Licences sportives : les principales règles à respecter pour la protection des données personnelles
À l’occasion d’une demande de licence ou de son renouvellement, les fédérations sportives collectent de nombreuses données personnelles sur les sportifs amateurs et sous contrats fédéraux. Quelles données peuvent être collectées ? Quelles sont les règles à respecter ?
Demande ou renouvellement d’une licence sportive : quelles données peut-on traiter dans les formulaires dédiés ?
La délivrance d’une licence sportive est notamment encadrée par le code du sport (article L.131-6).
Toutefois, il n’existe au plan national ni formulaire type de prise de licence, ni liste recensant les renseignements à transmettre aux fédérations sportives/clubs. En pratique, chaque fédération sportive/club affilié à une fédération dispose d’un formulaire de renseignements qui peut lui être propre.
D’après le code du sport, la licence sportive ouvre à son titulaire le droit de :
- participer aux activités que la fédération et ses structures affiliées organisent sur l’ensemble du territoire (ex. : compétitions sportives, formations, journées d’initiation ou de découvertes, participation à des stages et entraînements, délivrance de grades et de dan), ainsi qu’à son fonctionnement, selon des modalités fixées par ses statuts. Sous peine de sanctions, elle impose à son titulaire de respecter les règles sportives prévues dans le règlement fédéral ;
- bénéficier de la couverture de sa responsabilité civile en cas de dommage généré par sa pratique sportive. En effet, les fédérations sportives souscrivent, pour l'exercice de leur activité, des garanties d'assurance couvrant leur responsabilité civile, celle de leurs préposés salariés ou bénévoles et celle des pratiquants du sport. Les licenciés et les pratiquants sont considérés comme des tiers entre eux. Ces garanties couvrent également les arbitres et juges, dans l'exercice de leurs activités.
Aux seules fins de délivrer/renouveler la licence, la fédération ou le club affilié agissant en son nom, ne peut collecter que des informations adéquates, pertinentes et limitées à ce qui est nécessaire.
La collecte de données personnelles doit être directement en lien avec :
- l’identification du licencié (pour les mineurs, également ses parents) et ses coordonnées ;
- la détermination de sa catégorie (vétéran, sénior, U13, etc.). À cette fin, l’âge ou l’année de naissance peuvent être collectés ;
- le niveau du licencié (classement, dan, etc.) ;
- la nature de la pratique sportive (« loisir », « compétition », « dirigeant et arbitre ») ;
- la vérification de la compatibilité de l’état de santé du licencié avec la pratique de l’activité sportive envisagée ;
- la participation du licencié aux manifestations sportives organisées par la fédération ainsi qu’au fonctionnement de celle-ci (ex. : inscription d’un licencié en situation de handicap à une compétition adaptée à sa situation, en identifiant la nécessité de l’inscrire dans un processus de qualification adéquat) ;
- la garantie assurantielle nécessaire à la prise de licence ;
- pour les licenciés concernés par le contrôle de leur honorabilité (ex. : éducateurs sportifs professionnels, bénévoles, arbitres et juges), les éléments complets d’identité nécessaires à ce contrôle.
Attention
Les formulaires utilisés pour la délivrance ou le renouvellement de la licence devraient se distinguer des formulaires d’affiliation (adhésion) au club que le sportif ou ses parents remplissent préalablement à la pratique d’une activité sportive au sein d’une structure déterminée.
En pratique, les formulaires remis aux sportifs ou, pour les mineurs, à ses parents collectent très fréquemment des données personnelles qui ne sont pas strictement nécessaires à la délivrance de la licence, à son renouvellement ou aux activités étroitement en lien avec celles-ci.
Ces formulaires s’apparentent davantage à des questionnaires de renseignements individuels génériques utilisés à d’autres fins que celles de délivrer ou renouveler la licence, notamment :
- adhérer au club au sein duquel l’activité sportive est pratiquée ;
- réaliser des statistiques sur les licenciés (répartition par âge, par sexe des licenciés d’une fédération sur le territoire, etc.) ;
- recueillir des données telles que la pointure ou la taille pour mettre à disposition les équipements nécessaires à la pratique sportive en club ;
- encadrer le droit à l’image du licencié ;
- recevoir des offres promotionnelles des partenaires de la fédération ou de la fédération elle-même, etc.
Sans remettre en cause la nécessité et/ou l’intérêt de ces questionnaires tant pour les fédérations sportives que pour les clubs, il est essentiel de distinguer précisément chacune des finalités pour lesquelles les données des licenciés sont traitées ;
- informer les licenciés sur la nécessité de recueillir leurs données pour répondre à ces différentes finalités ;
- selon chacune des finalités, appliquer le régime adéquat de protection des données (nature des données collectées, durée de conservation, base légale, réalisation d’une analyse d’impact relative à la protection des données si les conditions sont réunies, etc.).
