DELIBERATION n°2015-050 du 29 janvier 2015

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2015-050 du 29 janvier 2015
Délibération n° 2015-050 du 29 janvier 2015 autorisant la Française des jeux à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité d’empêcher les personnes interdites de jeux de participer aux jeux qui relèvent de son monopole et qu’elle organise sur Internet.
Etat: VIGUEUR

(Demande d’autorisation n° 1787527)
La Commission nationale de l'informatique et des libertés,
Saisie par la Française des jeux d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité d’empêcher les personnes interdites de jeux de participer aux jeux qui relèvent de son monopole et qu’elle organise sur Internet ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 9 et 25-I-3° ;
Vu la loi n° 2010-476 du 12 mai 2010 modifiée relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne, notamment son article 66 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le dossier et ses compléments ;
Sur la proposition de Madame Joëlle FARCHY, commissaire, et après avoir entendu les observations de Monsieur Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :

Responsable du traitement
La Commission est saisie par la société anonyme d'économie mixte à conseil d'administration dénommée la Française des jeux (FDJ), détenue à 72% par l’Etat et ayant pour objet social l'organisation de jeux de hasard et d'argent.
La FDJ jouit d’un monopole confié par l’Etat pour les jeux de loterie et les paris sportifs sur le territoire national. Elle conçoit, produit et distribue des jeux de hasard, répartis en trois catégories, à savoir des jeux de tirage, des jeux de grattage et des paris sportifs.
Le Conseil d’Etat a considéré que la mission dévolue à la FDJ ne revêt pas le caractère d'une mission de service public (Conseil d’Etat, arrêt « Rolin », 27 octobre 1999). Il a néanmoins considèré qu’une « raison impérieuse d'intérêt général », liée à la protection de l'ordre public, justifie le monopole de la FDJ en matière de jeux de loterie, dans la mesure où il s'agit d'un moyen d'en assurer la limitation et le contrôle (Conseil d’Etat, arrêt « Confédération des professionnels en jeux automatiques », 15 mai 2000).
Conformément à la loi n° 2010-476 du 12 mai 2010, telle que modifiée par la loi n° 2014-344 du 17 mars 2014, les opérateurs de jeux agréés par les pouvoirs publics peuvent désormais concurrencer une partie des jeux organisés par la FDJ sur Internet en proposant une offre de paris sportifs, de paris hippiques ou de poker. Cette concurrence est en revanche impossible s’agissant des autres types de jeux d’argent et de hasard organisés par la FDJ sur Internet qui relèvent toujours de son monopole.
Sur la finalité
Le traitement dont est saisie la Commission a pour finalité de permettre à la FDJ d’empêcher les personnes interdites de jeux de participer aux jeux qu’elle organise sur internet et qui relèvent de son monopole, en s’assurant que les personnes admises à jouer ne sont pas inscrites dans les fichiers des interdits de jeu tenus par le ministère de l’intérieur.
La Commission prend acte de ce que ce traitement concerne uniquement l’offre de jeux de la FDJ « en monopole » et que, pour ses autres activités ouvertes à la concurrence, la FDJ utilise un traitement distinct ayant déjà fait l’objet d’une formalité auprès de la Commission.
En application de l’article 66 de la loi n° 2010-476 du 12 mai 2010 modifiée, la FDJ est chargée, en qualité de personne morale titulaire de droits exclusifs en matière d'offre publique de jeux en ligne, de prévenir et de lutter contre les comportements liés au jeu excessif ou pathologique.
Cet article prévoit par ailleurs que la FDJ est tenue, lorsqu’elle est titulaire de droits exclusifs en matière d’offre publique de jeux en ligne, d’empêcher la participation aux activités de jeu qu’elle propose aux personnes interdites de jeu en vertu de la règlementation en vigueur ou exclues de jeu à leur demande.
Cet article précise en outre que la FDJ, dans le respect de la loi du 6 janvier 1978 modifiée, doit interroger à cette fin les fichiers des interdits de jeu tenus par les services du ministère de l’intérieur, d’une part, et clôturer tout « compte joueur » dont le titulaire ferait l’objet d’une interdiction de jeu, d’autre part.
Au regard de ce qui précède, la Commission considère que la finalité du traitement dont elle est saisie est déterminée, explicite et légitime.
Sur les données traitées
