Articles

Article AUTONOME (Délibération n° 2017-221 du 20 juillet 2017 portant avis sur un projet d'arrêté autorisant l'Autorité de régulation des jeux en ligne à mettre en œuvre un traitement de données à caractère personnel dénommé « contrôle et sanction des opérateurs agréés et lutte contre la fraude et le blanchiment » (demande d'avis n° 2076196))

Article AUTONOME (Délibération n° 2017-221 du 20 juillet 2017 portant avis sur un projet d'arrêté autorisant l'Autorité de régulation des jeux en ligne à mettre en œuvre un traitement de données à caractère personnel dénommé « contrôle et sanction des opérateurs agréés et lutte contre la fraude et le blanchiment » (demande d'avis n° 2076196))


Après avoir entendu Mme Joëlle FARCHY, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La loi n° 2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne a récemment été modifiée par la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (dite loi « Sapin 2 ») et par la loi n° 2016-731 du 3 juin 2016 renforçant le dispositif de lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale.
La commission observe à cet égard que les modifications introduites par ces textes renforcent, d'une part, les compétences de l'ARJEL en matière de contrôle et de sanction des opérateurs agréés et, d'autre part, le dispositif de lutte contre la fraude, le blanchiment des capitaux et le financement du terrorisme via de nouvelles modalités de coopération entre l'ARJEL et d'autres autorités.
C'est dans ce contexte que la commission est saisie par le ministère de l'action et des comptes publics, d'une demande d'avis portant sur un projet d'arrêté venant préciser les modalités des traitements mis en œuvre par l'ARJEL à des fins de « contrôle et de sanction des opérateurs agréés et de lutte contre la fraude et le blanchiment » dans le cadre de ses missions découlant de la loi du 12 mai 2010 modifiée.
Dans la mesure où les traitements ainsi mis en œuvre ont pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté, il y a lieu de faire application des dispositions de l'article 26-I (2°) de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
Sur les finalités
Les finalités mentionnées à l'article ler du projet d'arrêté correspondent aux missions que la loi du 12 mai 2010, modifiée par les lois précitées, a imparties à l'ARJEL.
1° S'agissant du contrôle de l'activité des opérateurs agréés et de l'éventuelle sanction des manquements à leurs obligations :
La commission rappelle que l'ARJEL est chargée de délivrer les agréments aux personnes morales souhaitant offrir des jeux et des paris en ligne en France, en s'assurant que ces derniers satisfont aux obligations édictées aux articles 15 et suivants de la loi du 12 mai 2010 modifiée et précisées dans l'arrêté du 27 mars 2015 portant approbation du cahier des charges applicable aux opérateurs de jeux en ligne.
Afin de répondre aux objectifs de régulation fixés à l'article 3 de ladite loi et, plus particulièrement, ceux relatifs à l'intégrité, la fiabilité et la transparence des opérations de jeu ainsi qu'à la lutte contre les activités frauduleuses ou criminelles et le blanchiment des capitaux et le financement du terrorisme, l'ARJEL effectue des contrôles permanent sur les données de jeu enregistrées et mises à sa disposition par les opérateurs agréés via un support matériel d'archivage (dénommé le « frontal »).
A partir de ces données, l'ARJEL est susceptible d'exécuter différentes analyses pour s'assurer du respect, par les opérateurs, de leurs obligations selon des modalités portées à la connaissance de la commission à l'occasion de l'examen de la demande d'avis relative au décret du 18 mai 2010 (délibération n° 2010-123 du 12 mai 2010).
Les contrôles menés par l'ARJEL peuvent aboutir à la détection d'incidents de jeu ou d'opérations frauduleuses révélant des manquements par les opérateurs agréés à leurs obligations, lesquels peuvent faire l'objet de sanctions administratives ou pénales, prononcées par l'ARJEL ou par d'autres juridictions ou autorités administratives auxquelles l'ARJEL est habilitée à transmettre des informations en application de différentes dispositions législatives. C'est pourquoi, l'ARJEL a souhaité inclure cette finalité dans le présent projet d'arrêté.
2° S'agissant de la recherche et de l'identification de tout fait commis par un joueur ou un parieur susceptible de constituer une fraude ou de relever du blanchiment des capitaux et du financement du terrorisme :
L'article 46 de la loi du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale a modifié l'article 38 de la loi du 12 mai 2010 modifiée, qui habilite désormais l'ARJEL à utiliser les données enregistrées dans le support matériel d'archivage de chaque opérateur agréé auxquelles elle accède, pour rechercher et identifier directement des faits susceptibles de constituer une fraude ou de relever du blanchiment des capitaux ou du financement du terrorisme.
