Après avoir entendu Madame Joëlle FARCHY, commissaire, en son rapport, et Madame Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La loi du 10 mai 2016 renforçant le dialogue avec les supporters et la lutte contre le hooliganisme autorise les organisateurs de manifestations sportives à identifier les personnes qui ont contrevenu aux dispositions des conditions générales de vente ou du règlement intérieur relatives à la sécurité de ces manifestations afin de permettre aux personnes habilitées de refuser ou d'annuler la délivrance des titres d'accès à ces manifestations ou d'en refuser l'accès.
A cette fin, l'article L. 332-1 du code du sport prévoit que les organisateurs de manifestations sportives peuvent établir un traitement automatisé de données à caractère personnel dans des conditions fixées par le présent décret, soumis à l'avis de la commission.
Sur les formalités préalables :
La commission observe, à titre liminaire, que le projet d'article R. 332-20 du code du sport prévoit que les traitements mis en œuvre par les organisateurs de manifestations sportives font l'objet d'une déclaration, selon les modalités prévues par l'article 23 de la loi du 6 janvier 1978 modifiée.
Elle rappelle que le régime des formalités préalables à accomplir auprès de la CNIL est déterminé par la loi du 6 janvier 1978 modifiée, en fonction de la finalité ainsi que des modalités de mise en œuvre du traitement envisagé.
En l'espèce, la commission observe que les motifs d'inscription visés à l'article 1er du projet de décret peuvent être liés à des infractions pénales. Leur mise en œuvre est donc susceptible de relever du 3° du I de l'article 25 de la loi du 6 janvier 1978 modifiée, qui prévoit que doivent être autorisés par la commission les traitements de données à caractère personnel, automatisés ou non, portant sur des données relatives à des infractions, condamnations ou mesures de sûreté.
A cet égard, elle relève que l'article L. 332-1 du code du sport lui permet d'autoriser la mise en œuvre de traitements de données à caractère personnel relatives à des infractions, condamnations ou mesures de sûreté, en dehors des hypothèses prévues par l'article 9 de la loi du 6 janvier 1978 modifiée, pour permettre aux organisateurs d'assurer la sécurité des manifestations sportives.
La commission souligne que le présent projet de décret fixe un cadre général et maximal s'agissant des modalités de mise en œuvre des traitements et qu'il appartiendra à chacun des responsables de traitement de mettre en place un traitement répondant aux principes de la loi « Informatique et Libertés », et notamment de finalité et de proportionnalité.
Au regard de ce qui précède, elle invite le ministère à modifier le projet d'article R. 332- 20 du code du sport afin de rappeler aux organisateurs l'obligation d'accomplir les formalités adéquates au regard des caractéristiques des traitements effectivement mis en œuvre et des dispositions des articles 22 et 25 de la loi du 6 janvier 1978 modifiée.
Sur la finalité des traitements :
Le projet d'article R. 332-14 du code du sport prévoit que les traitements mis en œuvre par les organisateurs de manifestations sportives ont pour finalité de « contribuer à la sécurité des manifestations sportives en permettant aux organisateurs de refuser ou d'annuler la délivrance de titres d'accès à ces manifestations ou en refuser l'accès aux personnes qui ont contrevenu ou qui contreviennent aux dispositions des conditions générales de vente ou du règlement intérieur relatives à la sécurité de ces manifestations ».
La commission observe que la finalité du traitement a été fixée par l'article 1er de la loi du 10 mai 2016 renforçant le dialogue avec les supporters et la lutte contre le hooliganisme (article L. 332-1 du code du sport).
Sans remettre en cause la légitimité de cette finalité, elle s'interroge néanmoins sur le périmètre exact des traitements envisagés et leur articulation avec les dispositifs actuels d'exclusion des stades qui permettent, notamment, aux organisateurs de manifestations sportives d'interdire l'accès aux enceintes sportives à certaines personnes ou de leur refuser la vente de billets dans le but d'assurer la sécurité au sein et aux abords des enceintes sportives.
En effet, le législateur a fixé un cadre légal précis à travers les articles L. 332-15 et L. 332-16 du code du sport, lesquels prévoient que les identités des personnes frappées par une interdiction de stade prononcée par l'autorité judiciaire (IJS) ou administrative (IAS) peuvent être communiquées, à l'initiative du Préfet territorialement compétent, aux associations et sociétés sportives, ainsi qu'aux fédérations sportives agréées.
