RGPD & SPORT
Cela fait bientôt 3 ans que le sport est officiellement entré dans l’ère du « big data ». La question de la protection des données personnelles occupe une place de plus en plus importante dans le sport. Que cela soit au niveau des performances sportives, de la question des stades connectés, des licences sportives, des paris sportifs, de la localisation des sportifs à des fins de contrôles antidopage, ou encore plus précisément les montres et semelles connectées : toutes ces activités conduisent les structures sportives à collecter, utiliser, et, parfois monétiser les données personnelles des sportifs.
Pour cela, le 25 mai 2018, le Règlement européen sur la protection des données aussi dit « RGPD » est entré en vigueur permettant aux différents pays membres de l’Union Européenne, d’harmoniser leurs législations en matière de traitement des données personnelles. Suite à cela, le Législateur Français a donc adopté la loi du 20 juin 2018 venant modifier la « loi Informatique et Libertés » du 6 janvier 1978. Désormais, les acteurs du sport effectuant des traitements de données sont donc directement impactés et doivent se soumettre au respect d’un certain nombre de règles nouvelles.
Ce mouvement sans précédent de « base de donnée dans le sport » matérialisé par l’analyse et l’exploitation des données des sportifs représente une véritable source de questions et de débat dans la sphère juridico-sportive. C’est à ce titre que, Maître Kertudo, intervient aujourd’hui pour Jurisportiva.
Le RGPD doit être un réflexe dans un secteur où la donnée personnelle se retrouve à « tous les étages ».
Quelles sont les structures qui se retrouvent concernées par le traitement de données personnelles dans le cadre sportif avec la réglementation de 2018 ?
Le RGPD a vocation à s’appliquer dès lors qu’une entité met en œuvre un ou plusieurs traitements de données à caractère personnel, qu’une entité est responsable du traitement ou agit en tant que sous-traitant et que les traitements ont un lien géographique avec l’Union européenne.
Par ailleurs, l’article 4 du texte européen précise bien qu’une donnée personnelle correspond à « toute information se rapportant à une personne physique identifiée ou identifiable. »
Dès lors, les fédérations comme les clubs ou les entreprises d’évènementiel peuvent être amenées à être directement concernées par le RGPD dès lors qu’elles disposent « d’un traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».
Quel type de données sont concernées ?
Le RGPD considère qu’une donnée est « personnelle » dès lors qu’elle permet d’identifier la personne. Il faut donc retenir une définition large de la notion de donnée personnelle. Il peut s’agir de données « brutes » telles que les informations présentes sur une carte d’identité, de photographies ou encore de données de santé. Le texte européen différencie bien les données dites « sensibles » par exemple les données de santé, des données plus « classiques ».
Dans le sport, les familles de données peuvent être très variées. Il peut s’agir de données de santé, de « données marketing » (carte fidélité à la boutique du club par exemple) ou encore de données nécessaires à l’inscription du sportif pour la pratique de son activité. On peut aussi penser aux données personnelles des supporters et se souvenir qu’en la matière le Conseil d’Etat a déjà été amené à se prononcer sur la licéité des fichiers « supporters » (Conseil d’État, 10ème et 9ème ch., décision du 13 juin 2016).
La FIFA par exemple liste les données qu’elle est amenée à collecter auprès des joueuses et joueurs de football. Il s’agit des données suivantes : «
« Nom
Identifiant FIFA
Date de naissance
Sexe
Association membre
Types de football pratiqués
Statut (amateur/professionnel)
Instructions de transfert et informations associées (dont les indemnités)
Coordonnées bancaires
Déclaration certifiant l’absence d’influence et de paiement à un tiers
Déclaration sur la propriété des droits économiques du joueur par des tiers
Ancien(s) statut(s) (amateur/professionnel)
Photos et vidéos
Données médicales à des fins antidopage
Données liées à l’événement
Données de performance
Données de suivi optique 4D
Données corporelles (suivi des membres) »
La Fédération française de football communique également sur son site internet les données qu’elle est amenée à collecter.
Quelles sont les spécificités des données en matière sportive soumises à protection, par comparaison aux autres données de la vie quotidienne?
L’une des particularités réside justement dans la place importante des données de santé. De fait, une fédération ou un club va être amené à collecter des données en vue de la pratique de son sport. L’autre particularité réside aussi dans la multiplicité des sources de données personnelles. Vous allez devoir traiter dans un club par exemple aussi bien des données propres à l’identification des personnes qui se rendent au stade, aux personnes abonnées, à celles des consommateurs à la boutique du club mais aussi les données de santé ou de performance de vos joueurs ou les données liées à la gestion RH de vos salariés administratifs. La pratique du sport aussi bien professionnel qu’amateur génère le traitement et la collecte d’un certain nombre de données qu’il faut identifier en amont. L’organisation d’une manifestation sportive, d’un meeting qu’il soit amateur ou professionnel par exemple, va générer la récolte d’un certain nombre d’informations. Les organisateurs devront donc prévoir quel type de procédure ils vont pouvoir mettre en place pour garantir la protection des données.
Quelles sont les actions à mettre en place pour la protection de ces données ?
Les actions à mettre en place se résument à effectuer un recensement des procédures en vigueur qui permettent de récolter des données personnelles, la rédaction du registre des données personnelles et des études d’impacts. Il faut que la structure désigne également un délégué à la protection des données. La politique de protection des données d’une structure sportive doit s’inscrire sur le long terme. En aucun cas, le respect du RGPD n’est l’affaire que d’une seule démarche. Vous devez systématiquement raisonner en fonction du contenu du RGPD dès lors que vous mettez en place un nouveau dispositif de collecte de données personnelles.
