Le Règlement Général sur la Protection des Données entré en vigueur le 25 mai dernier instaure de nouvelles obligations pour les entreprises collectant des données. Un nouveau règlement qui n’est pas sans conséquence sur les activités des clubs de football professionnel. Ecofoot.fr a interrogé Me Thierry Aballéa, Avocat Associé chez EwenLaw, au sujet de l’adaptation des clubs français au RGPD.
Le RGPD (ndlr : Règlement Général sur la Protection des Données) est entré en vigueur le 25 mai dernier. Quelles sont les conséquences d’une telle réglementation sur les activités d’un club de football professionnel ?
D’abord une explication sur la philosophie du texte que peu de monde souligne. Il s’agit de réattribuer à chaque individu, vous, moi, la maîtrise de ses données personnelles dès lors qu’elles lui appartiennent. Constatant que ce n’était pas le cas et que les lois existantes ne suffisaient pas, l’Europe a mis en place un nouveau cadre, le RGPD fondé notamment sur des amendes drastiques pouvant aller jusqu’à 4% du chiffre d’affaires mondial consolidé !
Nous notons souvent une grande surprise de nos clients qui doivent modifier des habitudes parfaitement contraires au cadre légal antérieur mais qui n’étaient pas véritablement sanctionnées.
Le RGPD est donc très large, le respect de ses dispositions s’impose à tous et donc à tous les clubs de football. Et ce quelle que soit la nature de la structure qu’ils ont choisie ou leur taille.
Les clubs n’échappent pas aux difficultés qui sont identiques à celles des entreprises parmi lesquelles la sensibilisation à ces questions de protection des données personnelles, la budgétisation et la mise en œuvre d’une organisation interne propre à répondre aux exigences du nouveau texte.
Certaines entités sportives ont envoyé un mail de réabonnement à leur base de données en amont de l’application du RGPD afin d’obtenir le consentement de leurs abonnés. De telles campagnes étaient-elles indispensables ?
Envoyer un message à des abonnés pour demander leur consentement tend à prouver que vous ne l’aviez pas obtenu précédemment, ce n’est donc pas toujours une bonne idée.
Pour le RGPD, le rythme de chaque acteur est très différent, entre la précipitation (votre exemple), l’approche raisonnée type gestion de projet qui est la meilleure et l’absence quasi-totale de mise en œuvre, tous les cas de figure existent le dernier étant le moins bon.
Dans le cadre de l’entrée en vigueur du RGPD, les clubs de football professionnel français sont-ils obligés de nommer un « Data Protection Officer » au sein de leur structure ? Et quelles sont ses missions ?
Cela dépend de la nature et de la masse des données personnelles que chacun d’entre eux traite.
Il y a deux cas obligatoires de nomination d’un DPO qui concernent les clubs, si leurs activités de base les amènent (i) à réaliser un suivi régulier et systématique des personnes à grande échelle ou (ii) à traiter à grande échelle des données dites sensibles ou relatives à des condamnations pénales.
L’interprétation du texte n’est pas très simple. Néanmoins le site internet de la CNIL propose dorénavant un outil de désignation du DPO qui est très utile et qui permet de connaître l’étendue de ses obligations pour chaque club qui souhaitera l’utiliser.
La CNIL recommande la nomination d’un DPO même si ce n’est pas obligatoire.
Une fois cette décision prise, un autre écueil se dresse, il convient de trouver qui est capable de réunir les compétences nécessaires pour un tel poste dont on rappelle qu’il peut être interne (salarié) ou externe (consultant spécialisé, avocat).
Parmi ses missions, le DPO doit :
- Informer, conseiller sensibiliser le club et les salariés sur leurs obligations en matière de protection des données ;
- Vérifier le respect du RGPD par le club et notamment documenter les étapes de mise en œuvre de la conformité (audits, types de données, nombre, études d’impact, formation du personnel, tenue du registre des traitements, finalité, durées de conservation, respect des droits des titulaires, sécurité) ;
- Être le point de contact de la CNIL et lui faciliter l’accès aux documents et informations du club dans le cadre d’un contrôle, lui notifier une faille de sécurité dans les 72 heures.
Aujourd’hui, les clubs de L1/L2 français sont-ils en conformité avec les exigences du RGPD ? Avez-vous un exemple de bon élève à citer ?
Disons que plus leur taille/budget sont importants, plus la tendance est au respect des dispositions du RGPD avec de très bons élèves. Nous avons constaté, comme dans les autres sports, que si les dirigeants du club sont également dirigeants d’entreprise, ils reproduisent les actions de l’entreprise pour le RGPD dans un cercle vertueux.
Globalement, chez les clubs comme chez les entreprises, tous les profils existent même si les clubs de football semblent plus sensibilisés en général mais un peu perdus également au regard de l’ampleur de la tâche.
Une des difficultés que nous avons notée est que des données dont certaines sensibles sont transférées entre les clubs, la ligue, la fédération et d’autres institutions. Or il convient pour chacun de ces acteurs de s’assurer que les données qu’ils collectent ou utilisent le soient en parfaite conformité avec les textes.
Par ailleurs, il n’est pas exclu que certains athlètes veuillent récupérer leurs données physiologiques en cas de départ d’un club et demander également leur suppression. Ces nouveaux droits seront peut-être utilisés à terme.
Notre recommandation est surtout de ne pas rester passif et de mettre en œuvre un projet de conformité avec en priorité la vérification du niveau de sécurité des données collectées. Les amendes de la CNIL jusqu’ici concernent les failles de sécurité pour plus de 80 % des dossiers traités.
