Saisie en application des dispositions du I de l’article 31 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, par le ministre délégué auprès du ministre de l’économie, des finances et de la relance, chargé des comptes publics et le ministre de l’intérieur d’une demande d’avis sur un projet d’arrêté portant autorisation d’un traitement de données à caractère personnel dénommé « Fichier des personnes interdites de jeux » ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;
Vu le code de la sécurité intérieure, notamment ses articles L. 320-9 et L. 320-9-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Vu la loi n° 2010-476 du 12 mai 2010 modifiée relative à l’ouverture à la concurrence et à la régulation du secteur des jeux d’argent et de hasard en ligne ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-518 du 19 mai 2010 modifié relatif à l’offre de jeux et de paris des opérateurs de jeux et à la mise à disposition de l’Autorité nationale des jeux des données de jeux ;
Vu l’arrêté du 19 mai 1993 autorisant la création au ministère de l’intérieur et de l’aménagement du territoire d’un fichier automatisé des casinos, des clubs de jeux et des exclus des salles de jeux ;
Le projet d’arrêté, dont la Commission est aujourd’hui saisie, s’inscrit dans le cadre de l’ordonnance n° 2019-1015 du 2 octobre 2019 réformant la régulation des jeux d’argent et de hasard et des textes pris pour son application qui confient notamment la tenue, la gestion et la diffusion du fichier des personnes interdites de jeux à la nouvelle Autorité nationale des jeux (ci-après « ANJ »).
L’ANJ aura désormais pour missions :
—– la gestion de l’ensemble du fichier, en y inscrivant les interdictions volontaires de jeux mais également les interdictions administratives prononcées par le ministre de l’intérieur et les interdictions judiciaires prononcées par les autorités judiciaires, et sa mise à la disposition des opérateurs de jeux concernés ;
—– le contrôle auprès des opérateurs de jeux d’argent et de hasard des obligations mentionnées aux articles L. 320-9 du code de la sécurité intérieure (interdiction pour les opérateurs de permettre aux personnes interdites de jeu de participer à leurs activités de jeu) et 22 du décret n° 2010-518 du 19 mai 2010 modifié (interrogation par les opérateurs de jeux du système d’information de l’ANJ pour la vérification de l’interdiction de jeux).
A cet égard, il est prévu un transfert de la gestion de ce fichier du ministère de l’intérieur, qui avait été autorisé par arrêté du 19 mai 1993 à créer un fichier automatisé des casinos, des clubs de jeux et des exclus des salles de jeux et qui en assurait la gestion, à l’ANJ. Ce transfert de compétence conduit à conférer à l’ANJ la qualité de responsable de traitement du fichier des personnes interdites de jeux dont les finalités, qui figurent à l’article 1er du projet d’arrêté, sont bien déterminées, explicites et légitimes.
L’ANJ est désormais également compétente, en application des dispositions combinées de l’article L. 320-9-1 du code de la sécurité intérieure et R. 321-27 et R. 321-28 du même code, pour traiter et prononcer les demandes d’interdictions volontaires de jeux.
Le traitement ainsi mis en œuvre par l’ANJ repose sur de nouvelles obligations de tenue, de gestion et de diffusion du fichier des interdits de jeux et du contrôle de son respect par les opérateurs de jeux au titre de l’ordonnance n° 2019-1015 du 2 octobre 2019 réformant la régulation des jeux d’argent et de hasard et des dispositions réglementaires prises pour son application et modifiant le code de la sécurité intérieure.
Le projet d’arrêté appelle les observations suivantes de la part de la Commission :
Sur le régime juridique applicable au traitement mis en œuvre par l’ANJ
La Commission constate que le régime juridique retenu pour l’ensemble du fichier des interdits de jeux est le RGPD. En effet, il a été indiqué à la Commission que si certaines parties du traitement relatives aux interdits dits « administratifs » et « judiciaires » mis en œuvre par l’ANJ poursuivent les finalités prévues à l’article 87 de la loi n° 78-17 du 6 janvier 1978 modifiée (loi « Informatique et Libertés ») de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, l’ANJ aurait pour seule mission à cet égard la gestion du fichier, qui ne permet pas de retenir la qualification d’autorité compétente au sens de l’article 87 de la loi.
A cet égard, la Commission prend acte de la confirmation du ministère selon laquelle l’ANJ est tenue de prononcer des interdictions de jeux à la demande du juge judiciaire, et qu’il ne lui appartient ni de se prononcer sur la légalité de ces interdictions ni d’apprécier leur opportunité.
Sur la modification de l’arrêté du 19 mai 1993 autorisant la création au ministère de l’intérieur et de l’aménagement du territoire d’un fichier automatisé des casinos, des clubs de jeux et des exclus des salles de jeux
Afin de permettre le transfert de la gestion du fichier des interdits de jeux du ministère de l’intérieur à l’ANJ, le projet d’arrêté prévoit en son article 10 certaines modifications de l’arrêté du 19 mai 1993 qui avait autorisé la création de ce fichier par le ministère.
La Commission constate que ces modifications ont pour objet de supprimer de l’arrêté initial de 1993 toutes références aux « personnes exclues de jeux » et ainsi de mettre un terme à tout traitement de données à caractère personnel des personnes interdites de jeux par le ministère de l’intérieur. L’arrêté de 1993 restera donc en vigueur uniquement en ce qu’il autorise le ministère à mettre en œuvre un fichier automatisé des casinos et des clubs de jeux et non plus des personnes interdites de jeux dont le traitement incombe désormais à l’ANJ.
