Legifrance - Le service public de l'accès au droit

Un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, détermine les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu'ils portent sur des données comportant le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques. La mise en œuvre des traitements intervient sans préjudice des obligations qui incombent aux responsables de traitement ou à leurs sous-traitants en application de la section 3 du chapitre IV du règlement (UE) 2016/679 du 27 avril 2016.

N'entrent pas dans le champ d'application du premier alinéa du présent article ceux des traitements portant sur des données à caractère personnel parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ou qui requièrent une consultation de ce répertoire :

1° Qui ont exclusivement des finalités de statistique publique, sont mis en œuvre par le service statistique public et ne comportent aucune des données mentionnées au I de l'article 6 ou à l'article 46 ;

2° Qui ont exclusivement des finalités de recherche scientifique ou historique ;

3° Qui ont pour objet de mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique définis à l'article 1er de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives au sens de ce même article 1er, et entre ces mêmes autorités administratives.

La dérogation prévue pour les traitements dont les finalités sont mentionnées aux 1° et 2° du présent article, n'est applicable que si le numéro d'inscription au répertoire national d'identification des personnes physiques fait préalablement l'objet d'une opération cryptographique lui substituant un code statistique non signifiant. Cette opération est renouvelée à une fréquence définie par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés. Les traitements ayant comme finalité exclusive de réaliser cette opération cryptographique ne sont pas soumis au premier alinéa.

Pour les traitements dont les finalités sont mentionnées au 1°, l'utilisation du code statistique non signifiant n'est autorisée qu'au sein du service statistique public.

Pour les traitements dont les finalités sont mentionnées au 2°, l'opération cryptographique et, le cas échéant, l'interconnexion de deux fichiers par l'utilisation du code spécifique non signifiant qui en est issu ne peuvent être assurées par la même personne ni par le responsable de traitement.

Par dérogation au premier alinéa, les traitements de données à caractère personnel dans le domaine de la santé sont régis par la section 3 du chapitre III du titre II, à l'exception :

1° Des traitements mentionnés à l'article 67 ;

2° Des traitements comportant le numéro d'inscription au répertoire national d'identification des personnes physiques utilisé comme identifiant de santé des personnes en application de l'article L. 1111-8-1 du code de la santé publique, en dehors de ceux de ces traitements mis en œuvre à des fins de recherche ou servant à constituer des bases de données à des fins ultérieures de recherche, d'étude ou d'évaluation dans le domaine de la santé.