Après avoir entendu M. Christian KERT, commissaire en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le projet de décret, dont la Commission a été saisie, fait suite à l'ordonnance n° 2019-1015 du 2 octobre 2019 réformant la régulation du secteur des jeux d'argent et de hasard, sur laquelle la CNIL avait rendu un avis par délibération n° 2019-116 du 12 septembre 2019.
Le projet de décret modifie deux décrets qui avaient été pris en application de la loi n° 2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne :
- le décret n° 2010-518 du 19 mai 2010 relatif à la mise à dispositif de l'offre de jeux et de paris par les opérateurs agréés de jeux ou de paris en ligne qui déterminait les modalités d'ouverture, de gestion et de clôture du compte joueur créés sur les sites de jeux et paris en ligne des opérateurs agréés ;
- le décret n° 2010-509 du 18 mai 2010 relatif aux obligations imposées aux opérateurs agréés de jeux ou de paris en ligne en vue du contrôle des données de jeux par l'Autorité de régulation des jeux en ligne, qui prévoyait le contrôle des données de jeux par l'ARJEL.
Le projet de décret modifie également, en son titre III, certaines dispositions du Code du sport relatives aux traitements de données à caractère personnel concernant les paris sportifs.
Le projet de décret appelle les observations suivantes de la part de la Commission.
Sur la mise à disposition de l'offre de jeux et de paris par les opérateurs agréés de jeux ou de paris en ligne et par les opérateurs titulaires de droits exclusifs (Titre 1er)
Le projet de décret élargit les dispositions déjà prévues, puisqu'elles ne concernent plus uniquement les offres de jeux et de paris en ligne, mais également les offres de jeux des opérateurs titulaires de droits exclusifs.
Le projet d'ordonnance sur lequel la Commission a rendu un avis, introduisait l'obligation de création d'un « compte joueur identifié » pour les jeux sur les terminaux physiques sans intermédiation humaine, c'est-à-dire sur les bornes de jeux en réseau physique de distribution. Toutefois, l'ordonnance n° 2019-1015 du 2 octobre 2019 semble étendre l'obligation au réseau physique de distribution, sans préciser le support utilisé.
A cet égard, la Commission remarque que le projet de décret pourrait utilement clarifier, lorsqu'il évoque le « compte joueur en réseau physique de distribution » (articles 2, 5 et 15 notamment), que cela ne concerne que les terminaux physiques sans intermédiation humaine ou bornes de jeux, et non tout type de jeux en réseau physique de distribution.
Sur les mentions d'information devant être portées à la connaissance des joueurs
A titre liminaire, la Commission relève que l'article 1er du projet de décret indique que les règlements portant conditions générales de l'offre de jeux ou de paris doivent comporter « les informations exigées en application de l'article 104 de la loi du 6 janvier 1978 susvisée. »
Or, les traitements mis en œuvre dans le cadre de l'offre de jeux relèvent du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD), et non de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, dont l'article 104 de la loi « informatique et libertés » est l'une des transpositions.
De manière générale, la Commission rappelle qu'en application de l'article 12 du RGPD, les mentions d'information prévues à ses articles 13 et 14 qui devront être portées à la connaissance des joueurs concernés, doivent être concises, transparentes, compréhensibles, aisément accessibles et exprimées en des termes clairs et simples.
Sur les vérifications des interdits de jeux par l'opérateur de jeux
L'article 23 du projet de décret modifie l'ancien article 22 du décret n° 2010-518 du 19 mai 2010 en prévoyant qu'une telle vérification par l'opérateur de jeux devra intervenir non pas « au moins tous les huit jours » mais tous les « sept jours » et se fera par l'intermédiaire du système d'information de l'ANJ.
Les modalités de cette vérification, ainsi que les modalités techniques de connexion au système d'information de l'Autorité Nationale des Jeux, seront déterminées par l'ANJ.
En l'absence de précision à ce stade sur ces modalités, la Commission rappelle que les opérations de vérification constituent un traitement de données à caractère personnel soumis au Règlement général sur la protection des données et à la loi n° 78-17 modifiée du 6 janvier 1978.
