Protection des données personnelles : vers un

Le dossier du mois
N°93 n La Lettre de l’Officiel juridique du sport n mars 2015
Protection des données personnelles : vers un
nouveau règlement suite à une jurisprudence PSG
En 2013, la Présidente de la CNIL a mis en demeure la société Paris-Saint-Germain Football. Le PSG avait créé une
liste d’exclusion de supporters et la transmettait à Paris Handball sans en demander l’autorisation préalable à la CNIL.
Sur la base de cette affaire et de quelques autres, un projet de règlement européen a vu le jour visant à simplifier et
renforcer les droits des citoyens. Ce nouveau texte va bousculer les habitudes du monde du sport. Explications.
Le scandale Sony illustre
l'enjeu économique
Par Lydie Emeraud
Juriste fiscaliste contentieux négociation – Droit du Sport - La
Sorbonne – Membre des équipes
de France parachutisme en
2003/2006 - mémoire: sur le traitement des données dans le sport.
LA LETTRE DE L’OFFICIEL JURIDIQUE DU SPORT
[email protected]
Suite à une attaque en avril
2011, Sony reconnaissait
que des informations sensibles sur les clients de son
PlayStation Network ainsi
que des données bancaires
avaient été consultées voire
même subtilisées. C’est
alors que 70 millions de personnes apprenaient que leur
nom, adresse, e-mail, date
d’anniversaire et mot de
passe avaient été exposés
«dans le cadre d’une intrusion non autorisée et illégale». Plus proche de nous,
en 2013, la Présidente de la
CNIL a mis en demeure la
société Paris-Saint-Germain
Football. Le PSG avait créé
une liste d’exclusion de supporters et la transmettait à
Paris Handball sans en demander l’autorisation préalable à la CNIL.
Depuis le 24 novembre dernier la société Sony Pictures
est au plus mal : elle doit
faire face à la plus grosse
fuite connue de données
volées à une entreprise. Ce
faisant elle illustre tristement
le pouvoir économique des
données et une nouvelle
forme de pouvoir. De nombreux documents internes
ont été publiées et le nombre
de fichiers diffusés, leur caractère hautement confidentiel (documents juridiques,
ressources humaines, marketing, scripts de films inédits, e-mails privés...) représente une centaine de térabytes de documents soit
presque 22 000 DVD. Cette
hémorragie de données a
valu à la vice-présidente de
Sony de présenter officiellement ses excuses au président Obama pour des emails
dont le contenu a été jugé raciste puis à démissionner.
Les données personnelles
dans le sport, un classique
Des données personnelles
sont couramment traitées
dans le contexte de manifestations sportives. Et il arrive
souvent que le traitement
des données aille au-delà de
ce qu'exige le bon déroulement d'une manifestation
sportive: les organisateurs
proposent ainsi des services
de communication des résultats intermédiaires ou définitifs par SMS, publient des
palmarès sur Internet, voire
transmettent des listes de
noms de participants à des
sponsors à des fins publicitaires. Certaines de ces pratiques ne sont pas sans poser
problème du point de vue de
la protection des données
sans compter que devant la
récurrence des atteintes à la
sécurité le régulateur a souhaité réagir.
Le texte applicable en la matière est à la fois jeune du
point de vue du droit : seulement 20 ans, mais fait aussi
figure de vieillard au regard
du traitement des données.
La Directive 95/46/CE du
Parlement européen et du
Conseil, du 24 octobre 1995,
relative à la protection des
personnes physiques à l'égard du traitement des
données à caractère personnel et à la libre circulation de
ces données vise à protéger
le droit à la vie privée et à
harmoniser la protection des
données personnelles en facilitant notamment leur
échange à travers les frontières. C’est toujours le texte
en vigueur .Mais il y a 20
ans, les réseaux sociaux
n’existaient pas, Facebook
est né en 2004, Twitter en
2006 et c’était sans compter
sur la création exponentielle
du nombre de données : 2,5
exaoctets de données sont
créées chaque jour, soit l’équivalent de la valeur de
texte environ 40 000 millions d'armoires de classeurs
et seulement 5% d’entre
elles sont analysées et ce
nombre double tous les 40
mois. Chaque seconde internet voit passer plus de
données que celles stockées
dans le monde entier il y a
20 ans.
Souhaitant simplifier et renforcer les droits des citoyens
(comme par exemple le droit
à l’oubli) la volonté d’un
projet de règlement européen a vu le jour sous le
poids de la nécessité.
C’est ainsi que ce projet prévoit des sanctions très
lourdes dans son article 79 :
5% du chiffre d’affaire global d’un groupe avec un minimum de 100 millions
d’euros. La menace de la
sanction mérite à chacun de
porter une attention toute
particulière à ce texte.
