Décret n° 2010-509 du 18 mai 2010 relatif aux obligations imposées aux opérateurs agréés de jeux ou de paris en ligne en vue du contrôle des données de jeux par l'Autorité de régulation des jeux en ligne




Décret n° 2010-509 du 18 mai 2010 relatif aux obligations imposées aux opérateurs agréés de jeux ou de paris en ligne en vue du contrôle des données de jeux par l'Autorité de régulation des jeux en ligne

NOR: BCRB1012570D
Version consolidée au 16 janvier 2019


Le Premier ministre,
Sur le rapport du ministre du budget, des comptes publics et de la réforme de l'Etat,
Vu la directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 modifiée prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l'information, et notamment la notification n° 2010/0057/F ;
Vu le code civil, notamment son article 1er ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne ;
Vu le décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information » ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 12 mai 2010 ;
Le Conseil d'Etat (section des finances) entendu,
Vu l'urgence,
Décrète :

  • CHAPITRE IER : DEFINITIONS


    Au sens du présent décret :
    1° Les données tracées s'entendent des données électroniques échangées entre chaque joueur et l'opérateur qui doivent être conservées dans le support matériel d'archivage, en application de l'article 31 de la loi du 12 mai 2010 susvisée ;
    2° Le support matériel d'archivage s'entend du dispositif technique, tel que mentionné à l'article 31 de la loi du 12 mai 2010 susvisée, mis en place pour recueillir, mettre en forme et conserver les données tracées ; il est composé d'un capteur et d'un coffre-fort ; le capteur s'entend de la partie du support matériel d'archivage dédiée à la fonction de recueil et de mise en forme des données tracées ; le coffre-fort s'entend de la partie du support matériel d'archivage dédiée à la fonction de sécurisation et de conservation de ces données ;
    3° La plate-forme s'entend du système d'information de l'opérateur contenant notamment les informations personnelles liées au joueur et le logiciel de jeu.

  • CHAPITRE II : SUPPORT MATERIEL D'ARCHIVAGE


    Avant toute activité de jeu ou de pari, l'opérateur déclare auprès de l'Autorité de régulation des jeux en ligne la mise en fonctionnement du support matériel d'archivage dans les conditions prévues par le dossier des exigences techniques mentionné à l'article 11.
    Afin de garantir que son fonctionnement est conforme aux spécifications du présent décret et aux dispositions du dossier des exigences techniques, le support matériel d'archivage fait l'objet, dans le délai de six mois à compter de sa date de mise en fonctionnement, de la certification mentionnée au II de l'article 23 de la loi du 12 mai 2010 susvisée.


    Le support matériel d'archivage est développé et exploité sous la seule responsabilité de l'opérateur.
    L'opérateur redirige vers le support matériel d'archivage les connexions des joueurs telles que mentionnées à l'article 24 de la loi du 12 mai 2010 susvisée.
    Les échanges électroniques entre le joueur, le support matériel d'archivage et la plate-forme de l'opérateur sont sécurisés de sorte que soient garanties leur authentification et leur confidentialité.
    Le support matériel d'archivage doit être au moins doté de quatre fonctions :
    1° Recueil et mise en forme des données tracées ;
    2° Conservation de ces données ;
    3° Consultation et extraction de ces données ;
    4° Administration et gestion des utilisateurs du support matériel d'archivage.


    La conception du coffre-fort garantit :
    1° Que seuls les agents de l'Autorité de régulation des jeux en ligne peuvent déchiffrer le contenu des données qui y sont conservées ;
    2° Que toute suppression ou altération de ces données, malveillante ou non, est identifiable par ces agents ;
    3° Que la gestion des droits d'accès au coffre ne peut être réalisée que par des agents de l'Autorité de régulation des jeux en ligne.
    L'Agence nationale de la sécurité des systèmes d'information se prononce sur la conception du coffre-fort au regard des garanties exigées.


    Le coffre-fort contient deux espaces de conservation des données, l'un pour les données d'administration du support matériel d'archivage, l'autre pour les données tracées. Lorsque l'opérateur dispose de plusieurs agréments, le coffre-fort contient un espace de conservation des données tracées par activité de jeu ou de pari faisant l'objet d'un agrément.
    Les données tracées et conservées dans le coffre-fort sont chiffrées de manière à en garantir la confidentialité. Elles sont horodatées, chaînées et scellées de manière à ce qu'elles ne puissent être altérées et à ce que tout ajout, suppression ou modification soit détectable par les agents de l'Autorité de régulation des jeux en ligne.
    Les données tracées font l'objet d'un codage spécifique correspondant aux catégories d'informations précisées dans le dossier des exigences techniques et portant notamment sur :
    1° L'identifiant du joueur, ou « login », saisi par le joueur pour s'identifier auprès de l'opérateur ;
    2° Le pseudonyme du joueur ou « pseudo », c'est-à-dire le nom d'emprunt que se donne le joueur dans le cadre de ses activités de jeu ;
    3° L'« adresse IP » du joueur, c'est-à-dire l'adresse dite « Internet Protocol » du terminal depuis lequel le joueur se connecte au site de l'opérateur ;
    4° Toute autre donnée relative à un événement de jeu ou de pari ou concourant à la formation du solde du compte joueur.