A cet égard, la commission précise qu'elle a déjà autorisé certains organisateurs de manifestations sportives à mettre en œuvre des traitements automatisés de données à caractère personnel visant à permettre la gestion des interdictions de stade prononcées par l'autorité judiciaire ou administrative, et ce afin de ne pas fournir aux personnes concernées un titre d'accès ou de pouvoir leur refuser l'accès à une enceinte dans laquelle une manifestation sportive est organisée.
Elle a également adopté une autorisation unique permettant aux organismes d'adresser à la commission un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées dans ladite décision unique (délibération n° 2015-118 du 7 avril 2015 portant autorisation unique de traitements de données à caractère personnel mis en œuvre par les associations, sociétés et fédérations sportives aux fins de gestion des interdictions de stade prononcées par l'autorité judiciaire ou administrative AU-042).
La commission observe que la rédaction actuelle du projet d'article R. 332-14 du code du sport est ambiguë et laisse envisager la possibilité pour les organisateurs de mettre en œuvre un traitement d'exclusion qui emporterait, pour les personnes concernées, des conséquences identiques à celles attachées au dispositif légal prévu aux articles L. 332-15 et L. 332-16 du code du sport.
Interrogé sur l'articulation concrète entre le dispositif légal actuellement prévu par le code du sport et celui conduisant à l'inscription dans le traitement projeté, le ministère a indiqué que les procédures prévues par le code du sport (celles conduisant à l'interdiction judiciaire et administrative) et celle conduisant à l'inscription dans le présent traitement sont différentes dans la mesure où les organisateurs de manifestations sportives n'interviennent pas dans le cadre des deux premières.
Le ministère a ajouté que les organisateurs de manifestations sportives, afin d'assurer la sécurité, ne peuvent recourir qu'à la faculté que leur ouvre la loi de refuser ou d'annuler la délivrance de titres d'accès à ces manifestations et, pour ce faire, pourront mettre en œuvre les traitements encadrés par le projet de décret.
Or, ainsi qu'il a été exposé précédemment, la commission rappelle que les organisateurs de manifestations sportives ont d'ores et déjà, dans le cadre d'un dispositif légal précis, la possibilité d'interdire l'accès aux enceintes sportives à certaines personnes, de les expulser, de refuser de leur vendre un titre d'accès ou de l'annuler.
L'ensemble de ces éléments est donc de nature à conforter la position de la commission sur la nécessité, compte tenu du cadre juridique existant, de modifier la rédaction de l'article ler du projet de décret afin de déterminer plus précisément le périmètre exact des traitements envisagés et leur articulation avec les dispositifs d'interdictions de stade prononcées par l'autorité judiciaire ou administrative »
Elle estime à cet égard que le projet de décret devrait définir précisément quels seraient les cas dans lesquels les traitements envisagés pourraient être mis en œuvre. Parmi ces cas, ceux pouvant actuellement donner lieu à une peine complémentaire d'interdiction de stade prononcée par l'autorité judiciaire ou administrative devraient être expressément exclus, afin de garantir un équilibre entre la nécessité pour les organisateurs d'assurer la sécurité dans les enceintes sportives et l'impératif de protection des libertés individuelles et droits des personnes.
La commission, qui mesure parfaitement l'intérêt que peuvent avoir les organisateurs de mettre en œuvre un traitement leur permettant d'exclure les personnes ayant porté atteinte à la sécurité des biens et des personnes souligne que le traitement projeté ne doit pas avoir pour objet ni pour effet de contourner les dispositifs actuellement encadrés par le code du sport. Elle précise qu'une telle modification au cadre fixé par le projet de décret ne ferait aucunement obstacle à l'exercice des missions des organisateurs de manifestations sportives qui auraient en tout état de cause les moyens supplémentaires d'assumer leurs obligations en matière de sécurité et de mettre en œuvre un traitement de données à caractère personnel à cette fin.
