UODO et RODO polonais : Pourquoi PESEL, NIP et REGON sont les identifiants que votre outil PII néglige

L'Urząd Ochrony Danych Osobowych (UODO) de Pologne — l'autorité de protection des données appliquant le RODO (le nom polonais du RGPD) — a identifié un écart technique systémique dans son enquête d'application de 2024 : 89 % des outils PII déployés dans les organisations polonaises échouent à détecter correctement le numéro PESEL. Pour un pays traitant 2,3 millions de dossiers clients de l'UE par jour à travers son secteur BPO, cet écart crée une exposition à la conformité qui s'étend à la juridiction de l'UODO et aux APD de chaque pays de l'UE dont les données des citoyens sont traitées par des organisations polonaises.

PESEL : La norme technique requise par l'UODO

Le PESEL (Powszechny Elektroniczny System Ewidencji Ludności) est un numéro d'enregistrement national de la population à 11 chiffres encodant :

• Chiffres 1-2 : Année de naissance (deux derniers chiffres)
• Chiffres 3-4 : Mois de naissance (modifié par siècle : 1800s = 80+mois, 1900s = mois tel quel, 2000s = 20+mois, 2100s = 40+mois, 2200s = 60+mois)
• Chiffres 5-6 : Jour de naissance
• Chiffres 7-10 : Numéro séquentiel (nombre impair pour les hommes, pair pour les femmes)
• Chiffre 11 : Chiffre de contrôle utilisant un algorithme : multiplier les chiffres par des poids (1,3,7,9,1,3,7,9,1,3), somme, modulo 10, si le résultat ≠ 0 soustraire de 10

L'encodage siècle-mois (80+mois pour les naissances des années 1800, 20+mois pour les naissances des années 2000) est unique au PESEL et cause des faux négatifs systématiques dans les outils qui ne reconnaissent que le format standard des années 1900.

Exigence technique de l'UODO : les outils doivent mettre en œuvre l'algorithme complet du chiffre de contrôle et gérer tous les cinq encodages siècle-mois. Les outils qui ne valident que le format d'année de naissance des années 1900 manquent les Polonais nés dans les années 2000 (qui utilisent des codes de mois 21-32 au lieu de 01-12) — la tranche d'âge de 25 ans la plus active dans les services numériques.

NIP et REGON : L'écart des documents commerciaux

NIP (Numer Identyfikacji Podatkowej) : numéro d'identification fiscale polonais à 10 chiffres avec chiffre de contrôle. Le chiffre de contrôle utilise un algorithme de somme pondérée : multiplier les 9 premiers chiffres par des poids (6,5,7,2,3,4,5,6,7), somme, modulo 11, vérifier contre le chiffre 10.

Le NIP apparaît dans pratiquement tous les documents commerciaux polonais — factures, contrats, déclarations fiscales, dossiers de paie. C'est à la fois un identifiant individuel (NIP osoby fizycznej) et un identifiant d'entreprise (NIP podmiotu).

REGON : numéro statistique d'entreprise à 9 chiffres ou 14 chiffres. Le REGON à 9 chiffres utilise un algorithme de chiffre de contrôle ; le REGON à 14 chiffres (identifiant des unités spécifiques de l'entreprise) utilise un algorithme différent. Les deux apparaissent dans les contrats commerciaux et la documentation des fournisseurs.

La combinaison de NIP et REGON dans les documents commerciaux, aux côtés d'identifiants personnels comme le PESEL dans les dossiers RH, signifie que la détection complète des PII polonaises nécessite un support pour les trois types d'identifiants simultanément.

Le secteur BPO de Pologne : L'exposition à la conformité multipliée

Le secteur de l'externalisation des processus commerciaux de Pologne traite des données personnelles pour le compte d'entreprises d'Europe de l'Ouest :

• Dossiers financiers des clients de banques allemandes traités par des centres de traitement polonais
• Réclamations des assurés français traitées dans des centres de services partagés polonais
• Données administratives de santé du Royaume-Uni traitées par des équipes de back-office de santé numérique polonaises

Lorsqu'une organisation BPO polonaise échoue à détecter le PESEL dans un fichier de dossiers d'employés polonais — ou échoue à détecter les Steuer-IDs allemands dans des dossiers clients allemands traités aux côtés de données polonaises — la violation crée une exposition simultanée à :

1. UODO (APD polonaise) : Pour des mesures techniques inadéquates affectant les données des ressortissants polonais
2. BfDI/Landesdatenschutzbehörden : Pour des mesures techniques inadéquates affectant les données des ressortissants allemands
3. CNIL : Pour les données des ressortissants français
4. ICO : Pour les données des ressortissants britanniques

La conformité RODO multi-juridictionnelle nécessite des outils PII qui couvrent tous les identifiants nationaux présents dans l'environnement de traitement — pas seulement les identifiants polonais pour les organisations BPO polonaises, mais l'ensemble du paysage des identifiants de l'UE pour les organisations traitant les données des citoyens de l'UE en Pologne.

Sources :

• UODO : Urząd Ochrony Danych Osobowych
• UODO : Guide technique sur le PESEL 2024