La collecte de données pour la mesure de la performance physique individuelle des sportifs de haut niveau ou professionnels
La collecte de données pour l’amélioration et l’optimisation de la performance physique individuelle est une pratique courante pour les sportifs de haut niveau et les sportifs professionnels. Elle doit cependant respecter certaines règles pour protéger la vie privée des personnes concernées, en particulier concernant leurs données de santé.
Qu’est-ce que la performance sportive ?
La performance sportive se matérialise essentiellement par l’obtention de résultats, de médailles ou de records. Elle résulte d’un long processus de détection, de formation, d’entraînement, de confrontation et d’optimisation d’un potentiel. Elle débouche sur un classement des meilleurs résultats réalisés ainsi que sur la délivrance de médailles. Elle est liée à des facteurs externes (ex. : tirage au sort, adversaire pour les sports à confrontations directes, conditions environnementales pour les sports pratiqués en extérieur) mais aussi à des facteurs énergétiques, artistiques, chronométriques, mentaux, physiologiques, technico-tactiques, etc.).
En ce qui concerne la mesure de la performance sportive physique individuelle, celle-ci est réalisée à partir de la production de statistiques présentant une certaine sensibilité dès lors qu’elles conduisent à recueillir des données relatives à la santé (ex. : fréquence cardiaque, poids, taille, etc.).
La réglementation sur la protection des données personnelles encadre le traitement des données recueillies dans ce contexte.
Comment identifier le rôle de chacun des acteurs de l’écosystème (notamment institutions, fédérations, CREPS, MRP, clubs, ligues professionnelles) ?
Dans le domaine du sport de haut niveau ou professionnel, des outils tels que des objets connectés commercialisés ou expérimentaux comportant des capteurs, permettent de mesurer les performances physiques individuelles en procédant à des statistiques à partir des données recueillies sur les sportifs.
Pour chacun des fichiers ou bases de données constituées dans ce contexte, il convient d’identifier la personne qui concrètement assume la responsabilité de la bonne application des règles en matière de protection des données.
Trois statuts sont possibles : responsable de traitement, responsable conjoint et sous-traitant.
- Le responsable de traitement est la personne morale ou le service qui détermine l’objectif poursuivi par l’utilisation qui est faite des informations et les modalités concrètes d’utilisation (p. ex. : nature des informations collectées, durée de conservation des informations, mesures de sécurité mises en place, détermination de la politique de gestion des habilitations et des accès). Il détermine ainsi les modalités d’utilisation et est, à ce titre, responsable du bon respect des règles. Le responsable de traitement porte ainsi l’entière responsabilité de la conformité du traitement aux règles « informatique et libertés ».
- Dans d’autres situations, plusieurs personnes ou services peuvent décider conjointement de l’objectif et des modalités pratiques d’utilisation des données personnelles : on parle alors de responsables conjoints des données. Dans ce cas, un accord doit être conclu afin de définir de manière transparente le rôle et les obligations respectives de chacun en ce qui concerne le respect des règles issues du RGPD, sauf à ce que ces obligations aient été définies par le droit de l’Union ou de l’État membre auquel les responsables conjoints sont soumis.
- Lorsque le responsable de traitement fait appel à un organisme pour traiter des informations pour son propre compte, sur son instruction et sous son autorité, cet organisme est considéré comme un sous-traitant au sens du RGPD. Un contrat ou un autre acte juridique devra être établi. Il précisera les obligations du responsable de traitement et du sous-traitant en ce qui concerne notamment l’objet, la durée, la nature et l’objectif de l’utilisation des informations ou encore les catégories d’informations collectées sur les travailleurs.
Attention
La ligne de partage entre ces trois catégories peut parfois être délicate à fixer.
La qualification doit intervenir au terme d’une analyse concrète des modalités de création et de mise en œuvre du fichier ou de la base de données. Elle s’appréciera au cas par cas, au niveau de l’utilisateur d’un outil de mesure de la performance (ex. : club sportif, CREPS).
Selon la logique de responsabilisation, il appartient à chaque acteur de documenter l’analyse ayant conduit à telle ou telle qualification retenue. Attention, cela ne signifie pas que chacun peut « choisir » la qualification qui l’arrange. Cette qualification doit refléter la réalité. En cas de doute, il est important de documenter la réflexion qui a été menée pour aboutir à cette qualification et d’être en mesure de la justifier.
La définition des responsabilités permet uniquement de définir aisément les obligations de chacune des parties.
Le schéma de synthèse, ci-dessous, propose une démarche pour aider à déterminer le rôle de chacun des acteurs de l’écosystème utilisant des outils d’amélioration de la performance sportive :
À quelles conditions est-il possible de traiter des données personnelles aux fins d’améliorer et/ou d’optimiser la performance sportive physique individuelle ?
