Par Haas Avocats
A l’approche des jeux olympiques, la CNIL présente de nombreux guides et articles liés au sport. Dans ce cadre, elle précise qu’il est fréquent pour les sportifs de haut niveau et les sportifs professionnels de recueillir des données afin d'améliorer et d'optimiser leurs performances physiques individuelles.
Néanmoins, il convient de se conformer à certaines règles afin de préserver la vie privée des personnes concernées, notamment en ce qui concerne leurs données de santé.
Qualification de la performance
La CNIL détaille la notion de performance tel que suit :
Typologies de données | Matérialisation |
Performance sportive |
Se matérialise via :
Résulte d’un long processus de
Débouche sur un classement des meilleurs résultats réalisés ainsi que sur la délivrance de médailles. Elle est liée à des facteurs externes[1] mais aussi à des facteurs internes[2].
|
Mesure de la performance sportive physique individuelle |
Réalisée à partir de la production de statistiques présentant une certaine sensibilité dès lors qu’elles conduisent à recueillir des données relatives à la santé (ex. : fréquence cardiaque, poids, taille, etc.)
|
Qualification des acteurs de l’écosystème sportif
Tous les traitements des données issues des sportifs interrogent. La CNIL établit ces qualifications d’une manière assez pédagogique et intuitive en se basant sur les fondamentaux de la qualification des acteurs. Cette analyse s’articule de manière pratique :
Questions à se poser | Situations pratiques | Qualifications |
|
4. Peut-il le paramétrer selon des modalités qu’il détermine lui-même ?
|
Sauf spécificités, responsabilité de traitement de l’utilisateur de l’outil |
|
La collecte, l'enregistrement et la conservation des données aux fins d'améliorer et/ ou d'optimiser la performance sportive physique individuelle est-elle organisée, coordonnée avec un autre acteur notamment institutionnel ? | Sauf spécificités, responsabilité conjointe de traitement utilisateur de l’outil / autre acteur |
|
L'acteur de l'écosystème est-il amené à collecter, enregistrer, conserver des données pour le compte et sous l'autorité d'un autre acteur (ex. : une fédération commande à l'INSEP des séquençages pour étudier les déplacements d'un sportif déterminé lors d'une compétition ou ses faiblesses posturales) ? | Sauf spécificités, cas de sous-traitance |
Encadrement de la licéité des traitements
La CNIL met en lumière plusieurs situations ainsi que des exemples pratiques qui recoupent les principaux éléments de conformité du RGPD. Cette mise en lumière s’effectue de la manière suivante :
Principes/éléments | Situation(s) pratiques | Conclusions |
Base légale |
« Athlete Management system » de l’ISNEP qui effectue une analyse posturale des sportifs à des fins de prévention des blessures et d’optimisation de la performance, sur la mission d’intérêt public en application des dispositions de l’article R. 211-2 du code du sport.
|
Mission d’intérêt public en application des dispositions de l’article R. 211-2 du code du sport. |
Base légale | Les fédérations délégataires. |
Mission d’intérêt public en application du contrat de performance et du contrat de délégation (articles L. 131-15 et R. 131-28 et R. 131-28-1 du code du sport qui encadrent le contrat de performance et le contrat de délégation).
|
Base légale |
Recommandations professionnelles telles que formulées par les acteurs de l’écosystème, le port d’un capteur lors des entraînements et compétitions officielles
|
Consentement du sportif. |
Base légale |
Les données collectées aux fins d’amélioration et/ou d’optimisation de la performance sportive ne peuvent être réutilisées à des fins de lutte contre le dopage.
|
Impossibilité de réutiliser les données collectées à des fins de lutte contre le dopage. |
Minimisation |
Analyser le dosage d’acide lactique d’un sportif permet de connaître sa résistance musculaire avant qu’il tétanise. Ainsi, une surcharge d’acide lactique n’empêche pas de performer : elle n’est qu’une donnée dans la recherche d’optimisation à la performance qui permet d’adapter l’hydratation et la nutrition du sportif d’une part, et de compenser cette faiblesse sur d’autres facteurs en adaptant sa charge d’entraînement d’autre part.
|
La collecte de cette donnée est donc adéquate et pertinente dans un traitement d’amélioration et/ou d’optimisation de la performance sportive individuelle. |
Minimisation |
La mesure permanente de la fréquence cardiaque du sportif via une montre connectée en dehors des périodes d’entraînement ou des compétitions.
|
La collecte est excessive et non conforme aux exigences du RGPD. |
Minimisation |
Demander aux sportives la date de leurs menstruations afin d’adapter la charge d’entraînement pour limiter les risques de blessures.
|
La collecte est conforme et minimisée.
|
Minimisation |
La collecte de données complémentaires telles que la mise sous contraception, le type de contraception ou encore la marque du contraceptif.
|
La collecte est excessive et non conforme aux exigences du RGPD. |
Information |
Au cours d’un entraînement, le fait de demander au sportif de porter un capteur de performance (ex. : capteur à fixer sur un équipement, ceinture, gilet) sans l’en informer selon l’ensemble des modalités prévues à l’article 13 du RGPD.
|
La collecte n’est pas transparente et non conforme aux exigences du RGPD. |
Règles spécifiques aux données de santé |
Informations concernant la santé des sportifs telles que le poids, les résultats de tests sanguins ou urinaires, le suivi des blessures, l’étude des os, le suivi de la fréquence cardiaque, la répartition des fibres musculaires.
|
Les données peuvent être collectées, sous réserve de se fonder sur l’intérêt public important[3].
|
Conservation |
Conserver les données de performance physique individuelle pour une durée identique à celle de la carrière du sportif.
|
La conservation est nécessaire au traitement de données constitué aux fins de gérer sa carrière et conforme aux exigences du RGPD. |
Mesures de sécurité | Les traitements de données personnelles constitués aux fins d’améliorer et/ou d’optimiser la performance sportive. |
Absence de formalité particulière préalable.
Réalisation d’une analyse d’impact sur la protection des données[4] si les conditions en sont réunies (collecte de données de santé ou à caractère hautement personnel, collecte de données à large échelle, personnes vulnérables, profilage, usage innovant de nouvelles technologies).
|
En rappelant plusieurs fondamentaux la CNIL a rédigé un article/guide assez complet. Affaire à suivre pour les autres éléments des activités sportives !
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données ou dans l’implémentation ou la mise à jour de votre procédure d’alerte professionnelle. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Selon la CNIL, par exemple, : tirage au sort, adversaire pour les sports à confrontations directes, conditions environnementales pour les sports pratiqués en extérieur
[2] Selon la CNIL, par exemple, : énergétiques, artistiques, chronométriques, mentaux, physiologiques, technico-tactiques, etc.
[3] Article 9.2.g) du RGPD
[4] Article 35 du RGPD