Le Sport Data Hub centralise les informations sur les athlètes
français. Les professionnels du sport estiment que les règles de protection des
données de cet outil puissant ont besoin d’être précisées. Ils attendent un
décret ministériel.
Les données des sportifs de haut niveau sont conservées dans le Sport
Data Hub qui est un data warehouse. Concernant cet entrepôt numérique, «
on n’est pas sûr de la mutualisation, mais sur de la centralisation », précise
Cécile Chaussard, professeure de droit public à l'Université de Bourgogne au
cours d’une table ronde organisée début mars par la faculté de droit de Nancy.
La nuance, c'est que l'accès aux data est limité en fonction de la qualité de
chaque utilisateur.
« Comment on s'assure que les bonnes personnes ont accès à ses
données ? » interroge
Benoit Schuller, responsable du SDH. La fédération de natation n'a accès qu'aux
données de la fédération. Les entraineurs n'ont accès qu'aux informations
qu'ils ont recueillies sur les athlètes qu'ils entrainent. France.sport, la partie visible du SDH (1/3) permet par exemple à un sportif de haut
niveau d'accéder à ses déclarations de revenus, mais pas à l'équipe qui le suit
(sauf les managers chargés des ressources humaines).
Le besoin en délégués à la protection des données
Malgré la création du Sport Data Hub, subsistent des pratiques
d'accès aux données qui ne respectent pas le RGPD. La CNIL (Commission
nationale de l'informatique et des libertés) et les fédérations ont donc mis en
œuvre un réseau de DPO (Data Protection Officers ou délégués à la protection
des données) à travers lequel des problématiques de conformité ont été dévoilées.
Le travail de ce réseau a amené à changer certaines habitudes.
Par exemple, les intervenants formateurs ne peuvent pas faire l'objet de
sanction disciplinaire de la part d'une fédération ou d'un établissement, ni de
sanction pénale d'inaptitude à l'encadrement. Les CREPS (Centres de ressources
d'expertise et de performance sportive) utilisaient une stratégie
« d’évitement ». Ils consultaient les extraits de casier judiciaire
de tous leurs stagiaires, futurs formateurs. Le réseau des DPO a remonté cette
pratique irrégulière au ministère des Sports qui en a demandé l'arrêt immédiat.
Margaux Basterreix, docteure en droit à Limoges relate un autre souci
persistant : la fuite des données vers l'étranger qu'aucun règlement n'a
encore su juguler. « Souvent les organisations sportives et les
structures n'ont pas de ressources en interne pour gérer l'informatique et font
appel à des prestataires qui sont mutualisés, et parfois basés en dehors de
l'Union européenne. »
Des DPO en manque de moyens
Un délégué à la protection des données doit être choisi dans chaque
établissement sportif. Il fait le lien entre la CNIL et les professionnels du
sport sur place. Les DPO sont « à temps partiel, car les établissements
sportifs sont des petites structures. Ils n'ont pas les compétences spécifiques
au droit des données, notamment concernant l'IA. On désigne un personnel
qui aura plusieurs casquettes comme celle de responsable du système
d'information. » Les CREPS désignent, elles aussi, des DPO.
L'accès à certaines données échangées avec des individus non concernés expose
à un risque important qui justifie le travail du DPO. La Loi Informatique et
Libertés n'est pas propre au sport de haut niveau, sa vocation est générale.
Or, les questions propres au traitement des données de performance appellent la
rédaction d'un texte spécifique. En attendant ce texte précis, « nous
sommes sollicités par le Sport Data Hub pour intervenir sur le réseau des DPO
du monde du sport » relate Stéphanie Saulnier, juriste à la CNIL.
« Les DPO dans les établissements de sport n'ont ni le temps ni les
compétences. » assure
Benjamin Seymour, juriste conformité SDH. « N'étant pas juriste de
formation, les DPO dans les petites structures ont besoin d'être formés. »
Ils sont chargés de faire des analyses d'impact sur la vie privée qui sont
assez lourdes. Ils doivent aussi expliquer et donner des conseils à ceux qui
traitent les informations liées aux diplômes de sport et à la paye. Ils ont
donc besoin d’acquérir les connaissances idoines et de consacrer du temps à la
veille informationnelle.
Le juriste observe que la mise en conformité ne repose pas que sur les
délégués à la protection des données. Pour changer les pratiques irrégulières
dans chaque établissement, « ce ne sont pas les DPO qu'il faut
convaincre, ce sont encore les responsables de traitement ». Certaines
pratiques demeurent à revoir du point de vue du recueil du consentement des
athlètes. L'accès aux données de performance est devenu un enjeu d'intérêt
public à l'occasion des jeux.
« On est passés du consentement des sportifs à la mission d'intérêt
public »
Depuis la préparation des JO à Paris, « on est passé du
consentement des sportifs à la mission d'intérêt public », souligne
Cécile Chaussard.
Le traitement des données des sportifs de haut niveau dans le Sport
Data Hub est autorisé par la CNIL pour ce motif. « Nous avons
considéré que la mission d'intérêt public était la base légale de ce traitement
parce que l'Agence nationale du sport, le ministère et l'INSEP ont des
obligations de contribuer à la performance sportive dans le Code du sport,
participant au rayonnement de la nation. » commente Stéphanie
Saulnier.
Toutefois, le transfert des indicateurs de performance comme le poids de
l'athlète ou sa fréquence cardiaque ont été interdits par la CNIL en matière de
lutte contre le dopage. L'article 9 du RGPD autorise en effet la collecte des
informations de santé si elle est motivée par une mission d'« intérêt
public important ». La CNIL a donc enjoint au ministère des Sports de
préciser par décret les conditions de la collecte des données de santé en
dehors du champ de la lutte antidopage. « La CNIL est là pour éclairer
le pouvoir réglementaire. »
Stéphanie Saulnier rappelle aussi l’obligation qu’a eu la réglementation
nationale de s'aligner sur le Code mondial antidopage, pour obtenir les jeux à
Paris. La professeure Chaussard s'insurge : le législateur, en prévision
de ces JO 2024, a même été encore plus loin que la réglementation
internationale. Elle illustre son propos avec la loi autorisant les
prélèvements génétiques pour tester les compétiteurs. Elle regrette que la
lutte contre le dopage ait autorisé un traitement des données personnelles
décomplexé. La CNIL a d’ailleurs rendu un avis défavorable sur ce point.
Antonio Desserre