La collecte des informations personnelles dans le secteur du sport amateur (hors contrat)
L’organisation de l’activité sportive nécessite la collecte par la structure sportive d’informations personnelles (nom, prénoms, coordonnées, photographies ou certificats médicaux) sur les dirigeants, adhérents, éducateurs sportifs, arbitres, etc. Il est nécessaire de savoir à quoi vont servir ces informations et si leur collecte est autorisée.
Questionnaire d’auto-évaluation
Le responsable de chacun des fichiers créés pour gérer l’activité sportive est-il identifié ?
Qui fait quoi dans la collecte des informations recueillies ?
Qui décide à quoi sert un fichier, la nature des informations à recueillir, la durée de conservation des informations, les mesures de sécurité à appliquer, etc. (club, fédération, autre acteur (préciser) ?
La finalité de chacun des fichiers créés est-elle identifiée ?
Les questions ci-dessous sont à appliquer à chaque fichier.
À quoi sert le fichier ? Quel est son objectif précis ?
Est-ce pour gérer la pratique sportive quotidienne des adhérents ?
Est-ce pour obtenir la délivrance de la licence par la fédération ?
Est-ce pour organiser les tournois et compétitions ?
Est-ce pour coordonner les relations avec des partenaires (p. ex. : collectivités, sponsors, etc.) ?
Est-ce pour rémunérer les intervenants de la structure (p. ex. : entraîneurs, arbitres, etc.) ?
Les informations personnelles sont-elles collectées pour des usages déterminés (définis avec suffisamment de précisions), explicites (claires et compréhensibles) et légitimes (c’est-à-dire ne portant pas atteinte à la réglementation ou à une liberté fondamentale) ?
Qu’est-ce qui autorise la structure à créer un fichier contenant des informations personnelles ? (il s’agit de vérifier que le traitement est permis).
Par exemple :
La structure recueille-t-elle le consentement des sportifs, entraineurs, arbitres, etc. avant de collecter leurs informations personnelles ? ou
L’une des clauses du bulletin d’adhésion signé par le sportif autorise-t-elle le recueil de ses informations personnelles (exécution du contrat) ? ou
L’une des clauses du contrat de travail prévoit-elle la collecte des informations sur les salariés qu’elle emploie ? ou
La structure peut-elle démontrer un intérêt justifiant qu’elle peut recueillir les informations personnelles dont elle a besoin pour les activités qu’elle propose ?
Quelles sont les informations personnelles recueillies ?
Quelles sont les catégories d’informations personnelles collectées (p. ex. : nom, prénom, photographie, etc.) ?
Des données de santé sont-elles recueillies ?
Les informations recueillies sont-elles adéquates, pertinentes et nécessaires ?
Le recueil des informations est-il strictement indispensable au regard de l’objectif recherché par la création du fichier ? (p. ex. : la photographie de l’adhérent est-elle indispensable si aucun trombinoscope n’est constitué ?)
Les informations recueillies sont-elles exactes et mises à jour ?
La structure a-t-elle mis en place une procédure de mise à jour des coordonnées des adhérents sportifs, des éducateurs, des arbitres, etc. ?
Comment les sportifs adhérents, les entraîneurs, les arbitres… sont-ils informés que des informations personnelles les concernant sont rassemblées dans des fichiers ainsi que des caractéristiques essentielles de ces fichiers (objectif, nature des informations recueillies, destinataires, etc.) ?
Une mention d’information figure-t-elle dans le bulletin annuel d’adhésion rempli par les sportifs ?
La durée de conservation des informations personnelles recueillies est-elle adaptée ?
Une durée de conservation est-elle définie pour chacun des fichiers ?
Est-elle justifiée par les besoins de la structure ?
Existe-t-il un texte prévoyant une durée de conservation et / ou une obligation d’effacer les informations à l’issue de cette durée ?
Une procédure de destruction des informations recueillies est-elle mise en place par type de fichiers par la structure ?
Des mesures de sécurité ont-elles été mises en place ?
Les mesures de sécurité retenues sont-elles conformes aux exigences de la CNIL telles que présentées dans son guide sur la sécurité des données personnelles
Les informations recueillies sont-elles confiées à un prestataire qui en assure le stockage et la conservation (p. ex. : prestataire proposant un site gérant la tenue de l’annuaire, les convocations aux matchs, la tenue des feuilles de match, etc.) ?
Dans l’affirmative, un contrat de sous-traitance a-t-il été passé ?
Quel dispositif est utilisé pour assurer la sécurité des informations (mots de passe, gestion des habilitations et des accès, sécurisation de l’accès aux locaux du club quand celui-ci en dispose, etc.) ?
La conformité au RGPD est-elle documentée ?
Un registre des activités de traitement est-elle tenue par la structure ?
Si les conditions sont réunies, une analyse d’impact relative à la protection des données a-t-elle été faite ?
Aucune information n'est collectée par la CNIL.