Quels documents une fédération sportive ou un club doit-il demander à un sportif préalablement à la délivrance de sa licence ?
Pour les sportifs majeurs, la délivrance ou le renouvellement d’une licence peut être subordonné à la présentation d’un certificat médical établissant l’absence de contre-indication à la pratique de la discipline concernée. Le règlement fédéral précise :
- les conditions dans lesquelles un certificat médical peut être exigé ;
- la nature, la périodicité et le contenu des examens médicaux liés à l’obtention de ce certificat, en fonction des types participants et de pratique.
Pour les sportifs mineurs, la délivrance ou le renouvellement de la licence permettant ou non de participer aux compétitions organisées par la fédération sportive, est subordonné à l’attestation du renseignement d’un questionnaire relatif à l’état de santé du sportif, réalisé conjointement par le mineur et par les personnes exerçant l’autorité parentale. Lorsqu’une réponse à ce questionnaire conduit à un examen médical, l’obtention ou le renouvellement de licence nécessite la production d’un certificat médical attestant l’absence de contre-indication à la pratique sportive.
La production de ces documents est une obligation légale conditionnant la délivrance de la licence par la fédération, conformément aux dispositions du code du sport.
Comment qualifier le rôle des fédérations sportives ou des clubs dans le processus de délivrance ou de renouvellement des licences sportives ?
Les critères pour déterminer les rôles
Trois statuts sont possibles : responsable de traitement, responsable conjoint et sous-traitant.
- Le responsable de traitement est la personne qui détermine l’objectif poursuivi par l’utilisation qui est faite des données et les modalités concrètes de leur utilisation (p. ex. : nature des données collectées, durée de conservation des données, mesures de sécurité mises en place, détermination de la politique de gestion des habilitations et des accès). Il détermine ainsi les modalités d’utilisation et est, à ce titre, responsable du bon respect des règles. Le responsable de traitement porte ainsi l’entière responsabilité de la conformité du traitement aux règles « informatique et libertés ».
- Dans d’autres situations, plusieurs personnes ou services peuvent décider conjointement de l’objectif et des modalités pratiques d’utilisation des données personnelles : on parle alors de responsables conjoints des données. Dans ce cas, un accord doit être conclu afin de définir de manière transparente le rôle et les obligations respectives de chacun en ce qui concerne le respect des règles issues du RGPD, sauf à ce que ces obligations aient été définies par le droit de l’Union ou de l’État membre auquel les responsables conjoints sont soumis.
- Lorsque le responsable de traitement fait appel à un organisme pour traiter des données pour son propre compte, sur son instruction et sous son autorité, cet organisme est considéré comme un sous-traitant au sens du RGPD. Un contrat ou un autre acte juridique devra être établi. Il précisera les obligations du responsable de traitement et du sous-traitant en ce qui concerne notamment l’objet, la durée, la nature et l’objectif de l’utilisation des données ou encore les catégories de données collectées sur les travailleurs.
Le schéma ci-dessous synthétise les critères à appliquer pour déterminer le rôle de la fédération sportive et/ou du club dans le processus de délivrance ou de renouvellement des licences.
Une analyse concrète est nécessaire
La ligne de partage entre ces trois catégories peut parfois être délicate à fixer. La qualification doit intervenir au terme d’une analyse concrète des modalités de création et de mise en œuvre du traitement de données à caractère personnel utilisé aux fins de délivrer ou de renouveler les licences sportives.
Selon la logique de responsabilisation, il appartient à chaque acteur de documenter l’analyse ayant conduit à telle ou telle qualification retenue. Attention, cela ne signifie pas que chacun peut « choisir » la qualification qui l’arrange. Cette qualification doit refléter la réalité. En cas de doute, il est important de documenter la réflexion qui a été menée pour aboutir à cette qualification et d’être en mesure de la justifier.
La définition des responsabilités permet uniquement de définir aisément les obligations de chacune des parties.
En ce qui concerne la délivrance de la licence et son renouvellement, les cas d’usage sont multiples.
Par exemple :
- Lorsque la demande de licence ou son renouvellement est géré directement par le sportif lui-même (sans aucune intervention du club), à partir d’un formulaire en ligne émis par la fédération sportive qu’il remplit, la fédération sportive est responsable de traitement.
