Nous suivre Acteurs du sport

abonné

Protection des données personnelles 

Sujets relatifs :

 

« L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » 

 

La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés introduit de cette manière, dans son article 1, les enjeux attachés à la protection des données personnelles des individus, dans un monde confronté au développement rapide des solutions informatiques permettant le traitement aisé de telles données. 

 

La loi s’applique de manière large, à l’ensemble des traitements automatisés de données à caractère personnel, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles. 

 

Les entreprises et associations sportives sont directement concernées par le droit des données à caractère personnel à plusieurs titres, au titre de leur gestion du personnel, de la gestion des membres de l’association, de la billetterie mise en œuvre, d’opérations réalisées auprès d’abonnés, de prospects, etc. 

 

Dans ce cadre, il importe de rappeler les principes généraux de la loi, de rappeler les obligations à charge du responsable du traitement, notamment au regard des formalités préalables à mettre en œuvre auprès de la Cnil, ainsi que des obligations d’information concernant les personnes physiques concernées. 

 

C’est la Cnil (Commission nationale de l’informatique et des libertés) qui est chargée de veiller au respect de cette loi sur le territoire français. 

 

1. Les missions de la Cnil 

 

La Cnil est une autorité administrative indépendante.  

 

La Cnil est composée de dix-sept membres, parmi lesquels on compte, notamment, deux députés et deux sénateurs désignés respectivement par leur chambre d’origine, trois personnalités qualifiées, pour leur connaissance de l’informatique ou des questions touchant aux libertés individuelles, nommées par décret, ou encore deux personnalités qualifiées pour leur connaissance de l’informatique, désignées par le président de l’Assemblée nationale et le président du Sénat. 

Les membres accomplissent un mandat de cinq ans, renouvelable une fois. 

 

La Cnil est aujourd’hui présidée par Alex Türk, sénateur. 

Elle a pour mission d’informer toutes les personnes concernées par un traitement de données à caractère personnel, ainsi que tous les responsables de traitement de leurs droits et obligations au regard de la loi Informatique et libertés. 

 

Il lui revient également de veiller à ce que les traitements de données à caractère personnel soient mis en œuvre conformément à la loi. 

À ce titre, elle doit être sollicitée afin d’autoriser les traitements portant sur des données particulièrement sensibles. 

 

La Cnil a également un rôle de rédaction de normes destinées à simplifier l’obligation de déclaration des responsables de traitement, pour les catégories les plus courantes de traitement, dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés. 

 

Elle a également la charge d’éditer des règlements types en vue d’assurer la sécurité des systèmes. 

 

Son rôle s’étend également à la réception des réclamations, pétitions et plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et à l’information des auteurs sur les suites données à celles-ci. 

 

Enfin, elle peut être sollicitée par le biais de demandes d’avis émanant des pouvoirs publics ou des juridictions sur des problématiques particulières relatives à la loi Informatique et libertés. Elle est également consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l’égard des traitements automatisés. Son avis est, dans cette hypothèse, rendu public. 

 

La Cnil a, en corollaire de ses missions, un pouvoir de contrôle et de vérification portant sur tout traitement mis en œuvre. 

 

Depuis la réforme du 6 août 2004, la Cnil peut également, à l’issue d’une procédure contradictoire, prononcer des sanctions à l’encontre de responsables de traitement ne respectant pas la loi dont elle assure le respect. 

Celles-ci peuvent aller de l’avertissement à une sanction pécuniaire pouvant atteindre 300 000 euros, en cas de récidive, en passant notamment par une mise en demeure ou une injonction de cesser le traitement. 

Ces sanctions sont prises par la formation contentieuse de la Cnil, composée de six membres se réunissant au moins une fois par mois. 

 

Les décisions de la Cnil peuvent faire l’objet de recours devant la juridiction administrative. 

 

Saisie par un avocat, la Cnil mène une enquête sur l’éventuelle contribution par le Paris Saint-Germain (le PSG) d’une liste de supporters indésirables, en dehors de tout cadre légal.

La plupart de ces ex-supporters seraient en opposition avec la direction du club sur la politique mise en œuvre par celui-ci et ne feraient l’objet d’aucune interdiction de stade.

 

2. Définitions 

 

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. 

 

Il peut s’agir du nom, du numéro d’immatriculation, du numéro de téléphone, de la photographie, d’éléments biométriques tels que l’empreinte digitale, l’ADN, etc., et, plus généralement, de toute information qui, sans être associée au nom d’une personne, peut permettre de l’identifier et de connaître ses habitudes ou ses goûts. 

