Le Premier ministre,
Sur le rapport du ministre de l'économie et des finances,
Vu la loi n° 51-711 du 7 juin 1951 modifiée sur l'obligation, la coordination et le secret en matière de statistiques, notamment son article 1er ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 22 et 25 ;
Vu le décret n° 82-103 du 22 janvier 1982 modifié relatif au répertoire des personnes physiques ;
Vu la délibération n° 2016-372 du 1er décembre 2016 portant avis de la Commission nationale de l'informatique et des libertés ;
Le Conseil d'Etat (section des finances) entendu,
Décrète :
L'opération cryptographique mentionnée à l'article 22 de la loi du 6 janvier 1978 susvisée et consistant à transformer, à l'aide d'une clé secrète, le numéro d'inscription au répertoire national d'identification des personnes physiques mentionné à l'article 4 du décret du 22 janvier 1982 susvisé (RNIPP) en un code statistique non signifiant (CstatNS) est mise en œuvre par un service de l'Institut national de la statistique et des études économiques (INSEE).
Une décision du directeur général de l'INSEE nomme, parmi les agents de l'INSEE, les membres de ce service chargés des opérations cryptographiques et les détenteurs des clés extérieurs à ce service.VersionsLiens relatifs
Pour la mise en œuvre de l'opération cryptographique mentionnée à l'article 1er le responsable du traitement à finalité statistique, appartenant au service statistique public mentionné à l'article 1er de la loi du 7 juin 1951 susvisé, transmet au service de l'INSEE mentionné à l'article 1er soit le numéro d'inscription au RNIPP, soit d'autres éléments d'identification issus de l'état civil permettant de déterminer le numéro d'inscription au RNIPP ainsi qu'un numéro provisoire d'indexation non signifiant. Cette transmission peut aussi être effectuée par un tiers détenteur de ces données pour le compte de ce responsable de traitement.
Dans le cas où ce sont des éléments d'identification permettant d'accéder au numéro d'inscription au RNIPP qui ont été fournis au service de l'INSEE mentionné à l'article 1er, ce dernier est autorisé, pour le compte du responsable du traitement à finalité statistique, à consulter le RNIPP.
Le code statistique non signifiant et le numéro provisoire d'indexation non signifiant ainsi que, le cas échéant, un indicateur de la qualité du résultat de la consultation du RNIPP, sont seuls communiqués au responsable de traitement à finalité statistique à la suite de l'opération cryptographique.
Les transmissions mentionnées au présent article sont effectuées de manière sécurisée.VersionsLiens relatifs
Un arrêté du ministre chargé de l'économie décrit les modalités selon lesquelles les clés mentionnées à l'article 1er sont générées, conservées et le cas échéant détruites.Versions
L'opération cryptographique mentionnée à l'article 1er est mise en œuvre selon des modalités garantissant sa traçabilité et la sécurité des informations traitées. Un arrêté du ministre chargé de l'économie précise ces modalités, notamment en ce qui concerne la destruction des fichiers et la manière dont il est rendu compte du déroulement de la procédure.Versions
Le renouvellement de l'opération cryptographique mentionnée à l'article 22 de la loi du 6 janvier 1978 susvisée consiste en l'application au code statistique non signifiant d'une opération de même type que celle mentionnée à l'article 1er, mais utilisant une clé différente. Elle a lieu tous les dix ans au moins.
Cette opération supplémentaire est appliquée sans délai lorsque l'INSEE reçoit des informations faisant apparaître des doutes sérieux sur la sécurité des opérations.
Les responsables de traitement à finalité statistique demandant le résultat de cette opération complémentaire transmettent au service de l'INSEE mentionné à l'article 1er le code statistique non signifiant et un numéro provisoire d'indexation non signifiant. Ce dernier service renvoie au responsable de traitement à finalité statistique le résultat de cette opération supplémentaire avec le numéro provisoire d'indexation non signifiant.VersionsLiens relatifsLe fichier transmis par l'INSEE, mentionné au troisième alinéa de l'article 2 et comprenant le code statistique non signifiant, le numéro provisoire d'indexation non signifiant et, le cas échéant, la qualité du résultat de la consultation du RNIPP, est détruit par l'INSEE dès sa validation par son destinataire.
