Le Match CNIL vs Paris Saint Germain : CNIL 1 – PSG 0

Le 8 octobre 2013, dans Veille juridique, par Apolline Quenolle

La Présidente de la CNIL a adopté le 29 août 2013 une mise en demeure à l’encontre de la société PARIS SAINT-GERMAIN FOOTBALL (PSG), concernant la mise en œuvre de listes d’exclusion de supporters du PSG.

«On a le droit d’accueillir le public que l’on souhaite», déclarait le PSG par la voix de Jean-Claude Blanc, son directeur général délégué, dans les colonnes du Parisien le 27 septembre 2012.

Pour la CNIL, les choses sont un peu plus compliquées.

Rappel des faits :

La CNIL contrôle les locaux du PSG en novembre 2012. La Commission relève la mise en œuvre de deux listes d’exclusion des supporters ainsi que leur communication à la société PARIS HANDBALL, afin que la société puisse également les exclure des rencontres auxquelles participe son équipe.

La première se fonde sur les interdictions de stade prononcées par les autorités compétentes. La seconde vise les personnes indésirables, considérées par le PSG comme ayant un comportement non conforme aux valeurs du club à l’occasion des rencontres de football ou de handball.

La CNIL constate de nombreuses failles et des pratiques contraires aux principes de la loi Informatique et Libertés, notamment l’absence d’autorisation préalable auprès de la Commission, ainsi qu’un manquement à l’obligation d’assurer la sécurité et la confidentialité des données, le PSG transmettant ces deux listes à la société PARIS HANDBALL en dehors de tout cadre légal.

La CNIL a donc mis en demeure le PSG d’effectuer les formalités nécessaires à la mise en œuvre de ces traitements de données à caractère personnel, afin de vérifier le respect de ses obligations Informatique et Libertés.

Lundi soir, le PSG a réagi, ne comprenant pas que la CNIL ait rendu publique cette décision alors même que le délai d’exécution de la mise en demeure n’était pas échu.

Focus sur la doctrine CNIL en matière de liste noire :

La CNIL estime qu’une liste noire ne peut être mise en place que pour les finalités suivantes : lutte contre les impayés ou contre la fraude. Les données collectées doivent être adéquates, pertinentes et non excessives, elles comprennent : l’événement justifiant l’inscription de la personne sur la liste, le montant de la créance. Seules les personnes habilitées ne peuvent avoir accès aux listes noires. Les données doivent être supprimées dès régularisation de la créance et en cas de non règlement un délai d’effacement de 2-5 ans en fonction de la finalité du traitement est considéré comme acceptable.

La délibération de  la CNIL Nº 2007-191 du 10 Juillet 2007 pose les conditions de mises en œuvre d’une liste d’exclusion à respecter, notamment l’effacement de la liste des personnes ayant réglées leurs dettes, l’information individuelle par courrier des personnes inscrites sur un tel fichier. Le régime de formalités auprès de la CNIL qui s’applique pour un tel type de traitement est celui de la demande d’autorisation car les personnes sont susceptibles d’être exclues du bénéfice d’un droit.

 

Comments are closed.