Article 87 RGPD : l'encadrement du NIR décrypté

L’article 87 du RGPD est un texte court — quatre lignes — mais il porte tout le poids historique de la protection des données en France. C’est le numéro d’inscription au répertoire (NIR), connu de tous comme le « numéro de sécurité sociale », qui a déclenché en 1974 l’affaire SAFARI, point de départ de la loi Informatique et Libertés du 6 janvier 1978. Cinquante ans plus tard, l’utilisation du NIR reste l’un des sujets les plus régulièrement sanctionnés par la CNIL : usage comme identifiant interne d’un SIRH, intégration sans base légale dans un fichier RH, exposition non chiffrée dans une base CRM, collecte hors finalités autorisées par le décret n° 2019-341 du 19 avril 2019. L’Art. 87 RGPD renvoie expressément au droit national pour encadrer cet identifiant universel — et en France, le cadre est l’un des plus stricts d’Europe. Voici la lecture paragraphe par paragraphe, le décret d’autorisation française, les pièges contentieux et un plan opérationnel pour 2026.

Ce que dit l’article 87 du RGPD

L’Art. 87 RGPD s’intitule « Traitement du numéro d’identification national ». Il appartient au chapitre IX du règlement consacré aux situations particulières de traitement, aux côtés de l’Art. 88 RGPD sur les relations de travail et de l’Art. 89 RGPD sur la recherche et l’archivage.

L’article comporte un paragraphe unique mais d’une densité considérable :

« Les États membres peuvent préciser les conditions spécifiques du traitement d’un numéro d’identification national ou de tout autre identifiant d’application générale. Dans ce cas, le numéro d’identification national ou tout autre identifiant d’application générale n’est utilisé que sous réserve des garanties appropriées pour les droits et libertés de la personne concernée adoptées en vertu du présent règlement. »

La rédaction laisse aux États membres une marge d’appréciation considérable, mais elle pose en contrepartie deux exigences structurantes : (i) la nécessité d’un texte national encadrant l’usage de l’identifiant, et (ii) l’obligation d’assortir cet usage de garanties appropriées au sens des articles fondateurs du règlement, en particulier l’Art. 24 RGPD sur l’accountability, l’Art. 25 RGPD sur la privacy by design et l’Art. 32 RGPD sur la sécurité.

Le considérant 41 du RGPD précise que la référence à un texte juridique de l’Union ou d’un État membre n’impose pas un acte législatif formel, mais que ce texte doit être clair, précis, prévisible et accessible — exigences classiques de la qualité de la loi rappelées par la CJUE dans l’arrêt C-184/20 Vyriausioji tarnybinės etikos komisija du 1er août 2022 sur le test de proportionnalité Art. 52(1) de la Charte.

Le cadre français : Art. 30 LIL et décret 2019-341

La France a transposé l’Art. 87 dans l’article 30 de la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 modifiée). L’Art. 30 LIL pose une règle générale d’autorisation préalable par décret en Conseil d’État après avis de la CNIL, et renvoie à des textes sectoriels.

Le texte clé est le décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l’usage du NIR et du RNIPP (Répertoire National d’Identification des Personnes Physiques). Pris après avis de la CNIL (délibération n° 2018-379 du 15 novembre 2018), il dresse une liste limitative des finalités autorisant l’utilisation du NIR. Cette logique de liste fermée distingue radicalement le régime français du régime allemand ou italien, beaucoup plus libéraux.

Le NIR : ce qu’il révèle structurellement

Avant d’entrer dans la liste, il faut comprendre pourquoi le NIR appelle un encadrement particulier. Composé de 13 chiffres + 2 chiffres de clé, le NIR encode structurellement des informations sensibles : le premier chiffre indique le sexe (1 ou 2), les deux suivants l’année de naissance, les deux suivants le mois de naissance, les deux suivants le département de naissance, les trois suivants la commune de naissance INSEE, les trois derniers le rang d’inscription au registre d’état civil. Autrement dit, toute personne qui détient un NIR détient implicitement le sexe, le mois et l’année de naissance et le lieu de naissance de la personne concernée. Le NIR n’est donc pas un simple identifiant numérique : il révèle des données qui, combinées à d’autres, peuvent recouper des données personnelles définies à l’Art. 4 RGPD et parfois s’approcher de données sensibles au sens de l’Art. 9 (notamment le lieu de naissance qui peut révéler l’origine ethnique présumée).

