(Demande d'avis n° 1952682)
La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de la ville, de la jeunesse et des sports d'une demande d'avis concernant un projet de décret en Conseil d'Etat relatif à la mise en œuvre de traitements de données à caractère personnel ayant pour finalité le contrôle par les organisateurs d'une manifestation ou d'une compétition sportive du respect de l'interdiction de parier faite aux acteurs ;
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code du sport, notamment son article L. 333-1-4 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26 ;
Vu la loi n° 2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne, notamment son article 21 ;
Vu la loi n° 2015-1541 du 27 novembre 2015 visant à protéger les sportifs de haut niveau et professionnels et à sécuriser leur situation juridique et sociale ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu Mme Joëlle FARCHY, commissaire, en son rapport, et M. SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
L'article 22 de la loi n° 2015-1541 du 27 novembre 2015 visant à protéger les sportifs de haut niveau et professionnels et à sécuriser leur situation juridique et sociale a introduit un nouvel article L. 333-1-4 dans le code du sport.
Aux termes de cette disposition, l'organisateur d'une manifestation ou d'une compétition sportive mentionné à l'article L. 331-5 qui interdit à ses acteurs d'engager, directement ou par personne interposée, des mises sur des paris reposant sur cette manifestation ou cette compétition sportive peut, en vue de sanctionner les manquements à cette interdiction, demander à l'Autorité de régulation des jeux en ligne (ARJEL) l'accès à des informations personnelles relatives à des opérations de jeu enregistrées par un opérateur de jeux ou de paris en ligne titulaire de l'agrément prévu à l'article 21 de la loi n° 2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne.
Ce texte prévoit par ailleurs que les opérations informatiques de rapprochement réalisées par l'ARJEL et la communication par cette autorité de leurs résultats aux agents ou aux représentants de l'organisateur spécialement habilités à cette fin sont autorisées par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés.
Ce dispositif permet ainsi aux organisateurs d'une manifestation ou d'une compétition sportive de vérifier que les acteurs faisant l'objet d'une interdiction de parier sur celle-ci se sont effectivement abstenus.
La commission relève qu'il s'agit de transposer aux organisateurs d'une manifestation ou d'une compétition sportive la procédure prévue à l'article L. 131-16-1 du code du sport, permettant aux fédérations délégataires de demander à l'ARJEL d'effectuer un rapprochement des informations qu'elles détiennent sur les acteurs interdits de jeux ou de paris en ligne sur ces compétitions avec celles relatives aux opérations de jeux détenues par les opérateurs agréés, en vue de la mise en œuvre d'une éventuelle procédure de sanction.
Elle note qu'à l'instar du dispositif déployé par les fédérations délégataires, ne sont concernés par ces traitements que les acteurs prenant part directement aux manifestations ou compétitions sportives et qui sont soumis au pouvoir de sanction des organisateurs, dont la liste exhaustive est établie et publiée par les organisateurs pour chaque manifestation ou compétition sportive.
La commission prend acte que le projet de décret a vocation à constituer un acte réglementaire unique au sens du IV de l'article 26 de la loi « Informatique et Libertés », permettant ainsi d'alléger les formalités préalables de chaque organisateur de manifestation ou de compétition sportive.
En conséquence, des engagements de conformité devront être adressés à la commission par chaque organisateur de manifestations ou de compétitions sportives faisant l'objet de paris en ligne définis par l'article L. 331-5 du code du sport, en leur qualité de responsables de traitement, au sens de l'article 3 de la loi « Informatique et Libertés », préalablement à la mise en œuvre des traitements.
La commission souligne que le futur acte réglementaire unique n'a pas vocation à encadrer le traitement mis en œuvre par l'ARJEL en application de l'article L. 331-1-4 du code du sport, dont les modalités sont précisées dans le chapitre II du projet de décret. En conséquence, ce traitement devra faire l'objet de formalités préalables indépendantes.
