Questions-réponses sur la protection des données dans le secteur du sport amateur (hors contrat)
Informations personnelles, photographies, certificats médicaux, suivi statistique… Quelles sont les règles en matière de protection des données ? Comment les structures sportives (structures au sein desquelles des activités sportives sont pratiquées - essentiellement des associations) peuvent-elles protéger les droits des personnes ?
1. Les structures sportives peuvent-elle collecter le numéro de sécurité sociale des sportifs lors de leur adhésion ?
Non.
L’utilisation du numéro d’inscription des personnes au répertoire (NIR ou numéro de sécurité sociale) est limitée en raison de la sensibilité particulière de cette donnée unique à chaque Français.
La réglementation (le décret « cadre NIR ») recense limitativement les utilisations possibles du NIR pour chaque secteur d’activité. Ce texte liste, pour chacun des secteurs, les organismes autorisés à le collecter. Par exemple, les associations sportives amateurs n’y figurent pas.
Attention : En sa qualité d’employeur, une structure sportive est cependant autorisée à collecter le numéro de sécurité sociale de ses salariés pour remplir ses obligations déclaratives (déclaration sociale nominative) et assurer la gestion de la paie.
2. Une structure sportive peut-elle consulter le casier judiciaire des éducateurs sportifs professionnels et/ou des éducateurs sportifs bénévoles ?
Non.
Les organismes de droit privé (essentiellement les associations dans le secteur du sport) ne peuvent pas traiter des données relatives aux infractions, sauf exceptions notamment en matière de contrôle d’honorabilité. Cette interdiction de principe ne peut pas être levée en demandant le consentement de la personne concernée.
L’honorabilité des éducateurs sportifs professionnels ou des éducateurs sportifs bénévoles est contrôlée par les fédérations sportives lors de la prise d’une licence auprès d’elles, conformément aux dispositions du code du sport et du code de procédure pénale.
Cette vérification consiste à consulter le fichier judiciaire automatisé des auteurs d'infractions sexuelles ou violentes (FIJAISV) pour s’assurer que la personne concernée n’y figure pas. Elle est renouvelée chaque année pour les éducateurs sportifs bénévoles et tous les cinq ans pour les éducateurs sportifs professionnels (vérification du FIJAISV et du bulletin n° 2 du casier judiciaire national).
Une structure sportive peut-elle collecter le casier judiciaire des parents accompagnateurs ?
Non.
Les organismes de droit privé (notamment les associations intervenant dans le secteur du sport) ne peuvent pas traiter des données relatives aux infractions, sauf exceptions notamment en matière de contrôle d’honorabilité. Cette interdiction de principe ne peut pas être levée en demandant le consentement de la personne concernée.
3. Une structure sportive peut-elle publier les résultats des sportifs non professionnels licenciés en ligne ?
Oui, sous certaines conditions.
La publication des résultats en ligne est possible, si, au moment de la collecte de ses informations, la personne concernée a été :
- informée cette publication de ses résultats en ligne ;
- en mesure de s’opposer à cette publication de manière simple (ex. : une case à cocher mise à sa disposition sur le formulaire de participation à une compétition sportive).
En cas d’exercice du droit d’opposition par le sportif licencié, ou son représentant légal pour le sportif licencié mineur, la structure sportive devra ne pas procéder à la publication ou supprimer les résultats sportifs mis en ligne (lorsque la demande d’opposition intervient après la publication).
Dans de rares cas, il peut être fait exception à de telles demandes lorsqu’il existe des motifs légitimes et impérieux prévalant sur les intérêts, droits et libertés du sportif concerné. Une appréciation au cas par cas devra être réalisée pour évaluer au plus juste les intérêts en balance du sportif et de la structure sportive concernée, en prenant en compte par exemple la pratique individuelle ou collective de l’activité sportive concernée par la demande, la nature de la compétition, etc.
4. Une structure sportive peut-elle utiliser les données de ses adhérents pour faire des campagnes de relance des adhésions chaque année ?
