Un lundi matin, votre DSN du mois d'avril est transmise comme chaque mois à net-entreprises.fr. Quelques heures plus tard, un retour CRM identité, code 121, tombe dans votre tableau de bord : « Le salarié est inconnu du SNGI, aucune correspondance n'a pu être retrouvée. » Le salarié concerné vient d'être embauché en CDI sur un chantier. Ses pièces d'identité ont été présentées et photocopiées. La DPAE est partie. Le contrat est signé. Et pourtant, le Système national de gestion des identifiants — le répertoire de l'INSEE qui sert de référence à la sécurité sociale — ne reconnaît pas son numéro. Que faire ?

Cette situation, loin d'être anecdotique, est devenue le quotidien de nombreuses équipes paie dans les secteurs dits « en tension » : bâtiment, hôtellerie-restauration, propreté, sécurité privée, intérim. Elle expose l'employeur à un dilemme juridique redoutable. D'un côté, s'il ne réagit pas à temps, il risque une qualification de travail dissimulé par dissimulation de salarié (article L.8221-5 du Code du travail) — avec les sanctions pénales associées et, en tant que donneur d'ordre, une solidarité financière envers l'URSSAF. De l'autre, s'il exige des documents supplémentaires ou engage des vérifications disproportionnées, il franchit la ligne du RGPD et du principe de non-discrimination. Ce fil rouge — le retour SNGI « salarié inconnu » — est la porte d'entrée idéale pour comprendre une tension juridique que le droit social français n'a jamais véritablement tranchée.

1. Le contexte : un secteur en tension, une double pression légale

Les secteurs « en tension » ne sont pas définis par un texte unique, mais l'expression désigne communément les branches professionnelles où la demande de main-d'œuvre excède structurellement l'offre et où la rotation du personnel est élevée. Ces secteurs concentrent mécaniquement les situations d'embauche rapide, souvent sans période probatoire, et sont statistiquement surreprésentés dans les contrôles URSSAF pour travail dissimulé. Le ministère du Travail relève que les travailleurs étrangers et les salariés non déclarés sont largement surreprésentés en BTP et en agriculture, ainsi que dans les filières de sous-traitance en cascade.

Dans ce contexte, l'employeur fait face à deux corps de règles qui pointent dans des directions différentes. D'un côté, une obligation positive de vérifier l'identité, l'âge, le droit au travail et la situation sociale du salarié : articles L.5221-8, L.8251-1, L.8254-1 à L.8254-4, R.5221-41 à R.5221-46 du Code du travail. De l'autre, une obligation négative — celle de ne collecter que les données strictement nécessaires et proportionnées à l'objectif poursuivi : articles 5-1-c et 9 du RGPD, délibération CNIL n° 2019-160 du 21 novembre 2019, et surtout l'article L.1221-6 du Code du travail, selon lequel les informations demandées au candidat ne peuvent avoir « qu'un lien direct et nécessaire avec l'emploi proposé ou avec l'évaluation des aptitudes professionnelles ».

2. Ce que la loi impose au moment de l'embauche : les quatre blocs de vérification

Un employeur diligent, en secteur en tension ou non, doit effectuer quatre vérifications au moment de l'embauche. Chacune correspond à un texte précis et s'arrête strictement à ce que ce texte exige.

Bloc 1 — Identité du salarié

L'employeur doit être en mesure d'identifier sans ambiguïté la personne qu'il embauche : nom, prénom, date et lieu de naissance, NIR (numéro de sécurité sociale). Cette vérification s'opère par présentation d'une pièce d'identité en cours de validité (carte nationale d'identité, passeport, titre de séjour). La délibération CNIL n° 2019-160 admet la conservation d'une copie de la pièce d'identité dès lors qu'elle est justifiée par une obligation légale — ce qui est le cas pour la déclaration préalable à l'embauche et la DSN. La copie ne doit pas être diffusée et doit être détruite à l'issue du délai légal de conservation.

