(Demande d’autorisation n° 1705444)
La Commission nationale de l'informatique et des libertés,
Saisie par la société anonyme Paris Saint Germain Football d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’une liste d’exclusion de clients ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code du sport, notamment ses articles L. 332-11, L. 332-15 et L. 332-16 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I-4° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Après avoir entendu Monsieur Dominique RICHARD, commissaire, en son rapport, et Monsieur Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La Commission nationale de l’informatique et des libertés a été saisie, par la société anonyme Paris Saint Germain Football, d’une demande d’autorisation relative à la mise en œuvre d’un traitement automatisé de données à caractère personnel ayant pour finalité de recenser les violations aux conditions générales de vente et au règlement intérieur par les abonnés et acheteurs de billets, d’une part, et de gérer les actions contractuelles associées (suspension, résiliation, impossibilité de souscrire un nouvel abonnement), d’autre part.
Ce traitement automatisé est susceptible du fait de sa nature, de sa portée et de ses finalités d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire. Il est dès lors assimilable à la constitution d’une liste d’exclusion de clients et sa mise en œuvre doit, en application de l’article 25-I-4° de la loi du 6 janvier 1978 modifiée, être autorisée par la Commission.
Sur la finalité du traitement
Le dossier présenté à la Commission par le Paris Saint Germain Football mentionne comme finalités le recensement de l’ensemble des violations aux conditions générales de vente et au règlement intérieur par les abonnés et acheteurs de billets, d’une part, et la gestion les actions contractuelles associées (suspension, résiliation, impossibilité de souscrire un nouvel abonnement), d’autre part.
A titre général, la Commission rappelle que la sanction des comportements pénalement répréhensibles et le maintien de l’ordre public sont des attributions régaliennes, qui relèvent de la compétence exclusive des pouvoirs publics et des juridictions.
L’article L. 332-11 du code du sport prévoit, à ce titre, que les juridictions peuvent prononcer une peine complémentaire d’interdiction de pénétrer ou de se rendre aux abords d’une enceinte dans laquelle se déroule une manifestation sportive, à l’encontre des personnes coupables de l’une des infractions définies aux articles L. 332-3 à L. 332-10 et L.332-19 du code du sport, d’une part, ou aux articles 222-11 à 222-13, 322-1 à 322-4, 322-6, 322-11 et 433-6 du code pénal lorsque l’infraction a été commise dans une enceinte où se déroule une manifestation sportive ou, à l’extérieur de l’enceinte, lorsqu’elle est commise en relation directe avec une manifestation sportive, d’autre part. Cette peine, d’une durée maximale de cinq ans, peut être assortie d’une obligation de répondre aux convocations des autorités ou personnes qualifiées désignées par le juge.
En outre, l’article L. 332-16 du code du sport prévoit que le représentant de l'Etat dans le département, ou le préfet de police à Paris, peut prononcer par arrêté motivé une mesure d'interdiction de pénétrer ou de se rendre aux abords des enceintes dans lesquelles se déroulent des manifestations sportives, ou sont retransmises en public, à l’encontre d’une personne constituant une menace pour l’ordre public en raison de son comportement d'ensemble à l'occasion de manifestations sportives, de la commission d'un acte grave à l'occasion de l'une de ces manifestations, du fait de son appartenance à une association ou à un groupement de fait ayant fait l'objet d'une dissolution, ou du fait de sa participation aux activités qu'une association ayant fait l'objet d'une suspension d'activité s’est vue interdire.
Le Paris Saint Germain Football a ainsi été autorisé, par délibération de la Commission en date du 7 novembre 2013, à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la gestion des interdictions de stade prononcées par les juridictions ou l’autorité administrative, étant précisé que ces interdictions lui sont transmises par l’autorité préfectorale en application des articles L. 332-15 et L. 332-16 du code du sport.
La Commission estime que des motifs d’exclusion déterminés par un organisme privé ne sauraient, sans méconnaitre les attributions des autorités publiques, viser à sanctionner la commission d’infractions pouvant justifier une interdiction judiciaire ou administrative de stade. Une telle finalité n’apparaît dès lors pas légitime au sens de l’article 6-2° de la loi du 6 janvier 1978 modifiée.
Sous cette réserve, la Commission considère en revanche que l’exclusion des clients n’ayant pas respecté des conditions générales de vente ou des dispositions d’un règlement intérieur constitue une finalité déterminée, explicite et légitime.
Parmi les motifs d’exclusion annexés au dossier de demande d’autorisation du Paris Saint Germain Football, la Commission relève la présence de motifs liés à la commission supposée d’infractions prévues par le code du sport.
L’article 9 de la loi du 6 janvier 1978 modifiée réserve la possibilité de mise en œuvre d’un traitement de données à caractère personnel relatif à des infractions, condamnations ou mesures de sûreté aux juridictions, aux autorités publiques et aux personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales, aux auxiliaires de justice pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi et, enfin, aux personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle.
Le Conseil constitutionnel a également considéré dans sa décision n° 2004-499 DC du 29 juillet 2004, par une réserve d’interprétation, que l’article 9 de la loi du 6 janvier 1978 modifiée ne saurait être interprété comme privant d'effectivité le droit d'exercer un recours juridictionnel dont dispose toute personne physique ou morale s'agissant des infractions dont elle a été victime.
La Commission estime que le Paris Saint Germain Football ne rentre dans aucune de ces hypothèses.
