Délibération n° 2015-118 du 7 avril 2015 portant autorisation unique de traitements de données à caractère personnel mis en œuvre par les associations, sociétés et fédérations sportives aux fins de gestion des interdictions de stade prononcées par l'autorité judiciaire ou administrative (AU-42)

JORF n°0084 du 10 avril 2015
texte n° 92



Délibération n° 2015-118 du 7 avril 2015 portant autorisation unique de traitements de données à caractère personnel mis en œuvre par les associations, sociétés et fédérations sportives aux fins de gestion des interdictions de stade prononcées par l'autorité judiciaire ou administrative (AU-42)

NOR: CNIL1508871X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code du sport, notamment ses articles L. 332-15, L. 332-16, R. 332-1 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 9 et le 3° du I de son article 25 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;


Après avoir entendu Mme Joëlle FARCHY, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Au sens de la loi du 6 janvier 1978 modifiée, les interdictions de stade prononcées par l'autorité judiciaire à titre de peine complémentaire, ainsi que les mesures d'interdiction de stade décidées par l'autorité administrative, sont des données à caractère personnel relatives à des infractions, condamnations ou mesures de sûreté.
L'article 9 de la loi du 6 janvier 1978 modifiée, tel qu'interprété par le Conseil constitutionnel dans sa décision n° 2004-499 DC du 29 juillet 2004, réserve la faculté de créer un traitement de données à caractère personnel relatives à des infractions, condamnations ou mesures de sûreté :


- aux juridictions, aux autorités publiques et aux personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;
- aux auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;
- aux personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits ;
- aux personnes physiques ou morales victimes d'une infraction dans le cadre de l'exercice d'un recours juridictionnel.


En dehors de ces hypothèses, il est impossible de mettre en œuvre un traitement de données à caractère personnel relatives à des infractions, condamnations ou mesures de sûreté, sauf en présence d'une disposition légale spécifique permettant de déroger à l'article 9 de la loi du 6 janvier 1978 modifiée.
Sans préjudice des missions de service public confiées aux fédérations sportives agréées, deux dispositions légales spécifiques figurant au code du sport permettent à la commission d'autoriser la mise en œuvre de traitements de données à caractère personnel relatives à des condamnations ou à des mesures de sûreté, en dehors des hypothèses prévues par l'article 9 de la loi du 6 janvier 1978 modifiée, pour permettre aux organisateurs de manifestations sportives de préserver la sécurité des participants et des spectateurs.
L'article L. 332-15 du code du sport prévoit en effet que le préfet du département ou, à Paris, le préfet de police communique aux associations et sociétés sportives, ainsi qu'aux fédérations sportives agréées, l'identité des personnes physiques ayant été condamnées à une peine complémentaire d'interdiction de stade par l'autorité judiciaire.
L'article L. 332-16 du même code prévoit, quant à lui, des dispositions analogues s'agissant des personnes physiques faisant l'objet d'une mesure d'interdiction de pénétrer ou de se rendre aux abords des enceintes sportives prononcée par l'autorité administrative, par arrêté motivé, en raison de l'existence d'une menace pour l'ordre public.
En application du 3° du I de l'article 25 de la loi du 6 janvier 1978 modifiée, la mise en œuvre d'un traitement de données à caractère personnel, automatisé ou non, portant sur des données relatives à des infractions, condamnations ou mesures de sûreté doit être autorisée par la commission.
Toutefois, en application du II de l'article 25 de la loi du 6 janvier 1978 modifiée, la commission peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.
Les traitements automatisés de données à caractère personnel visant à permettre la mise en œuvre des interdictions de stade prononcées par l'autorité judiciaire ou administrative sont de ceux qui peuvent, sous certaines conditions, relever de cette définition.
Les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à les mettre en œuvre.
Tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par la présente autorisation unique doit en revanche faire l'objet d'une demande d'autorisation spécifique.


Champ d'application.
Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente décision les traitements, automatisés ou non, mis en œuvre par les organismes mentionnés aux articles L. 332-15 et L. 332-16 du code du sport aux fins de priver les personnes frappées d'une interdiction de stade, prononcée par une juridiction ou un préfet, de la possibilité d'accéder à une enceinte dans laquelle se déroule une manifestation sportive à laquelle il leur est interdit d'assister.

Article 2


Finalité du traitement.
Les traitements mis en œuvre sur la base de la présente décision ne peuvent avoir pour finalité que la constitution de listes de personnes physiques faisant l'objet d'une interdiction de stade en vigueur, prononcée par une juridiction ou un préfet, et ce, afin de ne pas leur fournir un titre d'accès ou de pouvoir leur refuser l'accès à une enceinte dans laquelle une manifestation sportive est organisée.