Bloc 2 — Autorisation de travail pour les ressortissants étrangers (hors UE/EEE/Suisse)

Aux termes de l'article L.5221-8 du Code du travail, l'employeur qui embauche un ressortissant étranger soumis à autorisation de travail doit, préalablement à la signature du contrat, s'assurer de l'existence et de la validité de cette autorisation en saisissant la préfecture. La procédure, précisée par les articles R.5221-41 à R.5221-46, impose un délai minimal de deux jours ouvrables avant la date d'embauche. Depuis 2021, la vérification peut être effectuée via la plateforme numérique ANEF (Administration numérique des étrangers en France), par lecture du QR code figurant sur le titre de séjour. À défaut de réponse de la préfecture dans le délai de deux jours ouvrables, l'employeur est réputé avoir rempli son obligation de vérification.

Bloc 3 — DPAE et affiliation à la sécurité sociale

La déclaration préalable à l'embauche (DPAE), adressée à l'URSSAF au plus tôt huit jours avant l'embauche, est le premier marqueur officiel de l'embauche. Son absence constitue, à elle seule, un élément matériel du travail dissimulé par dissimulation de salarié (article L.8221-5, 1°). Vient ensuite la déclaration mensuelle du salarié en DSN, qui intègre le NIR au bloc S21.G00.30. C'est à cette occasion que le CRM identité transmis par la CNAV, via le SNGI de l'INSEE, peut retourner une anomalie.

Bloc 4 — Vigilance contractuelle en matière de sous-traitance

Lorsque l'embauche intervient dans le cadre d'une relation de sous-traitance (fréquent en BTP, propreté et intérim), le donneur d'ordre est tenu par les articles L.8222-1 à L.8222-7 du Code du travail de vérifier tous les six mois que son cocontractant respecte ses obligations sociales et fiscales : attestation de vigilance URSSAF, liste nominative des travailleurs étrangers (L.8254-1), copie du certificat d'immatriculation au RCS ou au RM. Le manquement à cette obligation expose le donneur d'ordre à une solidarité financière pour les cotisations, majorations, pénalités et impôts éludés par le sous-traitant (articles L.8222-2 et L.8254-2).

3. Ce que le RGPD interdit : la ligne que beaucoup d'employeurs franchissent par prudence excessive

La tentation, en secteur en tension, est forte de « prendre les devants » : demander à l'embauche une kyrielle de documents pour se prémunir contre tout risque de contrôle. C'est précisément ce que le RGPD et le Code du travail interdisent. L'article 5-1-c du RGPD impose la minimisation des données : seules peuvent être collectées les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. L'article L.1221-6 du Code du travail, déjà cité, impose que toute information demandée au candidat ait un lien direct et nécessaire avec l'emploi. La CNIL, dans sa délibération n° 2019-160, rappelle que la collecte du NIR hors traitements expressément autorisés par décret est en principe interdite.

En pratique, voici ce qui est et ce qui n'est pas admissible lors d'une embauche :

  • Autorisé : vérifier l'identité par présentation d'une pièce, conserver une copie de celle-ci si une obligation légale le justifie (DPAE, vérification de l'autorisation de travail), demander un justificatif de domicile uniquement s'il est nécessaire à l'exécution du contrat (ex. zone géographique définie par convention collective), demander un RIB, demander l'attestation Pôle emploi du dernier employeur pour le calcul des congés acquis.
  • Interdit ou disproportionné : exiger un extrait de casier judiciaire hors des métiers où la loi l'impose (professions réglementées, garde d'enfants, sécurité), demander la copie intégrale du livret de famille, collecter des informations sur le conjoint, demander un certificat médical en dehors de la visite d'information et de prévention, exiger un test ADN ou une empreinte biométrique sans cadre légal précis, collecter les bulletins de paie antérieurs à des fins autres que le calcul d'ancienneté légitime.