Ces contrôles systématiques seront menés sur une base périodique. Par ailleurs, des recherches ciblées ponctuelles pourront également être réalisées, notamment, suite à des signalements d'agissements provenant d'opérateurs agréés, de joueurs ou de parieurs ou mis en lumière à la suite de réquisitions judicaires ou d'échanges avec les garants de reversements des avoirs ou des tiers certificateurs visés à l'article 23-III de la loi du 12 mai 2010 modifiée.
3° S'agissant du contrôle du respect de leurs obligations par les membres et personnels de l'ARJEL et des opérateurs agréés :
Le second alinéa de l'article 36-11 de la loi du 12 mai 2010 modifiée formule une interdiction, pesant sur les membres et personnels de l'ARJEL, d'engager à titre personnel, directement ou par personne interposée, des mises sur des jeux ou paris proposés par des opérateurs de jeux ou de paris en ligne.
Afin de permettre le contrôle du respect de cette obligation l'ARJEL souhaite réaliser, ponctuellement, des opérations informatiques de rapprochements entre le fichier de gestion des ressources humaines contenant les données de ses personnels et membres, d'une part, et les données de jeux que les opérateurs agréés mettent à sa disposition, d'autre part.
Concrètement, l'ARJEL s'appuie sur des mécanismes de pseudonymisation, consistant à rapprocher des empreintes cryptographiques, générées à partir des noms, prénoms et date de naissance des joueurs.
En cas de concordance entre les informations ainsi rapprochées, établissant le manquement d'un personnel ou membre de l'ARJEL à son obligation, les personnels habilités de l'ARJEL procéderont à une analyse renforcée de l'activité de jeu en vue de l'engagement d'une éventuelle sanction.
A cet égard, le règlement intérieur de l'ARJEL prévoit que le collège de l'ARJEL se prononce sur les conséquences de la violation par l'un de ses membres de l'interdiction de jeu ou de pari en ligne, dont la sanction relève d'une décision administrative prise par le président de l'ARJEL.
La commission observe en outre que les contrôles du respect de l'interdiction de parier concernent également les propriétaires, les dirigeants, les mandataires sociaux et le personnel des opérateurs agréés, conformément aux dispositions de l'article 32 de la loi du 12 mai 2010 modifiée. Bien que cette finalité ne figure pas expressément dans le projet d'arrêté, les données d'identification relatives à ces catégories de personnes y sont mentionnées à l'article 2-III. Celles-ci proviennent des dossiers de demandes d'agrément déposés par les opérateurs et de leurs éventuelles mises à jour.
Elle invite en conséquence le ministère à compléter l'article 1er du projet d'arrêté en faisant mention du contrôle du respect de leurs obligations par les propriétaires, les dirigeants, les mandataires sociaux et le personnel des opérateurs agréés.
Par ailleurs, la commission estime que l'existence de mises en relation ou de rapprochements de fichiers dans le cadre de ces contrôles et de ceux visant les membres et personnels de l'ARJEL devrait expressément figurer dans le projet d'arrêté, afin de renforcer l'information des personnes concernées.
Sur ces deux derniers points, la commission prend note que le ministère complétera l'arrêté en mentionnant les contrôles portant sur les membres et personnels des opérateurs agréés, d'une part, et l'existence de mises en relation ou de rapprochements de fichiers dans le cadre du présent traitement, d'autre part.
4° S'agissant de la transmission d'informations à l'autorité des marchés financiers, l'Autorité de contrôle prudentiel et de résolution au service mentionné à l'article L. 561-23 du code monétaire et financier (la cellule de renseignement financier TRACFIN), à l'Autorité administrative chargée de la concurrence et de la consommation, à la Commission nationale des sanctions, au Parquet et à l'Autorité de la concurrence :
En premier lieu, l'ARJEL est tenue, par différentes dispositions législatives, de transmettre des informations :


- au procureur de la République (article 44 de la loi du 12 mai 2010 modifiée), pour signaler des faits susceptibles de recevoir une qualification pénale ;
- au service mentionné à l'article L. 561-23 du code monétaire et financier (la cellule de renseignement financier TRACFIN), pour signaler les faits semblant liés au blanchiment des capitaux ;
- à la Commission nationale des sanctions, sur le fondement de l'article L. 561-38 du code monétaire et financier, en sa qualité d'autorité de contrôle, pour lui signaler les faits semblant caractériser les manquements constatés lors des contrôles effectués en application de l'article L. 561-36-2 du même code ;
- à l'Autorité de la concurrence, orsqu'elle consulte l'ARJEL au sujet de pratiques dont elle est saisie dans le secteur des jeux d'argent et de hasard (article 39-II de la loi du 12 mai 2010 modifiée).