« Le règlement rend les organismes comptables de la
gestion de leurs données »
Pierre Desmarais, Avocat au
Barreau de Paris et
Correspondant Informatique
et Libertés (CIL), exerce une
activité de conseil en droit
de la santé et des nouvelles
technologies. Il nous livre
son analyse sur ce projet de
règlement européen. « Le règlement va impacter le
monde du sport à tous les niveaux, de l’association sportive municipale à la fédération en passant par l’Agence
Française de Lutte contre le
Dopage (AFLD). Il n’y a
évidemment pas que le PSG
qui utilise des données per-
2
Le dossier du mois
N°93 n La Lettre de l’Officiel juridique du sport n mars 2015
LA LETTRE DE L’OFFICIEL JURIDIQUE DU SPORT
Pierre Desmarais, Avocat au
Barreau de Paris et Correspondant
Informatique et Libertés (CIL)
sonnelles. Pour éviter ces situations, le règlement rend
les organismes comptables
de la gestion de leurs
données. Ils devront désormais non plus déclarer leur
conformité au droit de la
protection des données, mais
bel et bien la démontrer. La
mesure emblématique, à cet
égard, sera l’instauration du
Data Protection Officer
(DPO).
Chargé
de
conseiller son employeur
dans l’utilisation de données
personnelles, faire l’interface entre lui et la CNIL
mais également de mener
des études de risque et de
veiller à l’efficacité des mesures de sécurité mises en
place, il sera désigné en rai-
Abonnement
son non seulement de ses
compétences juridiques et
technologiques mais également de sa connaissance du
secteur d’activité : ici, le
sport. A la différence du
Correspondant
Informatique et Libertés
(CIL) français, le DPO devra pouvoir justifier de ces
qualités. L’exigence est logique vu sa place prépondérante dans le nouveau dispositif. »
Des coûts supplémentaires
pour les clubs
Pourquoi est-ce particulièrement important en matière
sportive ? Les qualités
exigées du DPO en feront
une ressource aussi rare que
précieuse. Or, le Conseil et
le Parlement européen discutent encore pour savoir si
ce DPO sera obligatoire, ce
qui aurait des conséquences
pécuniaires importantes.
« Le Parlement souhaite aller en ce sens pour les organismes traitant les données
de plus de 5 000 personnes –
seuil atteint rapidement – ou
des données sensibles,
comme les données relatives
à l’état de santé. Or, en la
matière, la quasi-totalité des
organismes ont accès à de
telles données, ne serait-ce
qu’avec les certificats médicaux
d’aptitude.
Heureusement, le Conseil
est plus souple et propose
que le DPO ne puisse être
rendu obligatoire que dans
des domaines précis. Cette
vision est plus pragmatique.
On ne peut exiger le même
investissement dans la protection des données personnelles de la part des grands
clubs que des associations
sportives. Les enjeux et les
moyens ne sont pas les
mêmes.
Protéger
les
données des sportifs, oui,
mais pas au point d’étouffer
le milieu sous les contraintes
juridico-techniques ! »
traitant des données personnelles d’un citoyen de
l’Union Européenne. Aussi,
il convient de préparer son
organisation à la venue de ce
règlement qui pose de nouvelles obligations de sécurité
(mise en place de procédures
spécifiques et de tests, analyse de risque…), la simple
mise en place d’outils et de
rigueur comme une structure
informatique et libertés solide, la formation des opérationnels, la désignation d’un
correspondant informatique
et liberté peuvent d’ores et
déjà permettre à toutes les
organisations : fédérations,
clubs, sociétés…d’anticiper
l’arrivée de ce règlement et
de pouvoir prétendre le moment venu au label européen
de protection des données.
En attendant il convient
d’auditer ses traitements et
former ses équipes !
Le projet de règlement devrait s’appliquer dans un horizon à deux ans avec un
large spectre puisqu’il
concerne toute personne
Lydie Emeraud
A retourner à : Groupe Sport.fr - BP 40077 - 66050 PERPIGNAN CEDEX
Etablissement : .......................................................................................................................................
Mode de règlement
Service : ...................................................................................................................................................
q Chèque bancaire à l’ordre de Groupe Sport.fr
Nom : ............................................................................. Prénom : .....................................................
q Virement
Adresse :..................................................................................................................................................
q Bon de commande (réservé aux administrations)
CP : ................. Ville : .............................................................................................................................
Tél : ................................................................. Fax : ..............................................................................
E- mail : ....................................................................................................................................................
Signature et cachet de votre établissement
Formules d’abonnement de la gamme l’Officiel juridique du sport
q La Lettre de l’Officiel juridique du sport (1 an)...........................................................169 € TTC
q Le classeur de l’Officiel juridique du sport...................................................................100 € TTC
q La Lettre de l’Officiel juridique du sport + mises à jour du classeur (1 an) ...........190 € TTC
Formules d’abonnement couplées avec nos revues hebdomadaires (1 an)
q La Lettre de l’Officiel juridique du sport + La Lettre du Sport..................................329 € TTC
q La Lettre de l’Officiel juridique du sport + La Lettre de l’économie du sport......329 € TTC
q La Lettre de l’Officiel juridique du sport + L. Sport + L. économie du sport .........399 € TTC
Les informations relatives à votre abonnement ne seront pas communiquées à des tiers. En application de la loi informatique et liberté du 6 janvier 1978, art L.27, vous
disposez d'un droit d'accès et de rectification de ces données. Abonnements groupés et renseignements complémentaires : tél. 09 70 40 65 15 / [email protected]