Données collectées et traitées.
La commission rappelle que des données à caractère personnel ne peuvent être collectées que si elles sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie. Un responsable de traitement doit ainsi être en mesure de justifier du caractère nécessaire des données à caractère personnel effectivement collectées.
Pour atteindre la finalité mentionnée à l'article 2 de la présente décision, les responsables de traitement peuvent collecter et traiter les données que les préfets leur transmettent en application des articles R. 332-2 et R. 332-7 du code du sport.
La commission estime que ces responsables peuvent également traiter les adresses et les photographies des personnes concernées par une interdiction de stade, lorsque ces données ont été collectées par un moyen légitime, en particulier à l'occasion de la souscription d'un abonnement ou de l'achat d'un titre d'accès, dans la mesure où ces informations présentent un intérêt pour identifier les personnes frappées par une interdiction de stade, ainsi que pour les informer de leurs droits tels que précisés par l'article 6 de la présente décision.
S'agissant des photographies éventuellement collectées, la commission précise que ces données ne peuvent être utilisées pour mettre en place un dispositif biométrique de reconnaissance faciale.
La commission relève que le code du sport ne prévoit pas que les raisons ayant conduit au prononcé d'une interdiction de stade puissent être transmises par les préfets territorialement compétents aux associations et sociétés sportives, ainsi qu'aux fédérations sportives agréées. Dans la mesure où cette information ne présente pas d'intérêt au regard de la finalité mentionnée à l'article 2 de la présente décision, elle estime que cette information ne peut être traitée.
Sur la base de la présente décision, les responsables de traitement peuvent ainsi collecter des données relatives à :


- l'identification des personnes (nom ; prénom ; adresse ; date et lieu de naissance ; photographie) ;
- des condamnations ou mesures de sûreté, à savoir :
- en cas d'interdiction judiciaire de stade : date de la décision et durée de la peine complémentaire ;
- en cas d'interdiction administrative de stade : enceintes et abords interdits d'accès, type de manifestations sportives concernées, date et durée de validité de l'arrêté préfectoral d'interdiction, le cas échéant obligation de répondre aux convocations des autorités ou des personnes qualifiées désignées par l'autorité préfectorale.


Durée de conservation des données.
Conformément au 5° de l'article 6 de la loi du 6 janvier 1978 modifiée, des données à caractère personnel ne peuvent être conservées que le temps strictement nécessaire à l'accomplissement de la finalité pour laquelle elles ont été collectées.
Au regard de la finalité indiquée à l'article 2 de la présente décision, les données à caractère personnel collectées sur la base de cette dernière ne peuvent être conservées au-delà de la durée d'une interdiction de stade prononcée par l'autorité judicaire ou administrative.
La commission rappelle à cet égard, conformément aux articles R. 332-3 et R. 332-9 du code du sport et au 4° de l'article 6 de la loi du 6 janvier 1978 modifiée, que le responsable de traitement doit mettre à jour son traitement sans délai et, en particulier, supprimer les données à caractère personnel :


- à l'expiration de la durée d'interdiction prononcée par un juge ou un préfet ;
- lorsqu'une peine complémentaire d'interdiction de stade prononcée par l'autorité judiciaire est infirmée à l'occasion d'un recours juridictionnel ou amnistiée ;
- lorsqu'une mesure administrative d'interdiction de pénétrer dans des enceintes sportives ou de se rendre à leurs abords est annulée par une juridiction administrative.


Lorsqu'une mesure administrative d'interdiction de pénétrer dans des enceintes sportives ou de se rendre à leurs abords est simplement suspendue par une juridiction administrative, les données relatives à la personne concernée peuvent être conservées dans le traitement, jusqu'à l'intervention de la décision définitive, sous réserve que les effets de la mesure d'interdiction initialement prononcée soient suspendus par le responsable de traitement, de façon à permettre à la personne concernée d'accéder à une enceinte sportive pendant le temps de la suspension.
En cas d'utilisation d'un traitement automatisé, puisque le responsable de traitement connaît dès l'origine la durée de validité d'une interdiction de stade, la commission estime nécessaire qu'une purge automatique des données soit mise en œuvre à l'issue de cette période ou, à défaut, qu'une procédure garantisse de façon certaine le même résultat.

Article 5


Destinataires des données.
Conformément à l'article 34 de la loi du 6 janvier 1978 modifiée, le responsable d'un traitement de données à caractère personnel est tenu de prendre toutes les garanties utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et notamment empêcher que des tiers non autorisés y aient accès.
Dans les limites de leurs attributions, et chacun pour ce qui le concerne, seuls les employés du responsable de traitement qui présentent un intérêt légitime à en connaître, au regard de leurs attributions, peuvent accéder aux données listées à l'article 3 de la présente décision, en particulier les membres habilités d'un service sécurité, d'un service billetterie, d'un service juridique ou encore d'un service chargé d'organiser les rencontres et de filtrer les accès d'une enceinte sportive.
En cas de recours à un sous-traitant, seul le personnel spécialement habilité du sous-traitant doit pouvoir accéder aux données se rapportant à une liste de personnes interdites de stade, à l'exclusion de toute personne n'étant pas chargée d'assurer la réalisation de la prestation de service. Dans cette hypothèse, le responsable de traitement devra par ailleurs tout mettre en œuvre pour récupérer les documents en format papier remis à son sous-traitant ou pour faire cesser une mise à disposition dématérialisée de ces informations.

