Sur la proposition de Mme Joëlle FARCHY, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministre de la ville, de la jeunesse et des sports d'un projet de décret en Conseil d'Etat relatif à la création, par l'Agence française de lutte contre le dopage (AFLD), d'un traitement automatisé de données à caractère personnel dénommé « autorisations d'usage à des fins thérapeutiques délivrées aux sportifs ».
Les caractéristiques de ce traitement seront précisées aux dispositions des futurs articles R. 232-85-2 à R. 232-85-9 du code du sport.
Le traitement projeté a notamment pour objet [a prévention, la recherche, la constatation et la poursuite des infractions à la réglementation antidopage et porte sur des données relatives à la santé des personnes concernées. Conformément aux dispositions du II de l'article 26 de la loi du 6 janvier 1978 modifiée, il doit dès lors être autorisé par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission.
Sur la finalité du traitement :
Lorsque la nécessité d'un traitement est médicalement prouvée, une organisation antidopage peut accorder à un sportif sur la base d'un dossier médical documenté une autorisation d'usage à des fins thérapeutiques, c'est-à-dire l'autorisation de recourir à une substance ou une méthode habituellement interdite par la réglementation antidopage.
Le régime des autorisations d'usage à des fins thérapeutiques fait l'objet d'un encadrement au niveau international, ratifié en droit français par la loi du 31 janvier 2007 et intégré au code du sport. En vertu des dispositions de ce code, il revient au président de l'AFLD de se prononcer sur les demandes d'autorisations d'usage à des fins thérapeutiques, sur avis conforme d'un comité de trois experts.
Le traitement dénommé « autorisations d'usage à des fins thérapeutiques délivrées aux sportifs » (AUT) vise à faciliter [es échanges d'informations relatives aux autorisations d'usage à des fins thérapeutiques entre I'AFLD, l'Agence mondiale antidopage (AMA), les organismes de lutte contre le dopage comparables et les fédérations sportives internationales, en rassemblant les données concernant une substance objet d'une telle autorisation ou la méthode à laquelle elle se rapporte, sa posologie et sa voie d'administration.
Le projet de décret soumis à la commission précise ainsi que les finalités de ce traitement consistent à :
- rassembler des informations sur les sportifs qui participent ou se préparent à une manifestation sportive internationale, ou à une manifestation sportive organisée par une fédération agréée ou autorisée par une fédération délégataire, d'une part, et qui ont été ou sont titulaires d'une autorisation d'usage à des fins thérapeutiques, d'autre part ;
- favoriser la reconnaissance mutuelle des autorisations délivrées dans leur domaine de compétence par I'AFLD, l'AMA, les organismes de lutte contre le dopage comparables et les fédérations sportives internationales ;
- éviter l'engagement d'une procédure disciplinaire à l'encontre d'un sportif titulaire d'une autorisation d'usage à des fins thérapeutiques en cours de validité ;
- faciliter l'exercice par l'AMA de ses prérogatives en matière d'autorisation d'usage à des fins thérapeutiques.
Au regard des attributions légales de l'AFLD, telles que prévues par l'article L. 232-5 du code du sport, la commission considère que ces finalités sont déterminées, explicites et légitimes.
Elle estime, par ailleurs, que le traitement créé par l'AFLD est justifié par la poursuite d'un intérêt public, à savoir garantir la santé publique et l'intégrité des compétitions sportives.
Sur la nature des données traitées :
Le traitement soumis à l'examen de la commission concerne les sportifs qui participent ou se préparent à une manifestation sportive internationale, ou à une manifestation sportive organisée par une fédération agréée ou autorisée par une fédération délégataire, et qui ont été ou sont titulaires d'une autorisation d'usage à des fins thérapeutiques.
Les données collectées sur le compte de ces sportifs sont relatives à : des données identification (nom ; prénom ; date de naissance ; sexe) ;
- l'indication de la discipline sportive pour l'exercice de laquelle une autorisation à d'usage à des fins thérapeutiques a été sollicitée ;
- la mention de la pathologie dont le traitement a justifié l'octroi de l'autorisation ;
- la substance autorisée, sa posologie et sa voie d'administration ou la méthode à laquelle elle se rapporte ;
- la date de délivrance d'une autorisation à d'usage à des fins thérapeutiques et sa durée de validité ;
- la mention de l'autorité ayant délivré une autorisation à d'usage à des fins thérapeutiques.
La commission considère que ces données sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Le projet de décret examiné par la commission précise par ailleurs que les données du traitement peuvent être communiquées à l'AFLD :
- par l'AMA à partir du système d'administration et de gestion antidopage hébergé sur une plate-forme internet sécurisée au Canada ;
- par une fédération sportive internationale ou par une agence nationale antidopage, à la condition que le lieu d'hébergement des données traitées se trouve dans un Etat assurant un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet ;
- par une organisation responsable d'une grande manifestation au sens du 2° de l'article L. 230-3 du code du sport, à savoir « une manifestation sportive internationale », à la condition que le lieu d'hébergement des données traitées se trouve dans un Etat assurant un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.
Ces modalités d'alimentation du traitement n'appellent pas d'observation de la commission.
Sur la durée de conservation des données :
Le projet de décret soumis à la commission prévoit que les données enregistrées dans le traitement « AUT » ne peuvent être conservées au-delà de dix-huit mois à compter de l'expiration de la durée de validité d'une autorisation d'usage à des fins thérapeutiques.
Il prévoit, par ailleurs, que ce délai peut être prorogé jusqu'au prononcé d'une décision juridictionnelle devenue irrévocable en cas de survenance d'un contentieux.