Sur les données enregistrées dans le traitement :
L'article 1er du projet de décret fixe les données pouvant être traitées, celles-ci sont relatives :
- à des données d'identification : nom, prénom, photographie, date et lieu de naissance, adresse ou lieu de résidence, adresse électronique, numéro de téléphone, numéro de carte d'abonnement ;
- aux motifs de l'enregistrement dans le fichier d'exclusion :
- comportement de provocation à la haine ou à de la violence ; comportement contraire à la morale et aux bonnes mœurs ;
- comportement ayant compromis la sécurité des personnes et des biens lors de la manifestation sportive ;
- accès à l'enceinte sportive en état d'ivresse manifeste ou sous l'influence de produits stupéfiants ; introduction et consommation de boissons alcooliques et/ou de produits stupéfiants ;
- introduction dans l'enceinte sportive de tout objet pouvant constituer une arme ou mettre en péril la sécurité des personnes et des biens ;
- aux décisions associées aux motifs de l'enregistrement : nature de la mesure (suspension, résiliation ou impossibilité de souscrire un nouvel abonnement ; refus de vente d'un titre d'accès ; annulation d'un tel titre ; refus d'accès à une enceinte sportive) ; date de la décision ; durée de la mesure.
Les réponses du ministère, s'agissant des modalités pratiques de constatation des différents manquements conduisant à l'inscription des personnes dans le fichier, n'ont pas permis à la commission d'appréhender de manière claire le fonctionnement du système d'exclusion envisagé.
S'agissant de l'origine des données :
Le ministère a indiqué que la constatation des manquements contraires aux conditions générales de vente ou aux dispositions du règlement intérieur relatives à la sécurité pouvait être opérée par les « personnes chargées de la sécurité ou de la billetterie ».
Or, s'agissant des personnes chargées de la billetterie, la commission comprend que ces dernières ont pour missions de procéder aux vérifications à partir d'un fichier dans lequel les personnes sont déjà inscrites afin, le cas échéant, de leur refuser la vente d'un titre d'accès. Les personnes chargées de la billetterie interviennent donc dans le cadre de vérifications a posteriori et ne sont pas à l'origine de l'inscription des personnes concernées.
Concernant les stadiers, la commission rappelle que ces derniers ne sont pas habilités à procéder à des contrôles d'identité. Dès lors, ils ne pourront pas exiger une pièce d'identité ou faire un quelconque traitement sur ce document. Le ministère ajoute sur ce point que dans le cas où les personnes appréhendées par les stadiers refuseraient de communiquer leur identité, les forces de l'ordre pourront être requises pour relever l'identité des personnes concernées et la communiquer aux organisateurs de manifestations sportives.
Aussi, hormis les cas où les contrôles sont réalisés par les forces de l'ordre, la commission s'interroge sur les conditions dans lesquelles les données seront collectées par les organisateurs de manifestations sportives afin d'être enregistrées dans leur traitement d'exclusion. Elle souligne sur ce point que l'article 6 de la loi du 6 janvier 1978 modifiée prévoit que les données doivent être collectées et traitées de manière loyale et licite, étant précisé que la loyauté de la collecte s'apprécie notamment au regard de l'information délivrée aux personnes concernées.
Concernant plus particulièrement la photographie, le ministère a précisé que cette information pourra être extraite des dispositifs de vidéosurveillance. La commission rappelle à cet égard qu'aucun dispositif de reconnaissance faciale à partir de la photographie du visage des personnes ne pourra être mis en œuvre sans avoir préalablement été autorisé par la CNIL.
S'agissant des motifs d'enregistrement dans le traitement :
La rédaction imprécise du projet d'article R. 332-15 du code du sport ne permet pas de déterminer les données qui seront effectivement collectées et enregistrées dans le traitement. Ce texte n'encadre pas précisément les conditions dans lesquelles un organisateur de manifestation sportive peut décider une mesure d'exclusion à l'encontre d'une personne qui présenterait une menace pour la sécurité.
La commission n'est donc pas en mesure de rendre un avis éclairé sur le caractère adéquat, pertinent et non excessif des données traitées au regard de la finalité poursuivie.
Par ailleurs, la commission note que les motifs d'exclusion listés dans le projet de décret se rapportent aux infractions visés dans le code du sport, sur la base desquelles les autorités compétentes peuvent prononcer une peine complémentaire d'interdiction de stade. La commission observe néanmoins que, contrairement au projet de décret, le code du sport dans son état actuel vise des faits précis.
