En 2013, la Présidente de la CNIL a mis en demeure la société Paris-Saint-Germain Football. Le PSG avait créé une liste dexclusion de supporters et la transmettait à Paris Handball sans en demander lautorisation préalable à la CNIL. Sur la base de cette affaire et de quelques autres, un projet de règlement européen a vu le jour visant à simplifier et renforcer les droits des citoyens. Ce nouveau texte va bousculer les habitudes du monde du sport. Explications.
Suite à une attaque en avril 2011, Sony reconnaissait que des informations sensibles sur les clients de son PlayStation Network ainsi que des données bancaires avaient été consultées voire même subtilisées. Cest alors que 70 millions de personnes apprenaient que leur nom, adresse, e-mail, date danniversaire et mot de passe avaient été exposés «dans le cadre dune intrusion non autorisée et illégale». Plus proche de nous, en 2013, la Présidente de la CNIL a mis en demeure la société Paris-Saint-Germain Football. Le PSG avait créé une liste dexclusion de supporters et la transmettait à Paris Handball sans en demander lautorisation préalable à la CNIL.
Le scandale Sony illustre l’enjeu économique
Depuis le 24 novembre dernier la société Sony Pictures est au plus mal : elle doit faire face à la plus grosse fuite connue de données volées à une entreprise. Ce faisant elle illustre tristement le pouvoir économique des données et une nouvelle forme de pouvoir. De nombreux documents internes ont été publiées et le nombre de fichiers diffusés, leur caractère hautement confidentiel (documents juridiques, ressources humaines, marketing, scripts de films inédits, e-mails privés…) représente une centaine de térabytes de documents soit presque 22 000 DVD. Cette hémorragie de données a valu à la vice-présidente de Sony de présenter officiellement ses excuses au président Obama pour des emails dont le contenu a été jugé raciste puis à démissionner.
Les données personnelles dans le sport, un classique
Des données personnelles sont couramment traitées dans le contexte de manifestations sportives. Et il arrive souvent que le traitement des données aille au-delà de ce qu’exige le bon déroulement d’une manifestation sportive: les organisateurs proposent ainsi des services de communication des résultats intermédiaires ou définitifs par SMS, publient des palmarès sur Internet, voire transmettent des listes de noms de participants à des sponsors à des fins publicitaires. Certaines de ces pratiques ne sont pas sans poser problème du point de vue de la protection des données sans compter que devant la récurrence des atteintes à la sécurité le régulateur a souhaité réagir.
Le texte applicable en la matière est à la fois jeune du point de vue du droit : seulement 20 ans, mais fait aussi figure de vieillard au regard du traitement des données. La Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données vise à protéger le droit à la vie privée et à harmoniser la protection des données personnelles en facilitant notamment leur échange à travers les frontières. Cest toujours le texte en vigueur .Mais il y a 20 ans, les réseaux sociaux nexistaient pas, Facebook est né en 2004, Twitter en 2006 et cétait sans compter sur la création exponentielle du nombre de données : 2,5 exaoctets de données sont créées chaque jour, soit léquivalent de la valeur de texte environ 40 000 millions d’armoires de classeurs et seulement 5% dentre elles sont analysées et ce nombre double tous les 40 mois. Chaque seconde internet voit passer plus de données que celles stockées dans le monde entier il y a 20 ans.
Souhaitant simplifier et renforcer les droits des citoyens (comme par exemple le droit à loubli) la volonté dun projet de règlement européen a vu le jour sous le poids de la nécessité.
Cest ainsi que ce projet prévoit des sanctions très lourdes dans son article 79 : 5% du chiffre daffaire global dun groupe avec un minimum de 100 millions deuros. La menace de la sanction mérite à chacun de porter une attention toute particulière à ce texte.
« Le règlement rend les organismes comptables de la gestion de leurs données »
Pierre Desmarais, Avocat au Barreau de Paris et Correspondant Informatique et Libertés (CIL), exerce une activité de conseil en droit de la santé et des nouvelles technologies. Il nous livre son analyse sur ce projet de règlement européen. « Le règlement va impacter le monde du sport à tous les niveaux, de lassociation sportive municipale à la fédération en passant par lAgence Française de Lutte contre le Dopage (AFLD). Il ny a évidemment pas que le PSG qui utilise des données personnelles. Pour éviter ces situations, le règlement rend les organismes comptables de la gestion de leurs données. Ils devront désormais non plus déclarer leur conformité au droit de la protection des données, mais bel et bien la démontrer. La mesure emblématique, à cet égard, sera linstauration du Data Protection Officer (DPO). Chargé de conseiller son employeur dans lutilisation de données personnelles, faire linterface entre lui et la CNIL mais également de mener des études de risque et de veiller à lefficacité des mesures de sécurité mises en place, il sera désigné en raison non seulement de ses compétences juridiques et technologiques mais également de sa connaissance du secteur dactivité : ici, le sport. A la différence du Correspondant Informatique et Libertés (CIL) français, le DPO devra pouvoir justifier de ces qualités. Lexigence est logique vu sa place prépondérante dans le nouveau dispositif. »
Des coûts supplémentaires pour les clubs
Pourquoi est-ce particulièrement important en matière sportive ? Les qualités exigées du DPO en feront une ressource aussi rare que précieuse. Or, le Conseil et le Parlement européen discutent encore pour savoir si ce DPO sera obligatoire, ce qui aurait des conséquences pécuniaires importantes. « Le Parlement souhaite aller en ce sens pour les organismes traitant les données de plus de 5 000 personnes seuil atteint rapidement ou des données sensibles, comme les données relatives à létat de santé. Or, en la matière, la quasi-totalité des organismes ont accès à de telles données, ne serait-ce quavec les certificats médicaux daptitude. Heureusement, le Conseil est plus souple et propose que le DPO ne puisse être rendu obligatoire que dans des domaines précis. Cette vision est plus pragmatique. On ne peut exiger le même investissement dans la protection des données personnelles de la part des grands clubs que des associations sportives. Les enjeux et les moyens ne sont pas les mêmes. Protéger les données des sportifs, oui, mais pas au point détouffer le milieu sous les contraintes juridico-techniques ! »
Le projet de règlement devrait sappliquer dans un horizon à deux ans avec un large spectre puisquil concerne toute personne traitant des données personnelles dun citoyen de lUnion Européenne. Aussi, il convient de préparer son organisation à la venue de ce règlement qui pose de nouvelles obligations de sécurité (mise en place de procédures spécifiques et de tests, analyse de risque ), la simple mise en place doutils et de rigueur comme une structure informatique et libertés solide, la formation des opérationnels, la désignation dun correspondant informatique et liberté peuvent dores et déjà permettre à toutes les organisations : fédérations, clubs, sociétés danticiper larrivée de ce règlement et de pouvoir prétendre le moment venu au label européen de protection des données. En attendant il convient dauditer ses traitements et former ses équipes !
Par Lydie Emeraud
Juriste fiscaliste contentieux négociation Droit du Sport – La Sorbonne Membre des équipes de France parachutisme en 2003/2006 – mémoire: sur le traitement des données dans le sport.
emeraudlydie@gmail.com