Sur la finalité du traitement
Les articles L. 212-1 et L. 212-11 du code du sport imposent aux personnes exerçant contre rémunération l'enseignement, l'animation ou l'encadrement d'une activité physique ou sportive, à titre d'occupation principale ou secondaire, de façon habituelle, saisonnière ou occasionnelle, de déclarer leur activité à l'administration en vue de l'obtention d'une carte professionnelle. Le non-respect de cette obligation déclarative est passible d'un an d'emprisonnement et de 15 000 euros d'amende en application de l'article L. 212-12 du même code.
L'article 1er du projet d'arrêté mentionne que le traitement examiné par la commission a pour objet « de permettre aux éducateurs sportifs de procéder en ligne et de manière dématérialisée à la déclaration prévue à l'article L. 212-11 du code du sport ».
La mise en œuvre d'une procédure de télédéclaration a pour objectif de simplifier les démarches des demandeurs ainsi que d'alléger la charge de travail des services déconcentrés de l'Etat chargés d'instruire les demandes.
La commission considère que la finalité du traitement EAPS est légitime, déterminée et explicite.
Elle relève, par ailleurs, que les personnes souhaitant enseigner, animer ou encadrer une activité physique ou sportive peuvent déclarer cette activité de façon non dématérialisée, en lieu et place de la procédure de télédéclaration créée par le projet d'arrêté, en ayant recours au formulaire CERFA prévu à cet effet.
Sur la vérification du respect des obligations de qualification
et d'honorabilité des déclarants
Le deuxième alinéa de l'article 1er du projet d'arrêté soumis à la commission précise que « les informations et pièces jointes communiquées par les éducateurs sportifs font l'objet de vérifications permettant d'assurer le respect des obligations de qualification et d'honorabilité telles que définies aux articles L. 212-1, L. 212-9 et L. 212-13 du code du sport ».
S'agissant de l'interrogation automatisée du fichier judiciaire automatisé des auteurs
d'infractions sexuelles ou violentes (FIJAIS) et du casier judiciaire national
L'article 2 du projet d'arrêté prévoit que « le casier judiciaire du déclarant (bulletin n° 2) et le fichier judiciaire automatisé des auteurs d'infractions sexuelles sont interrogés de manière automatisée afin de vérifier que le déclarant n'a fait l'objet d'aucune condamnation mentionnée à l'article L. 212-9 du code du sport ».
L'article L. 212-9 du code du sport prévoit, en effet, que nul ne peut exercer des fonctions d'enseignement, d'animation ou d'encadrement d'une activité physique ou sportive s'il a fait l'objet d'une condamnation pour un crime ou pour l'un des délits listés par cet article. La délivrance d'une carte professionnelle d'éducateur sportif est ainsi subordonnée à la vérification du respect des incapacités prévues par cet article.
Le premier alinéa de l'article 706-53-11 du code de procédure pénale (CPP) prévoit qu'« aucun rapprochement ni aucune connexion au sens de l'article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ne peuvent être effectués entre le fichier national automatisé des auteurs d'infractions sexuelles ou violentes et tout autre fichier ou recueil de données nominatives détenus par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice, à l'exception du fichier des personnes recherchées pour l'exercice des diligences prévues au présent chapitre ».
L'article 777-3 du CPP mentionne, quant à lui, qu'« aucune interconnexion au sens du 3° du 1 de l'article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ne peut être effectuée entre le casier judiciaire national automatisé et tout autre fichier ou traitement de données à caractère personnel détenus par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice ».
Au regard des conditions de réalisation des interrogations automatisées du FIJAIS et du casier judiciaire prévues dans le cadre du traitement EAPS, identiques à celles mises en œuvre dans le cadre du traitement « Système d'information relatif aux accueils des mineurs » (SIAM) objet de la délibération n° 2012-031 de la commission :
― la mise en relation du traitement EAPS avec le FIJAIS n'est pas un rapprochement ou une interconnexion au sens de l'article 30 de la loi du 6 janvier 1978 modifiée, les informations étant obtenues au moyen de requêtes non signifiantes, l'application EAPS n'étant pas enrichie automatiquement par des données issues du FIJAIS et ce demier, le cas échéant, étant consulté manuellement par un agent habilité ;
― la mise en relation du traitement EAPS avec le casier judicaire n'est pas une interconnexion au sens de l'article 30 de la loi du 6 janvier 1978 modifiée, le traitement EAPS n'étant pas enrichi automatiquement par des données issues du casier judiciaire et les réponses positives étant transmises uniquement par voie postale aux fins de vérification administrative par un agent habilité ;
La commission estime, dès lors, que le traitement EAPS est conforme aux articles 706-53-11 et 777-3 du code de procédure pénale.
S'agissant de l'interrogation du fichier des encadrants interdits dans le domaine du sport et du fichier
des personnes titulaires d'un diplôme délivré par le ministère chargé de la jeunesse et des sports
L'article 3 du projet d'arrêté examiné par la commission prévoit que le fichier des encadrants interdits dans le domaine du sport est interrogé pour vérifier qu'un déclarant n'a pas fait l'objet d'une interdiction d'exercice prévue à l'article L. 212-13 du code du sport.