Les données à caractère personnel collectées et traitées en l’espèce concernent les personnes souhaitant participer aux jeux en ligne organisés par la FDJ dans le cadre de son monopole.
Ces données sont relatives à :
  • des données d’identification (nom patronymique, prénom, jour, mois, année, ville, département et pays de naissance, nom d’usage le cas échéant) ;
  • des mesures de sûreté, à savoir les inscriptions dans les fichiers des interdits de jeu tenus par les services du ministère de l’intérieur.
La Commission estime que l’article 66 de la loi n° 2010-476 du 12 mai 2010 modifiée, par dérogation à l’article 9 de la loi du 6 janvier 1978 modifiée, permet à la FDJ de collecter et de traiter de telles mesures de sûreté dans le cadre de la gestion des jeux « en monopole » qu’elle propose en ligne.
La Commission prend acte du fait que les raisons ayant conduit au prononcé d’une interdiction de jeu ne sont pas collectées par la FDJ.
La Commission considère, dès lors, que le traitement des données précédemment visées est adéquat, pertinent et non excessif au regard de la finalité poursuivie.
Sur les destinataires
Les données du présent traitement sont uniquement traitées par les membres habilités de la FDJ au sein de la Direction de la sécurité et de la gestion des risques de la FDJ.
La Commission considère que ces personnes présentent un intérêt légitime à accéder aux données du présent traitement.
Par ailleurs, elle prend acte du fait que les données ne peuvent être transmises à un destinataire.
Sur l’information et le droit d’accès
Les personnes concernées par le présent traitement sont informées, conformément à l’article 32 de la loi du 6 janvier 1978 modifiée, par une mention sur le site internet de la FDJ, une mention dans le règlement général des jeux de la FDJ, ainsi que l’envoi d’un courriel lors du refus de création d’un compte joueur.
Les droits d’accès, de rectification et d’opposition pour motif légitime s’exercent directement auprès de la Direction de la sécurité et de la gestion des risques de la FDJ.
La Commission considère que ces modalités d’information et d’exercice des droits des personnes sont satisfaisantes.
Sur les mesures de sécurité
L’authentification des utilisateurs du traitement est assurée par l’utilisation de mots de passe, renouvelés tous les quarante-cinq jours, constitués d’au moins huit caractères et contenant au minimum deux types de caractères.
Des profils d’habilitation définissent les fonctions ou types d’informations accessibles à un utilisateur.
Les fichiers envoyés mensuellement à la FDJ par le ministère de l’intérieur sont envoyés par l’intermédiaire d’un courriel, contenant une pièce jointe chiffrée, adressé à deux personnes identifiées de la Direction de la sécurité et de la gestion des risques de la FDJ. La clef de déchiffrement est quant à elle adressée par une transmission distincte.
A cet égard, la Commission rappelle qu’elle recommande d’adresser une clef de déchiffrement par un canal de nature différente de celui utilisé pour envoyer les données.
Les étapes de développement et de maintenance du traitement font l’objet de mesures de sécurité visant à garantir la confidentialité des données.
Des mesures de sécurité physiques sont mises en place pour garantir la sécurité physique des serveurs.
Le traitement met en œuvre une journalisation des accès à l’application. Les données journalisées sont les suivantes :
  • date/heure de connexion et de déconnexion ;
  • identifiants de l’utilisateur ;
  • opération effectuée.
Sous réserve de la recommandation relative aux modalités d’envoi de la clef de déchiffrement, les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée.
La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Sur les autres caractéristiques du traitement
Les fichiers adressés par le ministère de l’intérieur sont supprimés par la FDJ un mois après leur réception.
Une copie conforme du fichier envoyé mensuellement par le ministère de l’intérieur est archivée pendant sept mois, sur un support sécurisé, pour être en mesure de répondre aux contestations des joueurs. Dans ces hypothèses, la FDJ doit en effet disposer d’une copie du fichier transmis par le ministère de l’intérieur dans sa version initiale.
La Commission considère que ces durées de conservation n’excèdent pas celles qui sont nécessaires à l’accomplissement de la finalité poursuivie par le responsable de traitement.

Autorise, conformément à la présente délibération, la société dénommée la Française des jeux des jeux à mettre en œuvre le traitement susmentionné.
La Présidente
I. FALQUE-PIERROTIN




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 20 mars 2015