  • CHAPITRE III : CONTROLE DES DONNEES DU SUPPORT MATERIEL D'ARCHIVAGE PAR L'AUTORITE DE REGULATION DES JEUX EN LIGNE


    L'Autorité de régulation des jeux en ligne peut accéder aux données conservées dans le coffre-fort du support matériel d'archivage soit sur le site d'hébergement de ce dernier, soit en téléchargeant ces données à distance. A cette fin, l'opérateur fournit à l'autorité une version des outils d'extraction et de validation des données que celle-ci pourra utiliser dans ses locaux.
    Les données restent accessibles sur le site d'hébergement du support matériel d'archivage durant toute leur durée de conservation exigée à l'article 10. Les données accessibles à distance doivent couvrir au moins les douze derniers mois d'activité de l'opérateur.
    Les agents de l'Autorité de régulation des jeux en ligne mentionnés au II de l'article 42 de la loi du 12 mai 2010 susvisée peuvent se rendre à tout moment sur le site d'hébergement du support matériel d'archivage pour saisir l'ensemble ou un sous-ensemble des données qui y sont conservées. A cette fin, ils informent au moins deux heures à l'avance le représentant de l'opérateur mentionné au cinquième alinéa de l'article 16 de cette même loi de leur intention d'accéder à ce site et de l'heure à laquelle cet accès devra leur être donné.

  • CHAPITRE IV : DONNEES MISES A DISPOSITION DE L'AUTORITE DE REGULATION DE JEUX EN LIGNE


    Les données mentionnées à l'article 8 sont mises à la disposition de l'Autorité de régulation des jeux en ligne :
    1° Par l'accès permanent au support matériel d'archivage dont dispose l'autorité ;
    2° Par la transmission périodique à l'autorité de données, exhaustives ou agrégées, extraites de la plate-forme de l'opérateur ;
    3° A la suite d'une demande ponctuelle formulée par l'autorité.


    Les données que l'opérateur est tenu de mettre à la disposition de l'Autorité de régulation des jeux en ligne dès le commencement de son activité, sous forme exhaustive ou agrégée, portent sur :
    1° Toute information détenue par l'opérateur concernant chaque joueur, et notamment les informations suivantes : nom, prénoms, sexe, date et lieu de naissance, adresse postale du domicile, le cas échéant adresse de courrier électronique, identifiant permettant l'accès au compte joueur, date d'ouverture du compte joueur, référence du compte de paiement tel que mentionné au dernier alinéa de l'article 17 de la loi du 12 mai 2010 susvisée, sur lequel l'opérateur reversera, le cas échéant, les avoirs du joueur ;
    2° Les opérations de compte réalisées par les joueurs ;
    3° Les opérations de jeu réalisées par les joueurs ainsi que toute donnée concourant à la formation du solde du compte joueur ;
    4° Le catalogue des jeux et paris proposés ;
    5° Le tirage des cartes réalisé par le générateur de nombres aléatoires pour l'organisation des jeux de cercle ;
    6° Les profils des joueurs et leurs comportements de jeu ;
    7° Les offres promotionnelles attribuées par l'opérateur sous quelque forme que ce soit, y compris les lots en nature et leur utilisation par les joueurs ;
    8° La gestion de la plate-forme de jeu et les incidents techniques ;
    9° Les contrôles menés par ses soins et leurs résultats, ainsi que les incidents de jeu et les opérations frauduleuses détectés ;
    10° L'évolution et la maintenance des matériels, plate-formes et logiciels de jeu utilisés.


    La liste détaillée des données mentionnées à l'article 8, la périodicité de leur transmission prévue au 2° de l'article 7 ainsi que les formats associés sont précisés dans le dossier des exigences techniques.

  • CHAPITRE V : DELAI DE CONSERVATION DES DONNEES

    Les données mentionnées à l'article 8 sont conservées pendant une durée de six ans. A l'issue de ce délai, l'opérateur supprime ces données.

    Pour les données personnelles concernant chaque joueur, le délai mentionné à l'alinéa précédent court à compter de la clôture du compte joueur correspondant. A l'issue de ce délai, l'opérateur supprime ces données.

  • CHAPITRE VI : DISPOSITIONS FINALES


    L'Autorité de régulation des jeux en ligne détermine dans un dossier des exigences techniques les mesures liées à la mise en œuvre, par les opérateurs, des obligations mentionnées au présent décret.


    Le ministre du budget, des comptes publics et de la réforme de l'Etat est chargé de l'exécution du présent décret, qui sera publié au Journal officiel de la République française et entrera en vigueur immédiatement.


Fait à Paris, le 18 mai 2010.


François Fillon


Par le Premier ministre :


Le ministre du budget, des comptes publics

et de la réforme de l'Etat,

François Baroin