Le décret « cadre NIR » sur les traitements de données personnelles utilisant le NIR : un guide pour les responsables de traitement

Le décret « cadre NIR » sur les traitements de données personnelles utilisant le numéro d’inscription des personnes dans le secteur social (NIR) est entré en vigueur le 14 mai 2020. Il vise à rendre possible le traitement de ce type de données, mais ne garantit pas la mise en œuvre de ces traitements de manière générale.

Pour utiliser le NIR dans un traitement de données personnelles, il est nécessaire de vérifier que l’utilisation souhaitée est prévue dans le décret « cadre NIR » et que vous êtes une personne autorisée. Les utilisations autorisées sont recensées dans ce décret et il est possible que certaines utilisations ne figurent pas dans le décret mais soient justifiées par un autre décret en Conseil d’État ou un texte législatif.

Le décret « cadre NIR » s’applique également aux traitements qui requièrent une simple consultation du répertoire national d’identification des personnes physiques (RNIPP) et concerne non seulement les traitements de données dans le secteur de la protection sociale, mais aussi ceux entrant dans le champ de la santé, des ressources humaines, du logement, etc.

En plus de figurer dans le décret « cadre NIR » pour ce qui concerne la collecte et le traitement du NIR, l’organisme responsable doit s’assurer que son traitement respecte l’ensemble des principes et obligations du RGPD et de la loi Informatique et Libertés. Si le traitement concerne des données de santé et est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, l’organisme doit également mener une analyse d’impact sur la protection des données (AIPD).

Un responsable de traitement peut recourir à un prestataire extérieur pour la collecte et le traitement du NIR pour son compte, à condition d’établir un contrat ou un acte juridique précisant les obligations de chaque partie en matière de protection de la sécurité et de la confidentialité des données.