Sur la proposition de M. Alexandre LINDEN, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministère des sports d'un projet de décret en Conseil d'Etat modifiant les dispositions du code du sport relatives au traitement automatisé de données à caractère personnel pour la mise en œuvre du profil biologique des sportifs mis en œuvre par l'Agence française de lutte contre le dopage (AFLD).
En vertu des articles L. 232-12-1 et L. 232-22-1 du code du sport, issus de la loi n° 2012-348 du 12 mars 2012 tendant à faciliter l'organisation des manifestations sportives et culturelles, les prélèvements biologiques effectués dans le cadre de la lutte contre le dopage peuvent avoir pour objet d'établir le profil biologique des sportifs.
Il s'agit d'un dispositif complémentaire à la détection traditionnelle du dopage qui permet, conformément aux recommandations de l'Agence mondiale antidopage (AMA), de détecter indirectement le dopage à partir de ses effets sur l'organisme, à savoir à partir des variations anormales de paramètres biologiques déterminés, et plus seulement à partir de la présence de substances interdites dans le corps humain.
Le décret n° 2013-1317 du 27 décembre 2013, pris après avis de la Commission, a autorisé l'AFLD à créer un traitement automatisé de données à caractère personnel visant à faciliter l'établissement du profil biologique des sportifs mentionnés à l'article L. 232-15 du code du sport et à orienter les contrôles antidopage les concernant.
En conformité avec les recommandations de l'AMA, l'article 3 de la loi n° 2016-1528 du 15 novembre 2016 étend le champ d'application du profil biologique du sportif à l'ensemble des sportifs tels que définis par le code du sport (art. L. 230-3 du code du sport).
Le projet de décret soumis pour avis à la Commission (ci-après « le projet ») a pour objet de prendre en compte :
- l'extension du champ d'application du profil biologique à l'ensemble des sportifs tel que défini à l'article L. 230-3 du code du sport ;
- l'allongement du délai de prescription applicable pour la répression, sur le plan disciplinaire, des manquements à la réglementation antidopage.
Le traitement projeté a notamment pour objet la prévention, la recherche, la constatation et la poursuite des infractions à la réglementation antidopage et porte sur des données relatives à la santé des personnes concernées.
Conformément aux dispositions de l'article 26-II de la loi du 6 janvier 1978 modifiée (ci-après la loi « Informatique et Libertés »), il doit dès lors être autorisé par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission.
La commission attire l'attention du ministère sur l'importance de délivrer une information claire et complète et de mettre en œuvre des procédures effectives en matière de respect des droits au vu du nombre de personnes susceptibles d'être concernées par l'établissement du profil biologique.
Sur la durée de conservation des données :
L'article 5 du projet porte de huit à dix ans le délai de conservation des données.
Le ministère a précisé qu'il s'agit de tirer les conséquences de l'allongement du délai de prescription applicable pour la répression, sur le plan disciplinaire, des manquements à la réglementation antidopage, en vertu de l'article L. 232-24-1 du code du sport tel qu'il résulte de la modification apportée par l'article 26 de l'ordonnance n° 2015-1207 du 30 septembre 2015 relative à la transposition des principes du code mondial antidopage.
Sur la sécurité des données et la traçabilité des actions :
La commission estime que l'extension du champ d'application du profil biologique des sportifs implique d'en tirer les conséquences sur le traitement des données à caractère personnel et notamment sur les garanties mises en œuvre pour assurer le respect des obligations découlant de l'article 34 de la loi« Informatique et Libertés ».
Des profils d'habilitation définissent les fonctions ou les types d'informations accessibles à un utilisateur.
La commission constate que la politique de mot de passe prévue par le responsable de traitement n'est pas conforme à sa délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe, en ce qu'elle ne prévoit pas l'utilisation d'au moins trois types de caractères différents. Elle recommande donc au responsable de traitement de revoir sa politique de mot de passe sur ce point.
La commission rappelle que les équipements mobiles doivent faire l'objet de mesures de chiffrement afin de garantir la confidentialité des données qu'ils contiennent en cas de perte ou de vol de l'équipement.
Par ailleurs, la commission considère que la nature des données exige que celles-ci fassent l'objet de mesures de chiffrement conformes à l'annexe B1 du référentiel général de sécurité tant au niveau des bases de données que des sauvegardes.
Les accès au traitement se font via le protocole HTTPS, qui permet de garantir la confidentialité des données échangées ainsi que l'authentification du responsable de traitement. Concernant le recours à ce protocole, la commission recommande d'utiliser la version de TLS la plus à jour possible.
La consultation du portail de l'AMA pouvant être réalisée depuis n'importe quel terminal, dès lors que l'utilisateur dispose des bons identifiants, la commission recommande la mise en place d'une restriction par identification de l'adresse IP, afin de renforcer le contrôle de l'accès au traitement de l'AMA.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi « Informatique et Libertés ». La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.