Sur la finalité des traitements :
Le projet de décret soumis à la commission se subdivise en deux chapitres.
Le chapitre Ier (articles 1er et 2) introduit des dispositions modifiant le code du sport en précisant les modalités de mise en œuvre des traitements réalisés par les organisateurs de manifestations ou de compétitions sportives.
Le chapitre II (articles 3 à 9) autorise la création d'un traitement par l'ARJEL et en précise les modalités.
Pour l'application de l'article L. 333-1-4 du code du sport, le projet d'article R. 333-5 du même code précise que le traitement automatisé mis en œuvre par les organisateurs de manifestations ou de compétitions sportives a pour finalité le contrôle de l'interdiction faite aux acteurs d'engager directement ou indirectement ou par une personne interposée des mises sur des paris reposant sur la manifestation ou la compétition à laquelle ils participent et de communiquer à des tiers des informations privilégiées obtenues à l'occasion de leur profession ou de leurs fonctions, et qui sont inconnues du public, en vue d'une éventuelle procédure de sanction.
Afin de permettre ce contrôle, l'article 3 du projet de décret mentionne la possibilité pour l'ARJEL de réaliser des opérations informatiques de rapprochement entre la liste des acteurs transmise par les organisateurs et les données dont elle dispose en application de l'article 38 de la loi n° 2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation des jeux d'argent et de hasard en ligne.
La commission estime que la finalité poursuivie par ces traitements est déterminée, explicite et légitime.
Sur la nature des données traitées :
Le projet d'article R. 333-6 du code du sport indique que les catégories de données à caractère personnel adressées par les organisateurs de manifestations ou de compétitions sportives à l'ARJEL en vue de la réalisation des opérations informatiques de rapprochement sont relatives :
- à l'identité de la personne soumise à l'interdiction de parier prévue au projet d'article R. 333-5 du code du sport : nom de famille, nom d'usage, prénom, date et lieu de naissance ;
- à sa domiciliation : adresse postale et, le cas échéant, adresse électronique ;
- aux manifestations ou aux compétitions sportives pour lesquelles elle est soumise à une interdiction de parier.
Concernant les catégories de données traitées dans le cadre des opérations informatiques de rapprochement effectuées par l'ARJEL au titre des contrôles demandés par les organisateurs de manifestations ou de compétitions sportives et de la transmission des résultats de ces rapprochements, le projet d'article R. 333-11 du code du sport et l'article 4 du projet de décret prévoient que celles-ci portent sur :
- les données d'identification de la personne concernée : noms, prénom(s), date et lieu de naissance ;
- la manifestation ou la compétition et la ou les épreuves sur lesquelles la personne concernée a engagé des paris sportifs ;
- le détail des opérations de paris sportifs en ligne engagés, comprenant notamment leur date de réalisation.
Interrogé sur l'exhaustivité des données relatives au « détail des opérations de paris sportifs en ligne engagés », le ministère indique que celles-ci correspondent :
- au nom de la compétition ;
- au match ou à l'épreuve ;
- au jour et à l'heure de l'enregistrement du pari ;
- au nom de l'opérateur chez qui le pari a été enregistré ;
- au type de pari choisi par le parieur ;
- au type de résultat sur lequel porte le pari ;
- au choix du parieur ;
- à la cote du pari ;
- à la mise engagée par le parieur, en précisant si le parieur a utilisé ou non un bonus.
La commission estime que la mention de l'exhaustivité du détail des opérations de paris sportifs en ligne engagés dans le projet de décret serait de nature à renforcer l'information des personnes concernées.
Elle s'interroge par ailleurs sur la pertinence de la communication par les organisateurs des données relatives à la domiciliation des acteurs (adresse postale et, le cas échéant, adresse électronique), dans la mesure où cette information n'est a priori pas traitée dans le cadre des opérations informatiques de rapprochement effectuées par l'ARJEL, ou pour la transmission des résultats aux organisateurs.
