Saisie en application des dispositions du I de l’article 31 de la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă l’informatique, aux fichiers et aux libertĂ©s, par le ministre dĂ©lĂ©guĂ© auprĂšs du ministre de l’Ă©conomie, des finances et de la relance, chargĂ© des comptes publics et le ministre de l’intĂ©rieur d’une demande d’avis sur un projet d’arrĂȘtĂ© portant autorisation d’un traitement de donnĂ©es Ă caractĂšre personnel dĂ©nommĂ© « Fichier des personnes interdites de jeux » ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes Ă l’Ă©gard du traitement automatisĂ© des donnĂ©es Ă caractĂšre personnel ;
Vu le rĂšglement (UE) 2016/679 du Parlement europĂ©en et du Conseil du 27 avril 2016 relatif Ă la protection des personnes physiques Ă l’Ă©gard du traitement des donnĂ©es Ă caractĂšre personnel et Ă la libre circulation de ces donnĂ©es, et abrogeant la directive 95/46/CE (RGPD) ;
Vu le code de la sécurité intérieure, notamment ses articles L. 320-9 et L. 320-9-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă l’informatique, aux fichiers et aux libertĂ©s ;
Vu la loi n° 2010-476 du 12 mai 2010 modifiĂ©e relative Ă l’ouverture Ă la concurrence et Ă la rĂ©gulation du secteur des jeux d’argent et de hasard en ligne ;
Vu le dĂ©cret n° 2019-536 du 29 mai 2019 modifiĂ© pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative Ă l’informatique, aux fichiers et aux libertĂ©s ;
Vu le dĂ©cret n° 2010-518 du 19 mai 2010 modifiĂ© relatif Ă l’offre de jeux et de paris des opĂ©rateurs de jeux et Ă la mise Ă disposition de l’AutoritĂ© nationale des jeux des donnĂ©es de jeux ;
Vu l’arrĂȘtĂ© du 19 mai 1993 autorisant la crĂ©ation au ministĂšre de l’intĂ©rieur et de l’amĂ©nagement du territoire d’un fichier automatisĂ© des casinos, des clubs de jeux et des exclus des salles de jeux ;
Le projet d’arrĂȘtĂ©, dont la Commission est aujourd’hui saisie, s’inscrit dans le cadre de l’ordonnance n° 2019-1015 du 2 octobre 2019 rĂ©formant la rĂ©gulation des jeux d’argent et de hasard et des textes pris pour son application qui confient notamment la tenue, la gestion et la diffusion du fichier des personnes interdites de jeux Ă la nouvelle AutoritĂ© nationale des jeux (ci-aprĂšs « ANJ »).
L’ANJ aura dĂ©sormais pour missions :
—– la gestion de l’ensemble du fichier, en y inscrivant les interdictions volontaires de jeux mais Ă©galement les interdictions administratives prononcĂ©es par le ministre de l’intĂ©rieur et les interdictions judiciaires prononcĂ©es par les autoritĂ©s judiciaires, et sa mise Ă la disposition des opĂ©rateurs de jeux concernĂ©s ;
—– le contrĂŽle auprĂšs des opĂ©rateurs de jeux d’argent et de hasard des obligations mentionnĂ©es aux articles L. 320-9 du code de la sĂ©curitĂ© intĂ©rieure (interdiction pour les opĂ©rateurs de permettre aux personnes interdites de jeu de participer Ă leurs activitĂ©s de jeu) et 22 du dĂ©cret n° 2010-518 du 19 mai 2010 modifiĂ© (interrogation par les opĂ©rateurs de jeux du systĂšme d’information de l’ANJ pour la vĂ©rification de l’interdiction de jeux).
A cet Ă©gard, il est prĂ©vu un transfert de la gestion de ce fichier du ministĂšre de l’intĂ©rieur, qui avait Ă©tĂ© autorisĂ© par arrĂȘtĂ© du 19 mai 1993 Ă crĂ©er un fichier automatisĂ© des casinos, des clubs de jeux et des exclus des salles de jeux et qui en assurait la gestion, Ă l’ANJ. Ce transfert de compĂ©tence conduit Ă confĂ©rer Ă l’ANJ la qualitĂ© de responsable de traitement du fichier des personnes interdites de jeux dont les finalitĂ©s, qui figurent Ă l’article 1er du projet d’arrĂȘtĂ©, sont bien dĂ©terminĂ©es, explicites et lĂ©gitimes.
L’ANJ est dĂ©sormais Ă©galement compĂ©tente, en application des dispositions combinĂ©es de l’article L. 320-9-1 du code de la sĂ©curitĂ© intĂ©rieure et R. 321-27 et R. 321-28 du mĂȘme code, pour traiter et prononcer les demandes d’interdictions volontaires de jeux.
Le traitement ainsi mis en Ćuvre par l’ANJ repose sur de nouvelles obligations de tenue, de gestion et de diffusion du fichier des interdits de jeux et du contrĂŽle de son respect par les opĂ©rateurs de jeux au titre de l’ordonnance n° 2019-1015 du 2 octobre 2019 rĂ©formant la rĂ©gulation des jeux d’argent et de hasard et des dispositions rĂ©glementaires prises pour son application et modifiant le code de la sĂ©curitĂ© intĂ©rieure.