Le RNIPP, géré par l’INSEE sur le fondement du décret n° 2007-1188 du 3 août 2007, est l’autorité d’inscription : c’est lui qui attribue le NIR à la naissance et le tient à jour. La certification d’identité s’opère via le service d’identification des personnes géré par la Caisse Nationale d’Assurance Maladie (CNAM).

Les finalités autorisées par le décret 2019-341

Le décret du 19 avril 2019 énumère une douzaine de finalités où l’usage du NIR est licite. Je les regroupe en cinq blocs opérationnels.

Bloc 1 — Sécurité sociale et protection sociale

L’usage le plus évident : ouverture de droits, versement des prestations, recouvrement des cotisations. Concrètement, ce bloc couvre l’assurance maladie obligatoire, les allocations familiales (CAF), l’assurance retraite (CNAV), la branche AT/MP, le RSI/SSI pour les indépendants, Pôle Emploi pour l’assurance chômage. La base légale est en général l’Art. 6(1)© RGPD obligation légale ou l’Art. 6(1)(e) mission d’intérêt public, articulée avec le Code de la sécurité sociale.

Bloc 2 — Paie, DSN et obligations sociales

C’est le bloc le plus critique pour les entreprises privées. L’employeur a l’obligation légale de collecter le NIR de ses salariés pour la déclaration sociale nominative (DSN), introduite par la loi n° 2012-387 du 22 mars 2012 et l’ordonnance n° 2015-682 du 18 juin 2015. Le décret n° 2014-1082 du 24 septembre 2014 fixe les modalités de la DSN, qui agrège mensuellement les données de paie, d’absences, de cotisations et de prestations sociales pour les transmettre aux organismes destinataires (URSSAF, AGIRC-ARRCO, France Travail, mutuelles).

Trois règles pratiques pour les RH que je rappelle systématiquement dans mes audits : (i) le NIR figure obligatoirement sur le bulletin de paie depuis le décret n° 2017-858 du 9 mai 2017 mais doit être traité comme une donnée à forte sensibilité au sens de l’Art. 32 RGPD ; (ii) le NIR ne doit pas servir d’identifiant interne du SIRH (matricule, login, identifiant de session) — ce point est central et fait l’objet de sanctions récurrentes ; (iii) le NIR ne peut pas être transmis à des sous-traitants RH (paie externalisée, gestion temps de travail) sans formalisation rigoureuse au sens de l’Art. 28, et sans documentation de la chaîne au registre Art. 30. Voir mes guides sur le RGPD ressources humaines et les données personnelles et droit du travail.

Bloc 3 — Santé et SNDS

L’usage du NIR à des fins de santé est autorisé pour la prise en charge des soins (carte Vitale), la facturation aux organismes payeurs, la coordination des soins (DMP, Mon Espace Santé). Pour la recherche en santé, l’article L. 1461-1 du Code de la santé publique encadre le SNDS (Système National des Données de Santé) qui repose sur un appariement par NIR pseudonymisé. La pseudonymisation procède par hachage SHA-256 avec sel secret tenu par un tiers de confiance — l’INDS (Institut National des Données de Santé), devenu Health Data Hub par décret n° 2019-1306 du 6 décembre 2019.

Le Conseil d’État a rappelé l’exigence de garanties effectives dans deux décisions structurantes : CE 19 juin 2020 La Quadrature du Net et autres (suspension partielle du Health Data Hub face au risque CLOUD Act, cf. mon article sur l’Art. 48 RGPD), et CE 18 octobre 2018 La Quadrature du Net sur la mise à disposition du SNDS. Pour le déploiement opérationnel, voir mon article sur la pseudonymisation et l’anonymisation RGPD — la distinction est ici constitutive du régime juridique.

Bloc 4 — Fiscalité et finances publiques

L’utilisation du NIR par la Direction Générale des Finances Publiques (DGFiP) est autorisée pour la déclaration et le recouvrement de l’impôt sur le revenu, la déclaration automatique des comptes bancaires (FICOBA), l’identification fiscale des contribuables. Depuis la loi du 23 décembre 2016 et le décret n° 2017-1063 du 18 mai 2017, le NIR remplace l’ancien identifiant fiscal SPI pour de nombreux usages internes à l’administration.

Pour les banques et établissements financiers, l’usage du NIR est strictement encadré : il n’est pas autorisé pour la KYC ordinaire (vérification d’identité, ouverture de compte), il l’est uniquement pour la déclaration FICOBA et pour les procédures spécifiques de saisie attribution ou d’exécution d’avis à tiers détenteur. La confusion est fréquente et donne lieu à des contentieux.