4. Fil rouge — Le retour SNGI « salarié inconnu » : décrypter avant d'agir

Revenons à notre lundi matin. Le CRM identité remonte, code 121 : le NIR du salarié n'est pas reconnu au répertoire SNGI. Première erreur à ne pas commettre : interpréter ce retour comme la preuve d'une fraude. Dans la grande majorité des cas — net-entreprises et les experts paie s'accordent sur ce point — une anomalie SNGI traduit une erreur administrative, et non une intention frauduleuse. La certification d'identité opérée par l'INSEE croise six éléments : NIR, nom, prénom(s), date de naissance, sexe, lieu de naissance. Il suffit qu'un seul élément diverge pour que le match échoue.

Les cinq causes les plus fréquentes d'un CRM SNGI négatif

  • Erreur de saisie dans le logiciel de paie (chiffre du NIR inversé, prénom composé mal orthographié, tréma manquant, nom d'usage déclaré à la place du nom de famille).
  • Salarié récemment régularisé dont le NIR provisoire (commençant par 7 ou 8) a été remplacé par un NIR définitif, sans mise à jour côté employeur.
  • Changement d'état civil non porté à la connaissance de l'employeur (mariage, divorce, changement de nom).
  • Salarié récemment arrivé en France, en attente d'immatriculation définitive à la CPAM.
  • Discordance entre les données figurant sur la pièce d'identité présentée et celles détenues par l'INSEE (cas fréquent pour les salariés nés hors de France métropolitaine).

Ces cinq causes représentent, cumulées, l'immense majorité des anomalies SNGI rencontrées en gestion de paie courante. L'erreur de bonne foi — côté employeur ou côté salarié — est la règle. Le cas de la fraude d'identité existe, mais il reste statistiquement marginal et présente d'autres marqueurs que le seul retour SNGI.

5. La procédure de correction : quatre étapes à suivre dans l'ordre

Étape 1 — Vérifier la saisie dans le logiciel de paie

Avant toute démarche auprès du salarié, confrontez les données saisies dans votre logiciel de paie (bloc DSN S21.G00.30) aux éléments figurant sur les pièces d'identité du salarié et sur son attestation de droits à l'assurance maladie (consultable sur ameli.fr par le salarié). Dans 4 cas sur 5, une simple faute de frappe est à l'origine de l'anomalie : inversion de deux chiffres du NIR, espace parasite, accent non transcrit, apostrophe mal encodée. Si vous identifiez l'erreur, corrigez-la dans la DSN du mois suivant en remplaçant le NIR erroné par le NIR corrigé dans le bloc S21.G00.30.

Étape 2 — Interroger le salarié sans présomption ni formalisme excessif

Si la saisie est correcte, convoquez le salarié pour un entretien informel. Expliquez-lui, dans un langage neutre, que le retour des organismes sociaux signale une anomalie d'identification et qu'une mise à jour auprès de la CPAM ou de la MSA est nécessaire. Demandez-lui de vous fournir une attestation de droits actualisée (téléchargeable sur ameli.fr ou msa.fr). Ne formulez aucune accusation, ne menacez pas la rupture du contrat, ne demandez pas de pièce supplémentaire qui ne serait pas directement liée à la résolution de l'anomalie — cette exigence violerait le principe de proportionnalité. Tracez l'entretien par un compte rendu interne, signé par les deux parties, avec la date et l'objet précis de la démarche.

Étape 3 — Demande d'immatriculation ou de rectification à la CPAM / MSA

Selon la source de l'anomalie, deux procédures distinctes peuvent être engagées. Si le salarié n'est pas immatriculé (cas fréquent pour les salariés récemment arrivés en France ou n'ayant jamais cotisé), l'employeur peut solliciter, pour le compte du salarié, une immatriculation auprès de la CPAM du lieu de travail ou de résidence — la procédure est prévue par le Code de la sécurité sociale. Si le salarié est immatriculé mais que les éléments figurant dans le SNGI sont incorrects, c'est au salarié qu'il revient de demander la rectification de ses données auprès de sa CPAM. Dans les deux cas, la démarche prend entre deux semaines et trois mois selon la charge des caisses — à documenter impérativement pour prouver la diligence de l'employeur en cas de contrôle.

