Les grandes notions de la protection des données dans le secteur du sport amateur (hors contrat)
Les notions clés pour aider les professionnels du secteur sportif à comprendre les enjeux de la protection des données personnelles dans leur secteur d’activité.
Qu’est-ce qu’une donnée personnelle ?
Toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement est une donnée personnelle.
Exemples :
Dans le cadre de l’inscription d’un adhérent, les structures au sein desquelles sont pratiquées des activités sportives (structures sportives), essentiellement des associations, sont amenées à collecter de nombreuses données personnelles le concernant (liste non exhaustive) :
- les nom et prénom de l’adhérent et le cas échéant, ceux de son représentant légal pour les mineurs ;
- sa photographie ;
- son adresse postale ;
- son adresse électronique ;
- son numéro de téléphone ;
- son moyen de paiement (chèque, espèce ou carte bancaire), etc.
L’anonymisation de données personnelles
Pour que ces données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes de manière à ce que la personne concernée ne soit pas ou plus identifiable.
En savoir plus sur l’anonymisation de données personnelles
Attention : s’il existe encore une possibilité pour n’importe quelle personne physique ou morale d’identifier une personne par recoupement de plusieurs informations (âge, sexe, etc.) ou par l’utilisation de moyens techniques divers, les données sont toujours considérées comme personnelles.
Qu’est-ce qu’un traitement de données personnelles ?
Un traitement de données personnelles, communément appelé fichier, est une opération portant sur des données personnelles telles que, par exemple, la collecte, l’enregistrement, la consultation, l’utilisation, ou la diffusion de données.
Il peut s’agir, par exemple :
- du fichier des adhérents ;
- d’un tableau de type « Excel » qui regroupe l’ensemble des performances sportives des adhérents ;
- de l’installation d’un système de vidéosurveillance au sein d’une structure sportive ;
- d’un site web diffusant des résultats sportifs, des photos ou des vidéos des sportifs ;
- etc.
Attention : un traitement de données personnelles n’est pas nécessairement informatisé ! Les fichiers papiers, tels que par exemple les formulaires d’inscription à la pratique d’une activité sportive remplis à la main par les futurs adhérents, sont également concernés et doivent être protégés dans les mêmes conditions.
Qu’est-ce qu’une finalité (ou objectif) ?
La finalité, c'est le but poursuivi par le fichier créé : à quoi va-t-il servir ? Cet objectif doit être défini précisément avant de mettre en place le fichier et va commander les caractéristiques de celui-ci.
Exemples (liste non exhaustive) :
- la gestion administrative des adhérents ;
- l’organisation des manifestations sportives (gestion des licences et autorisations de participer à des compétitions, gestion de la publication des résultats en ligne, etc.) ;
- la mise en place d’un système de vidéosurveillance à des fins de sécurité à l’entrée et/ou à l’intérieur de la structure sportive ;
- etc.
Qu’est-ce qu’une donnée sensible ?
Les données sensibles sont celles qui concernent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale. Elles comprennent également les données génétiques, les données biométriques, les données concernant la santé et les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
Le traitement de ces données est par principe interdit sauf dans des cas limitatifs prévus par le RGPD (par exemple : la personne concernée a donné son consentement ; les informations ont manifestement été rendues publiques par la personne concernée ; leur utilisation est justifiée par l’intérêt public et autorisée par un texte législatif ou réglementaire etc.).
Exemple : les informations relatives aux allergies alimentaires avec indication médicale à l’appui peuvent être collectées dans le cadre de l’organisation des repas au sein d’une colonie de vacances sportives/stages sportifs sous réserve du recueil du consentement du majeur ou du représentant légal du mineur.
Qu’est-ce qu’un responsable de traitement et quelles sont ses obligations ?
Le responsable d’un traitement de données personnelles est la personne, l’autorité publique, la société ou l’organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement et qui décide de sa création.
En pratique, il s’agit généralement de la personne morale (association sportive, club sportif, etc.) incarnée par son représentant légal (président de l’association sportive, directeur général du club sportif, etc.).
Les obligations du responsable de traitement
Le responsable de traitement doit être en mesure de garantir et de démontrer, à tout moment, la conformité du traitement aux exigences du RGPD en traçant toutes les démarches entreprises. À ce titre, il doit notamment :
- élaborer un registre des activités de traitement ;
- désigner un délégué à la protection des données (DPO ou DPD), selon que ce soit obligatoire ou facultatif ;
- mettre en place des mesures pour garantir la sécurité des données personnelles (mots de passe, gestion des habilitations, protection des locaux, etc.);
- assurer l'effectivité de l'information à délivrer aux personnes concernées et de leurs droits (droits d’accès, de rectification, d’opposition, d’effacement, etc.) ;
- mettre en place des procédures en cas de violation de données ;
- mener des analyses d’impact sur la protection des données (AIPD) si un traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes ;
- contractualiser les relations avec le ou les sous-traitant(s) (par exemple une société informatique en charge de la maintenance des systèmes).