La commission rappelle à cet égard que les données doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Sur les destinataires et les personnes ayant accès aux données :
Selon les projets d'articles R. 333-9 et R. 333-11 du code du sport et de l'article 5 du projet de décret, auront accès aux données les agents ou représentants disposant des compétences techniques et juridiques adéquates, habilités par l'organisateur de la manifestation ou de la compétition sportive afin :
- de traiter les données relatives aux acteurs ;
- de transmettre à l'ARJEL les demandes de rapprochement ;
- de recevoir en réponse les résultats des rapprochements faisant apparaître que l'un des acteurs de l'une ou de plusieurs manifestations ou compétitions sportives ont méconnu l'interdiction de parier.
La commission observe qu'une copie de la décision d'habilitation établie par l'organisateur est transmise à l'ARJEL.
L'article 4 du projet de décret précise par ailleurs que seuls les agents habilités par le directeur général de l'ARJEL auront accès aux données traitées dans le cadre des opérations informatiques de rapprochement.
La commission considère que les personnes ci-dessus mentionnées présentent un intérêt légitime à accéder aux données.
Sur les durées de conservation des données :
L'article 7 du projet de décret dispose que le fichier transmis par l'agent ou l'organisateur d'une manifestation ou d'une compétition sportive à l'ARJEL ainsi que les résultats des opérations informatiques de rapprochement sont conservées par l'ARJEL durant un an à compter de l'envoi des résultats à l'organisateur.
Le projet d'article R. 333-11 du code du sport indique par ailleurs que ces données sont conservées pendant une durée de cinq ans à compter de leur réception par l'organisateur.
La commission rappelle qu'à l'expiration de cette période, les données doivent être supprimées de manière sécurisée par chaque responsable de traitement ou archivées à titre définitif, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public.
Elle considère que les données traitées ne sont pas conservées au-delà du temps nécessaire à l'accomplissement des finalités pour lesquelles elles ont été collectées.
Sur l'information et les droits des personnes :
Les personnes concernées seront informées conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée par les organisateurs de manifestations ou de compétitions sportives au moyen d'une mention figurant sur leurs sites internet, où les règlements sont disponibles.
La commission prend note que, par leur participation même à ces événements, les acteurs adhèrent au règlement et ont pris connaissance des interdictions de parier et de la possibilité pour l'organisateur de contrôler cette interdiction.
Conformément au projet d'article R. 333-6 du code du sport et à l'article 8 du projet de décret, les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi « Informatique et Libertés » s'exercent auprès des organisateurs de manifestations ou de compétitions sportives dont relèvent les personnes concernées ainsi que du président de l'ARJEL.
La commission relève enfin que le projet d'article R. 333-6 du code du sport et l'article 8 du projet de décret écartent l'application du droit d'opposition pour des motifs légitimes, en vertu des dispositions du dernier alinéa de l'article 38 de la loi « Informatique et Libertés ».
Sur les transferts de données :
La commission prend acte que l'article 6 du projet de décret circonscrit les hypothèses dans lesquelles les transferts de données peuvent intervenir lorsque l'agent ou le représentant de l'organisateur d'une manifestation ou d'une compétition sportive qui a saisi l'ARJEL d'une demande de rapprochement est situé sur le territoire d'un Etat non membre de l'Union européenne et de l'Espace économique européen.
Les hypothèses sont les suivantes :
- le transfert s'effectue à destination d'un Etat reconnu par une décision de la Commission européenne comme assurant un niveau de protection suffisant ;
- le transfert est nécessaire à la sauvegarde de l'intérêt public et est limité à des cas ponctuels et non à des transferts de données répétitifs et massifs.
Sur les mesures de sécurité :
La mise en œuvre de ce dispositif s'inscrit dans le respect des dispositions du Référentiel général de sécurité (RGS) s'agissant des échanges électroniques avec les organisateurs de manifestations ou de compétitions sportives.