Sur les mécanismes de lutte contre le jeu excessif ou pathologique
Le projet de décret conserve le mécanisme d'auto-limitation prévu par le décret de 2010, qui consiste à demander au joueur qui ouvre un compte d'encadrer sa capacité de jeu en fixant le montant total maximal des dépôts et mises qu'il pourra réaliser sur une période de sept jours. Il ajoute que le joueur peut modifier ces limites à tout moment « par un dispositif aisément accessible », sans toutefois préciser lequel.
L'article 17 étend ce mécanisme d'auto-limitation aux jeux de cercle en ligne et prévoit que « L'opérateur affiche en permanence un compteur du temps de jeu effectif déjà réalisé sur la période considérée. Il avertit le joueur que cette limite sera bientôt atteinte par l'affichage d'un message d'alerte lorsque 75 % du temps de jeu s'est écoulé ou au plus tard 30 minutes avant l'échéance, puis de nouveau dix minutes avant celle-ci. »
Cette extension du mécanisme d'auto-limitation suppose de collecter des données relatives au temps passé par une personne à jouer, là où les mécanismes prévus par le décret de 2010 ne visaient qu'une limite en termes de montant financier. Pour autant, une telle collecte semble proportionnée au regard de la finalité légitime de transparence et d'avertissement poursuivie.
Enfin, le projet de décret maintient en son article 19 l'existence d'une procédure d'auto-exclusion consistant pour l'opérateur à « offrir en permanence au joueur la possibilité de demander par un dispositif aisément accessible son exclusion du jeu », sans toutefois préciser lequel. Il modifie également la période d'exclusion qui ne pouvait auparavant être inférieure à sept jours et ne peut désormais être inférieure à vingt-quatre heures ni supérieure à douze mois.
Ces dispositions n'appellent pas d'observations particulières de la Commission.
Sur l'identification des joueurs excessifs ou pathologiques
Le projet de décret fait référence en son article 24 à l'existence d'un nouveau dispositif d'identification et d'accompagnement des joueurs excessifs ou pathologiques par les opérateurs de jeux.
Ce dispositif ne fait toutefois l'objet d'aucune description et il est renvoyé à des orientations cadres de l'ANJ approuvées par arrêté du ministre chargé de la santé pour la détermination des critères et modalités de mise en œuvre du dispositif.
Le projet de décret prévoit que le dispositif s'appuiera « sur l'observation et l'analyse croisées d'indicateurs quantitatifs et qualitatifs », liés notamment :
- aux comportements de jeu et de dépôts ;
- à l'utilisation des mécanismes d'auto-limitation et d'auto-exclusion ;
- aux échanges entre le joueur et l'opérateur ou le détaillant ;
- à tout fait porté à la connaissance de l'opérateur susceptible d'indiquer que le joueur souffre de problèmes d'addiction aux jeux d'argent.
Les notions ci-dessus peuvent, par leur caractère très large, aboutir à une collecte particulièrement importante de données dont certaines potentiellement « sensibles » en ce qu'elles pourraient révéler des données relatives à la santé des personnes, en tant que joueurs « pathologiques ».
De surcroît, le traitement des éléments précités pourrait aboutir à une prise de décision fondée sur le profilage des joueurs et produisant des effets juridiques les concernant ou les affectant de manière significative de façon similaire.
A cet égard, la Commission rappelle que la possibilité de prendre des décisions exclusivement automatisées, sans qu'un humain n'intervienne dans le processus, doit être « autorisée par le droit de l'Union ou le droit de l'Etat membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée », conformément à l'article 22 du RGPD. A ce jour, il n'apparaît pas que le droit positif autorise le recours à de telles décisions automatisées. Au surplus, de telles décisions ne pourraient être fondées sur des données dites « sensibles » visées à l'article 9.1 du RGPD, sauf si les articles 9.2.a) ou 9.2.g) du RGPD trouvaient à s'appliquer et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée soient en place.
En l'état, le texte soumis à l'avis de la Commission ne prévoit toutefois pas une telle prise de décisions exclusivement automatisée.
De manière générale, la Commission relève que le traitement induit par ce dispositif réunit trois critères sources de risques pour les personnes concernées, à savoir : (i) un potentiel profilage des personnes, (ii) afin de détecter des états « pathologiques », (iii) et pouvant aboutir à une prise de décision affectant les joueurs de manière significative.