Article 6


Information et droits des personnes.
Le responsable du traitement procède, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, à l'information des personnes concernées par affichage, envoi ou remise d'un document, ou par tout autre moyen équivalent, en indiquant l'identité du responsable de traitement, la finalité poursuivie par le traitement, les destinataires des données et les modalités d'exercice des droits des personnes (droit d'accès, de rectification et d'opposition pour motif légitime).
Cette information peut ainsi être délivrée par l'envoi d'un courrier postal ou électronique, par une mention dans des conditions générales de vente, par une mention sur les billets, ou par un autre moyen que le responsable de traitement jugerait plus adapté.
En cas d'impossibilité pratique pour délivrer cette information, en particulier lorsque le responsable de traitement n'a pas eu de contact avec une personne avant le jour de la manifestation qu'il organise ou ne dispose pas de son adresse, cette personne doit être informée de son inscription dans le traitement lors du premier contact avec le responsable de traitement, par exemple par la remise d'un formulaire contre signature ou par l'envoi d'un courrier ou d'un courriel.
Les droits d'accès, de rectification et d'opposition définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent directement auprès du ou des services que le responsable de traitement doit impérativement désigner.
S'agissant du droit d'opposition, la commission rappelle que ce droit ne peut être invoqué que pour un motif légitime.

Article 7


Sécurité des données et traçabilité des actions.
La commission rappelle que le responsable du traitement doit prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données à caractère personnel. Pour atteindre cet objectif, il peut en particulier réaliser une étude des risques liés à la sécurité des données permettant de définir les mesures les plus adaptées au contexte en présence.
Il doit, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
A cet égard, en cas de recours à un traitement automatisé, le responsable de traitement doit s'assurer plus particulièrement :


- que toute transmission d'information via un canal de communication non sécurisé, par exemple internet, s'accompagne de mesures adéquates permettant de garantir la confidentialité des données échangées, telles qu'un chiffrement des données. Les moyens utilisés doivent être conformes à l'état de l'art et, le cas échéant, respecter les recommandations de la commission ;
- que les personnes habilitées disposant d'un accès aux données s'authentifient avant tout accès à des données à caractère personnel, au minimum au moyen d'un identifiant et d'un mot de passe personnels respectant les recommandations de la CNIL, ou par tout autre moyen d'authentification garantissant au moins le même niveau de sécurité ;
- qu'un mécanisme de gestion des habilitations est mis en œuvre et régulièrement mis à jour pour garantir que les personnes habilitées n'ont accès qu'aux seules données effectivement nécessaires à la réalisation de leurs missions. Le responsable de traitement doit définir et formaliser une procédure permettant de garantir la bonne mise à jour des habilitations ;
- qu'un mécanisme ou qu'une procédure garantit que les données à caractère personnel seront automatiquement supprimées à l'issue de leur durée de conservation ;
- qu'une procédure de continuité et/ou de reprise d'activité a été définie, au regard des contraintes identifiées préalablement à la mise en œuvre du traitement, et permet d'assurer le niveau attendu de disponibilité des données ;
- que les accès à l'application font l'objet d'une traçabilité, dont l'intégrité est assurée, afin de permettre la détection d'éventuelles tentatives d'accès frauduleux ou illégitimes, en incluant pour les données sensibles un horodatage, l'identifiant de l'utilisateur ainsi que l'identification des données concernées, et ceci pour les accès en consultation, modification ou suppression. Les données de journalisation doivent être conservées pendant une durée de six mois glissants et faire l'objet d'une revue régulière visant à identifier tout incident de sécurité.


La commission rappelle que l'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement, qui doit notamment vérifier que ces outils ou logiciels respectent l'ensemble des obligations que la loi du 6 janvier 1978 modifiée met à sa charge.
En cas de recours à un traitement non automatisé, le responsable de traitement doit prévoir des mesures de nature à garantir la sécurité et la confidentialité des données collectées et traitées sous forme papier, en particulier en s'assurant de la conservation de ces données dans un espace sécurisé à accès restreint, en consignant dans une main courante l'identité des personnes accédant aux documents et en organisant la récupération ainsi que la destruction des documents papiers utilisés.
La commission rappelle, en cas de recours aux services d'un sous-traitant, que ce dernier ne peut agir que sur instruction du responsable de traitement, lequel n'est pas dispensé de son obligation de veiller au respect des mesures de sécurité et de confidentialité qui lui sont imposées, d'une part, et que le contrat établi entre les parties doit comporter l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données, d'autre part.
La commission rappelle enfin que l'obligation de veiller à la sécurité et à la confidentialité de données à caractère personnel nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.


La présente délibération sera publiée au Journal officiel de la République française.


La présidente,

I. Falque-Pierrotin