« L’informatique doit ĂŞtre au service de chaque citoyen. Son dĂ©veloppement doit s’opĂ©rer dans le cadre de la coopĂ©ration internationale. Elle ne doit porter atteinte ni Ă l’identitĂ© humaine, ni aux droits de l’homme, ni Ă la vie privĂ©e, ni aux libertĂ©s individuelles ou publiques. »
La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés introduit de cette manière, dans son article 1, les enjeux attachés à la protection des données personnelles des individus, dans un monde confronté au développement rapide des solutions informatiques permettant le traitement aisé de telles données.
La loi s’applique de manière large, à l’ensemble des traitements automatisés de données à caractère personnel, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles.
Les entreprises et associations sportives sont directement concernées par le droit des données à caractère personnel à plusieurs titres, au titre de leur gestion du personnel, de la gestion des membres de l’association, de la billetterie mise en œuvre, d’opérations réalisées auprès d’abonnés, de prospects, etc.
Dans ce cadre, il importe de rappeler les principes généraux de la loi, de rappeler les obligations à charge du responsable du traitement, notamment au regard des formalités préalables à mettre en œuvre auprès de la Cnil, ainsi que des obligations d’information concernant les personnes physiques concernées.
C’est la Cnil (Commission nationale de l’informatique et des libertés) qui est chargée de veiller au respect de cette loi sur le territoire français.
1. Les missions de la Cnil
La Cnil est une autorité administrative indépendante.
La Cnil est composée de dix-sept membres, parmi lesquels on compte, notamment, deux députés et deux sénateurs désignés respectivement par leur chambre d’origine, trois personnalités qualifiées, pour leur connaissance de l’informatique ou des questions touchant aux libertés individuelles, nommées par décret, ou encore deux personnalités qualifiées pour leur connaissance de l’informatique, désignées par le président de l’Assemblée nationale et le président du Sénat.
Les membres accomplissent un mandat de cinq ans, renouvelable une fois.
La Cnil est aujourd’hui présidée par Alex Türk, sénateur.
Elle a pour mission d’informer toutes les personnes concernées par un traitement de données à caractère personnel, ainsi que tous les responsables de traitement de leurs droits et obligations au regard de la loi Informatique et libertés.
Il lui revient également de veiller à ce que les traitements de données à caractère personnel soient mis en œuvre conformément à la loi.
À ce titre, elle doit être sollicitée afin d’autoriser les traitements portant sur des données particulièrement sensibles.
La Cnil a également un rôle de rédaction de normes destinées à simplifier l’obligation de déclaration des responsables de traitement, pour les catégories les plus courantes de traitement, dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés.
Elle a également la charge d’éditer des règlements types en vue d’assurer la sécurité des systèmes.
Son rôle s’étend également à la réception des réclamations, pétitions et plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et à l’information des auteurs sur les suites données à celles-ci.
Enfin, elle peut être sollicitée par le biais de demandes d’avis émanant des pouvoirs publics ou des juridictions sur des problématiques particulières relatives à la loi Informatique et libertés. Elle est également consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l’égard des traitements automatisés. Son avis est, dans cette hypothèse, rendu public.
La Cnil a, en corollaire de ses missions, un pouvoir de contrôle et de vérification portant sur tout traitement mis en œuvre.
Depuis la réforme du 6 août 2004, la Cnil peut également, à l’issue d’une procédure contradictoire, prononcer des sanctions à l’encontre de responsables de traitement ne respectant pas la loi dont elle assure le respect.
Celles-ci peuvent aller de l’avertissement à une sanction pécuniaire pouvant atteindre 300 000 euros, en cas de récidive, en passant notamment par une mise en demeure ou une injonction de cesser le traitement.
Ces sanctions sont prises par la formation contentieuse de la Cnil, composée de six membres se réunissant au moins une fois par mois.
Les décisions de la Cnil peuvent faire l’objet de recours devant la juridiction administrative.
Saisie par un avocat, la Cnil mène une enquête sur l’éventuelle contribution par le Paris Saint-Germain (le PSG) d’une liste de supporters indésirables, en dehors de tout cadre légal.
La plupart de ces ex-supporters seraient en opposition avec la direction du club sur la politique mise en œuvre par celui-ci et ne feraient l’objet d’aucune interdiction de stade.
2. DĂ©finitions
Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Il peut s’agir du nom, du numéro d’immatriculation, du numéro de téléphone, de la photographie, d’éléments biométriques tels que l’empreinte digitale, l’ADN, etc., et, plus généralement, de toute information qui, sans être associée au nom d’une personne, peut permettre de l’identifier et de connaître ses habitudes ou ses goûts.
En revanche, la loi Informatique et libertés ne s’applique pas aux personnes morales. Ainsi, par exemple, un fichier comprenant des noms de sociétés ne relève pas du champ d’application de cette loi, en dehors des hypothèses où il contiendrait des noms de personnes physiques.
Le traitement en lui-même de données à caractère personnel correspond à toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé, et notamment, la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
À titre d’illustration, le fichier de gestion des joueurs d’une équipe de handball, afin d’assurer leur rémunération, le fichier des membres d’une association, un fichier de badges pour l’accès aux locaux… constituent de tels traitements soumis à l’application de la loi Informatique et libertés.