Dès lors, ce traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques et devra faire l'objet d'une analyse d'impact sur la protection des données à caractère personnel, préalablement à sa mise en œuvre, conformément à l'article 35 du RGPD.
A cet égard, la Commission note que les critères et modalités de mise en œuvre du dispositif d'identification et d'accompagnement des joueurs excessifs ou pathologiques seront déterminés par de futures orientations cadres de l'ANJ, approuvées par arrêté du ministre chargé de la santé.
Ces orientations cadres pourraient intégrer des garanties de nature à limiter les impacts des traitements réalisés par les opérateurs et guider ces derniers dans la réalisation de leur analyse.
Sur la mise à disposition de données à l'ANJ par les opérateurs agréés de jeux ou de paris en ligne et par les opérateurs titulaires de droits exclusifs (Titre II)
Le projet de décret prévoit, comme le faisait le décret n° 2010-123 du 12 mai 2010, les caractéristiques principales du « frontal » (le dispositif technique permettant de garantir une traçabilité des opérations de jeu et de générer et de transmettre des rapports sur l'activité de jeu à l'ANJ) et précise les catégories de données mises à la disposition de la nouvelle ANJ ainsi que leur durée de conservation.
Sur les durées de conservation des données
La Commission appelle l'attention du ministère sur l'intérêt de préciser dans le projet de décret la durée de conservation des données issues de comptes joueurs inactifs, afin d'éviter que celles-ci ne soient conservées de manière illimitée en l'absence de clôture par le joueur ou l'opérateur concerné.
Sur les traitements de données à caractère personnel relatives aux paris sportifs (Titre III)
Sur les traitements mis en œuvre par les fédérations sportives délégataires
L'ordonnance n° 2019-1015 du 2 octobre 2019 modifie l'article L. 131-16-1 du code du sport qui prévoit désormais que les fédérations sportives délégataires peuvent, en plus d'interroger l'ANJ pour les opérations de jeux en ligne enregistrées par un opérateur agréé, interroger la FDJ pour les autres opérations de jeu dans le cadre desquelles elle identifie et vérifie l'identité des parieurs et s'assure que ces derniers ont respecté leur interdiction de parier.
Les traitements de données personnelles mises en œuvre par la FDJ
Le projet de décret ajoute un nouvel article R. 131-38-1 au code du sport qui autorise, pour l'application des articles L. 131-16 et L. 131-16-1 du code du sport, la FDJ à mettre en œuvre des traitements automatisés de données à caractère personnel concernant les parieurs et les prises de jeu effectuées sur les paris sportifs qu'elle organise.
La finalité de ces traitements est le contrôle de l'interdiction de parier demandé par une fédération sportive délégataire en application de l'article L. 131-16-1 du code du sport. Une telle finalité apparaît déterminée, explicite et légitime.
Les données relatives aux joueurs et à leurs prises de jeu sont traitées lorsque celles-ci :
- sont effectuées au moyen d'un compte joueur dont la mise à la disposition de son titulaire donne lieu à l'identification de celui-ci et à la vérification de son identité conformément aux dispositions du I de l'article L. 561-5 du code monétaire et financier ;
- sont liées à des sommes misées ou gagnées excédant le seuil calculé par reçu de jeu mentionné à l'article L. 561-13 du code monétaire et financier ;
- sont afférentes à des lots ou gains dont la FDJ procède au paiement groupé et au moyen de monnaie scripturale, dès lors que leur total cumulé excède le seuil mentionné à l'article 10 du décret du 17 octobre 2019 susvisé ;
- ont été détectées comme participant d'atypisme par la FDJ, marquées et suivies par celle-ci dans le cadre de la mise en œuvre, conformément aux dispositions de l'article 10 du décret du 17 octobre 2019 susvisé, des mesures visant à prévenir les risques d'une exploitation des jeux d'argent relevant du présent projet de décret et des fins frauduleuses et à lutter contre le blanchiment de capitaux.