Qui est propriétaire de ces données ? Qui a accès à ces données?
Le propriétaire des données est la personne concernée par les données. Nous pouvons tous revendiquer d’un droit de propriété de nos données, c’est d’ailleurs ce qu’est venu consacrer mais surtout encadrer le RGPD.
Quelles sont les obligations à la charge de la personne responsable du traitement de ces données et quels sont les risques encourus en cas de non respect de la réglementation en matière de RGPD?
Le RGPD a modifié en profondeur le principe même de la protection des données puisque nous sommes passés d’une logique déclarative à une logique d’anticipation et de responsabilité. Les structures qui collectent des données doivent respecter une procédure précise. Ainsi, il est indispensable de cartographier les différentes « entrées » de données personnelles dans votre structure. Cette phase de recensement vous amène à remplir un registre des données personnelles qui va lister les différents traitements mis en place. Votre politique de gestion des données personnelles sera ensuite analysée dans le cadre des études d’impact que la structure devra remplir afin d’optimiser sa politique de protection des données. La structure devra également désigner un délégué à la protection des données qui aura pour mission de participer à la mise en œuvre de la stratégie RGPD au sein de la structure. Le délégué doit avoir une certaine appétence pour l’informatique. Il peut être désigné en interne au sein de la structure mais il peut aussi être externalisé.
Comment le droit au respect de la vie privée du sportif peut-il coexister dans ce cadre ?
Le RGPD a justement vocation à garantir la protection de la vie privée des citoyens et donc des sportifs. Les procédures mises en place et les moyens de contrôle doivent permettre justement de garantir un niveau élevé de protection. Certaines fédérations ont pu commencer à travailler sur la question de l’équilibre entre la collecte de données et le respect de la vie privée. Il est important de mettre en place des procédures simples et rapides permettant à chacun de pouvoir connaître la manière dont ses données sont collectées et traitées. Ce travail nécessite que l’ensemble des acteurs interviennent afin d’optimiser les différents dispositifs mis en place.
Quel est le régime applicable à l’obligation de localisation des sportifs (en vue de contrôles anti-dopage) ? Quels tempéraments à la protection des données personnelles (Décision CEDH du 18 janvier 2018) ?
La décision du 18 janvier 2018 énonce que la lutte anti dopage peut justifier l’atteinte portée à la vie privée des sportifs en matière de localisation. A première lecture, la décision semble contraire au principe même du RPGD. En réalité, les dispositifs peuvent être complémentaires. L’atteinte anti dopage s’entend ici dans une logique de contrôle de l’activité. Le sportif en adhérant à une fédération et en participant aux compétitions va donner son consentement pour s’exposer à ce type de contrôle. Le RGPD en revanche s’entend davantage sous l’angle de la collecte, de la conservation et de l’utilisation des données. De nombreuses questions peuvent être soulevées notamment en matière de conservation des données et de droit à l’oubli pour le sportif concerné par exemple.
Comment sont utilisées ces données dans le cadre d’un transfert d’un sportif ?
Dans le cadre d’un transfert, des données personnelles transitent nécessairement entre les différents acteurs. D’abord dans le cadre de la négociation du contenu du contrat au sein duquel va apparaitre un certain nombre de données personnelles. Ensuite, au moment de l’homologation du contrat et du passage de la visite médicale. Il y a différentes données qui transitent entre le club, la fédération ou la ligue et le joueur et son éventuel agent ou avocat mandataire. Le RGPD intervient en réalité à tous les étages car en plus du nombre important de données potentielles, les acteurs d’un transfert vont devoir être vigilants à la question des transmissions de données transfrontalières. Les clubs au moment de la signature devront également faire en sorte que les interlocuteurs concernés respectent bien les règles en matière de protection des données au même titre qu’une entreprise doit vérifier que son prestataire respecte bien le RGPD.
Près de 3 ans après l’entrée en vigueur du RGPD, quels constats peut-on faire sur la protection des données en matière sportive? A quoi peut-on s’attendre en terme de protection des données personnelles en matière sportive, dans le temps ?
Le sport s’est emparé de cette question mais il y a encore beaucoup de choses à faire. Le RGPD doit être un réflexe dans un secteur où la donnée personnelle se retrouve à « tous les étages ». Un club par exemple va devoir adapter l’ensemble de ses secteurs (rh, marchandising, sportif…) aux règles RGPD. La présence des données de santé impose aux différents acteurs de devoir être vigilants dans le traitement des données. Le piège serait de penser qu’une politique RGPD est conforme dès lors que le délégué à la protection des données a été désigné et qu’un registre des données personnelles a été rédigé. En réalité, le RGPD s’applique sur le long terme et il doit devenir un réflexe dès lors qu’une donnée personnelle est collectée par le club ou une institution. Le sport est au carrefour de plusieurs types de données : santé, spectacle, merchandising, sportif, billetterie… De fait, les différents acteurs doivent réfléchir à créer des modèles de documents « type » comme des chartes, des règlements ou des codes permettant d’encadrer les collectes et les traitements des données sur le long terme.
Article écrit en collaboration avec Maître Gautier Kertudo : https://www.linkedin.com/in/gautier-kertudo-440b9277/