Afin d’assurer la cohérence d’ensemble du projet d’arrêté, le ministère s’est engagé à prévoir la suppression de l’alinéa 2 de l’article 2-1 de l’arrêté du 19 mai 1993, qui dispose que les données « relatives aux personnes faisant l’objet d’une mesure d’exclusion, qu’elle soit volontaire ou administrative, sont conservées jusqu’à la levée de cette mesure et au maximum pendant une durée de vingt ans ». Une fois le fichier transmis, il ne semble en effet pas pertinent de conserver les données à caractère personnel des personnes interdites de jeux dans le fichier des casinos et des salles de jeux géré par le ministère de l’intérieur.
Sur les données à caractère personnel traitées au sein du fichier des interdits de jeux
Bien que le projet d’arrêté prévoie en son article 3 la liste des données à caractère personnel traitées par l’ANJ en fonction, d’une part, de la nature de l’interdiction de jeux prononcée (volontaire, administrative ou judiciaire) et, d’autre part, de la personne sollicitant la mesure pour les interdits dits « volontaires », il ne précise pas les catégories de données relatives aux interdits de jeux dits « administratifs » pouvant être portées à la connaissance de l’ANJ par le ministère de l’intérieur, en application de son article 3.IV.2°. La Commission estime qu’il conviendrait que le projet d’arrêté soit complété sur ce point.
La Commission prend par ailleurs acte des précisions apportées concernant l’absence de traitement de données relatives à la santé des personnes interdites de jeux dans le cadre des entretiens téléphoniques ayant lieu de façon obligatoire lors de la demande d’inscription dans le fichier et, de façon facultative, lors de l’éventuelle levée de la mesure.
Sur la durée de conservation des données à caractère personnel
Le projet d’arrêté prévoit en son article 7 que les données traitées au sein du fichier des interdits de jeux « sont conservées durant l’interdiction de jeu et pour une durée de six ans à compter du jour où elle prend fin ».
La Commission prend acte à cet égard des précisions apportées dans le cadre de la saisine concernant la durée de six ans ainsi fixée qui a pour objectif de permettre le cas échéant l’application de l’article L. 324-5 du code de la sécurité intérieure et la sanction pénale des opérateurs qui permettent le jeu d’une personne frappée d’une mesure d’interdiction.
Sur les droits des personnes concernées
L’article 9 du projet d’arrêté prévoit que les droits d’opposition, de limitation, d’effacement et de portabilité des personnes concernées ne sont pas applicables dans le cadre du traitement des données du fichier des personnes interdites de jeux.
La Commission constate toutefois que le droit à la limitation du traitement prévu par l’article 18 du RGPD apparaît pouvoir être exercé par les personnes concernées, notamment en application du a de cet article qui prévoit son application lorsque « l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ». La Commission prend toutefois acte de l’engagement du ministère de modifier le projet d’arrêté de sorte que les personnes inscrites sur le fichier puissent exercer, le cas échéant, leur droit à la limitation du traitement.
La Commission prend acte du fait que les personnes interdites de jeux seront informées de leurs droits, ainsi que de leurs modalités d’exercice, par l’existence d’une page dédiée sur le site web de l’ANJ et ce, quel que soit le motif de leur interdiction.
Les interdits volontaires seront également informés par le formulaire d’inscription et les correspondances avec l’ANJ et à l’occasion de la notification de la décision d’interdiction. Les interdits judiciaires et administratifs seront, quant à eux, également informés par l’ANJ lors de la phase d’inscription par courrier et le cas échéant par courrier électronique.
La Commission souligne à cet égard que l’information ainsi transmise devra être conforme aux prescriptions de l’article 13 du RGPD.
Sur les mesures de sécurité
La Commission prend acte du fait que le téléservice proposé par l’ANJ pour traiter les demandes d’interdiction volontaire suit les recommandations techniques publiées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans sa note technique « recommandations pour la sécurisation des sites web ».
La Commission prend également acte du fait que les transferts de données aux casinotiers se font en utilisant un outil de création d’archives chiffrées sécurisées approuvé par l’ANSSI et que les modalités de transmissions et de révocation des secrets est satisfaisante. En ce qui concerne la mise à disposition via des serveurs DNS, la Commission recommande comme algorithme de calcul d’empreinte l’utilisation d’un algorithme conforme à l’annexe B1 du référentiel général de sécurité.
La Commission prend acte du fait que les données stockées sont chiffrées avec des algorithmes et des procédures de gestion de clés conformes à l’annexe B1 du référentiel général de sécurité et font l’objet de calculs d’empreintes afin de garantir leur intégrité.
Elle prend également acte de la mise en place d’une sauvegarde régulière, chiffrée avec un outil validé par l’ANSSI et conservée dans une armoire forte.
La Commission prend acte de la mise en place d’une journalisation applicative/système. Elle rappelle que le traitement de ces données a en principe pour seule finalité la détection et la prévention d’opérations illégitimes sur les données principales. La Commission considère comme nécessaire que soient prévues des mesures organisationnelles (par exemple la génération de rapports réguliers et contrôle humain par la hiérarchie des données pour les composantes les plus sensibles du traitement) qui permettent de valoriser ces données et qui contribuent à la détection des comportements anormaux.