Skip to Content
RGPDPartie 5 — Données sensibles & mineurs5.4 — Données pénales & NIR

Chapitre 5.4 — Données pénales & NIR

⏱️ TL;DR — Deux données à part, souvent oubliées dans les listes de « sensibles ». Les données pénales — condamnations, infractions, mesures de sûreté — relèvent de l’article 10 : ce ne sont pas des données de l’article 9, mais leur traitement est strictement encadré, réservé pour l’essentiel aux autorités publiques ou aux cas expressément prévus par la loi. Une EdTech n’a, en principe, rien à faire de ces données. Le NIR (numéro d’inscription au répertoire, alias numéro de sécurité sociale) n’est pas une donnée sensible au sens de l’article 9, mais la France en fait une donnée très encadrée : son usage est limité à des finalités précises. Le réflexe à graver : on ne demande jamais le NIR « par confort » pour identifier un utilisateur — un identifiant interne suffit.

🎯 Objectifs

  • Situer les données pénales dans le régime strict de l’article 10.
  • Comprendre pourquoi une EdTech ne doit, en principe, pas les traiter.
  • Savoir ce qu’est le NIR et pourquoi son usage est très restreint en France.
  • Appliquer le réflexe : ne pas collecter le NIR comme identifiant « pratique ».

Les données pénales : article 10, régime strict

L’article 10 traite un cas particulier : les données relatives aux condamnations pénales, aux infractions et aux mesures de sûreté qui s’y rapportent. Attention à ne pas les confondre avec l’article 9 : ce ne sont pas des « catégories particulières » au sens de l’article 9, mais elles bénéficient d’une protection spécifique parce que leur détournement peut gravement nuire (exclusion, stigmatisation, atteinte à la présomption d’innocence).

Le principe : le traitement de ces données ne peut avoir lieu que sous le contrôle de l’autorité publique, ou lorsqu’il est autorisé par le droit de l’Union ou d’un État membre, avec des garanties appropriées. Autrement dit, ce n’est pas une donnée qu’un acteur privé collecte librement « au cas où ». Un registre exhaustif des condamnations, en particulier, ne peut être tenu que sous contrôle public.

Ce que vise l’article 10Exemples
Condamnations pénalesUne peine prononcée par un tribunal.
InfractionsDes faits reprochés, une mise en cause.
Mesures de sûreté associéesUne interdiction, un contrôle judiciaire.

⚠️ Piège — Demander à un stagiaire ou à un candidat un extrait de casier judiciaire « pour vérifier », sans obligation légale claire. Le traitement de données pénales par un organisme privé n’est possible que lorsqu’un texte l’autorise (certaines professions réglementées, obligations spécifiques). Hors de ces cas, on ne collecte pas le casier, et on ne conserve pas ce type d’information dans ses bases. La règle n’est pas « c’est prudent de vérifier », c’est « est-ce que la loi m’y autorise ? » — et le plus souvent, non.

Le NIR : une donnée française très verrouillée

Le NIR — numéro d’inscription au répertoire national d’identification des personnes physiques — est ce qu’on appelle couramment le numéro de sécurité sociale. Ce n’est pas une donnée sensible au sens de l’article 9 (il ne révèle pas la santé, l’origine ou la religion). Mais il occupe une place à part dans le droit français : parce qu’il est unique, signifiant (il encode notamment le sexe et la date de naissance) et partagé entre de nombreux organismes, il constitue un identifiant national pivot dont l’usage généralisé permettrait des recoupements massifs entre fichiers.

C’est pourquoi la France en restreint fortement l’usage : le NIR ne peut être traité que pour des finalités précises, essentiellement liées à la protection sociale, à la santé, à certains usages fiscaux et sociaux encadrés — et son emploi est soumis à un cadre réglementaire spécifique contrôlé par la CNIL. Il n’est pas un identifiant de confort qu’on utilise pour retrouver un client dans une base.

// ❌ Anti-pattern : le NIR comme clé "pratique" d'identification d'un apprenant. type Apprenant = { nir: string // numéro de sécurité sociale utilisé comme identifiant → NON nom: string } // ✅ Un identifiant interne, neutre, non signifiant, suffit à identifier l'apprenant. type Apprenant = { id: string // uuid technique, sans signification, sous ton contrôle nom: string }

Le contraste est net. Un uuid interne remplit parfaitement la fonction d’identifier une personne dans ta base : il est neutre, non signifiant, et il n’ouvre aucun pont vers d’autres fichiers. Le NIR, lui, n’apporte aucun bénéfice pour cette finalité — seulement un risque (recoupement, sur-collecte, non-conformité). La seule raison légitime de traiter un NIR est une finalité sociale, de santé ou fiscale expressément prévue : la paie d’un formateur salarié, une déclaration sociale obligatoire. Jamais « pour être sûr de l’identité ».

💡 Réflexe — Quand un formulaire réclame un NIR, pose la question frontale : « Ai-je une finalité sociale, de santé ou fiscale qui l’exige, ou est-ce juste pour identifier la personne ? » Si c’est pour identifier, retire le champ et utilise un identifiant interne. La minimisation (chapitre 1.4) est ici une protection contre soi-même : un NIR qu’on ne collecte pas est un risque qu’on n’a pas à gérer.

