La Commission nationale de l'informatique et des libertés,
Saisie par le ministère des sports, de la jeunesse, de l'éducation populaire et de la vie associative d'une demande d'avis concernant un projet de décret autorisant la création d'un traitement de données à caractère personnel ayant pour finalité le contrôle par les fédérations sportives délégataires des interdictions posées par l'article L. 131-16-1 du code du sport ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code du sport, notamment ses articles L. 131-16 et L. 131-16-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26-I (2°) et 26-IV ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Dominique Richard, commissaire, en son rapport, et M. Jean-Alexandre Silvy, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
En application de la loi n° 2012-158 du 1er février 2012, un article L. 131-16-1 a été intégré au code du sport aux termes duquel les fédérations sportives délégataires peuvent demander à l'ARJEL d'effecteur un rapprochement des informations qu'elles détiennent sur les acteurs de compétition interdits de jeux ou de paris en ligne sur ces compétitions avec celles relatives aux opérations de jeux détenues par les opérateurs agréés, en vue de la mise en œuvre d'une éventuelle procédure disciplinaire.
Les fédérations sportives délégataires peuvent ainsi vérifier que les acteurs d'une compétition faisant l'objet d'une interdiction de parier sur celle-ci, se sont effectivement abstenus de papier.
L'exercice d'une telle prérogative par les fédérations délégataires est subordonné à la publication d'un décret déterminant les conditions de sa mise en œuvre dans le respect des dispositions de la loi du 6 janvier 1978 modifiée.
Le projet de décret soumis à la commission précise les modalités de mise en œuvre du traitement envisagé.
La commission prend acte que les responsables de traitement au sens de l'article 2 de la loi du 6 janvier 1978 modifiée sont les fédérations délégataires qui organisent ou autorisent des compétitions sportives faisant l'objet de paris en ligne. Elle prend acte que les traitements relatifs à la liste des acteurs des compétitions mis en œuvre par les ligues professionnelles et les organisateurs de droit privé de l'article L. 331-5 du code du sport seront donc mis en œuvre sous le contrôle et la responsabilité de chaque fédération délégataire concernée.
Elle relève que le projet de décret prévoit un cadre juridique en forme d'acte réglementaire unique permettant ainsi d'alléger les formalités préalables de chaque fédération délégataire. En effet, le résultat des rapprochements opérés par l'Autorité de régulation des jeux en ligne peut être transmis par la fédération concernée à l'autorité judiciaire, notamment pour la poursuite de l'infraction prévue à l'article 445-2-1 du code pénal. Par conséquent, le ministère a saisi la commission sur le fondement des dispositions combinées des articles 26-I (2°) et 26-IV de la loi du 6 janvier 1978 modifiée.
Dès lors, conformément aux dispositions de l'article 26-IV de la loi du 6 janvier 1978 modifiée, chaque fédération pourra adresser à la commission un engagement de conformité au futur acte réglementaire unique. En revanche le traitement mis en œuvre par l'ARJEL en application de l'article L. 131-16-1 du code du sport n'entre pas dans le champs d'application de cet acte réglementaire unique. Elle prend acte que le rapprochement effectué par l'ARJEL consiste en une simple mise en relation d'informations et non en une interconnexion au sens de l'article 25-I (5°) de la loi du 6 janvier 1978 modifiée.
Elle relève qu'il n'existe pas de définition générale et unique de la notion d'acteur de la compétition compte tenu de l'hétérogénéité des règlements et des disciplines. C'est pourquoi le projet de décret réserve aux fédérations délégataires un pouvoir d'appréciation de la notion d'« acteurs de la compétition » qui doit être précisée notamment dans leurs règlements généraux.
La commission rappelle la nécessité de préciser de façon claire et non équivoque la notion d'acteur de la compétition, notamment au sens des dispositions du présent projet de décret. Elle prend acte que sont exclusivement visées les personnes prenant directement part aux compétitions et qui sont soumises au pouvoir disciplinaire des fédérations délégataires. Ne sont donc pas concernées par les traitement envisagés ni les personnes interposées ni les personnes bénéficiaires d'informations privilégiées au sens de l'article L. 131-16 du code du sport.