Le projet d’arrĂȘtĂ© appelle les observations suivantes de la part de la Commission :
Sur le rĂ©gime juridique applicable au traitement mis en Ćuvre par l’ANJ
La Commission constate que le rĂ©gime juridique retenu pour l’ensemble du fichier des interdits de jeux est le RGPD. En effet, il a Ă©tĂ© indiquĂ© Ă la Commission que si certaines parties du traitement relatives aux interdits dits « administratifs » et « judiciaires » mis en Ćuvre par l’ANJ poursuivent les finalitĂ©s prĂ©vues Ă l’article 87 de la loi n° 78-17 du 6 janvier 1978 modifiĂ©e (loi « Informatique et LibertĂ©s ») de prĂ©vention et de dĂ©tection des infractions pĂ©nales, d’enquĂȘtes et de poursuites en la matiĂšre ou d’exĂ©cution de sanctions pĂ©nales, y compris la protection contre les menaces pour la sĂ©curitĂ© publique et la prĂ©vention de telles menaces, l’ANJ aurait pour seule mission Ă cet Ă©gard la gestion du fichier, qui ne permet pas de retenir la qualification d’autoritĂ© compĂ©tente au sens de l’article 87 de la loi.
A cet Ă©gard, la Commission prend acte de la confirmation du ministĂšre selon laquelle l’ANJ est tenue de prononcer des interdictions de jeux Ă la demande du juge judiciaire, et qu’il ne lui appartient ni de se prononcer sur la lĂ©galitĂ© de ces interdictions ni d’apprĂ©cier leur opportunitĂ©.
Sur la modification de l’arrĂȘtĂ© du 19 mai 1993 autorisant la crĂ©ation au ministĂšre de l’intĂ©rieur et de l’amĂ©nagement du territoire d’un fichier automatisĂ© des casinos, des clubs de jeux et des exclus des salles de jeux
Afin de permettre le transfert de la gestion du fichier des interdits de jeux du ministĂšre de l’intĂ©rieur Ă l’ANJ, le projet d’arrĂȘtĂ© prĂ©voit en son article 10 certaines modifications de l’arrĂȘtĂ© du 19 mai 1993 qui avait autorisĂ© la crĂ©ation de ce fichier par le ministĂšre.
La Commission constate que ces modifications ont pour objet de supprimer de l’arrĂȘtĂ© initial de 1993 toutes rĂ©fĂ©rences aux « personnes exclues de jeux » et ainsi de mettre un terme Ă tout traitement de donnĂ©es Ă caractĂšre personnel des personnes interdites de jeux par le ministĂšre de l’intĂ©rieur. L’arrĂȘtĂ© de 1993 restera donc en vigueur uniquement en ce qu’il autorise le ministĂšre Ă mettre en Ćuvre un fichier automatisĂ© des casinos et des clubs de jeux et non plus des personnes interdites de jeux dont le traitement incombe dĂ©sormais Ă l’ANJ.
Afin d’assurer la cohĂ©rence d’ensemble du projet d’arrĂȘtĂ©, le ministĂšre s’est engagĂ© Ă prĂ©voir la suppression de l’alinĂ©a 2 de l’article 2-1 de l’arrĂȘtĂ© du 19 mai 1993, qui dispose que les donnĂ©es « relatives aux personnes faisant l’objet d’une mesure d’exclusion, qu’elle soit volontaire ou administrative, sont conservĂ©es jusqu’Ă la levĂ©e de cette mesure et au maximum pendant une durĂ©e de vingt ans ». Une fois le fichier transmis, il ne semble en effet pas pertinent de conserver les donnĂ©es Ă caractĂšre personnel des personnes interdites de jeux dans le fichier des casinos et des salles de jeux gĂ©rĂ© par le ministĂšre de l’intĂ©rieur.
Sur les données à caractÚre personnel traitées au sein du fichier des interdits de jeux
Bien que le projet d’arrĂȘtĂ© prĂ©voie en son article 3 la liste des donnĂ©es Ă caractĂšre personnel traitĂ©es par l’ANJ en fonction, d’une part, de la nature de l’interdiction de jeux prononcĂ©e (volontaire, administrative ou judiciaire) et, d’autre part, de la personne sollicitant la mesure pour les interdits dits « volontaires », il ne prĂ©cise pas les catĂ©gories de donnĂ©es relatives aux interdits de jeux dits « administratifs » pouvant ĂȘtre portĂ©es Ă la connaissance de l’ANJ par le ministĂšre de l’intĂ©rieur, en application de son article 3.IV.2°. La Commission estime qu’il conviendrait que le projet d’arrĂȘtĂ© soit complĂ©tĂ© sur ce point.
La Commission prend par ailleurs acte des prĂ©cisions apportĂ©es concernant l’absence de traitement de donnĂ©es relatives Ă la santĂ© des personnes interdites de jeux dans le cadre des entretiens tĂ©lĂ©phoniques ayant lieu de façon obligatoire lors de la demande d’inscription dans le fichier et, de façon facultative, lors de l’Ă©ventuelle levĂ©e de la mesure.