-
Choisir une base légale
Pour être licite, le traitement de données personnelles constitué à cette fin doit avoir une base légale. Le choix de la base légale doit prendre en compte le contexte dans lequel le traitement est mis en œuvre (type d’organisme responsable de traitement, secteur d’activité, objectif général poursuivi, etc.). Si plusieurs bases légales sont envisageables pour une même finalité, seule la plus appropriée doit être retenue.
Exemples :
- L’INSEP fonde l’utilisation d’un « Athlete Management system », pour l’analyse posturale des sportifs à des fins de prévention des blessures et d’optimisation de la performance, sur la mission d’intérêt public en application des dispositions de l’article R. 211-2 du code du sport. En effet, l’INSEP participe à la politique nationale du développement des activités physiques et sportives, particulièrement dans le domaine du sport de haut niveau, et contribuant à la protection de la santé des sportifs et au respect de l’éthique sportive. À ce titre, il assure, en liaison avec les fédérations sportives, la formation et la préparation des sportifs de haut niveau. Il met également en œuvre le double projet consistant à concilier la recherche de la performance sportive et la réussite scolaire, universitaire et professionnelle du sportif.
- Les fédérations délégataires fondent la collecte de données d’entraînement sur la mission d’intérêt public en application du contrat de performance et du contrat de délégation (articles L. 131-15 et R. 131-28 et R. 131-28-1 du code du sport qui encadrent le contrat de performance et le contrat de délégation).
Attention
Selon les recommandations professionnelles telles que formulées par les acteurs de l’écosystème, le port d’un capteur lors des entraînements et compétitions officielles repose sur l’assentiment du sportif.
-
Déterminer un objectif (ou finalité)
Les informations concernant les sportifs doivent être collectées et conservées pour des finalités déterminées, explicites et légitimes.
Exemple : les données collectées aux fins d’amélioration et/ou d’optimisation de la performance sportive ne peuvent être réutilisées à des fins de lutte contre le dopage.
-
Minimiser les données collectées
Seules des informations adéquates, pertinentes et limitées à ce qui est nécessaire peuvent être collectées sur les sportifs (principe de minimisation) pour répondre à l’objectif de la collecte.
Exemples :
- Analyser le dosage d’acide lactique d’un sportif permet de connaître sa résistance musculaire avant qu’il tétanise. Ainsi, une surcharge d’acide lactique n’empêche pas de performer : elle n’est qu’une donnée dans la recherche d’optimisation à la performance qui permet d’adapter l’hydratation et la nutrition du sportif d’une part, et de compenser cette faiblesse sur d’autres facteurs en adaptant sa charge d’entraînement d’autre part. La collecte de cette donnée est donc adéquate et pertinente dans un traitement d’amélioration et/ou d’optimisation de la performance sportive individuelle.
- En revanche, la mesure permanente de la fréquence cardiaque du sportif via une montre connectée en dehors des périodes d’entraînement ou des compétitions serait excessive et non conforme aux exigences du RGPD.
- S’il peut parfois apparaître nécessaire de demander aux sportives la date de leurs menstruations afin d’adapter la charge d’entraînement pour limiter les risques de blessures, la collecte de données complémentaires telles que la mise sous contraception, le type de contraception ou encore la marque du contraceptif est à exclure.
-
Traiter les informations personnelles de manière licite, loyale et transparente.
Exemple : au cours d’un entraînement, le fait de demander au sportif de porter un capteur de performance (ex. : capteur à fixer sur un équipement, ceinture, gilet) sans l’en informer selon l’ensemble des modalités prévues à l’article 13 du RGPD ne constitue pas une collecte transparente des données.
-
Respecter les règles pour la collecte de données de santé
Des informations concernant la santé des sportifs telles que le poids, les résultats de tests sanguins ou urinaires, le suivi des blessures, l’étude des os, le suivi de la fréquence cardiaque, la répartition des fibres musculaires pourront être collectées, sous réserve de se fonder sur l’intérêt public important (article 9.2.g du RGPD).
Les modalités de collecte des données de santé des sportifs professionnels ou de haut niveau
D’après l’article 9.1 du RGPD, le traitement de données relatives à la santé des sportifs est en principe interdit, sauf en présence de l’une des exceptions de l’article 9.2 du RGPD.
La notion d’intérêt public important (article 9.2.g) du RGPD) autorise le traitement des données de santé des sportifs à des fins d’améliorer et/ou d’optimiser leur performance. En effet, le code du sport attribue un rôle particulier à certains acteurs dans le domaine du sport de haut niveau et le développement de la performance comme par exemple les fédérations ou les CREPS.
Attention, même si, en pratique, le consentement du sportif à la collecte de ses données de santé est couramment utilisé, il n’est pas adapté dans le cas particulier du sport de haut niveau ou professionnel. En effet, à la différence du sport amateur (au sens courant du terme), le consentement du sportif n’est pas libre, spécifique, éclairé et univoque, dans la mesure où il peut possiblement conditionner sa participation à la sélection opérée par son entraîneur.
