Le 30 décembre 2016, par Geneviève Koubi,
Le décret n° 2016-1954 du 28 décembre 2016 précisant les modalités de mise en œuvre des traitements automatisés de données à caractère personnel relatives au non-respect des dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives à but lucratif se comprend dans le cadre de la lutte contre le hooliganisme. Mais, il reste encore inscrit dans le schéma d’un état d’urgence qui se pérennise.
Introduisant des modifications dans le Code du sport, ce décret y ajoute une section portant sur les « Dispositions relatives à la mise en œuvre par les organisateurs de manifestations sportives à but lucratif de traitements automatisés de données à caractère personnel pour l’application de l’article L. 332-1 ». Cet article, pensé en matière de « sécurité des manifestations sportives », dispose : « Les organisateurs de manifestations sportives à but lucratif peuvent être tenus d’y assurer un service d’ordre dans les conditions prévues à l’article L. 211-11 du code de la sécurité intérieure. / Aux fins de contribuer à la sécurité des manifestations sportives, les organisateurs de ces manifestations peuvent refuser ou annuler la délivrance de titres d’accès à ces manifestations ou en refuser l’accès aux personnes qui ont contrevenu ou contreviennent aux dispositions des conditions générales de vente ou du règlement intérieur relatives à la sécurité de ces manifestations. / A cet effet, les organisateurs peuvent établir un traitement automatisé de données à caractère personnel relatives aux manquements énoncés à l’avant-dernier alinéa du présent article, dans des conditions fixées par décret en Conseil d’État pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés. » Le décret prévu au dernier alinéa de cet article est donc intervenu ce jour (30 décembre 2016) dans le but d’encadrer les pratiques mises en oeuvre.
Ce traitement aurait pour finalité de contribuer à la sécurité des manifestations sportives en permettant aux organisateurs de refuser ou d’annuler la délivrance de titres d’accès à ces manifestations ou en refuser l’accès aux personnes qui ont contrevenu ou contreviennent aux dispositions des conditions générales de vente ou du règlement intérieur relatives à la sécurité de ces manifestations.
L’article R. 332-15 du Code du sport prévoit ainsi que seules peuvent être enregistrées dans le traitement des données à caractère personnel spécifiques. Pour la CNIL, en son avis n° 2016-392 du 15 décembre 2016, ce décret « fixe un cadre général et maximal s’agissant des modalités de mise en œuvre des traitements ». Elle rappelle alors que chacun des responsables de traitement, qui devra accomplir toutes les formalités nécessaires à la création d’un tel fichier, devra « de mettre en place un traitement répondant aux principes de la loi Informatique et Libertés, et notamment de finalité et de proportionnalité ». De plus, elle demandait à ce que soit précisément détermines les périmètres de ces traitements et précisément définis « les cas dans lesquels les traitements envisagés pourraient être mis en œuvre » - ce que le décret s’abstient de faire... - encore sous couvert de « sécurité » ?!
Les données enregistrées sont : « 1° Données d’identification : nom ; prénom ; date et lieu de naissance ; adresse ou lieu de résidence ; adresse électronique ; numéro de téléphone ; numéro de carte d’abonnement et photographie associée, le cas échéant ; 2° Motifs de l’enregistrement constituant un manquement aux dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives ». Sont visées à ce titre les manquements consistant ’notamment’ en : « a) Acte de provocation à la haine ou à la violence dans l’enceinte sportive ou à ses abords immédiats ; b) Acte de nature à compromettre la sécurité des personnes et des biens dans l’enceinte sportive ou à ses abords immédiats lors de la manifestation sportive ; c) Accès à l’enceinte sportive en état d’ivresse manifeste ou sous l’influence manifeste de produits stupéfiants ; introduction et consommation de boissons alcooliques et/ou de produits stupéfiants dans l’enceinte sportive ; d) Introduction dans l’enceinte sportive de tout objet pouvant constituer une arme ou mettre en péril la sécurité des personnes et des biens ». Outre le fait que des ouvertures sur d’autres positionnements pourraient être élaborées, certaines de ces données correspondent à des infractions pénales, ce que la CNIL n’a pas manqué de relever d’emblée.
Sont également enregistrées les données relatives aux décisions prises (art. R. 332-15, C. sport, 3°) : « a) Nature de la mesure : suspension, résiliation ou impossibilité de souscrire un nouvel abonnement ; refus de vente d’un titre d’accès ; annulation d’un tel titre ; refus d’accès à une enceinte sportive ; b) Date de la décision ; c) Durée de la mesure. »
Toutes ces données sont conservées pendant dix-huit mois au plus à compter de leur enregistrement.
.
La CNIL retient les éléments de l’article R. 332-14 du Code du sport qui prévoit que « les traitements mis en œuvre par les organisateurs de manifestations sportives ont pour finalité de "contribuer à la sécurité des manifestations sportives en permettant aux organisateurs de refuser ou d’annuler la délivrance de titres d’accès à ces manifestations ou en refuser l’accès aux personnes qui ont contrevenu ou qui contreviennent aux dispositions des conditions générales de vente ou du règlement intérieur relatives à la sécurité de ces manifestations" ». La finalité du traitement a donc été signifiée par l’article 1er de la loi du 10 mai 2016 renforçant le dialogue avec les supporters et la lutte contre le hooliganisme [1].
En quelque sorte, faut-il estimer que les dispositifs existant d’exclusion des stades qui permettent d’interdire l’accès aux enceintes sportives à certaines personnes ou de leur refuser la vente de billets dans le but d’assurer la sécurité au sein et aux abords des enceintes sportives n’auraient pas été suffisants ? La CNIL s’interroge alors sur « le périmètre exact des traitements envisagés et leur articulation » avec ces dispositifs. La CNIL a d’ailleurs « déjà autorisé certains organisateurs de manifestations sportives à mettre en œuvre des traitements automatisés de données à caractère personnel visant à permettre la gestion des interdictions de stade prononcées par l’autorité judiciaire ou administrative ».