Oui, sous réserve du respect de certaines conditions.
La CNIL recommande que les informations relatives à un adhérent soient conservées pendant un délai maximal de trois ans à compter de la fin de son adhésion conformément aux orientations retenues dans le référentiel de la CNIL dédié à la gestion des activités commerciales. Lors de chaque sollicitation pendant ce délai de trois ans, la personne concernée doit être informée de la possibilité de s’opposer à l’utilisation de ses coordonnées de manière simple et gratuite (ex. : un lien pour se désinscrire à la fin de chaque courriel).
Au terme de ce délai de trois ans, la structure sportive devra prendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations relatives aux campagnes d’adhésion de sa part. En l’absence de réponse positive et explicite, la personne concernée ne devra plus faire l’objet d’aucune sollicitation et ses données devront alors être supprimées ou archivées conformément aux dispositions en vigueur.
5. Une structure sportive peut-elle utiliser le fichier de ses adhérents pour promouvoir la pratique d’une autre activité sportive qu’elle propose par ailleurs ?
Oui, sous réserve de respecter certaines conditions.
Une telle réutilisation du fichier des adhérents s’apparente à une finalité « commerciale ».
L’usage des coordonnées des adhérents à des fins de prospection commerciale pour des activités sportives analogues à celles proposées par la structure sportive est possible, si deux conditions sont respectées :
- les adhérents sont informés que leurs coordonnées peuvent être utilisées pour leur proposer la pratique de nouvelles activités analogues ;
- ils sont en mesure de s’opposer à cette utilisation de manière simple et gratuite préalablement à l’envoi des messages à visée commerciale (par exemple, la possibilité de s’opposer à cet usage doit leur être proposée via une case à cocher sur le bulletin annuel d’adhésion qu’ils remplissent en début d’année).
Sont concernés ici l’envoi de messages sur le lancement d’une nouvelle activité analogue au sein de la structure sportive, la proposition de s’inscrire en cours d’année à de nouvelles activités dans le cadre d’une offre promotionnelle « découverte » sur une activité analogue ou encore le lancement d’une campagne d’adhésion à une activité sportive complémentaire.
6. A quelles conditions une structure sportive peut-elle prendre des photographies et des vidéos des sportifs ?
Le principe
Toute personne a sur son image un droit exclusif et absolu, et peut s’opposer à son utilisation.
Les règles en matière de protection des données et de vie privée
Si l’image d’un sportif permet directement de l’identifier ou de le reconnaître indirectement (ex : photographie d’un sportif de dos avec un numéro de maillot attribué exclusivement à ce sportif) et que cette image est captée, enregistrée, exploitée et diffusée (par exemple pour élaborer un trombinoscope des sportifs adhérents d’une association, enregistrer les entraînements et les matchs dans un souci d’amélioration des performances de l’équipe, retransmettre en direct ou en différé une manifestation sportive, présenter l’équipe d’un club local sur le site internet de la commune, etc.), l’exploitation et la conservation de l’image constituent un traitement de données personnelles. Cette image est protégée par le règlement général sur la protection des données (RGPD), la loi Informatique et Libertés et l’article 9 du code civil.
En pratique
Une structure devra notamment veiller au respect de l’ensemble des règles suivantes :
- informer les sportifs (ou leurs représentants légaux pour les mineurs) des prises d’images et de chacune des utilisations qui en sera faite ;
- selon le contexte, l’usage envisagé et les dispositions particulières en matière de droit du sport qui seraient applicables, recueillir l’autorisation préalable des sportifs ou de leurs représentants légaux (ex. : l’autorisation préalable du sportif amateur devra être obtenue pour que sa photographie figure sur le site web du club sportif) ;
- limiter l’usage des images à la finalité pour laquelle elles ont été prises (ex : la photographie de sportifs qui posent pour un calendrier de fin d’année ne peut être utilisée pour autre chose) ;
- adapter la durée de conservation de l’image des sportifs (ex. : les photographies des sportifs transmises au club au moment de leur adhésion annuelle pour constituer un trombinoscope doivent être détruites à l’issue de la saison sportive, sauf en cas de réinscription du sportif l’année suivante) ;permettre, dans le respect des dispositions de la réglementation sportive, l’exercice des droits des sportifs quant à leur image (information du sportif, opposition, effacement, etc.)
