La dématérialisation des bulletins de salaire correspond à un usage en forte croissance en raison, notamment, d’un cadre réglementaire favorable. Dans ce domaine, quels sont les impacts à craindre et les mesures à mettre en œuvre en matière de protection des données personnelles ? Selon la formule littéraire désormais consacrée « la réponse, elle est vite répondue » : le coffre-fort numérique, c’est oui ! Le numéro de sécurité sociale (NIR), c’est non ! Explications à suivre.
Depuis la Loi Travail du 8 août 2016 (dite Loi El Khomri ) et son décret d’application du 16 décembre 2016 relatif à la dématérialisation des bulletins de paie et à leur accessibilité dans le cadre du compte personnel d’activité, le bulletin de paie électronique peut devenir la norme et sa version imprimée l’exception. Contrairement à ce qui était prévu, depuis 2009, par le cadre réglementaire précédemment en vigueur, il n’est désormais plus nécessaire de demander l’accord préalable du salarié. Ce dernier conserve cependant la faculté de s’opposer à la dématérialisation et il peut donc demander la mise à disposition de bulletins de paie imprimés.
Cette évolution réglementaire a contribué à une large diffusion de l’e-Paie au moment même où entrait en vigueur le règlement général sur la protection des données (RGPD). Une bonne occasion de se pencher sur les risques de ce traitement pour la vie privée des salariés et sur les mesures à mettre en œuvre pour favoriser une mise en conformité avec la règlementation informatique et libertés.
Les informations sensibles d’un bulletin de paie
Le bulletin de salaire est un document sensible au regard de la confidentialité des données qui y figurent. Cela concerne évidemment la rémunération de la personne concernée, c’est-à-dire une information pour laquelle une certaine discrétion reste le plus souvent de mise. Le taux d’imposition au prélèvement à la source est également présent sur le document. D’autres informations sensibles peuvent être inscrites telles que celles relatives aux « absences non rémunérées » que certains pourraient interpréter – à tort ou à raison – comme des jours de grève. Enfin, même si cela n’est en rien obligatoire, le numéro de sécurité sociale (ou NIR) du salarié, donnée particulièrement critique au regard de la règlementation informatique et libertés, est assez souvent ajouté sur le bulletin de paie.
Le coffre-fort numérique comme une évidence
Le RGPD a eu une vertu pédagogique en sensibilisant les acteurs à la question de la confidentialité des données. Très rapidement, il est apparu évident que la pratique consistant à transmettre le bulletin de salaire comme pièce jointe d’un courrier électronique ne permettait pas de satisfaire aux exigences de sécurité prévue par le règlement européen. Le consensus s’est alors rapidement porté sur le nécessaire recours aux services de coffre-fort numérique dont le cadre réglementaire avait été par ailleurs fixé par la loi pour une République numérique du 7 octobre 2016 et ses décrets d’application de mai et octobre 2018.
Le coffre-fort numérique (CFN), qui demeure la « propriété » du salarié même quand il a quitté l’entreprise, bénéficie des mesures de sécurité prévues par le décret de mai 2018 et notamment du chiffrement des données et documents qui y sont stockés. Il garantit également l’intégrité c’est-à-dire la capacité à démontrer que le document numérique n’a pas été modifié.
Comme le résume Jean-Louis Mathieu, du conseil supérieur de l’ordre des experts-comptables, dans la Revue Française de comptabilité de mai 2021 : « le CFN est plus sécurisé qu’un simple espace numérique. C’est un cœur technique crypté qui intègre des fonctions de sécurité et d’échange avec son environnement. Il suppose un accès sécurisé, avec une authentification renforcée. »
Résister à la tentation du NIR
Avec des centaines de milliers, voire des millions d’utilisateurs, les opérateurs de services de coffre-fort numérique doivent s’assurer que les bulletins de salaire, par nature confidentiels, sont adressés à la bonne personne dans le bon coffre-fort numérique. Pour traiter ce risque de confidentialité, qui peut avoir pour origine des problèmes d’homonymie, il est essentiel de disposer d’un identifiant utilisateur unique et stable dans la durée. La tentation est alors grande de recourir au NIR, d’autant plus que celui-ci est souvent présent sur le bulletin de paie du salarié. Le numéro de Sécurité Sociale représente-t-il un moyen acceptable pour contrôler l’identité d’un utilisateur ?
La réponse se trouve en partie dans le décret no 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques ou nécessitant la consultation de ce répertoire. Ce texte liste de façon exhaustive les traitements pour lesquels l’usage du NIR est autorisé. La dématérialisation des bulletins de paie – au sens du décret du 16 décembre 2016 – ne fait pas partie des traitement cités.
Rien de surprenant en l’espèce car dans sa délibération du 14 mars 2019 portant avis sur le projet de décret, la CNIL avait précisé en ces termes sa doctrine par rapport au NIR : « (…) considérant que les spécificités du NIR, et notamment son caractère signifiant, justifient que le recours à cet identifiant reste strictement encadré par la loi du 6 janvier 1978 modifiée et limité aux finalités pour lesquelles son utilisation est permise. A cet égard, la Commission a toujours considéré que l’emploi du NIR comme identifiant des personnes dans les fichiers ne devait être ni systématique, ni généralisé. Elle a ainsi veillé à ce que les projets de textes autorisant le traitement du NIR soient cantonnés à la sphère médico-sociale et n’a accepté, qu’à titre exceptionnel que le NIR soit utilisé dans d’autres secteurs, et pour des motifs d’intérêt public caractérisé. »
Elle s’inscrivait dans la continuité de sa recommandation de septembre 2013 sur les coffres-forts numérique, commenté sur son site : « l’utilisation du numéro de sécurité sociale à proscrire – Il n’est pas possible d’identifier les coffres en utilisant le numéro de sécurité sociale des utilisateurs.».
C’est clair : le NIR, on oublie !
Arnaud Belleil
A lire aussi