Sur la finalité du traitement :
Le projet de décret prévoit un nouvel article R. 131-37 dans le code du sport aux termes duquel les fédérations délégataires qui organisent ou autorisent des compétitions sportives qui font l'objet de paris sportifs peuvent mettre en œuvre un traitement de données à caractère personnel informatisé des acteurs de ces compétitions ayant pour finalité d'effectuer le contrôle des interdictions posées par l'article L. 131-16 du code du sport.
Les traitements mis en œuvre par les fédérations, conformément au projet d'acte réglementaire unique, devront donc avoir pour seule finalité le contrôle des interdictions posées par l'article L. 131-16 du code du sport.
Celui-ci ne vise que les acteurs prenant part directement aux compétitions et qui sont soumis au pouvoir disciplinaire des fédérations délégataires, dès lors que le rapprochement d'informations sera effectué à des fins éventuelles de sanctions disciplinaires.
La finalité du traitement est certes limitée, dès lors que les cas de fraude, par personne interposée ou par une personne bénéficiaire d'informations privilégiées, ne seraient pas visés par ce dispositif. Cependant, au regard des libertés individuelles et de la protection des données personnelles des personnes pysiques, un tel dispositif limite le nombre de personnes concernées dont les catégories devront être précisées dans les règlements fédéraux.
La commission estime que la finalité poursuivie est déterminée, explicite et légitime.
Sur la nature des données traitées :
L'article R. 131-38 (nouveau) du code du sport prévoit que les catégories de données adressées par les fédérations à l'ARJEL seront relatives :
― à l'identité de la personne soumise à l'interdiction de parier prévue par l'article L. 131-16 du code du sport (nom de famille, nom d'usage, prénom, date et lieu de naissance) ;
― à sa domiciliation (adresse postale et adresse électronique) ;
― aux informations sur les compétitions pour lesquelles elle était soumise à une interdiction de parier. Il appartiendra à l'ARJEL de préciser la nomenclature des compétitions supports de paris qui doit être utilisée pour présenter ces informations (art. R. 131-41 nouveau).
L'article R. 131-44 (nouveau) du code du sport prévoit que les catégories de données traitées dans le cadre du rapprochement effectué par l'ARJEL au titre des contrôles demandés par les fédérations délégataires sont :
― les nom, prénom(s), date et lieu de naissance de la personne concernée ;
― la compétition et les épreuves sur lesquelles la personne concernée a engagé des paris sportifs ;
― le détail des opérations de jeux engagées comprenant leur date de réalisation.
La commission considère que les données traitées sont pertinentes, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
Les données traitées sont conservées pendant une durée de cinq ans. A l'issue de ce délai, les données sont supprimées par chaque responsable de traitement. La commission prend acte de ce délai court à compter de la date de la réception du résultat du rapprochement opéré par l'ARJEL. Elle demande que cette précision soit mentionnée dans le projet de décret.
La commission considère que cette durée est pertinente au regard de la finalité poursuivie conformément aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
Les destinataires des données sont les personnes habilitées et en nombre limité de chaque fédération délégataire, d'une part, et les personnes habilitées de l'ARJEL, d'autre part. Sur ce point, le projet de décret précise que seules deux personnes habilitées au sein de chaque fédération auront accès aux informations. La commission estime qu'une rédaction limitant le nombre de personnes habilitées sans toutefois préciser le nombre serait également satisfaisante et éviterait une modification du futur décret si ce nombre devait être revu à la hausse.
Par ailleurs, le projet de décret n'accorde pas, et ce conformément aux dispositions légales qui ne visent que les fédérations délégataires, aux ligues professionnelles un accès direct aux informations détenues par l'ARJEL afin de vérifier si les acteurs des compétitions qu'elles organisent ont respecté l'interdiction de parier sur celles-ci.
S'il n'appartient pas à la commission de se prononcer sur l'opportunité de donner un tel accès aux ligues professionnelles, elle constate que celles-ci sont susceptibles de disposer d'un pouvoir disciplinaire en premier ressort (sur délégation des fédérations).