Les autres règles spécifiques au sport
Dans le droit du sport, d’autres dispositions particulières sont applicables pour la retransmission des manifestations sportives, notamment :
- le droit pour les fédérations sportives et les organisateurs de manifestations sportives d’être propriétaires du droit d’exploitation des manifestations et des compétitions sportives qu’ils organisent ;
- le droità l’exploitation commerciale de l’image, du nom ou de la voix du sportif ;
- les conventions collectives particulières et les accords de discipline.
Les structures sportives doivent respecter ces règles mais également garantir et démontrer, à tout moment, leur conformité aux exigences du RGPD pour les images des sportifs qu’elles traitent.
7. Comment informer les adhérents d’une structure sportive ?
Les adhérents doivent être informés de l’ensemble des mentions d’information prévues par les articles 13 et 14 du RGPD (les finalités du traitement, les durées de conservation, les destinataires, des droits dont elles disposent, etc.) au moment de la collecte de leurs informations.
L’information peut être délivrée à l’adhérent (majeur ou mineur) et à son représentant légal s’il s’agit d’un mineur, par tout moyen approprié (exemples : des mentions d’information insérées au sein du formulaire d’adhésion à votre structure ou du livret de présentation de celle-ci, etc.) et doit être adaptée à sa situation particulière (ex. : des images ludiques peuvent être privilégiées lorsqu’il s’agit d’enfants, à l’oral, des pictogrammes, etc.).
Il est recommandé d’avoir recours à une information orale en plus d’une information écrite afin de s’assurer de la bonne compréhension des informations communiquées.
8. Une structure sportive peut-elle transmettre les informations relatives à ses adhérents à la commune qui la subventionne ?
Non.
Ces informations sont collectées pour organiser la pratique sportive uniquement, ce qui exclut toute autre forme d’exploitation ou d’utilisation des informations récupérées par les structures elles-mêmes.
La commune ne peut ainsi pas conditionner le versement de subventions ou sa participation au financement d’une partie de l’adhésion à la transmission des coordonnées des adhérents des structures sportive.
Pour répondre à cet objectif de subvention, la commune n’a pas besoin de disposer de données personnelles : d’autres solutions doivent donc être privilégiées telles que la transmission annuelle de données agrégées (par exemple le nombre de sportifs adhérant à la structure) à la place d’un fichier nominatif.
9. Une structure sportive peut-elle réaliser des statistiques concernant l’activité sportive des joueurs ?
Oui.
Des statistiques portant sur les données de jeux de ses sportifs peuvent être réalisées (ex. : dans le domaine du football, le nombre de buts marqués, le nombre de cartons rouges, le nombre de minutes jouées, le total de passes décisives, le nombre de matchs joués, le nombre de fautes, etc.), à condition de respecter les conditions suivantes :
- le sportif doit être informé du traitement statistique de ses données et doit être en mesure, selon le niveau de risques associé au dispositif, de s’opposer à ce traitement de manière simple (ex. : une case à cocher mise à sa disposition sur le formulaire d’adhésion annuelle à l’association sportive) ;
- seules les données strictement nécessaires doivent être recueillies pour réaliser les statistiques (lorsque cela peut suffire, l’utilisation de données pseudonymisées doit être retenue).
Attention, les statistiques peuvent présenter une certaine sensibilité, en particulier lorsqu’elles conduisent à mesurer, via des objets connectés notamment, la mesure des performances physiques individuelles, qui peuvent comprendre la distance parcourue, la vitesse maximale, le contact au sol, la longueur de la foulée, le suivi de la cadence, la fréquence cardiaque, le poids, la taille, etc.