Sur la durée de conservation des données à caractÚre personnel
Le projet d’arrĂȘtĂ© prĂ©voit en son article 7 que les donnĂ©es traitĂ©es au sein du fichier des interdits de jeux « sont conservĂ©es durant l’interdiction de jeu et pour une durĂ©e de six ans Ă compter du jour oĂč elle prend fin ».
La Commission prend acte Ă cet Ă©gard des prĂ©cisions apportĂ©es dans le cadre de la saisine concernant la durĂ©e de six ans ainsi fixĂ©e qui a pour objectif de permettre le cas Ă©chĂ©ant l’application de l’article L. 324-5 du code de la sĂ©curitĂ© intĂ©rieure et la sanction pĂ©nale des opĂ©rateurs qui permettent le jeu d’une personne frappĂ©e d’une mesure d’interdiction.
Sur les droits des personnes concernées
L’article 9 du projet d’arrĂȘtĂ© prĂ©voit que les droits d’opposition, de limitation, d’effacement et de portabilitĂ© des personnes concernĂ©es ne sont pas applicables dans le cadre du traitement des donnĂ©es du fichier des personnes interdites de jeux.
La Commission constate toutefois que le droit Ă la limitation du traitement prĂ©vu par l’article 18 du RGPD apparaĂźt pouvoir ĂȘtre exercĂ© par les personnes concernĂ©es, notamment en application du a de cet article qui prĂ©voit son application lorsque « l’exactitude des donnĂ©es Ă caractĂšre personnel est contestĂ©e par la personne concernĂ©e, pendant une durĂ©e permettant au responsable du traitement de vĂ©rifier l’exactitude des donnĂ©es Ă caractĂšre personnel ». La Commission prend toutefois acte de l’engagement du ministĂšre de modifier le projet d’arrĂȘtĂ© de sorte que les personnes inscrites sur le fichier puissent exercer, le cas Ă©chĂ©ant, leur droit Ă la limitation du traitement.
La Commission prend acte du fait que les personnes interdites de jeux seront informĂ©es de leurs droits, ainsi que de leurs modalitĂ©s d’exercice, par l’existence d’une page dĂ©diĂ©e sur le site web de l’ANJ et ce, quel que soit le motif de leur interdiction.
Les interdits volontaires seront Ă©galement informĂ©s par le formulaire d’inscription et les correspondances avec l’ANJ et Ă l’occasion de la notification de la dĂ©cision d’interdiction. Les interdits judiciaires et administratifs seront, quant Ă eux, Ă©galement informĂ©s par l’ANJ lors de la phase d’inscription par courrier et le cas Ă©chĂ©ant par courrier Ă©lectronique.
La Commission souligne Ă cet Ă©gard que l’information ainsi transmise devra ĂȘtre conforme aux prescriptions de l’article 13 du RGPD.
Sur les mesures de sécurité
La Commission prend acte du fait que le tĂ©lĂ©service proposĂ© par l’ANJ pour traiter les demandes d’interdiction volontaire suit les recommandations techniques publiĂ©es par l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information (ANSSI) dans sa note technique « recommandations pour la sĂ©curisation des sites web ».
La Commission prend Ă©galement acte du fait que les transferts de donnĂ©es aux casinotiers se font en utilisant un outil de crĂ©ation d’archives chiffrĂ©es sĂ©curisĂ©es approuvĂ© par l’ANSSI et que les modalitĂ©s de transmissions et de rĂ©vocation des secrets est satisfaisante. En ce qui concerne la mise Ă disposition via des serveurs DNS, la Commission recommande comme algorithme de calcul d’empreinte l’utilisation d’un algorithme conforme Ă l’annexe B1 du rĂ©fĂ©rentiel gĂ©nĂ©ral de sĂ©curitĂ©.
La Commission prend acte du fait que les donnĂ©es stockĂ©es sont chiffrĂ©es avec des algorithmes et des procĂ©dures de gestion de clĂ©s conformes Ă l’annexe B1 du rĂ©fĂ©rentiel gĂ©nĂ©ral de sĂ©curitĂ© et font l’objet de calculs d’empreintes afin de garantir leur intĂ©gritĂ©.
Elle prend Ă©galement acte de la mise en place d’une sauvegarde rĂ©guliĂšre, chiffrĂ©e avec un outil validĂ© par l’ANSSI et conservĂ©e dans une armoire forte.
La Commission prend acte de la mise en place d’une journalisation applicative/systĂšme. Elle rappelle que le traitement de ces donnĂ©es a en principe pour seule finalitĂ© la dĂ©tection et la prĂ©vention d’opĂ©rations illĂ©gitimes sur les donnĂ©es principales. La Commission considĂšre comme nĂ©cessaire que soient prĂ©vues des mesures organisationnelles (par exemple la gĂ©nĂ©ration de rapports rĂ©guliers et contrĂŽle humain par la hiĂ©rarchie des donnĂ©es pour les composantes les plus sensibles du traitement) qui permettent de valoriser ces donnĂ©es et qui contribuent Ă la dĂ©tection des comportements anormaux.