La loi Informatique et libertés met à la charge du responsable du traitement un certain nombre d’obligations qui seront examinées ci-après.
Est considérée comme le responsable du traitement la personne physique ou morale qui détermine les finalités et les moyens des opérations appliquées à des données à caractère personnel.
Afin d’identifier le responsable du traitement, il est possible de s’interroger sur les questions suivantes :
– Ă quoi servira le traitement et comment fonctionnera-t-il ?
– qui s’en sert ?
Le responsable du traitement doit être distingué des personnes qui interviennent dans le cadre de sa mise en œuvre et, notamment, des sous-traitants qui ne peuvent agir que sous l’autorité du responsable du traitement et sur instruction de celui-ci.
L’existence d’une relation de sous-traitance ne décharge pas le responsable du traitement de sa responsabilité vis-à -vis du respect de la loi Informatique et libertés.
3. Les formalités préalables à accomplir avant toute mise en œuvre d’un traitement de données à caractère personnel
De principe, l’ensemble des traitements automatisés de données à caractère personnel doit faire l’objet d’une déclaration préalable auprès de la Cnil.
a) La déclaration normale
La déclaration normale comporte l’engagement émanant du responsable du traitement, selon lequel le traitement satisfait aux exigences de la loi.
Elle doit être adressée à la Cnil qui délivre, sans délai à l’expéditeur, un récépissé à partir duquel le traitement peut être mis en œuvre.
Pour les catégories les plus courantes de traitement, la Cnil établit et publie des normes destinées à simplifier l’obligation de déclaration. Ces normes précisent les finalités des traitements faisant l’objet d’une déclaration simplifiée, les données à caractère personnel traitées, les catégories de personnes concernées, les destinataires auxquels les données à caractère personnel sont communiquées, ainsi que leur durée de conservation.
Dans cette hypothèse, les traitements correspondant à l’une de ces normes peuvent faire l’objet d’un simple engagement de conformité envoyé à la Cnil.
Enfin, certains traitements bénéficient d’une dispense de déclaration de la part de la Cnil. Il s’agit, par exemple, s’agissant des collectivités territoriales, des fichiers de fournisseurs ou, pour les associations, les traitements de paie, de comptabilité générale ou de communication non commerciale.
b) La demande d’autorisation
En revanche, certains traitements doivent faire l’objet d’une demande d’autorisation préalable à la Cnil.
Parmi eux figurent, notamment, ceux portant sur des données génétiques, des diagnostics médicaux, des données relatives aux infractions, condamnations ou mesures de sûreté, ainsi que tous les traitements susceptibles du fait de leur nature, de leur portée ou de leur finalité, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, en l’absence de toutes dispositions législatives ou réglementaires(*).
Il s’agit, par exemple pour ces derniers, des listes noires tenues par les établissements de crédit.
De même, le traitement de données correspondant aux origines raciales ou ethniques, à la vie sexuelle ou à la santé des personnes concernées doit faire l’objet d’une demande d’autorisation préalable auprès de la Cnil.
À cet égard, les fichiers de suivi médical des clubs sportifs sont directement concernés.
Les opérations de contrôle effectuées courant 2009 par la Cnil, à destination des clubs de football de Ligue 1 ont d’ailleurs, au premier chef, porté sur ce type de fichiers collectant des données sensibles.
Entrent également dans l’obligation d’autorisation préalable de la Cnil, les traitements automatisés ayant pour objet l’interconnexion de fichiers dont les finalités sont différentes, de même que ceux comportant des appréciations sur des difficultés sociales des personnes ou comportant des données biométriques nécessaires au contrôle de l’identité des personnes.
La Cnil se prononce lorsqu’elle est saisie d’une demande d’autorisation, dans un délai de deux mois à compter de la réception de la demande. Ce délai peut être renouvelé une fois sur décision motivée de son président.
Lorsque la Cnil ne se prononce pas dans les délais impartis, la demande d’autorisation est réputée rejetée.
L’autorisation délivrée par la Cnil précise la dénomination et la finalité du traitement, le service auprès duquel s’exerce le droit d’accès, les catégories de données enregistrées et les destinataires habilités à recevoir communication de ces données.
4. La désignation d’un correspondant informatique et libertés (CIL)
La réforme survenue par la loi n° 2004-801 du 6 août 2004 de la loi Informatique et libertés du 6 janvier 1978 a introduit la possibilité pour les organismes de désigner un correspondant informatique et libertés interne ou externe.
Le correspondant à la protection des données à caractère personnel est chargé, conformément à l’article 22 de la loi, d’assurer, d’une manière indépendante, le respect des obligations prévues dans la loi Informatique et libertés.
Cette faculté est ouverte à tous les responsables de traitement, qu’ils aient le statut d’association, de collectivité locale, d’administration, de PME ou de multinationale.
La désignation d’un correspondant informatique et libertés permet à l’organisme concerné d’alléger les formalités déclaratives auprès de la Cnil, puisque, à compter de la désignation, seuls les traitements soumis à autorisation ou avis préalable de la Cnil doivent être déclarés, les autres traitements n’étant soumis qu’à une obligation de figurer dans le registre tenu par le correspondant.