En second lieu, l'article 76 de la loi « Sapin 2 » du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique a ajouté de nouvelles dispositions à la loi du 12 mai 2010 modifiée (les articles 39-1 à 39-3). Celles-ci offrent à l'ARJEL la faculté de coopérer avec l'Autorité des marchés financiers, l'Autorité de contrôle prudentiel et de résolution et avec l'autorité administrative chargée de la concurrence et de la consommation en vue, notamment, de la communication réciproque des renseignements et documents utiles à l'accomplissement de leurs missions respectives. Ces dispositions lèvent par ailleurs le secret professionnel dans le cadre de ces échanges.
La commission rappelle qu'au titre de ses compétences découlant de la loi du 12 mai 2010 modifiée, l'ARJEL est uniquement amenée à sanctionner des personnes morales, à savoir les opérateurs agréés.
Cependant, l'ARJEL est amenée à transmettre des données à caractère personnel, concernant des personnes physiques (les joueurs ou parieurs), aux autorités ci-dessus listées afin de caractériser les manquements des opérateurs agréés à leurs obligations de vigilance concernant la lutte contre la fraude, le blanchiment des capitaux ou le financement du terrorisme, en vue de la sanction de ces derniers par les autorités concernées dans le cadre de leurs compétences propres. Ces manquements peuvent conduire l'ARJEL à identifier des agissements des joueurs ou parieurs pouvant aboutir à une sanction de ces derniers.
Ces personnes physiques ne peuvent cependant être sanctionnées que dans les seuls cas rendant obligatoire une transmission au procureur de la République, à TRACFIN ou à la Commission nationale des sanctions (identification par l'ARJEL de faits susceptibles de recevoir une qualification pénale et de faits semblant liés au blanchiment des capitaux ou au financement du terrorisme).
La commission note que les transmissions d'informations aux autorités ci-avant mentionnées découlent de compétences nouvelles, justifiant que leurs modalités pratiques n'aient pas été définies à ce stade. Aussi, hormis les signalements à TRACFIN, lesquels s'appuieront sur un formalisme et une plateforme dédiée sécurisée, les modalités d'échanges avec les autres autorités seront formalisées à l'occasion de futures conventions bilatérales.
Elle considère que les finalités décrites à l'article 1er du projet d'arrêté sont déterminées, explicites et légitimes.
Sur les données traitées
Les données traitées par l'ARJEL sont mentionnées à l'article 2 du projet d'arrêté et portent sur :


- toute information détenue par les opérateurs agréés concernant chaque joueur (nom, prénoms, sexe, date et lieu de naissance, adresse postale du domicile, le cas échéant adresse de courrier électronique, identifiant permettant l'accès au compte joueur, date d'ouverture du compte joueur, référence du compte de paiement tel que mentionné au dernier alinéa de l'article 17 de la loi du 12 mai 2010, sur lequel les opérateurs agréés reverseront, le cas échéant, les avoirs du joueur) ;
- les données de jeux, à savoir :
- les opérations de compte réalisées par les joueurs ;
- les opérations de jeu réalisées par les joueurs ainsi que toute donnée concourant à la formation du solde du compte joueur ;
- le tirage des cartes réalisé par le générateur de nombres aléatoires pour l'organisation des jeux de cercle ;
- les offres promotionnelles attribuées par l'opérateur sous quelque forme que ce soit, y compris les lots en nature et leur utilisation par les joueurs ;
- les contrôles menés par ses soins et leurs résultats, ainsi que les incidents de jeu et les opérations frauduleuses détectés ;
- dans le cadre du contrôle du respect de l'interdiction de parier, les données d'identification des propriétaires, des dirigeants, des mandataires sociaux et du personnel des opérateurs agréés et des membres et personnels de l'ARJEL (nom, prénoms, date et lieu de naissance) ;
- les catégories de données à caractère personnel et informations relatives aux opérateurs agréés exigées par le cahier des charges mentionné à l'article 20 de la loi du 12 mai 2010.


