La CNIL a rendu son avis sur le projet de décret relatif à l’organisation et au fonctionnement de la plateforme nationale de lutte contre la manipulation des compétitions.
La Convention de Macolin
La Convention du Conseil de l’Europe sur la manipulation de compétitions sportives du 18 septembre 2014 (dite « Convention de Macolin ») a pour objectif de combattre la manipulation des compétitions sportives telle que définie à l’article 3 de cette convention, afin de protéger l’intégrité du sport et l’éthique sportive. Dans ce but, elle vise à :
– prévenir, détecter et sanctionner la manipulation nationale ou transnationale de compétitions sportives nationales ou internationales ;
– promouvoir la coopération nationale et internationale, entre les autorités publiques concernées et avec les organisations impliquées dans le sport et dans les paris sportifs.
Cette convention impose aux Etats parties d’identifier une plateforme nationale chargée de traiter de la manipulation de compétitions sportives. Elle les oblige également à adopter l’encadrement juridique permettant de s’assurer que toutes les mesures prises en la matière respectent la réglementation applicable en matière de protection des données à caractère personnel.
Signée et ratifiée par la France, la Convention de Macolin est entrée en vigueur sur le territoire national le 1er octobre 2023. Elle réunit d’autres membres du Conseil de l’Europe (38 signataires à ce jour) et trois pays non-membres (Australie, Fédération de Russie et Maroc).
L’article L. 335-1 du code du sport, introduit par la loi n° 2022-296 du 2 mars 2022 visant à démocratiser le sport en France, confère une assise légale à la plateforme nationale de lutte contre la manipulation des compétitions (ci-après « la plateforme »). Jusqu’à présent, celle-ci était encadrée par un accord datant du 28 janvier 2016 et un règlement intérieur.
Les missions de la plateforme
La plateforme veille notamment à :
– servir de centre de recueil, de collecte et de partage des informations et des documents utiles à la lutte contre la manipulation des compétitions sportives en procédant, le cas échéant, à leur transmission aux autorités compétentes et aux organisations sportives ;
– favoriser la coopération avec les acteurs nationaux et internationaux concernés, notamment à travers l’échange d’informations avec ces derniers.
Le projet de décret prévoit que la plateforme comportera deux formations :
– l’une, de prévention et de sensibilisation au risque de manipulation des compétitions sportives (ci-après la « formation de prévention ») ;
– l’autre, de surveillance du marché français des paris sportifs (ci-après la « formation de surveillance »).
En application de l’article L. 335-2 du code du sport, les membres de la plateforme peuvent se communiquer entre eux et échanger avec les acteurs nationaux et internationaux intéressés par la lutte contre la manipulation des compétitions sportives les informations et documents utiles, y compris ceux couverts par le secret professionnel et sous réserve de respecter les règles applicables en matière de procédure pénale. Les conditions et les modalités de ces échanges et communications doivent être prévues par un décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés (ci-après la « CNIL »).
L’avis de la CNIL
La CNIL a été saisie, le 9 novembre 2022, par le ministère des sports et des jeux Olympiques et Paralympiques d’un projet de décret relatif à l’organisation et au fonctionnement de la plateforme nationale de lutte contre la manipulation des compétitions. Deux saisines rectificatives lui ont été transmises respectivement le 8 août 2023 et le 23 août 2023.
Le projet de décret précise la composition et le fonctionnement de la plateforme et organise, par ailleurs, les échanges d’informations entre les membres de la plateforme ainsi qu’avec des acteurs nationaux et internationaux.
Ce projet ne constitue pas un acte de création des traitements de données à caractère personnel mis en œuvre au sein de la plateforme.
Par conséquent, l’avis de la CNIL n’est requis, à ce stade, qu’au titre de l’article L. 335-2 du code du sport. La CNIL constate qu’elle ne dispose que de peu d’éléments, dans la version actuelle du projet de décret, pour se prononcer sur les conditions et modalités des échanges d’informations et de données à caractère personnel utiles à la lutte contre la manipulation des compétitions sportives.
La responsabilité des acteurs mettant en œuvre les traitements de données à caractère personnel au sein de la plateforme aux fins d’exécuter les missions qui lui sont confiées
Selon l’article 4-7 du RGPD, le responsable des traitements de données à caractère personnel est la personne physique ou morale, l’autorité publique, le service ou un autre organisme, qui seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Il peut être désigné, à certaines conditions, par le droit d’un Etat membre.
Par ailleurs, les lignes directrices n° 07/2020 du Comité européen de la protection des données (CEPD), adoptées le 7 juillet 2021, concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, précisent que la loi peut indirectement désigner le responsable de traitement. Il en est par exemple ainsi lorsqu’une entité légalement chargée d’une mission de service public ne peut exécuter celle-ci sans traiter certaines données à caractère personnel, créer une base de données ou un registre.
La CNIL s’interroge sur les responsabilités des différents acteurs mettant en œuvre des traitements de données à caractère personnel au sein de la plateforme, aux fins d’exécuter ses missions. En effet, la répartition des compétences exercées tant par le ministère chargé des sports que par l’Autorité nationale des jeux (ANJ) au sein de la plateforme, telle que décrite aux articles L. 335-1-II et III du code du sport et aux projets d’article R. 335-1 et suivants de ce même code, ne permet pas d’identifier le rôle respectif de ces autorités dans la détermination des finalités et des moyens du traitement et, en conséquence, de leur attribuer les qualifications définies par le RGPD et relatives aux traitements de données à caractère personnel mis en œuvre.
