Après l’affaire des primes différentes pour les hommes et les femmes en 2017 (1), les organisateurs du marathon de Bruxelles refont parler d’eux en 2018 : aucun classement général n’a été publié après la course (2). Autrement dit, pas de classement par catégorie, ni de nombre total de participants communiqué, mais seulement un résultat individuel disponible sous forme de chrono et de position à l’arrivée. La raison avancée par Golazo, la société organisatrice ? « Nous avons eu plusieurs demandes avant la course de personnes ne souhaitant pas que leur nom apparaisse dans une liste globale de résultats (…) Avec les nouvelles lois européennes, nous ne pouvons plus faire n’importe quoi » … Ou comment, par la mauvaise application d’un règlement européen, instiller dans l’esprit du citoyen que l’Europe est une affaire d’hommes trop payés à concevoir des lois inutiles. Nous ne partageons pas l’analyse de Golazo ; nous vous expliquons pourquoi dans cet article.

RGPD, kezako

Le règlement n° 2016/679 (3), dit règlement général sur la protection des données, RGPD ou GDPR en anglais, a été voté en 2016 après quatre ans de travaux et est entré en application le 25 mai 2018 dans les 28 pays-membres de l’Union européenne.

Un des objectifs du RGPD est d’harmoniser les lois nationales liées au respect de la vie privée. Il s’inscrit donc dans la continuité des lois existantes ; par exemple, en Belgique, plusieurs dispositions du RGPD (droit d’accès, de rectification) étaient déjà présentes dans la Loi du 8 décembre 1992. Évolution plus que révolution, le RGPD a surtout suscité une sensibilisation accrue du grand public. À l’heure où nos données personnelles font l’objet d’un business florissant, c’est certainement une bonne chose.

Les grands principes

Le RGPD, c’est 99 articles dont l’analyse juridique détaillée n’a pas sa place sur ce blog. J’ai co-piloté la mise en œuvre du RGPD dans mon entreprise et vous propose plutôt une synthèse appliquée au cas de la course à pied en compétition.

On entend par donnée personnelle toute donnée qui peut, directement ou par recoupement, permettre d’identifier une personne. La liste des données personnelles traitées par les organisateurs de courses inclut typiquement : nom et prénom, genre, nationalité, date de naissance, numéro de téléphone, adresse email, adresse du domicile, etc.

L’organisateur qui collecte, consulte, partage ces données est le responsable du traitement et, à ce titre, est soumis à une série d’obligations.

Légitimation du traitement

Envoyer un email aux participants de l’édition précédente pour les avertir de l’ouverture des inscriptions, transmettre la liste des participants à un sponsor … En soi, le RGPD n’interdit aucune de ces pratiques. Mais le traitement des données personnelles doit pouvoir être justifié par :

• une base juridique et / ou
• le consentement du participant et / ou
• l’intérêt légitime de celui qui traite les données.

À défaut de pouvoir se prémunir d’une Loi, l’organisateur devrait idéalement demander, et être en mesure de prouver qu’il a reçu (quoi, quand et comment), l’accord du participant pour le traitement de ses données.

Un exemple ? La récolte du consentement des participants lors de l’inscription afin de leur envoyer une newsletter par email : « Acceptez-vous que votre adresse email soit utilisée par [nom de l’organisateur] pour vous envoyer des offres et actualités personnalisées ? Oui – Non ».

La finalité du traitement est clairement exposée (envoyer des offres et actualités par email), pas de case pré-cochée ou de choix obligatoire. C’est certainement la meilleure manière de faire, d’autant plus qu’il est aisé de mettre en place un tel opt-in sur le formulaire d’inscription.

Toutefois, il existe une alternative au consentement : la notion d’intérêt légitime, consacrée par l’art. 47 du RGPD. Un intérêt de la part de l’organisateur peut à lui seul constituer une base juridique au traitement, pour peu que ce traitement n’aille pas à l’encontre des droits fondamentaux de la personne concernée, et que celle-ci puisse « raisonnablement » s’attendre à un tel traitement dans le cadre de la relation qui le lie au responsable (4). Un compromis équilibré entre les intérêts du participant et ceux de l’organisateur, qui n’exonère toutefois pas ce dernier des autres obligations prévues par le RGPD.

Pour prolonger notre exemple, l’organisateur qui n’a pas récolté de consentement peut très bien estimer qu’envoyer une invitation aux participants des éditions précédentes relève de son intérêt légitime. Mais il doit communiquer aux participants la possibilité de se désinscrire.

Information du participant

L’organisateur, en tant que responsable du traitement, a un devoir de transparence. Le participant doit savoir par qui et pourquoi ses données sont traitées, avec qui elles sont partagées et pendant combien de temps elles sont conservées. Mais aussi : comment peut-il exercer ses droits d’accès, de rectification et d’effacement. C’est le rôle de la déclaration de confidentialité, ou privacy policy, de rassembler ces informations.

Bien sûr, le RGPD n’exige pas que n’importe quel comité de village ou association de parents s’adjoigne les services d’un juriste pour la rédaction de ce document. Un peu de bon sens et l’adaptation d’un modèle-type feront toujours mieux que … rien du tout. Car trop souvent, l’organisateur de la course, personne ou association, n’est même pas identifié !

Sécurité des données

Les fuites de données peuvent avoir de conséquences très concrètes. On pense au vol de numéros de cartes de crédit qui servent ensuite à effectuer des achats frauduleux, ou à la divulgation de mots de passe et de noms d’utilisateurs, qui donnent potentiellement accès à d’autres sites web où sont enregistrées des données sensibles (notamment de santé).

