LA LUTTE CONTRE LE DOPAGE ET LA PROTECTION DES DONNEES PERSONNELLES
Le Comité européen à la protection des données (CEPD) a adressé le 9 octobre 2019 un courrier à la Présidence du Conseil de l’Union Européenne sur les modalités de traitement des données personnelles dans le cadre de la lutte contre le dopage.
Pourquoi ce courrier est-il intéressant ? Parce qu'il illustre les difficultés concrètes posées par l’encadrement du traitement de données personnelles particulièrement « sensibles » dans un contexte international. En effet, compte-tenu de la spécificité de la lutte contre le dopage, les traitements mis en œuvre ne peuvent l’être qu’au niveau mondial. Les organisations chargées de la lutte contre le dopage ont donc adopté des règles au niveau international, comprenant notamment un « Standard international pour la protection des renseignements personnels (SIPRP) » (révisé au mois de juin 2018).
Il est intéressant de noter que ce standard international ayant vocation à s’appliquer dans le monde entier, il vise en préambule des textes internationaux comme les règles de l’OCDE en matière de protection des données, la convention 108 du Conseil de l’Europe, … mais pas le RGPD. Cependant il est bien évident que tous les organismes entrant dans le champ d’application du RGPD doivent le respecter ! et le champ d’application territorial du RGPD est très large puisqu’il s’applique notamment aux traitements permettant suivi du comportement de personnes (comme des sportifs par exemple), dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union, et ce même si le traitement des données ne se déroule pas sur le territoire de l’Union européenne.
Ce courrier est intéressant notamment pour les organismes privés ou publics traitant des données par exemple sur des infractions dans un contexte international dans la mesure où les règles rappelées par le CEPD s’appliquent bien au-delà des traitements de lutte contre le dopage : c’est le cas par exemple de la lutte contre la fraude, ou contre le blanchiment des capitaux, ou encore les traitements portant sur les violations aux règles applicables par les collaborateurs au sein d’un groupe international.
Pour ce qui concerne la lutte contre le dopage, le G29 (aujourd’hui remplacé par le CEPD) avait déjà rendu 2 avis (en 2008 et 2009) sur les textes adoptés par l'Agence Mondiale, et dans lesquelles le CEPD s’était déjà montré relativement critique sur certains points.
Dans le courrier du 9 octobre dernier, le CEPD a indiqué qu’il n’entendait pas reprendre intégralement les observations adressées en 2008 et 2009, mais a cependant entendu rappeler les points suivants :
L’absence de définition des rôles de responsables de traitement et de sous-traitants :
Le CEPD relève qu’aucun des textes étudiés (ni le Code mondial antidopage, ni le standard) ne fixe les rôles de responsables de traitement et de sous-traitants des différentes organisations intervenant dans la lutte contre le dopage. En particulier le rôle des organisations situées dans les pays tiers à l’Union européenne qui agissent en qualité de responsable de traitement dans l’Union européenne, ou encore des entités tierces à l’Union européenne qui traitent des données personnelles de personnes de l’Union européenne.
La possibilité d’extension du champ d’application des règles à certains sportifs et le respect du principe de minimisation des données :
le Code prévoit que les organisations nationales antidopage peuvent décider d’étendre les programmes de lutte contre le dopage aux sportifs qui ne sont ni au niveau international, ni au niveau national, voire même à des sportifs qui ne participeraient pas à des compétitions.
Le CEPD considère que le Code mondial antidopage ainsi que le standard international prévoient que les sportifs et le personnel d’encadrement doivent fournir un nombre important de données personnelles. Or le CEPD considère que le principe de minimisation des données prévu par le RGPD prévoit que les données collectées ne devraient pas aller au-delà de ce qui est strictement nécessaire et proportionné dans le cadre de la prévention et de la lutte contre le dopage.
Le CEPD considère en conséquence que l’extension possible du champ du Code antidopage et du standard international à des activités sportives « récréatives » pourrait constituer une interférence disproportionnée avec les droits à la protection des données des sportifs qui ne participent pas à des compétitions.
Sur la force contraignante du standard international sur la protection des données :
Le CEPD note que ce document n’a pas de valeur contraignante. Il relève que ceci n’est pas un problème lorsque les organisations nationales de lutte contre le dopage sont établies dans des pays où il existe des législations de protection des données personnelles, mais cela peut être un problème lorsque ces organisations sont situées dans des pays où les législations nationales en matière de protection des données ne sont pas au niveau des règles de l’Union européenne.
Le CEPD considère que les organisations nationales situées dans des pays où les règles en matière de protection des données sont relativement peu élevées devraient se rapprocher de l’Agence Mondiale Antidopage (AMA) afin que des mesures appropriées soient mises en œuvre.
