La Cnil s’est prononcée sur un projet d’arrêté relatif à la cession de données issues du répertoire national d’identification des personnes physiques (RNIPP) par délibération en date du 18 décembre 2008. La loi 2007-1775 du 17 décembre 2007 consent en effet un droit d’accès aux organismes professionnels habilités à proposer des contrats d’assurance sur la vie, sous réserve que les données consultées se rapportent exclusivement au décès de personnes inscrites audit répertoire. Il est, par ailleurs, fait obligation à l’INSEE d’en favoriser l’accès.
La commission constate que la modification du traitement RNIPP soumise à son examen vise à permettre à l’INSEE de produire, au bénéfice d’une nouvelle catégorie de destinataires et pour une nouvelle finalité, des fichiers obtenus à partir d’une consultation du répertoire, sans que le numéro d’inscription n’intervienne à aucun moment dans les traitements automatisés concernés. Ceux-ci relèvent dès lors de l’article 27 de la loi Informatique et libertés qui prévoit la consultation de la Commission préalablement à leur autorisation par publication d’un arrêté. Elle rappelle, en outre, que la loi du 17 décembre 2007 précise que la transmission des données du RNIPP n’est autorisée qu’à seule fin de rechercher les assurés et les bénéficiaires des contrats d’assurance sur la vie qui sont décédés.
La Commission prend acte de ce que les fichiers ont pour seul destinataire l’Association pour la gestion des informations sur le risque en assurance (AGIRA), que la transmission des données s’effectuera sous forme chiffrée sur des supports de disque numérique, que le mot de passe permettant le déchiffrement sera communiqué à un correspondant désigné par courrier recommandé et que le DVD-ROM contenant les données ne sera envoyé qu’au vu de l’accusé réception du mot de passe. En conséquence, elle considère que les données mentionnées sont adéquates, pertinentes et non excessives au regard de la finalité de recherche des assurés et bénéficiaires décédés.