La commission prend note que les informations ci-dessus listées sont nécessaires afin d'identifier des faits révélateurs de cas de fraude, de blanchiment des capitaux ou de financement du terrorisme.
Interrogé sur la nature des données à caractère personnel et informations relatives aux opérateurs agréés exigées par le cahier des charges mentionné aux articles 20 et suivants de la loi du 12 mai 2010 collectées dans le cadre du présent traitement, le ministère renvoie à la liste figurant aux articles 3.1 à 3.3 dudit cahier des charges. La commission note que ces informations sont collectées par l'ARJEL dans le cadre de l'instruction des dossiers de demande d'agrément des opérateurs.
Ces informations portent, plus précisément, sur l'identification des propriétaires, dirigeants et mandataires sociaux des opérateurs sollicitant l'agrément et les éventuelles condamnations pénales dont ces derniers peuvent avoir fait l'objet. Dans la mesure où la survenance d'une condamnation pénale ou d'une sanction visée dans le cahier des charges peut conduire l'ARJEL à sanctionner l'opérateur concerné, voire lui enjoindre de présenter une nouvelle demande d'agrément, ces informations sont nécessaires à cette dernière dans le cadre des aux finalités prévues à l'article 1er (1° et 2°) du présent projet d'arrêté.
La commission recommande, afin de faciliter l'information des personnes concernées, d'ajouter à l'article 2-IV du projet d'arrêté, la référence des articles du cahier des charges listant les données nécessaires dans le cadre de ces vérifications.
Elle prend acte, sur ce point, que le ministère complétera l'arrêté en mentionnant ladite référence.
La commission estime que les données listées à l'article 2 du projet d'arrêté sont adéquates, pertinentes et non excessives au regard des finalités poursuivies.
Sur les destinataires
L'article 4 du projet d'arrêté distingue les catégories de destinataires selon les finalités des traitements.
Ainsi, outre les autorités légalement habilitées énoncées aux 2°, 3°, 4°, 5°, 6°, 7° et 8° dans le cadre des finalités énoncées aux 2° et 4° de l'article ler, sont destinataires de données :


- les membres du collège et de la commission des sanctions de l'ARJEL, pour les finalités énoncées aux 1°, 2° et 3° de l'article 1er ;
- les autorités de régulation des jeux d'un autre Etat membre de l'Union européenne ou d'un Etat partie à l'accord sur l'Espace économique européen avec lequel l'ARJEL a conclu une convention prévue à l'article 34-V de la loi du 12 mai 2010, dans le cadre du contrôle de l'offre de jeu d'un opérateur agréé proposant une offre de poker mutualisée avec un opérateur contrôlé par une autorité étrangère, en application de l'article 14-II de ladite loi, pour les finalités énoncées aux 1° et 2° de l'article ler.