Par conséquent, la CNIL recommande au ministère de clarifier le régime de responsabilité applicable aux traitements mis en œuvre au sein de la plateforme aux fins d’exécuter ses missions. Comme l’autorise l’article 4-7 du RGPD, ce régime pourra être défini par l’acte réglementaire créant le traitement, dont la CNIL sera saisie.
Le traitement des données relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes
La CNIL prend acte de l’engagement du ministère de ce que des données relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes, au sens du l’article 10 du RGPD ne seront pas traitées. Elle rappelle que le traitement de cette catégorie de données à caractère personnel est strictement encadré par l’article 46 de la loi « informatique et libertés ».
Les transferts de données hors de l’Union européenne
La formation de surveillance de la plateforme peut transmettre à des acteurs internationaux tout ou partie des informations ou documents communiqués ou mis à sa disposition. Le projet d’article R. 335-7-III du code du sport indique qu’un accord permettant de garantir le secret de ces informations et documents doit être préalablement conclu entre les parties concernées.
La transmission des informations et documents à des acteurs internationaux, dont certains situés hors de l’Union européenne et non soumis au RGPD s’effectue via la plateforme Antidoping Denmark et, pour le traitement d’un cas de manipulation, via Europol et Interpol. Les flux de données provenant d’un exportateur soumis au RGPD vers un importateur situé hors de l’Union européenne et non soumis au RGPD constituent des transferts de données à caractère personnel au sens du RGPD.
La nécessité de réaliser ces transferts n’est pas remise en cause par la CNIL. La CNIL rappelle toutefois que les exportateurs devront s’assurer que leurs transferts de données, au sens du RGPD, seront réalisés conformément au chapitre V du RGPD. A cette fin, elle prend acte de ce que les accords visés au projet d’article R. 335-7-III du code du sport intégreront des dispositions sur les modalités d’encadrement des transferts réalisés.
Les conditions et les modalités techniques d’échange d’informations
L’article L. 335-2 du code du sport indique que le décret en Conseil d’Etat prévoit les conditions et modalités d’échanges des informations et des documents utiles à la lutte contre la manipulation de compétitions sportives : d’une part, avec les membres de la plateforme et, d’autre part, avec des acteurs nationaux et internationaux.
S’agissant des échanges d’informations avec les membres de la plateforme, le projet d’article R. 335-7-I et II du code du sport prévoient les conditions selon lesquelles l’ANJ effectue cette transmission. Le projet d’article R. 335-8 du code du sport prévoit également les modalités d’échanges en précisant seulement que ceux-ci sont réalisés par le biais d’un système informatique sécurisé. La CNIL relève à cet égard que les principaux choix techniques ne semblent pas avoir été arrêtés à ce stade par le ministère.
La circulaire n° 6404/SG du 31 mai 2023 portant actualisation de la doctrine d’utilisation de l’informatique en nuage par l’Etat (ci-après, la circulaire « cloud au centre ») promeut le cloud comme mode d’hébergement et de production par défaut des services numériques de l’Etat. Interrogé sur l’application de celle-ci, le ministère a fait savoir qu’aucune donnée sensible n’était traitée par la plateforme. Or, le champ d’application de la circulaire « cloud au centre » est indépendant du caractère sensible ou non des données. La CNIL invite donc le ministère à réexaminer la question de l’inscription de ce système informatique dans la circulaire « cloud au centre ».
Au surplus, et si le système informatique sécurisé, mentionné au projet d’article R. 335-8, reposait sur une offre de cloud commercial, le premier alinéa de la règle R9 de la circulaire « cloud au centre » s’appliquerait (indépendamment du caractère sensible des données). La CNIL attire donc l’attention du ministère sur ces dispositions, qui rappellent la nécessité de se conformer au RGPD dès lors que des données à caractère personnel sont traitées.
La CNIL recommande au ministère le recours à une solution disposant de la qualification SecNumCloud. Cette qualification fournit des garanties fortes en matière de protection des données vis-à-vis des législations non-européennes à portée extraterritoriale.
S’agissant du partage d’informations avec les acteurs nationaux ou internationaux, la CNIL estime que le projet de décret n’en précise pas les modalités, notamment techniques, contrairement à ce que prévoit l’article L. 335-2 du code du sport.
La mise en conformité du traitement de données à caractère personnel de la plateforme
Si le projet de décret ne constitue pas un acte de création de traitement, la CNIL estime que le traitement de données à caractère personnel mis en œuvre par la plateforme semble relever du champ de l’article 31 de la loi « informatique et libertés ».
La CNIL prend acte de l’engagement du ministère d’autoriser le traitement par la voie d’un arrêté, dont elle sera saisie conformément aux exigences de l’article 31 de la loi « informatique et libertés ».
Par ailleurs, la plateforme constitue un outil de centralisation des données en vue de les transmettre à ses membres et de les communiquer également à des acteurs nationaux et internationaux en lien avec la lutte contre la manipulation des compétitions sportives. Dès lors, les traitements de données à caractère personnel réalisés au sein de cette instance sont mis en relation avec de nombreux autres traitements de données à caractère personnel réalisés notamment par l’ANJ, le ministère de la justice et le ministère de l’intérieur et des Outre-mer.
La CNIL rappelle, à cet égard, que les actes encadrant les traitements qui alimentent ou sont destinataires des données issues de la plateforme devront être mis à jour. Les responsables de ces traitements devront s’assurer de leur conformité à l’égard de la réglementation en vigueur avant la mise en œuvre des traitements modifiés.