L'article 4 de ce projet d'arrêté prévoit, quant à lui, que le fichier des personnes titulaires d'un diplôme délivré par le ministère chargé de la jeunesse et des sports est interrogé pour vérifier que les titres et diplômes professionnels déclarés par les utilisateurs du téléservice répondent à l'obligation de qualification mentionnée à l'article L. 212-1 du code du sport.
La commission considère que ces interrogations automatisées sont pertinentes et proportionnées au regard de la finalité du traitement EAPS.
Sur la nature des données traitées
L'article 5 du projet d'arrêté examiné par la commission précise que les données à caractère personnel collectées dans le cadre du traitement ESAPS sont celles mentionnées à l'article 2 de l'arrêté 7 août 1997 portant création du fichier des éducateurs sportifs et établissements d'activités physiques et sportives.
Au regard de l'article 9 du projet d'arrêté, qui modifie les dispositions de l'article 2 de l'arrêté du 7 août 1997 précité, il s'agit de données :
― d'identification ;
― relatives à la vie professionnelle ;
― de connexion.
La commission considère que la collecte de ces données est pertinente, adéquate et non excessive au regard des finalités poursuivies.
Sur la durée de conservation des données
L'article 5 du projet d'arrêté précise que les données à caractère personnel collectées sont conservées « durant la durée de validité de la déclaration et un an après le non-renouvellement de la déclaration ».
La commission reléve que les données du traitement EAPS ne peuvent être conservées au-delà de cinq ans en base active, soit la durée de validité d'une déclaration, et archivées pendant un an conformément à l'instruction n° 09-147 du 24 décembre 2009 du ministre de la santé et des sports.
La commission considère que ces durées de conservation n'excèdent pas celles qui sont nécessaires à l'accomplissement des finalités poursuivies.
Sur les destinataires des données
S'agissant de la liste des destinataires des données du traitement EAPS, l'article 5 du projet d'arrêté renvoie à l'article 3 de l'arrêté du 7 août 1997, modifié par l'article 10 du projet d'arrêté soumis à l'examen de la commission.
Au regard des dispositions de ce dernier article, sont destinataires des données du traitement EAPS :
― l'administration centrale du ministère chargé des sports ;
― les services déconcentrés interministériels en charge du contrôle des éducateurs et établissements sportifs ;
― les autres services de l'Etat en charge du contrôle des éducateurs et établissements sportifs ;
― les établissements du ministère chargé des sports ;
― les associations et organismes professionnels ainsi que les organisations syndicales concernées, destinataires uniquement des nom, prénom, adresse, disciplines et activités encadrées et adresse du lieu d'exercice de l'éducateur sportif, et ce, aux fins de réalisation de statistiques et d'enquêtes relatives à la profession d'éducateur sportif.
La commission considère que ces destinataires présentent un intérêt légitime à connaitre des données qui leur sont communiquées.
Sur l'information des personnes
La demande d'avis présentée par le ministère des sports, de la jeunesse, de l'éducation populaire et de la vie associative précise que les personnes concernées par le traitement EAPS sont informées, conformément à l'article 32 de la loi du 6 janvier 1978, modifiée par des mentions légales sur formulaire, le cas échéant, et une mention sur le site internet utilisé pour télédéclarer une activité d'éducateur sportif.
La commission considère que les mesures prévues au titre de l'information des personnes sont satisfaisantes.
Sur les droits d'accès, de rectification et d'opposition des personnes
Les droits d'accès et de rectification des personnes concernées par le traitement EAPS s'exercent auprès du bureau de la protection du public, de la promotion de la santé et de la prévention du dopage du ministère chargé des sports, de la jeunesse, de l'éducation populaire et de la vie associative.
La commission relève que le projet d'arrêté écarte expressément l'application du droit d'opposition pour motif légitime prévu par l'article 38 de la loi du 6 janvier 1978 modifiée.
Les dispositions du projet d'arrêté relatives aux droits d'accès, de rectification et d'opposition pour motif légitime n'appellent pas d'observation de la part de la commission.
Sur la sécurité des données et la traçabilité des actions
La commission relève que l'authentification des utilisateurs est assurée au moyen de mots de passe et qu'un compte utilisateur est bloqué au bout de cinq tentatives d'accès invalides. Par ailleurs, elle observe que les sessions d'accès expirent après une période d'inactivité de trente minutes.
La commission rappelle, à ce titre, que des mots de passe doivent comporter au minimum huit caractères et comprendre au moins une lettre, un chiffre et un caractère spécial, d'une part, et que les mots de passe des administrateurs doivent compter au minimum dix caractères, d'autre part.
Des profils d'habilitation définissant les fonctions ou les types d'informations accessibles à un utilisateur ont été définis dans le cadre du présent traitement.
La commission relève également qu'une fonctionnalité de journalisation des opérations de consultation, création, mise à jour et suppression a été définie, étant précisé que les données journalisées sont supprimées au bout de six mois.
La commission observe enfin que les échanges de données sont réalisés au moyen de canaux sécurisés et, notamment, que les données transmises sont chiffrées.
La commission rappelle que l'ensemble des préconisations techniques applicables au traitement « Système d'information relatif aux accueils des mineurs », objet de la délibération de la commission n° 2012-031, s'appliquent au traitement EAPS, en particulier la suppression automatisée à l'issue d'un délai d'un mois de l'information « identité à vérifier parce que positive ou sur laquelle il existe un doute ».
Sous réserve des observations de la commission, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.