Ces nouveaux fichiers accordent ainsi aux organisateurs des manifestations sportives des moyens légaux destinés à refuser ou annuler la délivrance de titres d’accès à ces manifestations… indépendamment des sanctions déjà prononcées. Sur quels critères reposeraient-ils leur décision à ce propos sinon sur ce traitement automatisé de données à caractère personnel qui leur laisse la possibilité d’ajouter aux données et informations composant les motifs de l’inscription à leur fichier [2] d’autres éléments qui pourraient tout autant concerner une tenue vestimentaire qu’une opinion donnée. Comment disposeraient-ils alors d’un tel droit ?
La CNIL demande alors que puissent être empêchés les dérives et abus « conduisant à l’inscription des personnes pour d’autres finalités que celle visée », les organisateurs se devraient alors « de préciser les actes et faits ayant conduit à l’inscription des personnes dans le traitement ». Est-ce que le qualificatif « seules » inscrit à l’article R. 332-15 du code [3] suffirait pour en prévenir les effets ? Rien n’est moins sûr, ne serait-ce que du fait de la présence de cet adverbe ’notamment’ qui défait l’encadrement du traitement… De fait, la CNIL note que « les réponses du ministère, s’agissant des modalités pratiques de constatation des différents manquements conduisant à l’inscription des personnes dans le fichier, n’ont pas permis à la commission d’appréhender de manière claire le fonctionnement du système d’exclusion envisagé. »
La CNIL se voit alors conduite à souligner « que le traitement projeté ne doit pas avoir pour objet ni pour effet de contourner les dispositifs actuellement encadrés par le code du sport. » Car, pour la CNIL, les fichiers ainsi constitués forment des doublons. Elle rappelle donc encore une fois « que les organisateurs de manifestations sportives ont d’ores et déjà, dans le cadre d’un dispositif légal précis, la possibilité d’interdire l’accès aux enceintes sportives à certaines personnes, de les expulser, de refuser de leur vendre un titre d’accès ou de l’annuler. » Mais elle n’est guère entendue.
Des réserves sont également à retenir pour ce qui concerne les personnes pouvant consulter les fichiers.
L’article R. 332-17 du Code du sport présente la liste des personnes ayant accès aux données à caractère personnel et informations enregistrées. Comme toujours « dans le cadre de leurs attributions et pour les besoins exclusifs des missions qui leur sont confiées », elles sont d’abord « les employés individuellement désignés par le responsable du traitement et relevant des services chargés de la sécurité, de la billetterie, des affaires juridiques et de l’organisation des manifestations sportives. » [4] Mais peuvent être aussi destinataires de ces données et informations, « dans le cadre de leurs attributions et dans la limite du besoin d’en connaître », individuellement désignés et dûment habilités, les agents du service central du renseignement territorial (SCRT) et de la division nationale de lutte contre le hooliganisme (DNLH) de la direction centrale de la sécurité publique (DCSP) ; les agents des directions départementales de la sécurité publique ; les fonctionnaires de la préfecture de police relevant de la direction de la sécurité de proximité de l’agglomération parisienne, de la direction de l’ordre public et de la circulation et de la direction du renseignement : les militaires des groupements de gendarmerie départementale, des régions de gendarmerie et de la sous-direction de l’anticipation opérationnelle (SDAO) de la direction générale de la gendarmerie nationale ; et les employés des fédérations sportives délégataires et des ligues professionnelles, relevant des services chargés de la sécurité, de la billetterie, des affaires juridiques et de l’organisation des manifestations sportives « pour les besoins liés aux rencontres organisées par ces organismes ». certes, nombre d’entre elles disposent de compétences en matière de sécurité publique et de prévention des troubles à l’ordre public mais les derniers cités ne sont pourtant pas habilités à procéder à des contrôles d’identité… Quoique, puisque désormais tant de facilités pour opérer de tels contrôles ont été accordées à tant de personnels sous multiples prétextes, peut-être qu’ils en auront la possibilité… un jour… [5]
.
[1] Devenu art. L. 332-1 du code du sport, précité.
[2] Car ce n’est que ’notamment’ que sont énumérés ces motifs : « a) Acte de provocation à la haine ou à la violence dans l’enceinte sportive ou à ses abords immédiats ; b) Acte de nature à compromettre la sécurité des personnes et des biens dans l’enceinte sportive ou à ses abords immédiats lors de la manifestation sportive ; c) Accès à l’enceinte sportive en état d’ivresse manifeste ou sous l’influence manifeste de produits stupéfiants ; introduction et consommation de boissons alcooliques et/ou de produits stupéfiants dans l’enceinte sportive ; d) Introduction dans l’enceinte sportive de tout objet pouvant constituer une arme ou mettre en péril la sécurité des personnes et des biens ». A ce propos, la CNIL « note que les motifs d’exclusion listés dans le projet de décret se rapportent aux infractions visés dans le code du sport, sur la base desquelles les autorités compétentes peuvent prononcer une peine complémentaire d’interdiction de stade. La commission observe néanmoins que, contrairement au projet de décret, le code du sport dans son état actuel vise des faits précis. »
[3] - : « Seules peuvent être enregistrées dans le traitement prévu à l’article R. 332-14 les données à caractère personnel et informations suivantes : » -
[4] Pour quelle raison « les personnes chargées de la billetterie » seraient au nombre de celles qui auraient accès au traitement institué ?
[5] - au risque que, par la suite, on leur offre aussi, comme à d’autres, celle d’exhiber une arme !?