🧭 Sur FormaCampus — Deux situations à ne pas mélanger. Pour identifier un apprenant (élève ou stagiaire) dans la plateforme, FormaCampus utilise un identifiant interne : jamais le NIR. Le NIR n’apparaît que dans un périmètre isolé et pour une finalité imposée par la loi — par exemple la paie d’un formateur salarié ou une déclaration sociale liée à un financement de formation. Là encore, ces données vivent dans un module RH cloisonné, avec un accès restreint, et non dans la table des comptes utilisateurs. Côté données pénales, la réponse est simple : la plateforme n’en traite pas, faute de base légale — pas de casier judiciaire des apprenants « au cas où ».

🔒 Côté personne concernée — Un apprenant à qui l’on réclame son numéro de sécurité sociale « pour créer son compte » est en droit de s’étonner : ce numéro n’a rien à faire là. Il redoute, à juste titre, que ce numéro pivot serve à le recouper entre des fichiers qui ne devraient pas communiquer. Ne pas le demander, c’est le respecter ; et le demander sans finalité légale, c’est déjà un manquement qu’il peut signaler à la CNIL.

📚 Le texte — Les données relatives aux condamnations pénales et aux infractions sont régies par l’article 10 du RGPD (distinct de l’article 9), avec un traitement réservé au contrôle de l’autorité publique ou aux cas prévus par le droit. Le NIR relève, en France, d’un encadrement propre au titre de la loi Informatique et Libertés, sous le contrôle de la CNIL : son usage est cantonné à des finalités déterminées (protection sociale, santé, obligations fiscales et sociales). Reste qualitatif sur les références précises : renvoie à la CNIL plutôt que d’inventer un numéro de décret.

✏️ Exercices

Exercice 1 — A-t-on le droit ? Un organisme de formation privé veut demander à chaque stagiaire un extrait de casier judiciaire « pour la sécurité ». Est-ce conforme ?

✅ Solution

Non, en principe. Les données pénales relèvent de l’article 10 : un acteur privé ne peut les traiter que si un texte l’y autorise (certaines professions réglementées, obligations spécifiques). « Pour la sécurité » n’est pas une base suffisante. Sauf obligation légale précise applicable à la formation concernée, l’organisme ne doit ni demander ni conserver le casier. Le bon réflexe est de vérifier l’existence d’une autorisation légale ; à défaut, on ne collecte pas.

Exercice 2 — Faut-il le NIR ? Le dev d’une plateforme veut utiliser le numéro de sécurité sociale comme identifiant unique des apprenants, « parce qu’il est unique et jamais en double ». Bon ou mauvais choix ?

✅ Solution

Mauvais choix. Le NIR est un identifiant national pivot dont l’usage est très restreint en France, réservé à des finalités sociales, de santé ou fiscales. L’utiliser comme clé d’identification interne est une sur-collecte non conforme et un risque de recoupement. La bonne solution est un identifiant interne (uuid), neutre et non signifiant, qui remplit exactement la même fonction sans aucun des risques. On ne collecte le NIR que si une obligation sociale/fiscale l’exige (ex. paie), dans un périmètre isolé.

Exercice 3 — Range les données. Classe chaque élément : « donnée de l’article 9 », « donnée pénale (art. 10) », « NIR (encadrement français) » ou « donnée ordinaire ». (a) une allergie, (b) un numéro de sécurité sociale, (c) une condamnation, (d) une adresse e-mail.

✅ Solution

(a) Article 9 — donnée de santé. (b) NIR — pas une donnée de l’article 9, mais un identifiant à l’usage très encadré en France. (c) Article 10 — donnée pénale, régime strict réservé au contrôle public ou aux cas prévus par la loi. (d) Donnée ordinaire — personnelle, mais ni sensible (art. 9), ni pénale (art. 10), ni NIR. Bien distinguer ces régimes évite de sur-protéger l’e-mail et de sous-protéger l’allergie ou le casier.

🧠 Quiz de révision

1. Les données pénales relèvent-elles de l’article 9 ?

Non. Elles relèvent de l’article 10 (condamnations, infractions, mesures de sûreté), un régime distinct de l’article 9. Leur traitement est réservé au contrôle de l’autorité publique ou aux cas expressément autorisés par le droit, avec des garanties appropriées.

2. Une EdTech privée peut-elle collecter le casier judiciaire de ses stagiaires ?

En principe non. Sauf texte l’autorisant expressément (professions réglementées, obligations spécifiques), un acteur privé ne traite pas de données pénales. « Pour la sécurité » ou « par prudence » ne sont pas des fondements valables : la question est « la loi m’y autorise-t-elle ? ».

3. Le NIR est-il une donnée sensible au sens de l’article 9 ?

Non. Le NIR (numéro de sécurité sociale) ne révèle pas la santé, l’origine ou la religion : ce n’est pas une catégorie particulière de l’article 9. Mais c’est un identifiant pivot dont l’usage est très encadré en France, sous le contrôle de la CNIL.

4. Peut-on utiliser le NIR comme identifiant interne des utilisateurs ?

Non. Son usage est limité à des finalités sociales, de santé ou fiscales précises. Pour identifier une personne dans sa base, un identifiant interne neutre (uuid) suffit et évite tout risque de recoupement. On ne demande jamais le NIR « par confort ».

5. Quand le traitement d’un NIR est-il légitime ?

Seulement pour une finalité expressément prévue : protection sociale, santé, certaines obligations fiscales et sociales — par exemple la paie d’un salarié ou une déclaration sociale obligatoire. En dehors de ces cas encadrés, on ne le collecte pas, et on le confine dans un périmètre isolé quand on doit le traiter.


Chapitre suivant : Les mineurs — le sujet EdTech par excellence : l’article 8, le seuil des 15 ans en France, le consentement des parents et l’information dans un langage adapté à l’enfant.

Last updated on