Il en résulte que le Paris Saint Germain Football, en l’absence d’une disposition législative spécifique, ne peut être autorisé à mettre en œuvre un traitement de données à caractère personnel relatif à des infractions, condamnations ou mesures de sûreté pour sanctionner de sa propre initiative des infractions pénales supposées, ou pour prévenir la survenance de troubles à l’ordre public.
Au regard de ces éléments, la Commission considère que seuls les motifs suivants peuvent donner lieu à un enregistrement dans le traitement automatisé de données à caractère personnel soumis à son examen :
- existence d’un impayé ;
- non respect des règles de billetterie (prêt et revente d’un abonnement ou d’un titre d’accès en violation des conditions générales de vente) ;
- activité commerciale dans l’enceinte sportive en violation des conditions générales de vente ;
- paris dans l’enceinte sportive sur le match en cours.
Sur les données traitées
Les données à caractère personnel traitées dans le cadre du présent traitement sont relatives :
- à des données d’identification (nom ; prénoms ; photographie pour les abonnés ; date et lieu de naissance) ;
- aux motifs d’exclusion (détail des violations des conditions générales de vente ou du règlement intérieur, hormis celles de ces conditions relatives à un comportement pouvant justifier une interdiction judiciaire ou administrative de stade) ;
- aux décisions associées aux motifs d’exclusion (suspension, résiliation et impossibilité de souscrire un nouvel abonnement ; annulation, refus de vente de titre d’accès).
S’agissant des motifs d’exclusion, la Commission rappelle en effet qu’ils ne doivent pas porter, en application de l’article 9 de la loi du 6 janvier 1978 modifiée, sur des données relatives à des infractions, condamnations ou mesures de sûreté.
Sous cette réserve, la Commission considère que les données précitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.
Sur les durées de conservation
Les données du présent traitement sont conservées pendant trois ans à compter de la décision prise par le responsable de traitement.
La Commission considère que cette durée de conservation n’excède pas celle qui est nécessaire à l’accomplissement de la finalité poursuivie.
Elle estime toutefois que la durée d’une suspension ou d’une exclusion doit être proportionnée au regard de son motif et, lorsque la situation est régularisable, ne pas perdurer au-delà de la régularisation. En particulier, lorsque l’exclusion est justifiée par l’existence d’un impayé, une mesure de suspension ou d’exclusion doit cesser à compter du complet paiement de la somme due par le débiteur.
Sur les destinataires des données
Seuls les membres habilités de la direction de la sécurité, de la direction de la billetterie et de la direction juridique du Paris Saint Germain Football, d’une part, ainsi que les autorités judiciaires ou administratives, d’autre part, peuvent être destinataires des données du présent traitement.
La Commission considère que ces destinataires présentent un intérêt légitime à connaître de ces données.
Elle rappelle que l’identité des personnes faisant l’objet d’une mesure de suspension ou d’exclusion ne doit pas être communiquée à d’autres organismes, en particulier à d’autres sociétés sportives.
Sur l’information et les droits des personnes
Les personnes concernées par le présent traitement sont informées, conformément à l’article 32 de la loi du 6 janvier 1978 modifiée, par la remise des conditions générales de vente ou par leur acceptation en cas de vente à distance.
Conformément aux règles applicables à toute liste d’exclusion, la Commission rappelle que le responsable de traitement doit notifier à toute personne visée par une mesure de suspension ou d’exclusion la décision prise à son encontre, le motif associé, les moyens permettant de contester la décision ou de régulariser la situation, ainsi que les voies de recours existantes. Au terme de la mesure d’exclusion, il doit également l’informer qu’elle ne figure plus sur sa liste d’exclusion.
Les droits d’accès, de rectification et d’opposition pour motif légitime s’exercent auprès du service billetterie du Paris Saint Germain Football.
Ces modalités d’exercice des droits des personnes n’appellent pas d’observation de la Commission.
Sur les mesures de sécurité et la traçabilité des actions
Le présent traitement implique le recours à une base de données hébergée chez un prestataire.
Les échanges entre le responsable de traitement et le prestataire sont réalisés par une ligne spécialisée et un réseau privé virtuel (VPN).
Les données sont régulièrement sauvegardées.
Des systèmes sont mis en œuvre pour lutter contre les intrusions, notamment un filtrage des adresses dites « IP » permettant de garantir que les connexions se font uniquement à partir du réseau du responsable de traitement.
Les environnements de développement et de production sont distincts. Les développements sont quant à eux réalisés sur des données fictives.
Le traitement met en œuvre un système d’authentification et des habilitations définissent les fonctions ou les types d’informations accessibles à un utilisateur.
Les mots de passe sont régulièrement renouvelés et composés d’un minimum de huit caractères alphanumériques. A cet égard, la Commission attire l’attention du responsable de traitement sur le fait qu’il convient de complexifier les règles de création des mots de passe, en contraignant les utilisateurs à choisir également une majuscule ou un caractère spécial.
Le traitement met en œuvre une journalisation des actions sur les données à caractère personnel pour les opérations de consultation, de création, de mise à jour et de suppression. Les « logs » de création pouvant contenir des informations relatives à des mesures de suspension ou d’exclusion, la Commission attire l’attention du responsable de traitement sur le fait que les « logs » de création ne doivent pas être conservés au-delà de la suppression des données correspondantes.
Sous réserve des précédentes observations de la Commission, les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée.
La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Dans ces conditions, la Commission autorise partiellement le Paris Saint Germain Football à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la constitution d’une liste d’exclusion de clients.
Le Vice-président Délégué
Emmanuel de GIVRY