La Cnil, saisie de nombreuses plaintes dénonçant la mise en œuvre par le club de football du PSG de listes d’exclusion de supporters, a procédé à une mission de contrôle au sein de cet organisme. Lors de ce contrôle, la délégation de la Cnil a constaté dans l’application de gestion de la billetterie que certains clients étaient identifiés comme « interdits », adjectif correspondant aux personnes ayant fait l’objet d’une mesure d’interdiction administrative ou judiciaire de stade, ou encore « suspendus », terme visant à identifier les personnes indésirables auxquelles le PSG ne souhaite plus vendre de billets.
Elle a également relevé que le PSG avait communiqué ces informations à un autre organisme gérant une autre discipline sportive, afin que ce dernier puisse annuler les billets des personnes concernées qui souhaitaient assister aux matchs de qu’il organisait.
Forte de ces constatations, la Cnil reproche, en premier lieu, au PSG de ne pas avoir effectué les formalités préalables nécessaires auprès de cette dernière. Plus précisément, elle indique que les traitements mis en œuvre par le PSG auraient dû faire l’objet d’une demande d’autorisation, dans la mesure où sont soumis à de telles formalités :
- les traitements portant sur des données relatives à des infractions, condamnations ou mesures de sûreté (cf. informations relatives aux interdictions de stade) ;
- les traitements susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.
En second lieu, la Cnil relève que le PSG a manqué à son obligation de confidentialité s’agissant des données en sa possession en les communiquant à un organisme tiers qu’elle considère comme non autorisé à accéder à ces données.
En conséquence, la Cnil a, le 29 août 2013, mis en demeure le PSG de procéder, dans un délai d’un mois, aux formalités requises et de cesser de communiquer à des organismes tiers les données relatives aux supporters « exclus ». Si le PSG ne se conformait pas à ces demandes, une procédure de sanction pourrait être initiée. En revanche, s’il se conformait à la mise en demeure, la procédure pourrait être close et cette clôture rendue publique selon les mêmes mesures de publicité que la mise en demeure.
Céline Avignon
Alain Bensoussan
Lexing Droit Marketing électronique