Elles portent par ailleurs sur :
- l'identité des joueurs (nom de famille, nom d'usage, prénoms, date et lieu de naissance) ;
- leurs prises de jeu (date et heure des prises de paris, montant des sommes misées, formules de paris jouées, compétition support des paris, pertes ou gains, date et heure de versement des gains éventuels).
Les données rappelées ci-dessus apparaissent adéquates et pertinentes au regard des finalités envisagées, dans la mesure où elles permettront aux fédérations délégataires de contrôler que les acteurs des compétitions qui font l'objet d'une interdiction de parier ont bien respecté cette interdiction.
Les rapprochements de données au titre des contrôles demandés par les fédérations délégataires
Le projet de décret prévoit que, comme le faisait l'ancienne ARJEL et désormais l'ANJ, la FDJ procède aux contrôles demandés par une fédération délégataire en rapprochant le fichier transmis par celle-ci du traitement automatisé de données qu'elle met en œuvre concernant les joueurs et leurs prises de jeux conformément à l'article R. 131-38-1.
Le projet de décret précise également que ces demandes de contrôles adressées par les fédérations délégataires peuvent porter sur les prises de paris sportifs effectués dans les vingt-quatre derniers mois.
Droits des personnes
Les droits d'accès et de rectification des personnes concernées, qui s'exerçaient jusqu'alors uniquement à l'égard de l'ancienne ARJEL devenue ANJ, peuvent désormais s'exercer également auprès du délégué à la protection des données de la FDJ dans les conditions prévues aux articles 49 et 50 de la loi n° 78-17 du 6 janvier 1978.
Le droit d'opposition prévu à l'article 56 de la loi ne s'applique pas, dans la mesure où les traitements mis en œuvre par l'ANJ ou la FDJ sont issus d'obligations légales.
De tels éléments sont conformes et n'appellent pas d'observations de la part de la Commission.
La Commission rappelle toutefois que les personnes concernées par les traitements envisagés devront également être informées des traitements qui sont réalisés à l'égard de leurs données à caractère personnel conformément à l'article 48 de la loi n° 78-17 du 6 janvier 1978 et à l'article 13 du RGPD.
Sur les traitements mis en œuvre par les organisateurs de manifestations ou de compétitions sportives
La loi n° 2015-1541 du 27 novembre 2015 visant à protéger les sportifs de haut niveau et professionnels et à sécuriser leur situation juridique et sociale a introduit un nouvel article L. 333-1-4 dans le code du sport.
Aux termes de cette disposition, l'organisateur d'une manifestation ou d'une compétition sportive mentionnée à l'article L. 331-5 qui interdit à ses acteurs d'engager directement ou par personnes interposées des mises sur des paris reposant sur cette manifestation ou cette compétition sportive, peut, en vue de sanctionner les manquements à cette interdiction, demander à l'ARJEL l'accès à des informations personnelles relatives à des opérations de jeu enregistrées par un opérateur de jeux agréés.
Il s'agit du même dispositif que celui vu précédemment pour les fédérations délégataires, qui permet aux organisateurs de ces manifestations ou compétitions de vérifier que les acteurs faisant l'objet d'une interdiction de parier sur celles-ci se sont effectivement abstenus.
L'ordonnance n° 2019-1015 du 2 octobre 2019 a modifié l'article L. 333-1-4 du code du sport, qui prévoit désormais que les organisateurs de compétitions ou de manifestations sportives peuvent, en plus d'interroger la nouvelle ANJ (anciennement ARJEL) pour les opérations de jeux en ligne enregistrées par un opérateur agréé, interroger la FDJ pour les autres opérations de jeu dans le cadre desquelles elle identifie et vérifie l'identité des parieurs.
Les apports du projet de décret au sein du code du sport sont donc le résultat de l'extension du champ d'application de l'article L. 333-1-4 du code du sport à la FDJ. Ils transposent simplement les dispositions qui concernaient l'ancienne ARJEL et désormais ANJ à la FDJ.
Les modifications opérées par le projet de décret au sein des articles R. 333-5 et suivants du code du sport étant la transposition des modifications effectuées pour les fédérations délégataires, la Commission réitère les observations formulées ci-avant sur les traitements mis en œuvre par les fédérations délégataires.