Mise en demeure de la CNIL à l’encontre du PSG : bref rappel des règles applicables aux listes noires

Délibérations CNIL n°2013-015 du 29 août 2013 et n°2013-235 du 12 septembre 2013 prises à l’encontre de la société Paris Saint Germain Football

A la suite de plaintes concernant la création par le PSG d’une liste d’exclusion de supporters et à l’impossibilité pour ces derniers d’acquérir des billets pour des matchs de football mais également de handball, la CNIL a procédé en novembre 2012 à une mission de contrôle sur place puis a mis en demeure le club de football de se conformer à la loi Informatique et Libertés sous un délai d’un mois.

Au cours de sa mission de contrôle, la délégation de la CNIL indique avoir relevé la mise en œuvre par le club de deux fichiers d’exclusion répertoriant les personnes susceptibles d’assister aux rencontres sportives du PSG :

– Le premier fichier associait le statut « Interdit » aux personnes ayant fait l’objet d’une mesure d’interdiction administrative ou judiciaire d’accès au stade : ce fichier avait vocation à consolider les données relatives aux interdictions qui sont adressées, avant chaque match, par la Préfecture de Police au PSG ;

– Le second fichier associait le statut « Suspendu » aux personnes jugées indésirables: ce fichier listait ainsi les personnes suspendues à l’initiative du PSG en raison d’un comportement « non conforme aux valeurs du club », du non respect du règlement intérieur du Parc des Princes ou du non respect des conditions générales de vente du PSG.

Ces deux fichiers correspondent à des liste noires et font à ce titre l’objet d’une surveillance particulière de la CNIL dans la mesure où ils ont vocation à recenser des personnes jugées « à risques » (en l’occurrence des supporters ne respectant pas les règles) afin des les exclure du bénéfice d’un droit ou d’un contrat (ici, la vente de billets ou l’accès au stade).

Dans le cadre de son contrôle, la CNIL a relevé différents manquements à la loi Informatique et Libertés.

En premier lieu, la CNIL a constaté que le PSG n’avait pas procédé à une demande d’autorisation, ce défaut de formalité entachant d’illégalité l’utilisation des fichiers. L’article 25 I de la loi prévoit expressément que la mise en œuvre de traitements portant sur des « données relatives aux infractions, condamnations ou mesures de sûreté », de même que les traitements automatisés « susceptibles du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes au bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire » doivent être préalablement autorisés par la CNIL.

Compte tenu de la sensibilité de ce type de traitement, cette formalité préalable contraignante permet à la CNIL de s’assurer que ces fichiers respectent les principes et garanties posés par la loi.

En particulier, la gestion des listes noires doit répondre au respect d’un certain de nombre de critères déterminés, explicites et légitimes. Or, en l’espèce, la CNIL a considéré que l’établissement de la liste de suspension faisait ressortir plusieurs irrégularités de fond.

En dépit de l’existence d’une « Commission d’examen des comportements » ayant pour mission de déterminer dans un cadre formel la liste des personnes ayant crée des incidents, la CNIL a observé qu’aucun document officiel ne définissait le contenu des « valeurs du club » et qu’aucun procédé automatique n’était mis en œuvre pour retirer les suspensions. Par ailleurs, les personnes suspendues ne recevaient aucune information sur l’arrêt de leur suspension.

La CNIL rappelle que tout motif d’exclusion doit être basé sur des critères objectifs et préétablis. De même, en application des principes de transparence et de proportionnalité, la CNIL préconise l’information des personnes recensées dans les listes noires aux différents stades du traitement de leurs données ainsi que la suppression de leur inscription dès régularisation de l’incident.

Enfin, la CNIL a également constaté que le PSG portait à la connaissance du club Paris Handball les identités des personnes recensées dans ces deux fichiers afin de permettre à ce dernier d’annuler les billets de ces mêmes personnes lorsqu’elles souhaitaient assister aux matches de l’équipe de Paris Handball. Dès lors que les mesures d’interdictions judiciaires ou administratives sont « limitées dans leur champ d’application matériel et personnel, territorial et temporel », la CNIL a considéré que le PSG avait manqué à son obligation d’assurer la confidentialité et la sécurité des données relatives à ses clients en les transmettant à un tiers non autorisé.

Au regard des différents manquements relevés, la CNIL a donc publiquement mis en demeure le PSG de se conformer à la loi tout en rappelant que cette mise en demeure ne constitue pas une sanction et que la procédure sera close si le club régularise la situation dans le délai imparti.

Le PSG a répondu à la CNIL en contestant les fondements de la mise en demeure tout en se réservant la possibilité de saisir le Conseil d’Etat pour contester les motifs des délibérations.

Quelle que soit l’issue de la procédure, ces différentes positions soulignent le caractère éminemment sensible des listes noires dont la mise en œuvre doit respecter de façon équilibrée les droits des particuliers, les règles de confidentialité et la protection des intérêts des professionnels.

Sabine DELOGES

Téléchargez cet article au format .pdf

Confirmation en appel du statut d’éditeur d’un site de vente aux enchères et de parking de noms de domaine