Reconnaissance faciale et interdiction commerciale de stade : la CNIL adresse un avertissement à un club sportif
La Présidente de la CNIL a adressé un avertissement à un club sportif qui envisageait de recourir à un système de reconnaissance faciale afin d’identifier automatiquement les personnes faisant l’objet d’une interdiction commerciale de stade. Ce projet n’est en effet pas conforme au RGPD et à la loi Informatique et Libertés.
À la suite de signalements concernant la mise en œuvre par un club sportif d’un dispositif de reconnaissance faciale des spectateurs, la Présidente de la CNIL a décidé de faire procéder à des contrôles sur l’usage de cette technologie.
Ce système, en phase d’expérimentation, avait pour objectif l’identification des personnes faisant l’objet d’une interdiction commerciale de stade, la détection d’objets abandonnés, ainsi que la lutte antiterroriste.
L’analyse des caractéristiques du dispositif envisagé a permis d’établir qu’il reposait sur le traitement de données biométriques. Or, la collecte et l’utilisation de ces données sensibles est, sauf exceptions, interdite par règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés.
L’avertissement prononcé par la CNIL
En l’absence de disposition législative (par exemple une loi) ou réglementaire (décret, arrêté, etc.) spéciale, la mise en œuvre d’un tel dispositif, par un club sportif, à des fins de « lutte antiterroriste » est illicite.
La Présidente de la CNIL a donc averti le club sportif qu’en l’état du cadre légal, le traitement envisagé ne saurait être mis en œuvre de manière licite.
Si, en dépit de cet avertissement, le club sportif concerné procède à la mise en œuvre effective du système de reconnaissance faciale, il s’exposera à l’une ou plusieurs des mesures correctrices prévues par le RGPD et la loi Informatique et Libertés, y compris une sanction pécuniaire.
Qu’est-ce qu’une interdiction commerciale de stade ?
L’article L. 332-1 du Code du sport prévoit que les organisateurs de manifestations sportives peuvent refuser ou annuler la délivrance de titres d'accès à ces manifestations ou en refuser l'accès aux personnes qui ont contrevenu ou contreviennent aux dispositions des conditions générales de vente ou du règlement intérieur relatives à la sécurité de ces manifestations.
Ce même article autorise les organisateurs de manifestations sportives à mettre en œuvre « un traitement automatisé de données à caractère personnel relatives aux manquements » pour assurer la sécurité des manifestations sportives. Ce traitement doit être prévu dans les conditions générales de vente ou dans le règlement intérieur.
Ces interdictions commerciales de stade, qui ont pour finalité de contribuer à la sécurité des manifestations sportives en empêchant certaines personnes d’y accéder et qui sont décidées par les organisateurs de manifestations sportives, doivent être distinguées des interdictions judiciaires ou administratives de stade qui ne peuvent être prononcées que par les autorités judiciaires ou les préfets.
En pratique, l’inscription d’une personne dans un traitement d’interdiction commerciale de stade permettra au système de billetterie du stade de lui refuser automatiquement la délivrance d’un abonnement ou d’un billet nominatif. En outre, les agents de sécurité pourront refuser l’accès à l’enceinte sportive à une personne inscrite dans ce traitement, même si elle dispose d’un titre d’accès valide.
Comment ces traitements sont-ils encadrés ?
Cadre général : le RGPD
Les traitements d’interdiction commerciale de stade contribuent à la sécurité des manifestations sportives en permettant aux organisateurs de telles manifestations d'empêcher certaines personnes d'accéder à leurs enceintes sportives, en raison de comportements dangereux correspondant à des manquements à des obligations de nature contractuelle. Ces traitements doivent respecter le RGPD.
Conditions de mises en œuvre : le Code du sport
Plus précisément, les conditions de mise en œuvre de ces traitements sont précisées par les dispositions des articles L. 332-1 et R. 332-14 et suivants du Code du sport notamment en ce qui concerne :
- la finalité de tels traitements ;
- les catégories de données pouvant faire l’objet de ces traitements ;
- les durées de conservation de ces données ;
- les catégories de destinataires de ces données ;
- ainsi que les règles applicables en matière d’information des personnes (par voie d’affichage ou remise d’un document notamment).
À cet égard, même si l’article R. 332-15 de ce Code prévoit que la photographie associée à la carte d’abonnement d’une personne soit traitée dans le cadre de la gestion des interdictions commerciales de stade, il ne permet pas pour autant la mise en œuvre d’un dispositif biométrique qui reposerait notamment sur ces photographies.
Enfin, l’article R. 332-18 du Code du sport prévoit explicitement que les personnes concernées ne peuvent pas s’opposer aux traitements d’interdiction commerciale de stade.