Afin de prévenir toute dérive ou abus conduisant à l'inscription des personnes pour d'autres finalités que celle visée dans le projet de décret, la commission estime que celui-ci devrait définir précisément les données pouvant être collectées et enregistrées ou, à tout le moins, qu'il soit mentionné l'obligation pour les organisateurs de préciser les actes et faits ayant conduit à l'inscription des personnes dans le traitement. La présence de cette information constitue une garantie dans la mesure où il sera possible de vérifier que l'inscription est effectivement liée à la finalité du traitement.
Sur la durée de conservation :
Le projet d'article R. 332-16 du code du sport prévoit que les données traitées ne peuvent être conservées au-delà de dix-huit mois.
Bien que le ministère fasse valoir que cette durée est nécessaire aux organisateurs de manifestations sportives ayant décidé une mesure de refus d'accès s'étendant au-delà d'une saison sportive, cette précision n'est toutefois pas de nature à éclairer la commission sur les raisons qui justifient le choix de cette durée.
Cependant, la commission note qu'il s'agit d'une durée maximale et que les responsables de traitement pourront effacer les données qui ne seraient plus utiles avant l'expiration de la durée de conservation fixée par le texte, conformément à l'article 6-5° de la loi du 6 janvier 1978 modifiée. Elle rappelle à cet égard qu'il appartiendra à chacun d'entre eux de justifier de la durée de conservation des données enregistrées dans le traitement.
La commission rappelle également que la durée d'une suspension ou d'une exclusion doit être proportionnée au regard de son motif. La commission prend acte de la précision apportée par le ministère s'agissant de la suppression des informations dès que les mesures prises cessent de produire leurs effets.
Elle précise que la suppression des informations suite à la levée de la mesure suppose que les personnes puissent effectivement recouvrer le droit d'accéder aux enceintes sportives et d'acquérir un titre d'accès. Des garanties devront être prises à cette fin.
En cas d'utilisation d'un traitement automatisé, la commission estime nécessaire qu'une purge automatique des données soit mise en œuvre à l'issue de cette période ou, à défaut, qu'une procédure garantisse de façon certaine le même résultat. Elle estime que le projet de décret devrait être précisé sur ces points.
Enfin, la commission s'interroge sur le sort des données dans le cas où les mesures d'exclusion seraient supérieures à ia durée de conservation maximale de dix-huit mois et rappelle que les données ne devraient pas être conservées au-delà de cette limite. Elle précise que cette garantie devrait s'appliquer à toutes les parties impactées du traitement en cas de pluralité de fichiers.
Sur les destinataires :
Le projet d'article R. 332-17 mentionne les catégories de personnes ayant accès aux données et de destinataires suivantes, étant précisé que ces derniers sont individuellement désignés, dûment habilités et interviennent dans le cadre de leurs attributions pour les besoins exclusifs des missions qui leur sont confiées :
les employés des responsables de traitement relevant des services chargés de la sécurité, de la billetterie, des affaires juridiques et de l'organisation des manifestations sportives ;
Ces derniers accèdent aux données afin d'enregistrer les données dans le fichier d'exclusion, de s'assurer que les personnes concernées ne font pas l'objet d'une mesure d'exclusion avant de délivrer un titre d'accès à une manifestation, de tenir à jour le fichier et de gérer les éventuels recours.
les agents du Service central du renseignement territorial (SCRT) et de la Division nationale de lutte contre le hooliganisme (DNLH) de la direction centrale de la sécurité publique (DCSP) ;
les agents des directions départementales de la sécurité publique les fonctionnaires de la préfecture de police relevant de la direction de la sécurité proximité de l'agglomération parisienne, de la direction de l'ordre public et de la circulation et de la direction du renseignement ; les militaires des groupements de gendarmerie départementale, des régions de gendarmerie et de la sous-direction de l'anticipation opérationnelle (SDAO) de fa direction générale de la Gendarmerie nationale ;
les agents des fédérations sportives délégataires et des ligues professionnelles, pour les besoins liés aux rencontres organisées par ces organismes.
La commission prend acte de ce que ces destinataires externes ont communication des données dans le cadre de leurs compétences respectives en matière de sécurité publique et de prévention des troubles à l'ordre public, d'adaptation des dispositifs de sécurité, de coordination de la lutte contre le hooliganisme et les violences périsportives, et d'organisation des compétitions.
