Depuis le 25 mai 2018, les entreprises doivent se conformer à la nouvelle réglementation européenne issue du règlement général sur la protection des données, plus connu sous l’acronyme RGPD.
Le sport, comme tout secteur, est évidement concerné et les employeurs devront mettre en place un cadre assurant la sécurisation du traitement des données personnelles des salariés sportifs et administratifs ainsi que des supporters.

Le RGPD trouve son origine dans la volonté de l’Union Européenne d’harmoniser les législations de chacun des pays membres en matière de traitement des données personnelles.

En France, la loi 2018-493 du 20 juin 2018 relative à la protection des données personnelles a modifié la loi « informatique et libertés » pour tenir compte du RGPD [1].

Ces nouvelles dispositions ont pour but de donner le droit à toute personne de récupérer des données personnelles, de connaître leur utilisation par l’employeur ou n’importe quelle structure, et d’exiger leur suppression. Il s’agit de redonner une jouissance exclusive des données personnelles au citoyen.

Quelles structures sont concernées par cette nouvelle réglementation dans le sport ?

Trois critères cumulatifs ont été retenus pour l’application du RGPD :
 l’entité met en œuvre un ou plusieurs traitements de données à caractère personnel ;
 l’entité est responsable du traitement ou agit en tant que sous-traitant ;
 les traitements ont un lien géographique avec l’Union européenne.

Dès lors dans le sport, tous les employeurs du secteur : clubs, associations, fédérations, ligues…qui collectent, utilisent et conservent des données personnelles semblent concernés par la réglementation.

Quel type de données ?

Toutes les données permettant d’identifier une personne directement ou indirectement sont ciblées par la nouvelle réglementation [2].

En l’absence de précisions à ce stade, les données concernées dans le sport ne peuvent être qu’envisagées.

Il pourrait s’agir de l’ensemble des informations dont un club va disposer sur un joueur, par exemple les données médicales mais aussi les coordonnées personnelles.

Il pourrait également s’agir des informations détenues par le club sur ses supporters et abonnés. Il faut se rappeler à ce titre la position de la CNIL et la décision du Conseil d’État sur les fichiers de supporters du Paris-Saint-Germain [3].

Pour les ligues et les fédérations, le raisonnement serait identique. Les informations collectées sur les licenciés sont amenées à intéresser directement cette nouvelle réglementation.

Les données personnelles peuvent s’entendre notamment des statistiques que le club possède sur le joueur.

Les données personnelles peuvent aussi s’entendre des informations obtenues lors de la vente des produits dérivés. Les boutiques et les sites des clubs récoltent un certain nombre de données que le club peut être amené à stocker.

Enfin, le RGPD prévoit un dispositif particulier pour les données à caractère transfrontalier. Forcément, le milieu sportif est intéressé dès lors que des informations relatives au transfert d’un joueur entre deux clubs européens par exemple peuvent intervenir.

Le texte énonce que lorsque le pays présente des garanties de protections des données « adéquates » et que la CNIL a reconnu que le pays assurait une sécurité équivalente, le transfert (de données) pouvait avoir lieu. En l’absence de cette reconnaissance de la commission, l’entité concernée doit démontrer qu’elle met en place des garanties de sécurité suffisantes comme un code de conduite ou des mécanismes de certifications.

Pour les données de santé, la CNIL précise que "les traitements tels que les dossiers médicaux partagés, les dispositifs de télémédecine ou d’éducation thérapeutique ne font dorénavant plus l’objet de demandes d’autorisation".

Concernant la transmission des données médicales, la commission précise que l’accès aux données de santé des patients doit être limité. Ainsi, seules certaines personnes sont autorisées, au regard de leurs missions, à accéder à celles-ci. Ces personnes n’accèdent qu’aux données nécessaires à l’exercice de leur mission.

La question est importante pour les clubs et notamment en cas de transfert. Toutefois, les règles propres à la protection des données médicales restent encadrées par le secret médical. Le RGPD ne modifie pas la possibilité d’opposer le secret médical pour transmettre tout type d’information aux personnes non habilitées.

Quelles actions à mettre en œuvre ?

La sécurisation des données personnelles passe par la mise en place d’un certain nombre de mesures. Tout d’abord, les employeurs, dès lors qu’ils sont amenés à traiter ou collecter des données personnelles de clients ou de salariés, devront nommer un délégué à la protection des données en charge de veiller à la bonne utilisation des données personnelles collectées par l’employeur.

Cette nomination sera obligatoire pour les autorités et organismes publics ou les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ainsi que les organismes dont les activités de base les amènent à traiter à grande échelle des données dites "sensibles" (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions.

Pour les autres structures, la nomination d’un délégué aux données personnelles est recommandée par la CNIL. Les fédérations sportives investies de missions de service public devront de ce fait en désigner un [4].

Par ailleurs, l’employeur devra recueillir l’accord explicite et formel des salariés pour saisir, stocker et détenir leurs données individuelles. Précisément, il faut obtenir « un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique et univoque son accord au traitement des données à caractère personnel la concernant ».

Toutefois, l’article 6.1 du RGPD précise bien pour les salariés que leur consentement n’est pas requis puisque la collecte et le traitement correspondent à la mise en œuvre d’une obligation légale en même temps qu’à l’exécution du contrat de travail [5].

D’un point de vue de la gestion des ressources humaines, l’employeur du sportif ou de l’administratif est amené à modifier un certain nombre d’éléments. A commencer par le règlement intérieur dès lors que l’entité a pour activité la collecte ou le traitement de données personnelles. Le contrat de travail du salarié nouvellement embauché devra également faire état des nouvelles dispositions RGPD.

La charte informatique, annexe du règlement intérieur devra être modifiée, ou à tout le moins adaptée.

Enfin, les conditions générales de vente pourront être modifiées afin de les mettre en conformité avec les nouvelles dispositions RGPD.

L’employeur doit mettre en place un registre ayant pour but de recenser de façon précise les traitements de données personnelles mis en œuvre. Il est le garant du suivi et de la preuve du traitement des données.

Le RGPD prévoit également un droit à la « rectification » et droit d’opposition qui ne vaut que si la collecte et le traitement des données ne sont pas obligatoire en application de la loi ou pour l’exécution du contrat (dès lors le droit d’opposition ne concerne pas le salarié).

Et depuis le 25 mai 2018 ?

L’entrée en vigueur de ce nouveau dispositif est intervenue en fin de saison et même en pleine phase finale pour la majorité des sports professionnels.

Le calendrier est donc serré, les structures sportives devront faire preuve de réactivité dès aujourd’hui.

A défaut de mise en place d’une réglementation stricte les structures concernées risquent d’être sanctionnées.

L’article 83.6 du RGPD évoque des sanctions financières allant jusqu’à 4 % du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu).

La loi française a renforcé les pouvoirs de la CNIL en matière de contrôle.
Il devient alors impératif que les structures sportives s’adaptent et procèdent à l’inventaire de l’ensemble des données potentiellement concernées par cette nouvelle réglementation.

Gautier Kertudo, Avocat, Cabinet Barthélémy Avocats