Le correspondant informatique et libertĂ©s a Ă©galement un rĂ´le d’information et de sensibilisation sur la thĂ©matique « respect des donnĂ©es Ă caractère personnel » et doit veiller au respect des droits des personnes concernĂ©es (droit d’accès, de rectification et d’opposition).
Il s’assure, en outre, que les données traitées ne sont utilisées qu’aux seules fins pour lesquelles elles ont été collectées.
Il lui appartient, enfin, de faire respecter la sécurité, la confidentialité des informations, afin que celles-ci ne soient pas communiquées à des personnes n’ayant aucune raison de les connaître.
Les missions du correspondant informatique et libertés sont donc les suivantes :
– tenir, dans les trois mois de sa dĂ©signation, un registre recensant l’ensemble des traitements automatisĂ©s mis en Ĺ“uvre au sein de la structure l’ayant dĂ©signĂ© et en assurer l’accès Ă toute personne intĂ©ressĂ©e ;
– veiller Ă l’application de la loi Informatique et libertĂ©s. Il peut, dans ce cadre, accomplir une mission de conseil auprès du responsable de traitement et contribue Ă la diffusion, au sein de l’organisme, d’une culture informatique et libertĂ©s. En cas de difficultĂ© grave rencontrĂ©e dans l’exercice de ses missions, il lui revient le soin d’alerter la Cnil, après avoir effectuĂ© auprès du responsable du traitement l’ensemble des dĂ©marches nĂ©cessaires sans que celles-ci aboutissent ;
– le correspondant informatique et libertĂ©s Ă©tablit un bilan annuel de ses activitĂ©s, qu’il prĂ©sente au responsable du traitement et tient Ă la disposition de la Cnil.
Le correspondant informatique et libertés peut être un salarié de l’organisme (CIL interne) ou être une personne extérieure (avocat, par exemple).
Le correspondant est une personne bénéficiant de qualifications requises pour exercer ses missions et ne peut faire l’objet d’aucune sanction de la part de son employeur, du fait de l’accomplissement de ses missions.
Il peut saisir la Cnil des difficultés qu’il rencontre dans l’exercice de ses missions.
En cas de non-respect des dispositions de la loi, le responsable du traitement reste responsable et est enjoint par la Cnil de procéder aux formalités préalables pour lesquelles il était précédemment dispensé.
En cas de manquement constaté à ses devoirs, le correspondant est, quant à lui, déchargé de ses fonctions, sur demande, ou après consultation, de la Cnil.
La désignation d’un correspondant informatique et libertés se fait après information des représentants du personnel et par notification à la Cnil, sa désignation prenant effet un mois après la date de réception de la notification par la Cnil.
À titre d’illustration, la Ligue de football professionnel (LFP) a désigné, en 2009, un correspondant informatique et libertés, afin d’alléger les formalités de déclaration et de veiller à la bonne application de la loi Informatique et libertés.
Dans l’hypothèse du non-respect par le club sportif des obligations déclaratives auprès de la Cnil, le système correspondant ne pourrait être opposé aux personnes concernées.
Ne sont pas concernés par cette dispense de formalités, même en cas de nomination d’un correspondant à la protection des données à caractère personnel, les traitements concernés par un transfert de données à caractère personnel à destination d’un État non membre de la Communauté européenne.
5. Les principaux traitements mis en Ĺ“uvre dans le cadre sportif
a) La vidéosurveillance
La difficulté en matière de vidéosurveillance relève de la coexistence de ces deux régimes, celui de la loi Informatique et libertés et celui de l’article 10 de la loi du 21 janvier 1995 d’orientation et de programmation pour la sécurité, imposant une autorisation préfectorale.
Ă€ cet Ă©gard, la dĂ©termination de la qualitĂ© de « lieu public » ou « ouvert au public », d’un cĂ´tĂ©, ou de « lieu privĂ© » ou « non ouvert au public », de l’autre, est fondamentale.
En présence de lieux mixtes ou dès lors que les images filmées dans les lieux publics sont enregistrées et conservées dans des traitements informatisés (pour lesquels s’applique la loi Informatique et libertés), une incertitude subsiste sur l’application du régime pertinent.
Les structures ayant désigné un correspondant informatique et libertés (CIL) n’ont pas l’obligation de procéder au dépôt, auprès de la Cnil, d’une déclaration normale visant le dispositif de vidéosurveillance mis en place.
> Procédure Cnil (Commission nationale de l’informatique et des libertés)
Rien n’interdit à un club sportif d’installer des caméras de vidéosurveillance, à condition de respecter les dispositions de la loi Informatique et libertés.
Cette installation doit être motivée par des raisons de sécurité des personnes ou des biens et ne peut viser les vestiaires, douches, toilettes ou tout autre endroit dont la surveillance constituerait une atteinte à l’intimité de la vie privée des personnes concernées.
Une information individuelle des personnes concernées doit être assurée préalablement à l’installation du dispositif.
De même, le club a l’obligation de consulter les représentants du personnel avant l’installation du système de vidéosurveillance(*).
Plus largement, l’existence du dispositif doit être signalée, collectivement, à toute personne susceptible d’être filmée au moyen, par exemple, de l’apposition d’une mention d’information affichée à l’entrée des locaux et précisant les conditions d’exercice du droit d’accès aux enregistrements effectués (cf. modèle proposé).
L’accès aux images enregistrées est limité aux personnes chargées de la sécurité au sein du club sportif.