- Lorsque la demande de licence ou son renouvellement est géré par le club qui remplit sur le site web de la fédération une demande, à partir d’un formulaire unique au sein duquel est intégré le modèle fédéral pour la partie « prise de licence », il existe un cumul de qualifications :
- la fédération est responsable de traitement s’agissant du formulaire fédéral de demande de licence, complété en ligne par le représentant du club ou tout autre personnes habilitées, à partir des renseignements complétés par le sportif sur le modèle fédéral ;
- le club est responsable de traitement s’agissant de son formulaire d’adhésion au club ; il est également sous-traitant de la fédération sportive concernant le modèle fédéral rempli par le sportif et remis à son club.
Attention : dans cet exemple, pour satisfaire aux exigences du RGPD, un contrat de sous-traitance devra être passé entre la fédération et le club concerné, selon des modalités à déterminer au niveau fédéral (contrat cadre par exemple). Dans l’hypothèse où la conservation des données par le club ne serait plus nécessaire, les données devraient alors être supprimées.
À quelles conditions les fédérations sportives peuvent-elles réutiliser les données des licenciés, traitées à l’occasion de la délivrance ou du renouvellement de la licence sportive ?
Les données des licenciés (en particulier les coordonnées) sont utilisées par les fédérations sportives à d’autres fins que la délivrance ou le renouvellement de la licence (réutilisation des données). Les hypothèses de réutilisation sont multiples :
- organisation de compétitions sportives et mise en ligne des résultats ;
- notification de sanctions fédérales prononcées à l’égard d’un joueur ;
- envoi d’offres promotionnelles de la part de la fédération telles que l’acquisition d’un maillot, de places ;
- envoi d’une lettre d’informations, etc.
Attention
Il est opportun que les fédérations anticipent les différents cas d’usage de réutilisation des données, en informant les licenciés concernés et en recueillant leur consentement. Par exemple, il est possible d’anticiper le recueil du consentement du licencié pour qu’il reçoive par mail des offres commerciales de la part de la fédération telles que l’achat de maillots, de billets pour aller voir l’équipe de France, etc.
Si l’utilisation des données des licenciés (essentiellement leurs coordonnées) pour un autre usage que la prise ou le renouvellement de la licence n’a pas été initialement anticipée, la fédération n’est pas libre dans le nouvel usage qu’elle souhaite en faire. Elle doit préalablement engager une réflexion pour savoir si la réutilisation des coordonnées du licencié est possible.
Le schéma ci-dessous présente les questions à se poser préalablement à un nouvel usage des données des licenciés et l’analyse à mener.
Attention
Selon l’objectif de la nouvelle utilisation, pour chacun des cas d’usage, le nouveau fichier devra respecter l’ensemble des obligations issues du RGPD en ce qui concerne la base légale, la nature des données collectées, la durée de conservation des données, la mise en place de mesures de sécurité, l’information des licenciés, etc.
Les bonnes questions à se poser pour évaluer sa conformité
- Le sportif dispose-t-il d'une information claire, simple, transparente et compréhensible sur l’objet des formulaires qu’il remplit à l’occasion de l’inscription à un club affilié à une fédération (formulaire d’adhésion au club / formulaire de demande de licence ou de renouvellement) ainsi que sur la finalité de la collecte des données personnelles le concernant au sein de ces formulaires ?
- Une réflexion a-t-elle été menée pour identifier et clarifier le rôle de chacun des acteurs (fédérations sportives, clubs) ?
- Une réflexion a-t-elle été menée pour identifier la durée de conservation des données présentes dans les formulaires et à appliquer à chacune des finalités ? Pour plus d’informations, voir la fiche « la durée de conservation des données personnelles des sportifs, dirigeants et autres personnes dans les structures sportives »
- En cas de réutilisation des données pour un usage autre que la prise de licence ou son renouvellement, pour les hypothèses où le consentement du sportif licencié n’aurait pas été demandé et où ce nouvel usage ne serait pas prévu par le code du sport, la fédération a-t-elle procédé à une analyse de compatibilité ?
- L’utilisation des données pour un nouveau cas d’usage est-elle opérée dans le respect des obligations du RGPD ?
Pour approfondir
Textes de référence
- Article 5 du règlement général sur la protection des données (RGPD) - principes relatifs au traitement des données personnelles
- Article 12 et 13 du RGPD – Transparence et information des personnes
- Articles 35 du RGPD – Analyse d’impact relative à la protection des données
- Lignes directrices du CEPD adoptées le 7 juillet 2021 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD
- Lignes directrices du CEPD adoptées le 4 avril 2017 concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679
- Article L. 131-6 du code du sport – Généralités sur les licences sportives
- Article L. 231-2 du code du sport – Certificats médicaux pour les licences sportives
- Article L. 321-1 et 4 et suivants du code du sport – Obligation d’assurance pour les licenciés sportifs
- Article D. 231-1-1 et suivants du code du sport – Certificat médical et questionnaire de santé