A une époque où la lutte contre le hooliganisme semble justifier toutes les mesures, même les plus liberticides et les plus loufoques, il est intéressant de lire une décision récente de l’autorité espagnole de protection des données sur la prise préalable des empreintes digitales des fans afin que ceux-ci puissent accéder aux tribunes:

Le 4 novembre 2022, le Club de Football de Burgos, SAD (responsable du traitement), a mis en place un système de collecte de données biométriques qui obligeait les quelque 700 membres de tribunes de fans à fournir leurs empreintes digitales pour pouvoir entrer. Le traitement biométrique était requis par un accord adopté par la Commission d’État contre la violence, le racisme, la xénophobie et l’intolérance dans le sport (Commission d’État). Le système d’empreintes digitales, distribué aux clubs de football par la Ligue espagnole de football (La Liga), a collecté les noms des personnes concernées, les numéros de carte d’identité nationale, les numéros d’identification du système et les empreintes digitales. Il a remplacé l’ancien système d’entrée, qui permettait l’entrée après seule vérification des cartes d’identité. Le système n’a pas fixé d’âge minimum, permettant la collecte de données biométriques auprès de tout mineur dont les parents ou tuteurs y ont consenti.

Le 15 février 2023, le responsable du traitement a mis fin à la collecte obligatoire de données biométriques et a donné aux personnes concernées la possibilité d’entrer avec leur carte d’identité ou avec leurs empreintes digitales. Le 19 février 2023, il a informé les fans du changement de politique et l’a mis en œuvre. Le même jour, le responsable du traitement a reçu une copie de la décision de l’autorité espagnole de protection des données (APD ; Agencia Española de Protección de Datos) dans laquelle celle-ci déclarait que les obligations imposées par la  Commission d’État en matière de traitement biométrique n’étaient pas conformes au RGPD.

Le responsable du traitement s’est identifié comme étant le responsable du traitement des données biométriques en cause. Il a déclaré que la finalité du traitement répondait aux exigences établies par la Commission d’État visant à prévenir la violence et a fait valoir que ce système était plus efficace et plus fiable que l’utilisation de cartes d’identité. Le responsable du traitement n’a pas fourni de protocole en cas de failles de sécurité et a déclaré qu’aucune mesure spécifique n’était appliquée, mais qu’il envisageait plutôt des mesures futures étant donné qu’actuellement aucune nouvelle donnée biométrique n’est capturée.

L’APD, dans une décision AEPD-EXP202213792 du 09.04.2024 (présentée, commentée et annexée sur gdprhub : https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202213792&mtc=today) considère notamment ce qui suit :

L’APD a constaté une probable violation de l’article 35 du RGPD . L’article 35 du RGPD exige qu’une analyse d’impact sur la protection des données ait lieu avant le traitement de données à haut risque, comme les données biométriques. Alors que le responsable du traitement a fourni une analyse d’impact sur la protection des données en date du 15 février 2023, le traitement a été lancé le 4 novembre 2022. L’analyse d’impact a donc eu lieu des mois après le traitement, ce qui entraîne que pendant plus de 3 mois, les données biométriques ont été traitées en violation de l’article 35. RGPD.

L’APD a aussi estimé que le responsable du traitement ne disposait pas d’une base légale pour traiter les données biométriques avant le 15 février 2023.

L’APD a aussi estimé que le traitement effectué avant et après le 15 février 2023 violait le principe de minimisation des données. Conformément à l’article 35, paragraphe 7 du RGPD, les responsables du traitement doivent analyser l’adéquation, la nécessité et la proportionnalité du traitement avant de traiter des catégories particulières de données comme les données biométriques. Lorsqu’il existe des options non biométriques qui servent le même objectif, il n’est pas nécessaire de traiter des catégories particulières de données. Dans ce cas, le traitement n’était ni nécessaire ni proportionné, car les objectifs de sécurité auraient pu être atteints par le système de contrôle d’identité précédent. L’APD a rejeté l’argument du contrôleur selon lequel le système de données biométriques était plus efficace parce qu’il était plus fiable, estimant que cette affirmation n’était pas étayée. L’APD a également déclaré que l’ordonnance de la Commission d’État imposant une obligation d’établir un système de prise d’empreintes digitales n’était pas suffisante pour considérer ce système comme approprié, nécessaire ou proportionné. Ces manquements constituent donc une violation de l’article 5, paragraphe 1, point c) du RGPD.

En outre, avant et après le 15 février 2023, le responsable du traitement a enfreint l’ article 8 du RGPD, car il permettait à des mineurs d’utiliser des données biométriques pour entrer dans les tribunes sans fixer d’âge minimum.

Enfin, l’APD a estimé que le responsable du traitement n’avait pas respecté les obligations d’information au titre de l’article 13 du RGPD lors du traitement effectué avant le 15 février 2023. Les documents d’information du responsable du traitement indiquaient qu’il était nécessaire que les personnes concernées acceptent le traitement biométrique pour pouvoir accéder aux tribunes. Étant donné que, comme indiqué précédemment, il n’existait aucune base légale pour le traitement des données avant le 15 février 2023, l’APD a estimé que la déclaration inexacte de l’obligation légale constituait un défaut d’information adéquate des personnes concernées sur le traitement de leurs données et était donc une violation de l’article 13 du RGPD .

Compte tenu de ces violations, l’AEPD a décidé d’engager une procédure de sanction à l’encontre du responsable du traitement et a recommandé une sanction de 200 000 €, finalement réduite à 120 000 € en raison de la coopération du responsable de traitement.

Me Philippe Ehrenström, avocat, LLM