Il a été précisé à la commission que la durée de conservation des données par l'AFLD est fixée à dix-huit mois pour prendre en considération le standard élaboré par l'AMA, lequel prévoit une durée de conservation identique s'agissant des données relatives à la santé.
La commission considère dès lors que les durées de conservation prévues s'agissant du traitement « AUT » ne sont pas excessives au regard des durées nécessaires à l'accomplissement des finalités poursuivies par l'AFLD.
Sur les destinataires des données :
Le projet de décret soumis à la commission mentionne que la personne désignée par le président de l'AFLD pour exercer les fonctions de responsable du service médical de cette dernière, ainsi que les agents placés sous son autorité, peuvent enregistrer ou modifier les données du traitement dénommé « autorisations d'usage à des fins thérapeutiques délivrées aux sportifs ».
Ce projet de décret prévoit également que peuvent être destinataires des données de ce traitement :
- l'Agence mondiale antidopage ;
- une fédération sportive internationale ou une agence nationale antidopage, à condition que le lieu d'hébergement des données se trouve dans un Etat assurant un niveau de protection suffisant de la vie privée et des libertés et des droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet ;
- par une organisation responsable d'une grande manifestation au sens du 2° de l'article L. 230-3 du code du sport, à savoir « une manifestation sportive internationale », à condition que le lieu d'hébergement des données se trouve dans un Etat assurant un niveau de protection suffisant de la vie privée et des libertés et des droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.
Au regard des finalités poursuivies par I'AFLD, la commission estime que ces destinataires présentent un intérêt légitime à accéder aux données du traitement dénommé « autorisations d'usage à des fins thérapeutiques délivrées aux sportifs ».
La commission relève que la formulation du futur article R. 232-85-7 du code du sport interdit tout transfert vers un Etat n'assurant pas un niveau de protection suffisant de la vie privée et des libertés et des droits fondamentaux des personnes à l'égard du traitement de leurs données, y compris si les caractéristiques du traitement garantissent un niveau de protection suffisant de la vie privée et des libertés et des droits fondamentaux, notamment en raison de ses caractéristiques propres, des mesures de sécurité, de l'existence de clauses contractuelles ou encore de règles internes. Elle prend ainsi acte que le ministre de la ville, de la jeunesse et des sports ne souhaite pas faire application des dispositions prévues à l'avant-dernier alinéa de l'article 69 de la loi du 6 janvier 1978 modifiée permettant de tel transferts.
Sur l'information et les droits des personnes :
Les personnes concernées par le traitement dénommé « autorisations d'usage à des fins thérapeutiques délivrées aux sportifs » seront informés du traitement automatisé de leurs données, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, par une mention figurant sur le formulaire permettant de demander une autorisation d'usage à des fins thérapeutiques.
Cette modalité d'information n'appelle pas d'observation de la commission.
Les droits d'accès et de rectification, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exercent directement auprès du responsable du service médical de I'AFLD. Le projet de décret soumis à l'examen de la commission prévoit, à ce titre, que l'AFLD dispose d'un délai de deux mois pour donner suite aux demandes des intéressés, conformément à l'article 94 du décret du 20 octobre 2005 modifié.
Enfin, le projet de décret soumis à la commission écarte expressément ['application du droit d'opposition, conformément au dernier alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée.
Ces dispositions concernant les droits des personnes n'appellent pas d'observation de la commission.
Sur la sécurité des données et la traçabilité des actions :
L'authentification des utilisateurs est assurée par l'utilisation de mots de passe de huit caractères valables quatre-vingt-dix jours, le terminal d'accès étant bloqué au bout de trois essais infructueux. Ces modalités concernent tant l'accès au réseau interne de l'AFLD que l'accès au traitement de l'Agence mondiale antidopage.
Des profils d'habilitation définissent pour chaque utilisateur les fonctions autorisées ou les catégories d'informations accessibles.
Les étapes de développement et de maintenance font l'objet de mesures de sécurité visant à garantir la confidentialité des données.
Des mesures de sécurité physiques sont mises en place pour garantir la sécurité des serveurs.
Les fichiers transférés par internet font l'objet d'un chiffrement, de même que les sauvegardes hebdomadaires de la base de données.
L'accès au portail de l'Agence mondiale antidopage est sécurisé par le recours au protocole HTTPS, ce qui garantit la confidentialité et l'intégrité des données échangées. Dans la mesure où l'accès à ce portail peut être réalisé depuis n'importe quel terminal, dès lors que l'utilisateur dispose des bons identifiants, la commission recommande la mise en place d'une restriction par identification de l'adresse IP, ce qui permettrait de renforcer le contrôle de l'accès au traitement de l'Agence mondiale antidopage.
Les données stockées dans le serveur de l'Agence mondiale antidopage font l'objet d'un chiffrement avec un protocole garantissant la confidentialité des données.
Les accès à l'application font l'objet d'une journalisation comprenant la date et l'heure de connexion, l'identifiant du poste de travail et l'identifiant de l'utilisateur. Les accès aux données à caractère personnel font également l'objet d'une journalisation comprenant la date et l'heure de connexion, l'identifiant du poste de travail, l'identifiant de l'utilisateur, la référence des données du fichier auquel il a été accédé ainsi que le type de modifications apportées aux données.
La commission relève par ailleurs qu'un utilisateur peut vérifier la date et l'heure de son dernier accès, ce qui lui permet de détecter une éventuelle utilisation de son identifiant et mot de passe personnels par un tiers.
Sous réserve de sa recommandation relative à la mise en place d'une restriction par identification de l'adresse IP, la commission considère que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.