À défaut de respect de ces règles, toute personne concernée peut saisir la Cnil (Commission nationale de l’informatique et des libertés) d’une plainte, ou l’inspection du travail, ou encore déposer une plainte pénale auprès du procureur de la République, afin de dénoncer les faits constatés.
En toute hypothèse, il reviendra au club sportif la charge de procéder à la déclaration auprès de la Cnil du système de vidéosurveillance mis en place.
Cette déclaration devra mentionner la finalité du traitement envisagé, l’emplacement et le nombre des caméras installées, les destinataires des images collectées, ainsi que la durée de conservation de celles-ci, généralement limitée à un mois.
La Cnil doit également être rendue destinataire des conditions d’information des personnes filmées sur leurs droits d’accès, de rectification et de suppression des données les concernant.
> La procédure d’autorisation préfectorale
Par ailleurs, les systèmes de vidéosurveillance installés dans les lieux ouverts au public (stades, rues, locaux recevant du public, commerces, etc.) sont soumis, préalablement à leur mise en place, à une autorisation du préfet du département du lieu d’implantation ou, à Paris, du préfet de police.
L’autorisation préfectorale est prise après avis d’une commission départementale des systèmes de vidéosurveillance.
Elle est donnée pour une durée de cinq ans renouvelable.
La demande d’autorisation comprend un dossier complet déposé auprès de la commission départementale et doit être accompagnée des documents suivants :
– un rapport de prĂ©sentation comprenant les motivations du projet et les techniques mises en Ĺ“uvre ;
– un plan-masse des lieux indiquant les bâtiments du demandeur et ceux des tiers se trouvant dans le champ de vision des camĂ©ras avec l’indication des accès et ouvertures ;
– un plan de dĂ©tails Ă une Ă©chelle suffisante montrant le nombre et l’implantation des camĂ©ras ainsi que les zones qu’elles couvrent ;
– la description du dispositif prĂ©vu pour la transmission, l’enregistrement et le traitement des images ;
– la description des mesures de sĂ©curitĂ© qui seront prises pour la sauvegarde et la protection des images enregistrĂ©es ;
– les modalitĂ©s d’information du public ;
– le dĂ©lai de conservation des images ;
– la dĂ©signation de la personne ou du service responsable du système ;
– les consignes gĂ©nĂ©rales donnĂ©es aux personnes de l’exploitation du système pour son fonctionnement et le traitement des images ;
– les modalitĂ©s du droit d’accès des personnes intĂ©ressĂ©es.
L’autorisation préfectorale délivre un récépissé de la demande, qui est instruite par la commission.
Cette commission est composée de quatre membres désignés pour trois ans (un magistrat du siège présidant la commission, un maire, un représentant des chambres de commerce et d’industrie et une personne qualifiée choisie en raison de sa compétence par le préfet).
La commission peut convoquer le demandeur ou solliciter des compléments d’information et transmet son avis au préfet qui est tenu de prendre sa décision dans un délai de quatre mois ; l’absence de réponse valant rejet de la demande.
Le refus exprès d’autorisation doit faire l’objet d’une décision motivée.
Le titulaire de l’autorisation doit tenir un registre mentionnant les enregistrements réalisés, la date de destruction des images et, le cas échéant, la date de leur transmission au parquet.
Il doit informer le public de manière claire et permanente de l’existence du système et de la personne responsable, au moyen d’affiches ou de panneaux, dont le format, le nombre et la localisation doivent être adaptés à la situation des lieux concernés.
Toutes les modifications substantielles du système mis en place devront être déclarées à la préfecture ; de même que tout changement d’exploitant de l’établissement ou changement d’activité, de configuration des lieux, etc.(*)
En dehors des cas où une enquête de flagrant délit, une enquête préliminaire ou une information judiciaire sont initiées, les enregistrements doivent être détruits dans le délai fixé par l’autorisation, là aussi limité à un mois.
Toute personne rencontrant une difficulté dans le fonctionnement d’un système de vidéosurveillance peut saisir la commission départementale des systèmes de vidéosurveillance ou s’adresser à la juridiction administrative ou judiciaire suivant les situations et l’objet du recours (notamment en qualité publique ou privée de la personne responsable du système, recours en annulation d’autorisation préfectorale, poursuites pénales).
La personne concernée peut également agir en référé, le cas échéant.
Modèle d’information pour un équipement de vidéosurveillance
Établissement sous vidéosurveillance (représentation graphique d’une caméra).
Nous vous informons que cet établissement est placé sous vidéosurveillance pour des raisons de … (indiquer les finalités poursuivies).
Pour tout renseignement, s’adresser à … (identifier la personne ou le service compétent), auprès duquel vous pouvez également exercer votre droit d’accès, conformément à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004.
b) La gestion du personnel
Les clubs sportifs sont également amenés à traiter des données à caractère personnel dans le cadre de la gestion administrative des personnels, la mise à disposition d’outils informatiques au profit de ceux-ci, l’organisation du travail, la gestion des carrières et de la mobilité, ainsi que la formation.
Un tel traitement, dès lors qu’il respecte les contraintes prescrites par la délibération n° 2005-002 du 13 janvier 2005 (norme simplifiée n° 46) élaborée par la Cnil, peut se contenter d’un engagement de conformité à cette norme, qui devra être adressé à la Cnil.
