Dans notre série « les supporters sont des citoyens de seconde zone » (voir déjà : https://droitdutravailensuisse.com/2025/02/23/le-supporter-comme-citoyen-de-seconde-zone/), on lira la décision de l’autorité espagnole de protection des données (AEPD ; Agencia espanola proteccion datos) AEPD – EXP202315637 du 12.11.2024 (résumée et traduite sur gdprhub : https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202315637&mtc=today) dans un dossier ahurissant d’identification biométrique des supporters :

En mars 2023, la Ligue espagnole (responsable de traitement) a émis un règlement à destination des clubs de football en Espagne exigeant la mise en œuvre de changements dans la manière dont les clubs autorisaient l’accès à leurs stades. Pour les détenteurs de billets ordinaires, les clients pouvaient soit présenter leur billet physique et se voir accorder l’entrée, soit fournir un billet électronique et utiliser un lecteur d’empreintes digitales. Pour accéder à des tribunes spéciales destinés aux supporters, réservées aux plus grands fans de l’équipe locale, les clients devaient se soumettre à une identification biométrique par empreinte digitale ou reconnaissance faciale, et donner leur consentement à ce traitement au point d’entrée, sous peine de se voir refuser l’entrée. Le responsable de traitement a également proposé aux clubs un système d’accès pour mettre en œuvre et se conformer aux directives d’accès mises à jour.

L’APD a d’abord déterminé que la Ligue était le responsable de traitement des données, rejetant l’argument de celle-ci selon lequel chaque club devrait être considéré en cette qualité. Ce faisant, l’APD s’est concentrée sur la fourniture par le responsable de traitement du système d’accès conforme à sa réglementation et sur la rapidité avec laquelle il a été mis à la disposition des clubs qui en ont fait la demande.

L’APD a estimé que le responsable de traitement avait violé l’article 35 en ne procédant pas à une analyse d’impact sur la protection des données avant le début du traitement. L’APD a souligné à la fois le caractère à haut risque du traitement en question, à savoir le traitement biométrique, ainsi que son ampleur.

L’APD a donc infligé une amende de 1 000 000 € pour violation de l’article 35 (1) RGPD. Elle a également ordonné la suspension du traitement biométrique jusqu’à ce qu’une analyse d’impact sur la protection des données ait été réalisée de manière appropriée, évaluant la nécessité et la proportionnalité du traitement.

NB : on reste stupéfait de constater que la Ligue n’avait pas diligenté d’analyse d’impact en lien avec un traitement de cette nature et de cette ampleur. Elle n’aurait pas eu à chercher très loin l’information sur cette question, si on en juge par exemple par de deux décisions antérieures de cette même AEPD espagnole (https://droitdutravailensuisse.com/2023/05/19/reconnaissance-faciale-portee-de-lanalyse-dimpact/ et https://droitdutravailensuisse.com/2024/05/10/lutte-contre-le-hooliganisme-tout-est-permis/).

Me Philippe Ehrenström, avocat, LLM