La CNIL précise les fichiers utilisés pour contrôler les professionnels (et bénévoles) du sport

« Afin d’accompagner l’ensemble des acteurs de l’écosystème du sport dans leur mise en conformité », la CNIL vient de publier « deux premières fiches » de sensibilisation au règlement général sur la protection des données (RGPD). D’autres suivront, « au fur et à mesure de l’avancée des travaux avec les autres organismes et institutions ».

La CNIL explique avoir préparé ces fiches « en étroite collaboration » avec le ministère des sports et des Jeux olympiques et paralympiques, le Comité national olympique et sportif français (CNOSF) et l’équipe en charge du Sport Data Hub (SDH), et bénéficié de l’appui du Comité Paralympique et Sportif Français (CPSF), du service interministériel des Archives de France et d’ « autres acteurs du secteur sportif ».

Qui, pour combien de temps et pourquoi

En août de l’année dernière, la Commission nationale de l'informatique et des libertés avait déjà publié des outils pédagogiques sur le sport amateur (hors contrat) et le RGPD. Le but était d’aider les professionnels (salariés, bénévoles) à respecter la protection des données personnelles.

La CNIL rappelle aujourd’hui que « la loi contient peu de dispositions fixant la durée de conservation des données personnelles collectées sur les sportifs ». Elle ajoute que, « pour autant, les données collectées ne doivent pas être conservées indéfiniment ». La Commission parle d’une « durée limitée », définie en fonction de l’objectif poursuivi par la collecte des données. Elles doivent ensuite être « supprimées ou anonymisées ».

La fiche consacrée au contrôle des antécédents judiciaires – ou « contrôle d’honorabilité » – des personnes gravitant autour des structures sportives détaille par le menu la (longue) liste des personnes concernées, qu'ils soient professionnels, bénévoles ou amateurs.

Outre les « éducateurs, sportifs, encadrement médical, juges et arbitres, parents accompagnateurs, etc. », peuvent en effet également être concernés, et donc contrôlés, « les personnels de service ou les parents accompagnateurs s’engageant auprès d’un club à accompagner régulièrement des mineurs ».

Quid des personnes condamnées ?

La CNIL rappelle à ce titre que « les personnes condamnées pour crime ou délit ne peuvent pas travailler, être bénévoles ou intervenir dans les structures sportives », dans deux cas : 

• « si une condamnation a été prononcée pour un crime ou pour certains délits tels que les violences, les menaces, le harcèlement, les agressions sexuelles, l’usage illicite de stupéfiants ;
• si une mesure administrative d’interdiction ou de suspension d’exercer certaines fonctions (éducateur sportif, arbitre, etc.) a été prononcée par le préfet. »

La CNIL précise pour autant que « le contrôle systématique et automatisé des antécédents judiciaires ne concerne pas tous les intervenants exerçant auprès d’une structure au sein de laquelle des activités sportives sont pratiquées » : 

« Par exemple, les éducateurs sportifs bénévoles intervenant au sein d’une association sportive non rattachée à une fédération ne sont pas assujettis à un contrôle systématique de leur honorabilité ; seul un contrôle aléatoire s’effectuant de manière manuelle sera réalisé lors d’une visite de contrôle déclenchée par les services départementaux. »

Casier judiciaire et contrôle d’honorabilité

En tout état de cause, « chacune de ces fédérations doit informer les personnes concernées au moment de leur demande de licence qu’il est procédé à un contrôle d’honorabilité ». Et l'« incapacité d’exercer » notifiée par le préfet de département à l’intéressé ainsi qu’à la structure sportive au sein de laquelle l’intéressé évolue ou a vocation à évoluer « est susceptible de recours ».

La CNIL précise en outre que, « sauf exception prévue par un texte spécifique », il est interdit de demander le bulletin n° 3 du casier judiciaire national des gardiens de stade, parents accompagnateurs et autres sportifs licenciés : 

« Dans le code du sport, seul est prévu le contrôle des antécédents judiciaires d’un nombre très limité d’intervenants. Ce contrôle s’effectue selon des modalités très précises, strictement définies. »

12 questions à se poser

La CNIL dresse en outre 12 « questions à se poser » pour évaluer la conformité de ces contrôles. Elles commencent par une question qu’on devrait toujours se poser – « A-t-on vraiment besoin » de ces données – et se terminent par le sujet du piratage et/ou de la perte :

• A-t-on vraiment besoin des données pour atteindre l’objectif fixé ?
• Si oui, la durée de conservation envisagée est-elle adaptée au regard de l’objet de la collecte des données personnelles ?
• Existe-t-il des obligations légales de conserver les données pendant un certain temps ?
• Est-il nécessaire de conserver certaines données en vue de se protéger contre un éventuel contentieux ? Lesquelles ?
• La réflexion menée pour justifier la durée de conservation définie est-elle bien justifiée et documentée ?
• Des mesures techniques ou organisationnelles ont-elles été définies pour supprimer régulièrement les données personnelles à l’expiration des durées de conservation retenues ?
• Si un délégué à la protection des données a été désigné, celui-ci a-t-il été sollicité pour échanger sur la durée de conservation des informations ?
• La durée de conservation est-elle inscrite au sein du registre des activités de traitement ?
• La durée de conservation a-t-elle été précisée dans les mentions d’information communiquées aux personnes concernées (ex. : salariés, sportifs, dirigeants de clubs, etc.) ?
• La séparation entre la « base active » et la « base d’archivage intermédiaire » a-t-elle été opérée (par voie technique ou via le dispositif de gestion des habilitations et des accès) ?
• Des mesures de sécurité ont-elles été prévues pour protéger les informations (destruction, perte, altération, diffusion ou accès non autorisés) ?
• La destruction des informations ou leur anonymisation est-elle réalisée une fois que la durée de conservation ou la durée d’archivage intermédiaire fixée est atteinte ?