Parmi les destinataires des données collectées figureront notamment les personnes habilitées chargées de la gestion du personnel, les supérieurs hiérarchiques des employés concernés, ainsi que les délégués syndicaux et les instances représentatives du personnel, sous certaines réserves (coordonnées professionnelles des employés exclusivement).
Les données ainsi traitées doivent être conservées par le club sportif au maximum pendant la période d’emploi de la personne visée.
Comme dans tout traitement de données à caractère personnel, les employés devront être informés du traitement mis en œuvre et de l’existence et des conditions d’exercice de leurs droits d’accès, de rectification et d’opposition aux données les concernant.
c) Gestion des fichiers clients et prospects
Les clubs sportifs sont également amenés à traiter des données relatives à leurs clients et prospects, que ce soit dans le cadre de la billetterie, de l’envoi d’invitations ou d’informations, de newsletters, etc.
À cet égard, et sous réserve du respect des dispositions prescrites par la délibération n° 2005-112 du 7 juin 2005 (norme simplifiée n° 48) de la Cnil, ils peuvent se contenter d’un engagement de conformité à ladite norme, pour tous les traitements ayant comme finalité la gestion de leur clientèle et la réalisation d’opérations relatives à la prospection.
Auront notamment accès au traitement les personnels chargés du service commercial et des services administratifs, les services chargés du contrôle (commissaire aux comptes, service chargé des procédures internes du contrôle…), les entreprises extérieures liées contractuellement pour l’exécution d’un contrat, etc.
Les données ne devront être conservées que pour la durée strictement nécessaire à la gestion de la relation commerciale, sauf pour ce qui concerne les données nécessaires à l’établissement de la preuve d’un droit ou d’un contrat, qui peuvent être archivées pour une durée de dix ans.
Les données relatives aux prospects ne peuvent être conservées que pour une durée maximale d’un an après le dernier contact de la part de ces derniers ou être supprimées lorsque lesdits prospects n’ont pas répondu à deux sollicitations successives.
La norme simplifiée 48 a fait l’objet de modification en juin 2012 (délibération Cnil n° 2012-209 du 21 juin 2012).
Les organismes qui auraient adressé à la Cnil un engagement de conformité à la précédente norme ont un an pour mettre leur traitement en conformité.
d) Les traitements mis en Ĺ“uvre par les associations
Les associations mettent en œuvre différents traitements dans le cadre de leurs activités.
Elles peuvent être concernées par les points visés ci-avant comme la vidéosurveillance, la gestion du personnel, mais elles sont toutes particulièrement concernées par la gestion de leurs membres.
Dans ce cadre, la norme simplifiée (délibération n° 2006-130 du 9 mai 2006, dispense de déclaration n° 8) qui avait été mise en œuvre pour des traitements de la gestion des membres d’une association a été abrogée par une délibération n° 2010-229 du 10 juin 2010, dispensant de déclaration, les traitements automatisés de données à caractère personnel mis en œuvre par des organismes à but non lucratif.
En effet, par cette délibération, la Cnil considérant que les données relatives aux membres de l’association constituent les traitements courants ne paraissant susceptibles de porter atteinte à la vie privée des personnes, dans le cadre de leur autorisation régulière et pour cette raison, il convient de dispenser ces traitements de toutes formalités déclaratives préalables.
Ne sont pas concernés les traitements mis en œuvre par une association ou un organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical.
Sont concernés les traitements automatisés de données à caractère personnel, mis en œuvre par des organismes à but non lucratif, tels que les associations de loi 1901, des associations de loi 1908, de droit local en Alsace et en Moselle, les fondations et fonds de dotation.
Cette délibération concerne les traitements ayant pour seules finalités :
– l’enregistrement et la mise Ă jour des informations individuelles nĂ©cessaires Ă la gestion administrative des membres donateurs, en particulier la gestion des cotisations ;
– de rĂ©pondre Ă des besoins de gestion des Ă©tats statistiques ou des listes de membres de contacts, notamment en vue d’adresser bulletins, convocations et journaux ;
– d’établir des annuaires de membres, y compris lorsque ces annuaires sont mis Ă la disposition du public sur le rĂ©seau Internet ;
– d’effectuer, par tout moyen de communication, des opĂ©rations relatives Ă des actions de prospection auprès des membres, donateurs et prospects.
Dans le cas où est utilisé un service de communication au public en ligne (site Internet), un traitement des données de connexion à des fins purement statistiques peut également être effectué.
Pour bénéficier de cette dispense de déclaration, il est nécessaire de vérifier que les données conservées par l’association ne contiennent que les données relatives :
– Ă l’identitĂ© des personnes physiques : nom, prĂ©noms, sexe, date de naissance, adresse, numĂ©ros de tĂ©lĂ©phone (fixe et mobile) et de tĂ©lĂ©copie, adresse de courrier Ă©lectronique ;
– des informations relatives Ă la gestion administrative de l’organisme : Ă©tat des cotisations, position vis-Ă -vis de l’association, informations strictement liĂ©es Ă l’objet statutaire de l’organisme, identitĂ© bancaire pour la gestion des dons ;
– donnĂ©es de connexion : date, heure, adresse Internet protocole de l’ordinateur du visiteur, pages consultĂ©es, Ă des seules fins statistiques d’estimation de la frĂ©quentation du site.