Étape 4 — Corriger la DSN du mois suivant et conserver la trace

Une fois le NIR correct connu — soit par correction de la saisie, soit par retour d'immatriculation de la CPAM — procédez à la correction dans la DSN du mois suivant. Le cahier technique de la DSN prévoit une procédure spécifique de remplacement du NIR erroné. Conservez pendant cinq ans a minima (durée recommandée par la CNIL pour la traçabilité des corrections) : la copie du CRM identité initial, la preuve de la saisine de la CPAM, le CRM identité suivant (qui devrait confirmer la levée de l'anomalie), et le compte rendu de l'entretien avec le salarié. Cet ensemble constitue votre dossier de diligence — pièce maîtresse en cas de contrôle URSSAF ultérieur.

6. Quand l'anomalie devient un signal de fraude : les critères d'alerte

Les cinq causes évoquées plus haut couvrent l'essentiel des situations. Il existe toutefois des cas, minoritaires mais réels, où l'anomalie SNGI est la partie visible d'une fraude d'identité (usurpation, faux document, embauche d'une personne déjà titulaire de plusieurs contrats sous des identités différentes). Ces situations se reconnaissent à certains marqueurs convergents. Lorsque deux ou trois de ces drapeaux rouges sont présents simultanément, la diligence raisonnable impose des vérifications renforcées — en respectant toujours le principe de proportionnalité.

  • Incohérence manifeste entre la pièce d'identité présentée et l'aspect ou le comportement du salarié lors de l'entretien (âge, voix, connaissance élémentaire de sa propre date de naissance).
  • Refus répété du salarié de fournir une attestation de droits à jour ou de se déplacer en CPAM pour régulariser sa situation.
  • Pièce d'identité présentant des anomalies visuelles évidentes (photo manifestement recollée, hologramme absent, police typographique incohérente avec un document officiel).
  • Titre de séjour dont la date de validité est incohérente avec la situation administrative décrite par le salarié (ex. récépissé récurrent qui se renouvelle sans aboutissement).
  • Antécédent identique sur un précédent salarié du même chantier ou du même sous-traitant (faisceau d'indices en faveur d'une filière d'intermédiation frauduleuse).

Dans de tels cas, la prudence commande d'adresser au salarié une lettre recommandée avec accusé de réception lui demandant de régulariser sa situation dans un délai raisonnable (typiquement quinze jours), de saisir la préfecture s'il s'agit d'un ressortissant étranger, et — si aucune coopération n'est obtenue — d'engager une procédure disciplinaire selon le droit commun. La rupture du contrat pour impossibilité d'exécuter les obligations légales d'emploi reste une faculté de dernier ressort, à manier avec l'appui d'un conseil juridique. En aucun cas un employeur ne doit procéder unilatéralement à la suspension de la rémunération ou à l'éviction physique du salarié sans suivre la procédure disciplinaire applicable — au risque d'une condamnation pour harcèlement, discrimination ou licenciement sans cause réelle et sérieuse.

7. Trois actions concrètes pour sécuriser juridiquement votre process

Action n° 1 — Écrire une procédure d'embauche en secteur en tension

Rédigez une note de procédure interne, datée et signée par la direction, qui liste exactement les documents à vérifier au moment de l'embauche, la personne responsable de chaque vérification, le circuit de conservation (coffre-fort numérique avec contrôle d'accès, durées de conservation distinctes par type de pièce) et les points d'arrêt en cas d'anomalie. Cette procédure doit être communiquée aux équipes RH, paie et recrutement, et actualisée à chaque évolution réglementaire. En cas de contrôle URSSAF ou CNIL, elle constitue votre premier élément de preuve de la diligence raisonnable.

Action n° 2 — Tenir un registre RGPD dédié aux vérifications d'embauche

Votre registre des activités de traitement (article 30 RGPD) doit comporter une fiche spécifique pour le traitement « vérification des obligations légales à l'embauche », précisant : la finalité (lutte contre le travail illégal, obligations sociales), la base légale (respect d'une obligation légale, article 6-1-c RGPD), les données traitées, la durée de conservation, les destinataires, les mesures de sécurité. Cette fiche doit être cohérente avec votre procédure interne. La délibération CNIL n° 2019-160 constitue un cadre de référence très utile pour rédiger cette fiche en conformité.