Sur la communication des coordonnées des DPOs :
- le CEPD regrette que le standard international n’oblige pas les organisations nationales ou l’AMA à communiquer les nom et coordonnées de leur data protection officer (DPO).
- Le CEPD regrette que le principe de minimisation des données prévu par le standard international puisse faire l’objet de dérogations lorsque cela est prévu par le Code mondial antidopage.
Sur la base légale du traitement :
- le standard international prévoit que la base légale du traitement des données est le consentement des personnes concernées. Le CEDP considère que cette base légale n’est pas appropriée et considère qu’il devrait plutôt s’agir d’une obligation légale à laquelle le responsable du traitement est soumis (article 6.1 c du RGPD).
- En matière d’information des personnes concernées, le CEPD considère que ces modalités devraient être alignées sur les obligations posées par le RGPD
Sur la transmission des données aux autorités publiques :
Le standard international permet la transmission de données personnelles lorsque cette transmission est nécessaire pour aider les autorités chargées d’enquêter, ou de poursuivre les auteurs d’infractions pénales ou de violations du Code mondial antidopage. Le CEPD souhaite que ces transmissions soient restreintes aux cas d’infractions pénales et de violation du Code liées au dopage (ce que ne précise pas la version actuelle du standard international)
Sur la réalisation d’analyses d’impact :
le CEDP recommande que le standard international suggère aux organisations de procéder à des analyses d’impact à titre de bonnes pratiques dans lorsque les règles locales qu’elles doivent respecter ne comportent pas une telle obligation
Sur les durées de conservation :
le CEDP note qu’il est prévu de conserver les données pendant une durée de 18 mois et/ou 10 ans en fonction des données et des circonstances, et note que dans certains cas, les données peuvent être conservées sans limitation de durées. Le CEPD rappelle que le fait de conserver des données d’une telle sensibilité sans limitation de durée est contraire aux principes posés par le RGPD.
Sur le droit d’accès aux données traitées :
le standard international prévoit que dans certains cas les sportifs ne seront pas en droit d’accéder aux données les concernant. Le CEPD considère que ces stipulations du standard international sont rédigées en terme trop vagues pour être conformes au RGPD. En effet, les seuls cas dans lesquels il est possible de refuser de répondre à une demande d’accès sont prévus pas l’article 23 du RGPD, ces cas devant être interprétés strictement.
Sur la publication de l’identité d’un sportif ou d’une autre personne à l’encontre de laquelle une organisation antidopage allègue une violation des règles antidopage :
une telle publication de données à caractère personnel, qui plus est, de données relatives à des infractions - qui n’ont peut-être pas été nécessairement confirmées dans le cadre d’une procédure d’appel, porte atteinte au droit au respect de la vie privée et à la protection des données à caractère personnel. Le CEPD se fonde sur les principes du RGPD pour considérer que pour qu’une telle atteinte soit acceptable, elle doit être nécessaire pour atteindre une finalité légitime spécifique, ce qui implique, notamment, l’existence d’un lien de proportionnalité raisonnable entre les conséquences de la mesure pour la personne concernée et cette finalité légitime, et l’absence de tout autre moyen moins intrusif pour atteindre cette finalité. Le CEPD considère que la publication de ces informations, portant sur des données aussi sensibles que la commission d’infractions, ne devrait être ni automatique, ni obligatoire mais devrait plutôt dépendre des faits et des circonstances de l’espèce.
Sur la réutilisation des données, notamment des prélèvements biologiques à des fins de recherches ultérieures avec le consentement des sportifs :
le CEPD rappelle que le RGPD prévoit que la réutilisation des données dans ce cadre doit s’accompagner de la mise en œuvre de garanties appropriées pour les droits et libertés de la personne concernée. Le CEPD exprime des doutes quant à la nécessité et la légitimité des recherches ultérieures telles que décrites dans le code qui devrait décrire avec plus de précisions[1]
Bien entendu, les organisations soumises à la loi française, comme l’Agence Française de Lutte contre le Dopage (AFLD), doivent respecter le RGPD mais également la loi informatique et libertés qui comporte des règles spécifiques en matière de traitement de données de santé.
[1] Le Code prévoit la possibilité de réutilisation en ces termes : « La recherche pertinente en matière d’antidopage peut comprendre, par exemple, des études sociologiques, juridiques, éthiques et comportementales, en plus d’études médicales, physiologiques ou techniques. Il est important de mener des études portant sur la conception et l’évaluation de programmes scientifiques d’entraînement physiologique et psychologique conformes aux principes du Code et respectant l’intégrité des sujets humains, de même que des études portant sur l’utilisation de nouvelles substances ou méthodes issues des développements scientifiques. »