Ne peuvent être incluses dans les fichiers, des informations relatives aux numéros d’inscription au répertoire d’identification des personnes (numéro de Sécurité sociale ou numéro Insee) ; des données qui feraient apparaître directement ou indirectement les origines raciales, ethniques, des opinions politiques, philosophiques ou religieuses ou qui sont relatives à la santé, à la vie sexuelle des personnes ou encore des données concernant les infractions, condamnations ou mesures de sûreté ou relatives aux difficultés sociales et économiques des personnes.
En matière sportive, il convient d’être particulièrement vigilant sur les traitements mis en œuvre pour des besoins de sécurité des accès à l’enceinte sportive.
Ces traitements sont susceptibles d’inclure des informations sur les infractions, condamnations ou mesures de sûreté relatives aux personnes physiques ou encore des éléments d’identification autres que ceux visés ci-avant.
Même une association sportive qui disposerait d’informations relatives à la santé de ses membres ne peut bénéficier de cette exonération.
Les destinataires de telles données sont, au sein de l’association, les personnes statutairement responsables de la gestion, ainsi que celles chargées de l’administration et de la gestion des membres.
Peuvent éventuellement être destinataires de ces données, les organismes gérant les systèmes d’assurance et de prévoyance.
En conséquence, le transfert d’informations à des tiers, notamment pour des besoins de sécurité des enceintes sportives, n’entre pas dans le cadre de la dispense précitée.
Ces données doivent être conservées jusqu’à la démission, la radiation ou le départ des personnes concernées, sauf accord exprès de l’intéressé.
S’agissant des donateurs, la Cnil recommande que les données ne soient pas conservées au-delà de deux sollicitations restées infructueuses.
Si l’association fait des demandes de dons, la Cnil recommande que le responsable du traitement prenne toutes mesures utiles pour s’assurer que les données utilisées soient exactes, complètes et mises à jour et correspondent à des personnes qui ne se sont pas opposées à recevoir des sollicitations.
En tout état de cause, les données doivent être conservées pour une durée limitée.
Si l’appel aux dons est issu d’un fichier loué, les données ne doivent pas être conservées au-delà de la durée nécessaire à la réalisation de la campagne de collecte de dons pour lesquels les données ont été louées.
Lors de l’adhésion de la personne physique à l’association pour devenir membre, celle-ci doit être informée de l’identité du responsable du traitement, des finalités poursuivies par le traitement, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d’un défaut de réponse, des destinataires des données, de leurs droits d’opposition, d’accès et de rectification, ainsi que des modalités d’exercice de leurs droits.
Les associations sportives mettent régulièrement à disposition de leurs membres un annuaire reprenant les données d’identification du membre de l’association, ainsi que ses adresse, numéros de téléphone et adresse de courrier électronique.
La Cnil recommande que les personnes concernées soient préalablement informées et en mesure de s’opposer à ce que tout ou partie des données les concernant soit publié et également que l’accès à l’annuaire, par le biais d’Internet, soit diffusé en accès restreint.
Il est également demandé que les personnes puissent indiquer les informations qu’elles ne souhaitent voir diffuser, comme leur adresse personnelle, tant sur la version web que sur papier de l’annuaire.
De même, les personnes figurant dans l’annuaire doivent avoir été en mesure de s’opposer à ce que les données les concernant soient utilisées à des fins de prospection.
Il s’agit donc pour l’association de prévoir un bulletin de diffusion dans l’annuaire afin de vérifier de l’information et du consentement de la personne concernée.
L’association reste tenue de prendre toutes précautions utiles pour préserver la sécurité des données et notamment empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
L’accès au traitement doit se faire au moyen d’un mot de passe individuel, régulièrement renouvelé, ou par tout autre dispositif au moins équivalent.
Le responsable du traitement reste tenu de ses autres obligations prévues par les textes applicables à la protection des données à caractère personnel, malgré la dispense de déclaration.
6. Le transfert à l’étranger de données à caractère personnel
Le principe applicable en la matière est celui de l’interdiction des transferts de données à caractère personnel en dehors du territoire français, à moins que le pays destinataire n’assure un niveau de protection adéquat.
Le responsable d’un traitement ne peut transférer des données à caractère personnel vers un État n’appartenant pas à l’Union européenne que si cet État assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font ou peuvent faire l’objet.
Le caractère suffisant du niveau de protection assuré par un État s’apprécie en fonction notamment des dispositions en vigueur dans cet État, des mesures de sécurité qui sont appliquées, les caractéristiques propres du traitement, ainsi que de la nature, de l’origine et de la destination des données.
L’Union européenne publie régulièrement la liste des pays disposant de ce niveau de protection adéquat.
Figure parmi de tels pays l’ensemble des État membres de l’Union européenne.
En dehors de ceux-ci, tout transfert de données à l’étranger est strictement encadré.