Action n° 3 — Automatiser le traitement des CRM identité et le suivi des anomalies

Le CRM identité tombe chaque mois dans votre tableau de bord net-entreprises. Intégrez sa consultation dans la check-list mensuelle de clôture de paie (idéalement entre la transmission DSN et le paiement des cotisations) et ouvrez un ticket interne pour chaque anomalie, avec échéance de résolution à 30 jours maximum. Une anomalie non traitée sur plusieurs mois devient, aux yeux d'un inspecteur URSSAF, un indice caractérisé de négligence, voire d'intention. La traçabilité vaut ici plus que la rapidité de résolution : il vaut mieux une anomalie suivie pendant trois mois qu'une anomalie en attente silencieuse.

8. Check-list d'embauche en secteur en tension

Avant la signature du contrat, vérifiez systématiquement les points suivants. Cette check-list est un outil de conformité et de défense : elle doit être conservée dans le dossier individuel du salarié et archivée pendant au moins cinq ans.

  • Pièce d'identité en cours de validité présentée et copie conservée (avec justification de la base légale de conservation)
  • Pour les ressortissants hors UE/EEE/Suisse : titre de séjour valide, autorisation de travail vérifiée auprès de la préfecture au minimum 2 jours ouvrables avant l'embauche (plateforme ANEF ou saisine préfectorale)
  • Déclaration préalable à l'embauche (DPAE) transmise à l'URSSAF au plus tôt 8 jours avant l'embauche
  • Contrat de travail signé avant la prise de poste effective
  • Visite d'information et de prévention planifiée dans les délais réglementaires
  • Attestation de droits à l'assurance maladie demandée au salarié (pour vérification cohérence NIR)
  • RIB du salarié collecté avec justification (paiement du salaire)
  • Affiliation à la mutuelle d'entreprise et, si prévoyance obligatoire, affiliation effective
  • Registre unique du personnel mis à jour dès l'entrée en poste
  • Première DSN du salarié transmise, CRM identité consulté, anomalie éventuelle ouverte en ticket de suivi
  • Procédure documentée dans la fiche individuelle : qui a vérifié, quand, quel résultat
  • Pour les sous-traitants : attestation de vigilance URSSAF du cocontractant à jour (moins de 6 mois)

Sources officielles et références

  • Articles L.1221-6, L.1132-1 et L.5221-8 du Code du travail
  • Articles L.8221-5, L.8222-1 à L.8222-7, L.8224-1 et L.8224-2 du Code du travail (travail dissimulé et solidarité financière)
  • Articles L.8251-1, L.8254-1 à L.8254-4 du Code du travail (emploi de ressortissants étrangers sans titre)
  • Articles R.5221-41 à R.5221-46 du Code du travail (contrôle des autorisations de travail — plateforme ANEF)
  • Arrêté du 1er avril 2021 fixant la liste des pièces à fournir à l'appui d'une demande d'autorisation de travail
  • Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), notamment articles 5, 6, 9 et 30
  • Délibération CNIL n° 2019-160 du 21 novembre 2019 portant adoption d'un référentiel relatif aux traitements de gestion du personnel (JO du 15 avril 2020)
  • Article 225-1 du Code pénal (définition de la discrimination)
  • Documentation technique net-entreprises — CRM identité, fiches DSN-info relatives à l'identification des individus
  • Site officiel URSSAF — rubrique DPAE et travail dissimulé

Dernière mise à jour : 13 avril 2026. Article rédigé par l'équipe Nexus Paies Conseils à partir des sources juridiques officielles en vigueur à cette date. Les références du Code du travail, du Code pénal, du Code de la sécurité sociale et du RGPD peuvent être vérifiées sur Légifrance (legifrance.gouv.fr) et sur le portail de la CNIL (cnil.fr). Les procédures techniques DSN évoluent par vagues de publication du cahier technique — consultez net-entreprises.fr pour la dernière version applicable.