Bloc 5 — Statistique publique et études

Les services statistiques ministériels et l’INSEE peuvent utiliser le NIR dans le cadre de la statistique publique et de l’analyse des politiques publiques, conformément à la loi n° 51-711 du 7 juin 1951 et sous le secret statistique. Les enquêtes obligatoires de l’INSEE (Recensement, Enquête Emploi en continu) intègrent le NIR sous régime d’isolement. Les chercheurs en sciences sociales peuvent solliciter un accès au NIR via le Centre d’Accès Sécurisé aux Données (CASD), qui pseudonymise et délivre des accès contrôlés.

Les usages interdits — typologie des sanctions CNIL

À l’inverse, le décret 2019-341 interdit implicitement tout usage du NIR hors de sa liste. Quatre familles d’usages sont régulièrement sanctionnées par la CNIL.

Le NIR comme identifiant interne d’un système d’information

C’est la sanction la plus fréquente. Utiliser le NIR comme matricule salarié, identifiant SIRH, login d’une application interne, clé primaire d’une base relationnelle, est interdit en droit français même si l’usage est licite par ailleurs. La CNIL exige une dissociation entre l’identifiant fonctionnel (matricule alphanumérique) et le NIR, qui doit rester confiné aux flux DSN. Ce point est rappelé dans la délibération CNIL n° 2019-001 du 10 janvier 2019 sur le télétravail et dans plusieurs mises en demeure publiques.

Le NIR exposé dans des champs CRM ou des bases marketing

La CNIL sanctionne régulièrement la présence du NIR dans des bases marketing, CRM, fichiers prospects, fichiers de fidélité. Le NIR n’a jamais de finalité commerciale et son apparition dans une base de prospection traduit soit une fuite depuis un fichier RH, soit une collecte abusive lors d’un formulaire (« nous demandons votre numéro de sécurité sociale pour valider votre identité »). Voir mon article sur la conformité RGPD d’un CRM.

Le NIR collecté sans base légale par des organismes non habilités

Bailleurs immobiliers, écoles privées, clubs de sport, agences de voyage, opérateurs touristiques, professionnels de la beauté : la liste des organismes qui demandent indûment un numéro de sécurité sociale est longue. Le décret 2019-341 ne les y autorise pas. La CNIL a publié plusieurs communiqués rappelant qu’aucun bailleur ne peut exiger la copie du numéro de sécurité sociale ou de la carte Vitale pour conclure un bail.

Le NIR transmis à un sous-traitant hors cadre Art. 28

Lorsqu’un employeur externalise sa paie, le prestataire devient sous-traitant au sens de l’Art. 28. La transmission du NIR doit être documentée par un contrat de sous-traitance, listée au registre Art. 30, sécurisée par chiffrement en transit et au repos. Toute fuite côté sous-traitant peut être imputée au responsable de traitement au titre de l’Art. 24 RGPD et donner lieu à notification CNIL au titre de l’Art. 33 RGPD.

Décisions structurantes

Plusieurs sanctions CNIL récentes illustrent ce contentieux. CNIL délibération SAN-2022-009 Discord du 10 novembre 2022, 800 000 € : sanctionne les paramètres par défaut conduisant à exposer des données d’identifiants, transposable à l’usage indu d’identifiants nationaux. CNIL SAN-2024-008 SAF Logistics du 18 avril 2024, 240 000 € : sanction prononcée pour des manquements multiples dans la gestion RH, y compris sur la sécurité des identifiants. CNIL SAN-2022-022 Free Mobile du 30 novembre 2022, 300 000 € : sanction sur l’industrialisation insuffisante des droits, transposable à l’opacité sur les identifiants utilisés. CNIL SAN-2024-001 Hubside.Store du 4 avril 2024, 525 000 € : défaut de cartographie des sous-traitants, applicable à la chaîne de transmission du NIR via DSN.

Articulation avec les autres articles du RGPD

L’Art. 87 ne fonctionne pas seul. Sa mise en œuvre opérationnelle mobilise toute une grille d’articles à coordonner.

