Au travers d’une décision prise le 29 août dernier - mais publiée hier, la CNIL a donné un délai d’un mois au Paris Saint-Germain (PSG) pour se mettre en conformité avec la législation relative aux données personnelles. En cause : le traitement d’informations portant sur des supporters du célèbre club.
En novembre 2012, la Commission nationale de l’informatique et des libertés (CNIL) effectuait différents contrôles au sein des locaux du PSG. Dans le collimateur de l’institution, un fichier de supporters, décrié durant l’été dans la presse et ayant également fait l’objet de plaintes de particuliers. La gardienne des données personnelles a ainsi pu se pencher sur un logiciel de gestion de billetterie du club, « Rodrigue », lequel s’accompagnait alors d’une base de données relative à près de 800 000 personnes. Parmi celles-ci, se trouvaient des individus interdits de stade par la justice, et d’autres acheteurs considérés comme « suspendus » par le PSG du fait de leur comportement.
Sauf que ce traitement n’est pas en conformité avec la législation relative aux données personnelles. C’est en tout cas la conclusion qu’en a tirée la CNIL, dans la mesure où le PSG n’avait pas demandé d’autorisation pour collecter ces informations sur des individus faisant l’objet de condamnations et de mesures de sûreté, ainsi que celles portant sur ceux jugés indésirables en raison d’un « comportement non conforme aux valeurs du club PSG ».
Communication de données à un tiers non-autorisé
Au-delà de ce non-respect de formalités administratives, le club parisien s’est fait sanctionner pour avoir manqué à son obligation d’assurer la sécurité et la confidentialité des données utilisées via ce logiciel. « En l’absence de tout cadre légal, le PSG Football porte à la connaissance de Paris Handball [le « PSG Handball Club », ndlr] les identités des personnes ayant fait l’objet de mesures d’interdictions de stade prononcées par l’autorité administrative et/ou judiciaire dont il est le destinataire, ainsi que les personnes ayant adopté un "comportement non conforme aux valeurs du club PSG" » a ainsi observé la CNIL. En fait, le club parisien partageait ses informations relatives aux individus indésirables, avec pour conséquence d’empêcher la vente de billets aux personnes déjà mises à l’index dans les fichiers du PSG. Sauf qu’aux yeux de la CNIL, le Paris Handball Club représente tout simplement un tiers non-autorisé à accéder à ces données.
Dès lors, la gardienne des données personnelles a laissé au PSG jusqu’à la fin du mois pour se mettre en règle. Pour ce faire, le club doit obtenir deux autorisations : une pour traiter des données sur les personnes interdites de stade par la justice, l’autre pour celles qu’il juge indésirables en raison de leur comportement. Le PSG est également sommé de cesser de transmettre des informations sur ces personnes au PSG Handball Club. Néanmoins, le PSG ne semble guère enclin à procéder à ces modifications, comme il le laisse clairement entendre dans un communiqué. Le club indique d'ailleurs qu'il va « contester les fondements de cette mise en demeure, et se réserve la possibilité de saisir le Conseil d’État ». Mais s'il ne se plie pas aux ordres de la CNIL, le PSG pourrait s'exposer à une sanction plus importante, d’un montant maximum de 150 000 euros. Une somme qui semble ridicule à côté de celles que débourse le club pour certains de ses transferts de joueurs par exemple.