Dès lors, la commission fait remarquer qu'il pourrait être utile d'ajouter les ligues professionnelles dans les destinataires du projet de décret, et ce d'autant que celui-ci constituera un acte réglementaire unique permettant à chacune des fédérations d'accomplir ses formalités.
Elle propose donc d'autoriser les fédérations délégataires à adresser aux ligues professionnelles les informations nécessaires à l'exercice de leur pouvoir disciplinaire, et ce dans le respect des dispositions des conventions conclues entre ces entités. Les ligues sont astreintes, au même titre que les fédérations délégataires, aux obligations issues de la loi du 6 janvier 1978 modifiée.
Sur l'information et les droits d'accès des personnes concernées :
Les personnes concernées seront informées conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée par les fédérations délégataires, notamment par l'envoi d'un courrier.
Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exerceront auprès des fédérations délégataires dont relèvent les personnes concernées.
Aux termes du projet de décret, le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas.
Ces modalités d'information et d'exercice des droits des personnes apparaissent suffisantes.
Sur la sécurité des données et la traçabilité des actions :
La mise en œuvre de ce dispositif s'inscrit dans le respect des dispositions du référentiel général de sécurité (RGS) s'agissant des échanges électroniques avec les fédérations délégataires.
Pour ce traitement, l'ARJEL met en œuvre un service dématérialisé autour de deux composants :
― un dispositif de recueil des demandes permettant d'identifier les acteurs concernés ;
― un dispositif de croisement de ces demandres avec les opérations de jeu collectées auprès des supports matériels de recueil et d'archivage sécurisé mis en œuvre par les opérateurs agréés.
Ces dispositifs sont opérés par les services techniques de l'ARJEL.
Le dispositif de recueil des demandes est exclusivement électronique et sera accessible par internet à travers :
― un navigateur internet pour une saisie manuelle des requêtes par les agents habilités (saisie directe ou envoi d'un fichier au format CSV) ;
― une interface d'échange par service web permettant une saisie automatisée des requêtes et instrumentée par les fédérations délégataires.
L'utilisation d'un support matériel de type « carte à puce » ou clé USB dédiée par les fédérations est actuellement à l'étude afin de renforcer le contrôle d'accès au dispositif de recueil. Les services de l'ARJEL prendront alors en charge la génération et le déploiement des outils nécessaires assurant un chiffrement à l'état de l'art.
L'accès est réalisé au travers d'une interface sécurisée par protocole « https » en provenance d'adresse IP fixes préalablement portées à la connaissance de l'ARJEL. Par ailleurs, l'ARJEL recommande aux fédérations concernées de dédier un poste informatique à cet usage, sécurisé selon l'état de l'art.
Concernant le dispositif de croisement de ces demandes avec les opérations de jeu, les informations relatives aux joueurs et aux opérations de jeux détenues par l'ARJEL sont protégées dans un système d'information au sein d'un réseau sécurisé et isolé des autres traitements, sans relation avec le réseau internet.
Dès réception de ces demandes, les informations nominatives sont chiffrées sous forme d'une empreinte par une fonction de hachage cryptographique non réversible servant pour le dispositif de croisement des données.
Le résultat de la demande est retourné par le service juridique de l'ARJEL à la fédération concernée sous la forme d'un courrier postal. La commission recommande que l'envoi postal soit effectué sous pli recommandé.
En complément de cette transmission formelle, les services techniques de l'ARJEL peuvent transmettre aux agents spécialement habilités et sur demande de la fédération concernée une réponse numérique indirectement nominative sur la base du numéro d'ordre généré lors de l'enregistrement de la demande.
Après réponse aux fédérations, les données sont archivées sur des disques indépendants et chiffrés. Puis les informations nominatives sont détruites de la base de données de manière robuste.
Les autres mesures de sécurité n'appellent pas de remarque particulière de commission, qui estime que le traitement répond aux obligations prévues par l'article 34 de la loi du 6 janvier 1978.