L’organisateur doit veiller à la sécurité des données personnelles des participants. De nouveau, le RGPD n’exige pas la mise en place de moyens démesurés. Le règlement instaure le concept de Privacy by design : la protection des données doit guider l’organisateur à chaque étape, de la conception du formulaire d’inscription, à la publication des résultats.

Il n’y a pas si longtemps, sur le formulaire d’inscription d’un grand événement sportif belge, la date de naissance et le numéro de dossard de l’édition précédente, deux données qu’il est aisé de se procurer par ailleurs (photos, réseaux sociaux), donnaient accès au dossier complet du participant, avec notamment adresse email, numéro de téléphone et personne de contact en cas d’urgence. Voici un exemple de mauvaise pratique contraire au principe de confidentialité par défaut et qui ne devrait pas survivre au RGPD.

Une des meilleures mesures de prévention reste de ne récolter que le strict nécessaire. C’est la minimisation des données. Par exemple, si vous ne comptez pas contacter les participants par téléphone, il n’est pas nécessaire de demander leur numéro. Idem avec la date de naissance, qui n’est utile que si un classement par catégories d’âges est établi à l’arrivée.

Un autre moyen de protéger les données est de limiter leur conservation dans le temps. Si les classements ont un intérêt archivistique, garder certaines données (par ex. le numéro de téléphone à contacter en cas d’urgence) se justifie difficilement au-delà de quelques jours après l’événement.

Notons pour terminer qu’en cas de perte ou de vol de données, il est obligatoire de notifier l’Autorité de protection des données. C’est à ce moment-là qu’il faudra montrer patte blanche, et prouver que toutes les mesures adéquates avaient été prises pour se prémunir de ce risque …

En résumé

Si on résume ces grands principes sous la forme d’une check-list, retenons que l’organisateur :

• ne doit recueillir que les données nécessaires à la bonne organisation de la course ;
• doit obtenir le consentement du participant pour toute utilisation de ses données ne relevant pas du déroulement « normal » de l’organisation ;
• doit informer le participant sur la manière dont sont utilisées ses données et sur les possibilités d’accès, de modification ou d’effacement.

Le cas du Marathon de Bruxelles

À la lecture de ce qui précède, on voit mal en quoi la publication d’un classement général s’oppose aux grands principes du RGPD.

En Allemagne, où la protection des données est prise très au sérieux, les organisateurs du Marathon de Berlin mentionnent tout simplement dans leur déclaration de confidentialité que les résultats seront publiés (5).

« Nous collectons et traitons vos données personnelles fournies dans le cadre de votre inscription afin d’organiser et de réaliser notre événement et votre participation à celui-ci. (…) Les résultats de votre participation (prénom et nom, numéro de course, club, année de naissance, sexe, groupe d’âge, classement et temps) seront publiés après chaque épreuve sur la page des résultats en ligne, ainsi que pour le BMW BERLIN MARATHON dans les éditions papier et électronique du Berliner Morgenpost. »

Sans oublier de noter, un peu plus loin, les coordonnées de la personne à contacter pour exercer sont droit d’effacement. It’s not that big a deal!

Chez nous, les conditions générales de Golazo mentionnent bien le live tracking, soit les résultats en direct (6).

« Le participant déclare savoir qu’il peut être fait usage de techniques permettant de détecter à tout moment sa localisation précise par réception des signaux émis par la puce intégrée dans la preuve de participation que porte le participant. Le participant autorise GOLAZO à divulguer cette information afin que chacun puisse la consulter.
Le participant donne à GOLAZO l’autorisation de suivre sa localisation en temps réel (traçage en direct) d’une manière définie plus haut, pour enregistrer ces données dans un fichier, les remettre à des tiers et les publier sur l’Internet, par le biais de médias sociaux et d’applications mobiles. »

Mais pas un mot de la publication du classement général, que ce soit sur le site du chronométreur Chronorace, ou celui du Nieuwsblad, où figurent les résultats individuels. C’est peut-être dans l’omission de la transmission des données à des tiers que réside la faille …

Toujours est-il que, si le recueil du consentement pour le live tracking se discute (il était demandé à Berlin), la publication des résultats semble bien relever du déroulement normal d’une organisation, de ce à quoi peut raisonnablement s’attendre un participant, bref, de l’intérêt légitime de l’organisateur.

L’anonymisation des résultats (dossard XXX sans mention des autres données, nom, prénom, âge, nationalité, domicile), pour les coureurs qui le demandent, aurait donc dû suffire à respecter à la fois le RGPD et le souhait exprimé par de nombreux participants de connaître le classement général, en particulier leur position au sein de leur catégorie.

La présence d’anonymes dans le classement de Dwars door Hasselt (7), une course organisée le même jour par Golazo et chronométrée par Chronorace, prouve en tous cas que cela est possible.

Et nos lecteurs d’avancer un motif beaucoup plus prosaïque à la non-publication du classement : il s’agirait simplement de dissimuler un flop dans les chiffres de participation …

Jonathan Quique ©RUNNINGGEEK.BE 2018

1. Marathon de Bruxelles: 1.000 euros pour le gagnant, 300 pour la gagnante (Le Soir)

2. Pas de classement général au marathon de Bruxelles: Golazo s’explique (La DH)

3. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (EUR-Lex)

4. Comment vos activités de marketing direct peuvent tirer avantage du nouveau Règlement européen GDPR (bpost)

5. Privacy Policy (BMW Berlin Marathon)

6. Conditions générales (Sport.be, version accessible en ligne le 04/11/2018)

7. Classement HBVL Dwars door Hasselt (Chronorace)