Pour ce traitement, les services techniques de l'ARJEL opèrent un service dématérialisé autour de deux composants :
- un dispositif de recueil des demandes permettant d'identifier les acteurs concernés ;
- un dispositif de croisement de ces demandes avec les opérations de jeu collectées auprès des supports matériels de recueil et d'archivage sécurisé mis en œuvre par les opérateurs agréés.
Le dispositif de recueil des demandes est exclusivement électronique et sera accessible par internet à travers :
- un navigateur internet pour une saisie manuelle des requêtes par les agents habilités ;
- une interface d'échange par service web permettant une saisie automatisée des requêtes et instrumentée par les organisateurs.
Concernant l'éventuelle utilisation de cookies ou autre traceurs, la commission rappelle que, conformément aux obligations imposées par l'article 32-II de la loi « Informatique et Libertés », le responsable de traitement doit obtenir le consentement libre et éclairé de l'internaute avant de lire ou d'écrire des informations sur son terminal, sauf lorsque cela est strictement nécessaire à la fourniture du service de communication en ligne expressément demandée par l'utilisateur ou si son action a pour seul objectif de permettre ou de faciliter la communication par voie électronique.
Un dossier spécifique sur ce thème est disponible sur le site internet de la CNIL. Par ailleurs, cette obligation s'applique que les cookies (ou autres traceurs) proviennent du propre domaine de l'ARJEL ou de celui d'un tiers.
Les organisateurs de manifestations ou de compétitions sportives habilitent les agents disposant des compétences techniques et juridiques nécessaires. A la réception de la décision d'habilitation d'un agent, les services de l'ARJEL lui font parvenir un moyen d'authentification forte permettant sa connexion au service.
L'accès est réalisé au travers d'une interface sécurisée par protocole « HTTPS » en provenance d'adresses IP fixes préalablement portées à la connaissance de l'ARJEL. Concernant le recours à ce protocole, la commission rappelle sa recommandation de ne plus utiliser SSLv3, mais de préférer la version de TLS la plus à jour possible.
L'ARJEL recommande aux organisateurs de dédier un poste informatique à cet usage, sécurisé selon l'état de l'art. La commission note que l'ARJEL met à disposition des organisateurs de manifestations ou de compétitions sportives et de leurs agents habilités une documentation permettant de les guider dans leur tâche. Cette documentation contient notamment un mode d'emploi du site internet et des recommandations pratiques pour la sécurisation des postes de travail.
Concernant le dispositif de croisement de ces demandes avec les opérations de jeu, les informations relatives aux joueurs et aux opérations de jeux détenues par l'ARJEL sont protégées dans un système d'information au sein d'un réseau sécurisé et isolé des autres traitements, sans relation avec le réseau internet.
Une journalisation des opérations de consultation, création, modification et suppression du traitement est réalisée. La commission rappelle qu'une durée de conservation des journaux doit être prévue ; en l'espèce, la commission recommande de les conserver six mois. Ceux-ci devant faire par ailleurs l'objet d'une analyse régulière.
Dès réception des demandes par l'ARJEL, les informations nominatives sont hachées afin d'obtenir une « empreinte-joueur » servant pour le dispositif de croisement des données. Le résultat de la demande est retourné par le service juridique de l'ARJEL aux agents habilités par les organisateurs de la manifestation ou de la compétition sportive. Un envoi permettant d'assurer la confidentialité de l'information, par exemple sous pli recommandé pour la voie postale ou via un canal chiffré pour un envoi numérique, est préconisé.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi « Informatique et Libertés ».
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Sur les dispositions de l'article 1er du chapitre Ier modifiant le code du sport :
La commission considère que les dispositions modifiant le code du sport introduites à l'article 1er du chapitre Ier du projet de décret n'appellent pas d'observation particulière de sa part, dès lors qu'il ne s'agit que de modifications rédactionnelles mineures.