Articulation avec l’Art. 5 RGPD : le principe de minimisation Art. 5(1)© impose de ne collecter le NIR que lorsque la finalité l’exige ; le principe de limitation des finalités Art. 5(1)(b) interdit toute réutilisation hors de la liste 2019-341. Articulation avec l’Art. 9 RGPD : le NIR peut révéler le lieu de naissance et donc, par déduction, des origines présumées — d’où la prohibition stricte des fichiers ethniques. Articulation avec l’Art. 25 RGPD privacy by design : choisir dès la conception un identifiant fonctionnel distinct du NIR pour tout système non lié à la sphère DSN/santé/fiscalité. Articulation avec l’Art. 32 RGPD sécurité : chiffrement obligatoire en transit (TLS 1.3) et au repos (AES-256), accès journalisé conservé six ans, segmentation réseau. Articulation avec l’Art. 35 RGPD AIPD : tout traitement à grande échelle impliquant le NIR figure sur la liste CNIL des traitements obligatoirement soumis à AIPD (délibération n° 2018-327 du 11 octobre 2018). Articulation avec l’Art. 33 RGPD et l’Art. 34 RGPD : une fuite incluant le NIR est par construction à risque élevé et déclenche les obligations de notification CNIL et de communication aux personnes.

Sanctions et contentieux

Le régime de sanctions est dual. Sur le plan administratif, le manquement aux dispositions nationales prises en application de l’Art. 87 relève de l’Art. 83(5)(d) RGPD — plafond haut de 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Sur le plan pénal, l’article 226-19 du Code pénal sanctionne la collecte de données sensibles sans base juridique de 5 ans d’emprisonnement et 300 000 € d’amende (1,5 M€ pour les personnes morales) lorsque l’usage du NIR a contourné l’interdiction d’un fichier ethnique ou de toute autre catégorie sensible, cf. mon article sur l’Art. 84 RGPD.

S’ajoute la responsabilité civile au titre de l’Art. 82 RGPD, particulièrement exposée depuis la loi n° 2024-364 du 22 avril 2024 qui a refondu l’action de groupe en matière de protection des données, cf. mon article sur l’Art. 80 RGPD. Une fuite de NIR concernant 100 000 salariés peut désormais déclencher une action collective devant le tribunal judiciaire de Paris.

Plan opérationnel : six chantiers pour 2026

À partir des audits que je conduis dans des établissements de santé, des collectivités, des PME et des grands groupes, voici la matrice opérationnelle que je recommande.

Chantier 1 — Cartographie des flux NIR. Identifier tous les traitements qui collectent, hébergent, transmettent ou consultent le NIR : paie, DSN, prévoyance/mutuelle, médecine du travail, santé occupationnelle, fiscalité interne, mais aussi zones grises (notes libres, exports Excel, fichiers RH locaux). Inscrire chaque flux au registre Art. 30 avec mention expresse de la base réglementaire (article du décret 2019-341 applicable).

Chantier 2 — Dissociation identifiant fonctionnel / NIR. Vérifier qu’aucun SIRH, applicatif RH, outil de paie cloud, application interne ne fait du NIR un identifiant primaire ou un login. Migrer vers un matricule alphanumérique distinct. Cette migration est l’un des chantiers les plus structurants — et l’un des plus régulièrement sous-estimés. C’est exactement le type de travail de mise en conformité que Legiscope automatise.

Chantier 3 — Sécurité renforcée Art. 32. Chiffrement obligatoire en transit (TLS 1.3) et au repos (AES-256) pour toute base contenant des NIR. Journalisation des consultations conservée six ans. Mécanisme d’alerte pour téléchargements de masse ou exports non sollicités. Test d’intrusion annuel ciblé sur les flux RH/paie/DSN.

Chantier 4 — Contractualisation sous-traitance Art. 28. Réviser les contrats avec les prestataires de paie, SIRH cloud, médecine du travail, prévoyance, mutuelle : clause Art. 28 conforme au modèle CEPD, restriction des transferts hors UE Art. 44 à 49 (cf. mes articles sur l’Art. 44 RGPD et l’Art. 46 RGPD), localisation des données en UE ou pays adéquat avec mécanisme contractuel.

Chantier 5 — AIPD et consultation préalable. Tout nouveau traitement à grande échelle impliquant le NIR (changement de SIRH, déploiement d’un nouvel applicatif RH, mise en place d’un entrepôt analytique RH) déclenche une AIPD Art. 35. En cas de risque résiduel élevé, consultation préalable de la CNIL au sens de l’Art. 36 RGPD.

Chantier 6 — Information renforcée des personnes Art. 13-14. Les mentions d’information à destination des salariés, des patients, des bénéficiaires sociaux doivent expliquer clairement que le NIR est collecté, sur quel fondement légal, à quelles fins, vers quels destinataires. Voir mes guides sur l’Art. 14 RGPD et la politique de confidentialité. Documenter la formation des équipes RH et paie sur l’usage restreint du NIR (Art. 39 sur les missions du DPO).

