Aux termes d’une délibération de la formation restreinte n°2014-293 du 17 juillet 2014 la CNIL a prononcé une sanction pécuniaire de 3.000 euros d’amende à l’encontre de la Fédération Française d’Athlétisme (FFA) pour des manquements à l’information des sportifs concernant la publication de leurs résultats sur son site internet, à la sécurité et à la confidentialité de leurs données à caractère personnel.
En effet, la CNIL a été saisie d’une plainte d’une personne qui souhaitait d’obtenir la suppression des résultats sportifs de son enfant mineur publiés sur le site internet de la Fédération.
La CNIL a donc procédé à un contrôle auprès de la Fédération Française d'Athlétisme dans le cadre de son programme annuel en matière de sport.
La CNIL a ainsi pu vérifier les traitements de données mis en œuvre par la Fédération s'agissant de ses licenciés.
A la suite de ce contrôle, la Présidente de la Commission a relevé de nombreux manquements à la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
La CNIL a constaté :
- un manquement à l'obligation d'informer les personnes (1) ;
- un manquement à l'obligation d'assurer la sécurité et la confidentialité des données (2).
1) Sur le manquement à l'obligation d'informer les personnes
La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2011-334 du 29 mars 2011 prévoit :
- L’obligation d’informer les personnes de la publication de contenus les concernant sur internet, dans un moteur de recherche ou dans le cadre d’un traitement de leurs données ;
- Leur droit d'opposition sur ces données à caractère personnel ;
- L'obligation pour le responsable du traitement de fournir à la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant des informations notamment sur l'identité du responsable du traitement, la finalité de ce traitement, les destinataires, leurs droits d'accès, de rectification et, le cas échéant, d'opposition aux données les concernant.
Le contrôle a permis d'établir que les sportifs participant à des compétitions d'athlétisme n'étaient pas informés de la publication de leurs résultats sur le site web de la Fédération, ce qui, dès lors, ne leur permettait pas de s'opposer à une telle publication.
En vain, la Fédération a prétendu que le fait d'informer les sportifs non-licenciés, de la publication de leurs résultats sur le site web de la FFA et notamment de leur droit d'opposition était impossible et constituait un effort disproportionné.
En réponse à la mise en demeure de la Présidente de la CNIL, s'agissant des licenciés, la Fédération a vainement fait valoir qu'elle avait procédé à leur information par courriel à l'occasion de l'envoi annuel de la licence dématérialisée.
S'agissant des non-licenciés, qui représentent selon elle environ 3 millions de personnes, elle soutenait qu'il lui était matériellement impossible de les informer du traitement relatif à la publication de leurs résultats sur le site web de la FFA, et des droits qu'ils détiennent en application de l'article 32 de la loi du 6 janvier 1978 modifiée.
Cependant, la CNIL a jugé que le fait d'imposer aux organisateurs de procéder à cette information ne se révélait pas impossible et que cela ne constitue pas un effort disproportionné par rapport à l'intérêt de la démarche, en particulier pour que les personnes concernées sachent que des données les concernant sont diffusées sur internet.
La formation restreinte estime donc qu'en l'absence d'une information délivrée aux sportifs licenciés et non licenciés, ces derniers ne sont pas en mesure d'exercer leurs droits et notamment le droit de s'opposer au traitement relatif à la publication de leurs résultats sportifs sur le site web de la FFA.
Elle considère en effet qu'il est primordial de garantir l'exercice du droit d'opposition et qu'une telle garantie ne peut être apportée que par la délivrance d'une information en amont, d'autant que la diffusion de données sur internet est considérée comme plus intrusive que tout autre moyen hors ligne du fait notamment que l'accessibilité en tout lieu et à tout moment par n'importe quel utilisateur est facilitée et que divers traitements ultérieurs des données sont possibles.
Ainsi, la CNIL a condamné la Fédération Française d'Athlétisme pour ne pas avoir respecté les dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée.
2) Sur le manquement à l'obligation d'assurer la sécurité et la confidentialité des données
L'article 34 de la loi du 6 janvier 1978 modifiée dispose que :
« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
En l’espèce, la sécurité du système d'information de la FFA, qui comprend environ 1 million de personnes, et l'espace personnel de l'athlète sur le site web FFA était insuffisante.
L'envoi des données des licenciés à des prestataires s'effectuait de manière non sécurisée.
En réponse à la mise en demeure de la CNIL, la Fédération a fait valoir qu'elle avait adopté un certain nombre de mesures visant à corriger ces défaillances.
Si à l'expiration du délai initial de la mise en demeure, la Fédération s'est mise en conformité concernant la majorité des manquements relevés à l'article 34 de la loi du 6 janvier 1978 modifiée, la pleine conformité n'était pas obtenue.
En effet, malgré la robustesse des mots de passe mis en place pour accéder au système d'information de la FFA, la CNIL a estimé que cette mise en conformité ne découlait que de l'initiation d'une procédure de sanction.
Au vu de ce qui précède, la formation restreinte a considéré que la modification des paramètres afin d'imposer une robustesse et un renouvellement des mots de passe permettant l'accès aux systèmes d'information sont des mesures de sécurité élémentaires.
Compte tenu que la Fédération a mis plus d'un an à appliquer un niveau de sécurité satisfaisant permettant de protéger les données des personnes contenues dans son système d'information, la CNIL a constaté que la FFA a manqué de réactivité et a fait preuve de légèreté s'agissant de la mise en œuvre de correctifs permettant de se conformer aux exigences de l'article 34 de la loi susmentionnée.
Ainsi, la CNIL a jugé que la Fédération Française d'Athlétisme a manqué à l'obligation lui incombant de mettre en œuvre des moyens propres à assurer la sécurité des données des personnes contenues dans son système d'information et, en particulier de ses licenciés, notamment afin que ces données ne soient pas accessibles à des tiers non autorisés.
Je suis à votre disposition pour toute action ou information (en cliquant ici).
PS : Pour une recherche facile et rapide des articles rédigés sur ces thèmes, vous pouvez taper vos "mots clés" dans la barre de recherche du blog en haut à droite, au dessus de la photographie.
Anthony Bem
Avocat à la Cour
27 bd Malesherbes - 75008 Paris
01 40 26 25 01
abem@cabinetbem.com