La protection adéquate peut ainsi être apportée de plusieurs manières :
– lorsque le pays destinataire des donnĂ©es personnelles a une lĂ©gislation reconnue par la Commission europĂ©enne comme offrant un niveau de protection suffisant (Canada, Suisse, Argentine…) ;
– par la signature de clauses contractuelles types adoptĂ©es par la Commission europĂ©enne entre le responsable du traitement et le destinataire des donnĂ©es ;
– par l’adoption de règles internes d’entreprise constituant un code de conduite en matière de transfert depuis l’Union europĂ©enne vers des pays tiers, et intĂ©grĂ©es au sein de groupes multinationaux ;
– lorsque le destinataire est basĂ© aux États-Unis, si celui-ci adhère aux principes « safe harbor »(*). Ces principes reposent sur les Ă©lĂ©ments suivants : information des personnes, possibilitĂ© pour la personne concernĂ©e de s’opposer Ă un transfert Ă des tiers ou Ă une utilisation des donnĂ©es pour des finalitĂ©s diffĂ©rentes, consentement explicite pour les donnĂ©es sensibles, droits d’accès et de rectification, sĂ©curitĂ© des donnĂ©es (la liste des entreprises ayant adhĂ©rĂ© aux principes du « safe harbor » est accessible sur le site du dĂ©partement du commerce amĂ©ricain : http://www.export.gov/safeHarbor).
De tels transferts peuvent intervenir, par exemple, dans toutes les hypothèses de sous-traitance des appels téléphoniques de relance d’impayés, mais également lorsqu’une filiale d’un groupe assure, pour l’ensemble des salariés de celui-ci, une mission centrale de gestion des ressources humaines, par exemple.
Tout transfert de données vers l’étranger doit avoir une finalité déterminée, explicite et légitime et avoir fait l’objet d’une information auprès des personnes concernées.
Des mesures techniques de sécurité doivent également être mises en place afin de protéger les données contre tout accès, destruction, altération ou diffusion non autorisé des données transférées.
Le non-respect de ces dispositions est passible de sanctions pénales pouvant aller jusqu’à 300 000 euros d’amende et cinq ans d’emprisonnement(*).
Modèle de mention d’information pour le transfert de données à l’étranger
(identité du responsable du traitement) dispose(nt) de moyens informatiques destinés à gérer … (indiquer la finalité du traitement, par exemple la gestion des ressources humaines, la gestion de la paie, la maintenance informatique, etc.).
Les informations enregistrées sont réservées à l’usage du (ou des) service(s) concerné(s) et ne peuvent être communiquées qu’aux destinataires suivants : … (préciser les destinataires).
Certains de ces destinataires sont situés en dehors de l’Union européenne, et en particulier les destinataires suivants : … (indiquer le nom des entités ou services destinataires ainsi que leur pays d’établissement). Ces destinataires auront communication des données suivantes : … (préciser par exemple nom, prénom, matricule, coordonnées professionnelles, salaire, données de connexion…).
La transmission de ces données aux destinataires situés en dehors de l’Union européenne est destinée à … (indiquer la finalité du transfert des données).
Les garanties suivantes ont été prises pour s’assurer d’un niveau de protection suffisant des données personnelles :
– le pays du ou des destinataires offre un niveau de protection adĂ©quat par dĂ©cision de la Commission europĂ©enne : … (prĂ©ciser laquelle) ;
– le ou les destinataires adhĂ©rant aux principes du Safe Harbour ;
– le transfert de donnĂ©es a Ă©tĂ© autorisĂ© par la Cnil et est encadrĂ© par les clauses contractuelles types Ă©tablies par la Commission europĂ©enne (prĂ©ciser le numĂ©ro de la dĂ©libĂ©ration autorisant le transfert) ;
– le transfert de donnĂ©es a Ă©tĂ© autorisĂ© par la Cnil et est encadrĂ© par des règles internes validĂ©es par la Cnil ;
– la sociĂ©tĂ© bĂ©nĂ©ficie d’une des exceptions mentionnĂ©es Ă l’article 69 de la loi du 6 janvier 1978 modifiĂ©e en 2004 : … (prĂ©ciser laquelle).
Conformément aux articles 39 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée en 2004 relatives à l’informatique, aux fichiers et aux libertés, toute personne peut obtenir communication et, le cas échéant, rectification ou suppression des informations la concernant, en s’adressant au service … (citer le nom du service auprès duquel il est possible d’exercer son droit d’accès).
7. Le respect des droits des personnes physiques : information et droits d’accès, de rectification et d’opposition des personnes concernées
Hormis les cas de dispense de formalités préalables, le responsable du traitement est tenu de respecter ces formalités préalables.
La seconde série d’obligations qu’il est tenu de respecter, dans tous les cas de figure, concerne les droits d’information des personnes physiques concernées.
a) Mentions d’information
Le responsable du traitement est tenu d’informer la personne physique concernée de l’identité du responsable du traitement ou de son représentant ; de la finalité poursuivie par le traitement auquel les données sont destinées ; du caractère obligatoire ou facultatif des réponses ; des conséquences éventuelles à son égard d’un défaut de réponse ; des destinataires ou catégories de destinataires des données ; de ses droits ; des transferts éventuels hors Union européenne.
De même, si les informations collectées le sont au travers d’Internet, la personne concernée doit être informée, de manière claire et complète, par le responsable du traitement ou son représentant :
– de la finalitĂ© de toute action tendant Ă accĂ©der, par voie de transmission Ă©lectronique, Ă des informations stockĂ©es dans son Ă©quipement terminal de connexion, ou Ă inscrire, par la mĂŞme voie, des informations dans son Ă©quipement terminal de connexion ;
– des moyens dont elle dispose pour s’y opposer.
