à l’exception des organismes dialoguant avec la DGFIP ou la Sécurité Sociale ayant pour obligation de mettre en oeuvre un traitement de Lutte contre le Blanchiement des Capitaux et le Financement du Terrorisme – LBCFT).
Comment me passer du NIR ?
Pour les organismes disposant du NIR, et souhaitant entraîner un Système d’Intelligence Artificielle se basant sur le NIR, ou souhaitant tester une application / un système censé héberger cette donnée, il est possible de générer de faux NIR : des numéros respectant la nomenclature attendue par le système, mais ne correspondant pas de manière sûre à des personnes.
Des outils comme le Data Anonymizer de Datanaos, vous permettent de générer facilement et rapidement de fausses données respectant des formes ou nomenclatures standardisées (NIR, IBAN, numéro de carte bancaire, …)
Pour les organismes souhaitant disposer d’identifiants uniques forts dans leurs environnements, déterminer au sein de l’organisme, et après consultation du délégué à la protection des données, un standard d’identifiant assurant une individualisation stricte basé sur d’autres informations est la meilleure option.