 

En revanche, la loi Informatique et libertés ne s’applique pas aux personnes morales. Ainsi, par exemple, un fichier comprenant des noms de sociétés ne relève pas du champ d’application de cette loi, en dehors des hypothèses où il contiendrait des noms de personnes physiques. 

Le traitement en lui-même de données à caractère personnel correspond à toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé, et notamment, la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. 

À titre d’illustration, le fichier de gestion des joueurs d’une équipe de handball, afin d’assurer leur rémunération, le fichier des membres d’une association, un fichier de badges pour l’accès aux locaux… constituent de tels traitements soumis à l’application de la loi Informatique et libertés. 

La loi Informatique et libertés met à la charge du responsable du traitement un certain nombre d’obligations qui seront examinées ci-après. 

Est considérée comme le responsable du traitement la personne physique ou morale qui détermine les finalités et les moyens des opérations appliquées à des données à caractère personnel. 

 

Afin d’identifier le responsable du traitement, il est possible de s’interroger sur les questions suivantes : 

- à quoi servira le traitement et comment fonctionnera-t-il ? 

- qui s’en sert ? 

 

Le responsable du traitement doit être distingué des personnes qui interviennent dans le cadre de sa mise en œuvre et, notamment, des sous-traitants qui ne peuvent agir que sous l’autorité du responsable du traitement et sur instruction de celui-ci. 

 

L’existence d’une relation de sous-traitance ne décharge pas le responsable du traitement de sa responsabilité vis-à-vis du respect de la loi Informatique et libertés. 

 

3. Les formalités préalables à accomplir avant toute mise en œuvre d’un traitement de données à caractère personnel 

 

De principe, l’ensemble des traitements automatisés de données à caractère personnel doit faire l’objet d’une déclaration préalable auprès de la Cnil. 

 

a) La déclaration normale 

 

La déclaration normale comporte l’engagement émanant du responsable du traitement, selon lequel le traitement satisfait aux exigences de la loi. 

Elle doit être adressée à la Cnil qui délivre, sans délai à l’expéditeur, un récépissé à partir duquel le traitement peut être mis en œuvre. 

 

Pour les catégories les plus courantes de traitement, la Cnil établit et publie des normes destinées à simplifier l’obligation de déclaration. Ces normes précisent les finalités des traitements faisant l’objet d’une déclaration simplifiée, les données à caractère personnel traitées, les catégories de personnes concernées, les destinataires auxquels les données à caractère personnel sont communiquées, ainsi que leur durée de conservation. 

 

Dans cette hypothèse, les traitements correspondant à l’une de ces normes peuvent faire l’objet d’un simple engagement de conformité envoyé à la Cnil. 

 

Enfin, certains traitements bénéficient d’une dispense de déclaration de la part de la Cnil. Il s’agit, par exemple, s’agissant des collectivités territoriales, des fichiers de fournisseurs ou, pour les associations, les traitements de paie, de comptabilité générale ou de communication non commerciale. 

 

b) La demande d’autorisation 

 

En revanche, certains traitements doivent faire l’objet d’une demande d’autorisation préalable à la Cnil. 

 

Parmi eux figurent, notamment, ceux portant sur des données génétiques, des diagnostics médicaux, des données relatives aux infractions, condamnations ou mesures de sûreté, ainsi que tous les traitements susceptibles du fait de leur nature, de leur portée ou de leur finalité, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, en l’absence de toutes dispositions législatives ou réglementaires(*)

Il s’agit, par exemple pour ces derniers, des listes noires tenues par les établissements de crédit. 

 

De même, le traitement de données correspondant aux origines raciales ou ethniques, à la vie sexuelle ou à[…]

Pour lire la totalité de cet article, ABONNEZ-VOUS

Déjà abonné ?

Mot de passe perdu

Pas encore abonné ?

Nous vous recommandons

Actualités juridiques

Actualités juridiques

Réponses parlementaires JO 6 novembre santé - Possible dangerosité des pelouses synthétiques 15ème législature - question n°12477 posée par M. Stéphane Testé (La[…]

07/11/2018 | Droit du sport
Actualités juridiques

Actualités juridiques

Qui pour surveiller la natation scolaire?

Qui pour surveiller la natation scolaire?

Actualités juridiques

Actualités juridiques

Plus d'articles