Ces dispositions ne sont applicables que si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
– soit, a pour finalitĂ© exclusive de permettre ou faciliter la communication par voie Ă©lectronique ;
– soit, est strictement nĂ©cessaire Ă la fourniture d’un service de communication en ligne, Ă la demande expresse de l’utilisateur.
Il peut s’agir de l’utilisation de cookies pour un site Internet dédié, qui utiliserait des cookies, comme les sites d’information généraliste qui disposent de pages consacrées au sport, et à l’intérieur de ces différentes rubriques, des pages consacrées à des sports ou des clubs spécifiques.
Il peut également s’agir du site d’une association qui, par souci de faciliter l’accès à ses membres à un espace réservé, met en place des cookies.
Il sera, à cet égard, rappelé que la mise en œuvre de cookies est désormais, depuis l’ordonnance du 24 août 2011, soumise à l’autorisation préalable de l’internaute (opt-in).
Les données collectées n’ont pas été recueillies directement auprès de la personne physique, le responsable du traitement doit fournir ces informations lors de l’enregistrement des données ou, au plus tard, lors de la première communication d’information auprès de ces personnes physiques.
b) Droits d’accès, de rectification et d’opposition
Le droit d’accès correspond au droit pour toute personne de savoir si des données à caractère personnel la concernant, quel que soit le support utilisé (enregistrement audio, vidéo…), font l’objet d’un traitement automatisé.
Elle peut ainsi s’adresser à tout organisme, afin de l’interroger sur l’existence de données à caractère personnel la concernant.
Le droit d’accès est un droit personnel, s’exerçant sans obligation de motivation de la demande.
Seule l’obligation de justifier de l’identité de la personne demanderesse est prescrite par la loi.
Le droit d’accès peut s’exercer par écrit au service chargé du droit d’accès auprès de l’organisme concerné ou sur place.
Ce droit s’étend au droit de connaître l’origine des informations traitées.
Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.
Elle a le droit de s’opposer sans frais à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur.
| Une fédération sportive sanctionnée par la Cnil au titre d’une violation du droit des données personnelles |
| À la suite d’une plainte déposée par un licencié, la Cnil a procédé à un contrôle auprès de la Fédération française d’athlétisme (FFA). Le licencié souhaitait obtenir la suppression des résultats sportifs de son enfant mineur, publiés sur le site Internet de la FFA. |
| La formation restreinte de la Cnil a sanctionné la Fédération française d’athlétisme pour des manquements à l’information des sportifs concernant la publication de leurs résultats sur son site Internet et à la sécurité et la confidentialité des données. |
| Suite à la mise en demeure qu’elle lui a adressée le 14 février 2013 et en l’absence de mise en œuvre de mesures correctives par la FFA dans les délais qui lui étaient impartis, la Cnil a été contrainte, par le biais de sa formation restreinte, de sanctionner les manquements relevés. |
| Parmi ceux-ci figuraient?: |
| – un manquement Ă l’obligation d’informer les personnes concernĂ©es de l’existence d’un traitement de donnĂ©es Ă caractère personnel les concernant (publication en ligne des rĂ©sultats) et de la possibilitĂ© qui devait leur ĂŞtre laissĂ©e d’exercer leur droit d’opposition par l’intermĂ©diaire des diffĂ©rents organisateurs des compĂ©titions ; |
| – un manquement Ă l’obligation d’assurer la sĂ©curitĂ© et la confidentialitĂ© des donnĂ©es, en prĂ©sence de mots de passe insuffisamment robustes au regard des règles de sĂ©curitĂ© constituant l’état de l’art. |
| Outre les 3?000 euros de sanction pécuniaire infligée, c’est surtout le caractère public de la décision prise par la Cnil qui est à souligner, en raison de l’impact que celui-ci peut avoir en termes d’image… |
Toute personne physique justifiant de son identité peut également exiger du responsable du traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées, les données à caractère personnel la concernant qui sont inexactes, incomplètes, équivoques, périmées, dont la collecte, l’utilisation, la communication ou la conservation est interdite.
Il appartient au responsable du traitement de justifier, sans frais pour le demandeur, qu’il a procédé aux opérations demandées.
Ces dispositions s’appliquent également lorsqu’un traitement intéresse la sûreté de l’État, la défense ou la sécurité publique.
La demande de droit d’accès est alors adressée à la Cnil pour mener les investigations utiles et faire procéder aux modifications nécessaires.
Il est ensuite notifié au requérant qu’il a été procédé aux vérifications.
Modèle de mention d’information pour un formulaire (indiquer l’identité du responsable du traitement) Les informations recueillies font l’objet d’un traitement informatique destiné à … (préciser la finalité). Les destinataires des données sont : … (préciser). Conformément à la loi Informatique et libertés du 6 janvier 1978 modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à … (préciser le service et l’adresse). Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant. Cet article fait partie du Dossier
3 / 2
Sommaire du dossier Plus de 1000 offres d'emploi !Respect de la vie privée
Toutes les offres d'emploi
Nos offres d'emploi
Aujourd'hui sur le Club Acteurs du sport
Nos services
Prépa concours
Évènements
Formations