Dans l'hypothèse où un objet connecté collecte des données concernant la santé du sportif, celui-ci doit expressément y consentir. Le consentement donné doit être libre, spécifique, univoque et éclairé. Il ne doit pas générer de déséquilibre manifeste entre le sportif et les structures sportives. Par exemple, si le refus d'un sportif de porter un dispositif d'évaluation de ses performances physiques incluant l'enregistrement de sa fréquence cardiaque a pour conséquence de lui interdire la pratique de l'activité au sein du club ou la participation à des compétitions sportives, le consentement ne peut pas être considéré comme valable.
Pour en savoir plus sur la notion de données de santé :« Qu’est-ce qu’une donnée de santé »
10. Lors de l’adhésion, une structure sportive peut-elle demander au sportif amateur des informations attestant d’un état de santé compatible avec une activité sportive ou une compétition ?
Oui.
Selon les situations, les sportifs peuvent transmettre aux clubs et associations sportives les certificats médicaux d’absence de contre-indication à la pratique du sport, d’une discipline particulière ou à la pratique de la compétition. Pour les sportifs mineurs, peuvent également être transmises les attestations comportant une réponse négative apportée à l’intégralité du questionnaire de santé (renseigné par le pratiquant lui-même et ses représentants légaux).
Il existe deux cas de figure :
- La structure sportive est affiliée à une fédération sportive
En fonction du règlement fédéral, les certificats médicaux d’absence de contre-indication, l’attestation de renseignement du questionnaire pour les mineurs sont remis par le sportif ou le représentant légal pour le mineur à son club ou à son association sportive de rattachement et transférés à la fédération. La production de ces documents est une obligation légale conditionnant la délivrance de la licence par la fédération, conformément aux dispositions du code du sport.
- La structure sportive n’est pas affiliée à une fédération sportive
Dans cette hypothèse, ce n'est pas une obligation légale, mais une condition liée au règlement de la structure parfois imposée par l’assurance de celle-ci, au titre de l’obligation de sécurité de la pratique sportive.
La présentation du certificat est alors prévue par le règlement interne de cette structure. Elle n’est pas disproportionnée au regard l’exigence de garantir la sécurité de la pratique sportive d’un point de vue assurantiel.
11. Une structure sportive doit-elle nommer un délégué à la protection des données (DPO) ?
Ce n’est a priori pas une obligation.
En principe, une structure sportive ne semble pas entrer dans les cas de désignation obligatoire prévus le RGPD, sauf exceptions (pour plus de détail, consultez la désignation d’un DPO).
Toutefois, quelle que soit la taille et la situation de la structure, la CNIL encourage la désignation d’un DPO. Celle-ci permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles. Il s’agit également d’un point de contact pour que les personnes puissent exercer leurs droits.
A cet égard, un organisme peut désigner un délégué interne ou externe (ex. : cabinet d’avocats, etc.) à leur structure. Le DPO peut par ailleurs être mutualisé, c’est-à-dire désigné par exemple pour plusieurs associations.
Pour en savoir plus : Le délégué à la protection des données (DPO)
12. La structure sportive doit-elle accomplir des formalités auprès de la CNIL ?
Non.
Une structure sportive n’a, en principe, pas de formalités à effectuer auprès de la CNIL pour ses traitements de données personnelles (ex. : fichier des adhérents, trombinoscope des membres de l’équipe, enregistrement audiovisuel des entraînements et des matchs pour améliorer les performances de l’équipe, gestion du site internet du club, etc.).
En revanche, elle doit, en tant que responsable de traitement, être en mesure de garantir et de démontrer, à tout moment, la conformité de chacun d’entre eux aux exigences du RGPD en traçant toutes les démarches entreprises (p. ex. : mettre en place un registre des activités de traitement, conserver les supports d’information utilisés pour informer les adhérents, faire une AIPD si les conditions en sont réunies, etc.).
Pour en savoir plus : le registre des activités de traitement