Après cette validation, le responsable de traitement à finalité statistique détruit le numéro d'inscription au RNIPP dès lors qu'il était présent dans les données traitées.
Les destructions mentionnées par le présent article sont mises en œuvre de manière sécurisée.
Les dispositions des alinéas précédents sont applicables aux fichiers mentionnés à l'article 5.Versions
L'opération cryptographique prévue à l'article 22 de la loi du 6 janvier 1978 susvisée et consistant à transformer, à l'aide d'une clé secrète, le numéro d'inscription au répertoire national d'identification des personnes physiques (RNIPP) en un code spécifique non signifiant est mise en œuvre par un organisme différent de celui du responsable de traitement à des fins de recherche scientifique ou historique et présentant les garanties de sécurité nécessaires pour gérer les données d'identités.
Pour la mise en œuvre de l'opération cryptographique mentionnée au premier alinéa, le responsable du traitement à des fins de recherche scientifique ou historique transmet à l'organisme mentionné au premier alinéa soit le numéro d'inscription au RNIPP, soit d'autres éléments d'identification issus de l'état civil permettant d'accéder à ce numéro ainsi qu'un numéro provisoire d'indexation non signifiant. Cette transmission peut aussi être effectuée par un tiers détenteur de ces données pour le compte de ce responsable de traitement.
Dans le cas où ce sont des éléments d'identification issus de l'état civil permettant d'accéder au numéro d'inscription au RNIPP qui ont été fournis, l'organisme mentionné au second alinéa est autorisé, pour le compte du responsable du traitement à finalité de recherche scientifique ou historique, à consulter le RNIPP.VersionsLiens relatifs
Le code spécifique non signifiant résultant de l'opération cryptographique mentionnée à l'article 7 n'est transmis par l'organisme mentionné au premier alinéa de l'article 7 qu'à un organisme tiers en charge de l'appariement, différent du responsable du traitement à finalité de recherche scientifique ou historique avec le numéro provisoire d'indexation non signifiant mentionné dans ce même article. Un indicateur de la qualité du résultat de la consultation du RNIPP est aussi transmis dès lors que l'opération a donné lieu à une consultation du RNIPP telle que mentionnée au troisième alinéa de l'article 7.
Le résultat des appariements, sans les informations d'identité des personnes, ni le numéro d'inscription au RNIPP, ni le code spécifique non signifiant, est mis par ce second tiers à disposition du responsable de traitement à des fins de recherche scientifique ou historique dans des conditions assurant la sécurité et la traçabilité des accès et des données.
Ce résultat pourra ultérieurement être mis à disposition d'autres personnes responsables d'un traitement à des fins de recherche scientifique ou historique après qu'elles auront accompli les formalités et obtenu les autorisations nécessaires pour accéder aux données et pour les traiter.Versions
Chaque opération cryptographique est faite au moyen d'une clé spécifique, différente de celle des autres projets de recherche. L'organisme mentionné à l'article 7 conserve la clé permettant de réaliser l'opération cryptographique aussi longtemps que cela est nécessaire au traitement. La clé est détruite de manière sécurisée immédiatement à l'expiration de ce délai.
Dans le cas de traitements nécessitant une durée de conservation supérieure à dix ans, le renouvellement de l'opération cryptographique mentionnée à l'article 22 de la loi du 6 janvier 1978 susvisée consiste en l'application au code spécifique non signifiant d'une opération de même type que celle mentionnée à l'article 7, mais utilisant une clé différente.
Cette opération supplémentaire est appliquée sans délai lorsque l'INSEE reçoit des informations faisant apparaître des doutes sérieux sur la sécurité des opérations.
Les responsables de traitement à finalité de recherche scientifique ou historique demandant le résultat de cette opération complémentaire demandent au tiers en charge de l'appariement de transmettre au tiers mentionné à l'article 7 le code statistique non signifiant et un numéro provisoire d'indexation non signifiant.VersionsLiens relatifs
Le ministre de l'économie et des finances est chargé de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.Versions
Fait le 28 décembre 2016.
Bernard Cazeneuve
Par le Premier ministre :
Le ministre de l'économie et des finances,
Michel Sapin