Pour plus d’informations sur les modalités de collecte de la donnée de santé dans le domaine du sport amateur hors contrat à des fins statistiques, nous vous invitons à consulter la fiche dédiée.
Selon la CNIL, compte tenu des risques associés aux traitements portant sur la performance physique individuelle, l’adoption d’un texte encadrant la création des traitements en lien avec la performance sportive apporterait l’une des garanties supplémentaires prévue par l’article 9-2-g) du RGPD pour assurer :
- le respect des principes du RGPD, dont celui de minimisation des données ;
- l’édiction de mesures appropriées et spécifiques assurant la sauvegarde des droits fondamentaux et les intérêts des sportifs concernés.
-
Conserver les informations pour une durée strictement nécessaire à l’objectif poursuivi par le traitement.
Exemples :
- Conserver les données de performance physique individuelle pour une durée identique à celle de la carrière du sportif est nécessaire au traitement de données constitué aux fins de gérer sa carrière. En effet, il convient de s’appuyer sur les dispositions du code du sport encadrant l’inscription du sportif sur l’une des listes ministérielles (sportifs Espoirs, sportifs des Collectifs nationaux, sportifs de Haut niveau ou projet de performance fédéral).
- En cas de sous-traitance ayant pour objet une analyse des données des performances physiques individuelles des sportifs par une structure d’accueil pour le compte d’une fédération, la durée de conservation des données adaptée sera celle correspondant à la durée de validité de la convention de sous-traitance.
-
Mettre en place des mesures de sécurité appropriées
Exemple : les assistants d’éducation des CREPS et le personnel administratif y intervenant n’ont pas à accéder aux données de santé des sportifs.
Faut-il accomplir des formalités particulières ?
Même si la mesure de la performance sportive physique individuelle ne peut pas être décorrélée de l’étude du corps du sportif, elle entraîne nécessairement le recueil et l’utilisation de données de santé.
Néanmoins, les traitements de données personnelles constitués aux fins d’améliorer et/ou d’optimiser la performance sportive n’exigent, préalablement à leur constitution, l’accomplissement d’aucune formalité préalable.
En effet, les données ne sont pas utilisées à des fins de prise en charge sanitaire ou de recherche dans le domaine de la santé. Les traitements de données personnelles constitués dans ce cadre n’entrent donc pas dans le champ des traitements dans le domaine de la santé.
Attention
Selon les finalités précises susceptibles d’être retenues par de tels traitements, notamment si ces derniers permettent de recenser les blessures liées à la pratique d’un sport déterminé, il n’est pas exclu, qu’il puisse être qualifié de traitements dans le domaine de la santé.
Dans ce cas, des formalités préalables auprès de la CNIL devront, le cas échéant, être réalisées (art. 65 et suivants de la loi Informatique et Libertés).
► Quelles formalités pour les traitements de données de santé à caractère personnel ?
Selon leurs finalités exactes, les recherches, études ou évaluations qui seraient menées à partir des données présentes dans ces traitements sont susceptibles d’entrer dans la catégorie des recherches dans le domaine de la santé (développement des connaissances biologiques par exemple). En fonction de leur périmètre, elles pourront entrer dans le champ des traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé impliquant la réalisation de formalités préalables auprès de la CNIL (engagement de conformité à une méthodologie de référence ou demande d’autorisation). Le cas échéant, d’autres acteurs devront être sollicités (Plateforme des données de santé, comité de protection des personnes).
Préalablement à la collecte et à l’utilisation de données concernant la performance sportive, les acteurs de l’écosystème ne devront pas oublier de mener une analyse d’impact relative à la protection des données (AIPD), si les conditions en sont réunies (collecte de données de santé ou à caractère hautement personnel, collecte de données à large échelle, personnes vulnérables, profilage, usage innovant de nouvelles technologies).
Les bonnes questions à se poser pour évaluer sa conformité
- Le rôle des acteurs a-t-il été clairement défini (responsable de traitement, responsable conjoint de traitement, sous-traitant) ?
- Les principes fondamentaux en matière de protection des données sont-ils respectés (minimisation, durée de conservation, mesures de sécurité, etc.) ?
- Des données de santé sont-elles collectées et conservées ? Dans l’affirmative, a-t-on vérifié la possibilité d’invoquer l’intérêt public important pour autoriser cette collecte des données de santé ?
- A-t-on vérifié la finalité précise du traitement et la nécessité ou non d’accomplir des formalités ?
- Si les conditions en sont réunies, une AIPD a-t-elle été réalisée ?
Pour approfondir
Textes de référence
- Article 5 du RGPD (principes)
- Articles 65 et suivants de la loi Informatique et Libertés (traitements de données de santé)
- Lignes directrices du CEPD adoptées le 4 avril 2017 concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679