1) Mot de passe – Utilisation du NIR – Comme moyen d'identification des personnes – Licéité – En tant que mot de passe sécurisé – Illicéité en principe - 2) Risque de divulgation des adresses postales à partir du NIR

1) La CNIL considère que le numéro d’identification des personnes au répertoire national d’identification des personnes physiques (NIR, ou « numéro de sécurité sociale ») peut constituer un moyen d’identification des personnes sur des systèmes informatiques mais ne devrait pas être utilisé comme un secret pour l'authentification. Le NIR était déjà considéré comme un secret faiblement robuste, du fait de son caractère en partie dicté par certaines caractéristiques de la personne (sexe, date de naissance, etc.) ; le contexte de violations massives de données comprenant ce numéro en 2024, associé au nom et au prénom des personnes concernées, ne fait que renforcer cette position. 2) En l’espèce, projet d’utilisation du NIR pour vérifier l’adresse postale dont dispose l’administration. Bien que le ministère ait précisé que l’usager devra également valider un test captcha afin de limiter l’accès à la plateforme par des systèmes automatisés d’aspiration de données en ligne, ce qui limite le risque d'atteinte massive aux données des électeurs, le système initialement étudié laisse courir un risque de divulgation des adresses postales à un tiers disposant du NIR d’une personne. Or la CNIL rappelle que l’adresse postale est un élément qui doit pouvoir rester confidentiel et protégé si la personne le souhaite (notamment si elle a fait opposition aux annuaires). Dans certains contextes (violences familiales en particulier), il est indispensable que cette confidentialité soit fortement assurée. La CNIL a donc recommandé la modification du projet.