Elle prend également note du fait que les modalités pratiques de consultation des fichiers d'exclusion seront définies par chaque organisateur de manifestations sportives, et qu'en tout état de cause, les destinataires externes ci-dessus listés ne consulteront pas directement le fichier.
Sur l'information et les droits des personnes :
Le projet d'article R. 332-18 du code du sport prévoit que les personnes concernées sont informées « par affichage, envoi ou remise d'un document ou par tout autre moyen équivalent ».
La commission observe que l'information porte sur les points suivants : identité du responsable de traitement, finalité poursuivie par le traitement, destinataires des données et modalités d'exercice des droits des personnes concernées.
Elle relève toutefois que l'article 32 de la loi du 6 janvier 1978 modifiée impose en outre d'informer les personnes concernées du caractère obligatoire ou facultatif des réponses, des conséquences éventuelles d'un défaut de réponse, des durées de conservation et, le cas échéant, des transferts de données hors de l'Union européenne.
Elle invite en conséquence le ministère à compléter le projet d'article R. 332-18 du code du sport des mentions d'information manquantes.
La commission constate, à l'appui des précisions apportées lors de l'instruction du dossier, qu'en pratique les personnes concernées seront informées via une mention apposée sur les titres d'accès et sur les abonnements. La loi du 6 janvier 1978 prévoit toutefois que les personnes concernées sont informées des mentions prévues à l'article 32 lors de la collecte de leurs données. Lorsque celle-ci est réalisée via un questionnaire, une mention d'information conforme aux exigences de l'article 32 doit y être apposée.
Aussi, les personnes concernées devraient être informées lors de la remise des conditions générales de vente. La commission recommande que le projet de décret soit modifié en ce sens.
En outre, s'agissant de l'information des personnes faisant l'objet d'une inscription dans un fichier d'exclusion, la commission considère que cette information doit être renforcée par la notification aux personnes visées par une mesure de suspension ou d'exclusion la décision prise à son encontre, du motif associé, des moyens permettant de contester la décision, notamment en cas d'homonymie, ou de régulariser la situation, ainsi que des voies de recours existantes. Au terme de la mesure d'exclusion, les personnes concernées doivent par ailleurs être informées de la levée de ladite mesure et qu'elles ne figurent plus dans le fichier d'exclusion.
Les droits d'accès et de rectification s'exerceront directement auprès des responsables de traitement.
La commission prend acte que le projet d'article R. 332-19 du code du sport écarte l'application du droit d'opposition pour motifs légitimes, comme le permet l'alinéa 3 de l'article 38 de la loi du 6 janvier 1978 modifiée.
Sur les mesures de sécurité :
La commission rappelle que les responsables de traitement devront prendre toutes les précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées ou endommagées ou que des tiers non autorisés y aient accès.
Les accès aux traitements de données doivent nécessiter une authentification des personnes au moyen, par exemple, d'un identifiant et d'un mot de passe individuels, a minima composé de huit caractères (comprenant au moins trois des quatre types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux), régulièrement renouvelés ou par tout autre moyen d'authentification. Les mots de passe ne doivent pas être stockés en clair.
Les données transitant sur des canaux de communication non sécurisés doivent notamment faire l'objet de mesures techniques visant à rendre ces données incompréhensibles à toute personne non autorisée.
La commission prend acte que les opérations de consultation, création et modification feront l'objet d'un enregistrement comprenant l'identification du consultant ainsi que la date, l'heure et l'objet de la consultation. Elle observe que ces enregistrements peuvent être conservés jusqu'à trois ans afin d'assurer la traçabilité des consultations par les personnes ayant accès aux données, notamment dans l'hypothèse d'utilisations abusives.
Si une traçabilité des consultations constitue une garantie forte contre les risques d'accès frauduleux à des données à caractère personnel, la commission considère que pour que cette mesure de sécurité soit efficace, ces traces doivent être régulièrement analysées afin de détecter tout comportement suspect ou anormal et permettre aux responsables de traitement de prendre les mesures correctives nécessaires.
Dans ces conditions, la commission estime qu'une durée de conservation des données de consultation pendant trois ans apparaît excessive et qu'elle devrait, en conséquence, être réduite à six mois.
Elle rappelle que l'obligation résultant de l'article 34 nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.