La commission note que les échanges de données entre l'ARJEL et les autorités de régulation des jeux d'un autre Etat membre de l'Union européenne ou d'un Etat partie à l'accord sur l'Espace économique européen portent sur les données listées à l'article 2 utiles afin de permettre à ces autorités d'exercer leurs missions, notamment en matière de lutte contre la fraude, le blanchiment des capitaux et le financement du terrorisme. S'agissant d'offres partagées de jeux de cercle en ligne, ces informations permettront également aux autorités concernées de coordonner leurs actions.
Elle prend acte que les modalités pratiques d'échanges d'informations entre ces autorités seront définies dans des conventions de coopération. Elle rappelle que les éventuels transferts de données à destination d'Etats situés hors de l'Union européenne devront être réalisés dans les conditions prévues aux articles 68 et suivants de la loi du 6 janvier 1978 modifiée.
La commission considère que les destinataires listés à l'article 4 du projet d'arrêté présentent un intérêt légitime à accéder aux données.
Elle rappelle que les modalités pratiques de transmission et de consultation des données traitées dans le cadre des finalités du présent arrêté doivent être entourées de mesures spécifiques visant à garantir que les destinataires accèdent aux seules données strictement nécessaires et proportionnées au regard de leurs attributions et des risques identifiés.
Sur les durées de conservation des données
Conformément à l'article 5 du projet d'arrêté, les données listées à l'article 2 sont conservées pendant une durée de six ans et six mois à compter de la clôture des comptes joueurs.
Ce délai a été fixé en cohérence avec les dispositions de l'article 10 du décret du 18 mai 2010, qui prévoit que les opérateurs agréés doivent mettre à la disposition de l'ARJEL les données de jeux pendant six ans à compter de la clôture du compte joueur afin de permettre la surveillance des opérations de jeux. L'ARJEL souhaite augmenter cette durée de six mois afin pouvoir demander aux opérateurs agréés d'éventuels compléments d'information nécessaires à l'enquête dans le cadre des contrôles engagés.
Par ailleurs, les données issues des contrôles réalisés (résultats, incidents de jeu et opérations frauduleuses ou liées à des soupçons de blanchiment des capitaux ou de financement du terrorisme détectés) sont conservées pendant la durée de prescription des actions administrative et publique. La commission prend note, sur ce point, que les durées de prescription varient en fonction des infractions liées aux manquements constatés, justifiant le choix du ministère d'opter pour une formulation générique dans le projet d'arrêté.
La commission estime que ces durées de conservation n'excèdent pas celles qui sont nécessaires à l'accomplissement des finalités poursuivies. Elle rappelle qu'à l'expiration de ces périodes, les données doivent être supprimées de manière sécurisée ou archivées à titre définitif, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public.
Sur l'information et les droits des personnes
La commission prend acte que, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, l'ARJEL assurera l'information de ses personnels et membres par voie interne (document remis lors de l'entrée en fonction et affichage), ainsi que des joueurs et parieurs, au moyen d'une mention légale publiée sur son site web.
Enfin, les conventions de coopération conclues entre l'ARJEL et les autorités de régulation des jeux des Etats membres de l'Union européenne ou d'autres Etats parties à l'accord sur l'Espace économique européen préciseront les modalités d'information des joueurs et parieurs des opérateurs régulés dans ces pays tiers.
La commission prend note que l'ARJEL développe des formes de droits d'accès mixtes, à la fois directs et indirects. En effet, les droits d'accès et de rectification s'exercent directement auprès de la direction juridique de l'ARJEL, à l'exception du droit d'accès des données issues du traitement ayant pour finalité la recherche et l'identification de tout fait commis par un joueur ou un parieur, susceptible de constituer une fraude ou de relever du blanchiment des capitaux ou du financement du terrorisme, faisant l'objet d'un droit d'accès indirect, conformément aux dispositions des articles 41 et 42 de la loi du 6 janvier 1978 modifiée.
Elle relève enfin que l'article 6 du projet d'arrêté écarte l'application du droit d'opposition pour des motifs légitimes, comme le permet le dernier alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée.
Sur les mesures de sécurité
Les traitements s'appuient sur des données collectées dans le cadre des missions de l'ARJEL. Pour rappel, le traitement initial, relatif au contrôle des données de jeux par l'ARJEL, est mis en œuvre sur le réseau interne de l'ARJEL selon les modalités suivantes :
1° Les données sont téléchargées depuis les infrastructures des opérateurs agréés via des connexions HTTPS avec authentification par certificat des deux parties. Les données récupérées sont alors sous forme chiffrée. L'ARJEL a mis en place sa propre infrastructure de gestion des clés (IGC) pour gérer les certificats la concernant pour ces connexions. Cette IGC est mise en œuvre sur un serveur Linux isolé de tout réseau. Les transferts se font par clef USB quand cela s'avère nécessaire ;
2° Les données sont ensuite transférées vers un serveur de déchiffrement via des connexions sécurisées traversant deux firewalls ;
3° Les données sous forme chiffrée et sous forme déchiffrée sont alors stockées sur un volume d'une baie de stockage ;
4° Une extraction d'un sous-ensemble de données est automatiquement réalisée et ce corpus est transféré via un protocole sécurisé vers un serveur de base de données ;
5° Le corpus réduit de données est inséré dans la base de données puis les fichiers du transfert sont effacés. Cette base de données n'est pas chiffrée et n'est accessible qu'à trois agents.
Sur la partie du réseau permettant les échanges de données, celles-ci sont stockées dans un espace réservé, dont les droits d'accès discrétionnaires sont affectés aux seuls agents habilités.
Des mécanismes d'anonymisation sont mis en œuvre dans le traitement lors d'export de données à des fins d'études ou d'échanges avec les opérateurs. Suivant les cas, les données peuvent être supprimées (exemple : suppression des noms, prénoms, dates de naissance, adresse courriel, adresses postales, adresses IP) ou leur précision peut être diminuée (par exemple : modification de la date de naissance en année de naissance ou du lieu de naissance en département de naissance).
La politique de gestion des mots de passe est conforme à la recommandation de la commission.
La commission observe qu'aucune traçabilité n'est mise en œuvre dans le cadre des présents traitements. Toutefois, compte tenu des mesures techniques et organisationnelles très strictes par ailleurs mises en place par l'ARJEL, elle considère que cette mesure ne s'avère pas nécessaire en l'espèce.