Ce qu’il faut retenir

• L’Art. 87 RGPD renvoie au droit national pour encadrer le numéro d’identification universel ; en France, l’Art. 30 LIL et le décret n° 2019-341 du 19 avril 2019 posent une liste limitative de finalités.
• Le NIR encode structurellement le sexe, le mois et l’année de naissance, le département et la commune de naissance — c’est un identifiant à très forte densité d’information personnelle, et il peut révéler indirectement des données sensibles au sens de l’Art. 9.
• Les cinq blocs d’usage autorisés : sécurité sociale, paie/DSN, santé et SNDS, fiscalité, statistique publique. Tout autre usage est interdit, y compris l’usage du NIR comme identifiant interne d’un SIRH.
• La DSN rend la collecte du NIR par l’employeur obligatoire au titre de l’Art. 6(1)© RGPD, mais cette obligation ne s’étend pas à l’usage du NIR comme matricule.
• Les sanctions sont cumulatives : Art. 83(5)(d) administratif (20 M€ ou 4 % CA mondial), Art. 226-19 C. pénal lorsque l’usage du NIR contourne l’interdiction des fichiers sensibles, Art. 82 civil avec action de groupe loi du 22 avril 2024.
• La conformité repose sur six chantiers : cartographie, dissociation identifiant fonctionnel / NIR, sécurité renforcée, contractualisation Art. 28, AIPD systématique, information des personnes.

FAQ

Mon employeur peut-il utiliser mon numéro de sécurité sociale comme matricule ?

Non. L’utilisation du NIR comme identifiant interne d’un SIRH, comme matricule salarié ou comme login d’application est interdite en droit français. Le NIR est collecté par l’employeur au titre de l’obligation légale de transmission de la DSN aux organismes sociaux, et son usage doit rester confiné à cette finalité. La CNIL exige une dissociation systématique entre l’identifiant fonctionnel et le NIR. Le défaut de dissociation expose l’employeur à des sanctions Art. 83(5)(d) RGPD.

Un bailleur immobilier peut-il exiger mon NIR pour signer un bail ?

Non. La liste des organismes habilités par le décret n° 2019-341 du 19 avril 2019 ne comprend pas les bailleurs, qu’ils soient privés ou sociaux. La CNIL a rappelé à plusieurs reprises qu’aucun bailleur ne peut exiger la copie d’un numéro de sécurité sociale ou d’une carte Vitale pour la conclusion d’un bail. Voir mon guide sur le RGPD et l’immobilier. Le candidat locataire peut refuser et signaler la pratique à la CNIL.

Quelle différence entre NIR et NIR pseudonymisé du SNDS ?

Le SNDS (Système National des Données de Santé) repose sur un appariement par NIR pseudonymisé via hachage SHA-256 avec sel secret tenu par un tiers de confiance. Le NIR « clair » est transformé à l’entrée du système et n’est plus directement manipulable par les chercheurs. La pseudonymisation au sens de l’Art. 4(5) RGPD maintient la qualité de donnée personnelle, mais réduit considérablement les risques de réidentification. Voir mon article sur la pseudonymisation et l’anonymisation RGPD.

Une banque peut-elle me demander mon NIR pour ouvrir un compte ?

Non, sauf cas particuliers strictement définis. La KYC bancaire ordinaire (vérification d’identité au titre de la lutte contre le blanchiment) ne nécessite ni n’autorise la collecte du NIR. Le décret 2019-341 autorise les établissements financiers à utiliser le NIR uniquement pour la déclaration FICOBA, pour l’exécution d’avis à tiers détenteur ou de saisie attribution, et pour la fiscalité interne. Demander le NIR à l’ouverture d’un compte courant excède le cadre légal et expose l’établissement à une sanction CNIL.

Quelles sanctions encourt-on en cas d’usage indu du NIR ?

Le manquement aux dispositions nationales prises en application de l’Art. 87 RGPD relève de l’Art. 83(5)(d) RGPD — plafond haut de 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. S’ajoute la responsabilité pénale au titre de l’article 226-19 du Code pénal (5 ans d’emprisonnement et 300 000 € d’amende, portée à 1,5 M€ pour les personnes morales) lorsque l’usage du NIR a permis de constituer un fichier de données sensibles sans base juridique. S’ajoute enfin la responsabilité civile au titre de l’Art. 82 RGPD, désormais ouverte à l’action de groupe par la loi du 22 avril 2024.

---

Cet article fait partie de la série « RGPD article par article » qui décrypte chaque disposition du règlement en pratique. Pour recevoir nos analyses de conformité chaque semaine, abonnez-vous à notre newsletter.