On ne fait pas n’importe quoi avec les données de santé. Avant l’ouverture des JO de Paris, la CNIL rappelle quelques règles de bases pour les athlètes et sportifs.
Le RGPD s’attaque aux JO de Paris. Dans un article publié le 20 février, le gendarme des données personnelles donne quelques conseils aux sportifs et sportives qui s’entraînent pour les JO, ainsi qu’a leurs équipes. Si beaucoup d’athlètes se reposent désormais sur des appareils technologiques pour mesurer leurs performances, la CNIL rappelle que « la réglementation sur la protection des données personnelles encadre le traitement des données recueillies dans ce contexte ».
Une utilisation très encadrée
En effet, puisque ces appareils recueillent « des données relatives à la santé (ex. : fréquence cardiaque, poids, taille, etc.) » il faut manier tout cela avec le plus grand soin, ces octets étant encadrés très précisément par l’article 9 du RGPD et sa notion « d’intérêt public important ».
Tout d’abord, la CNIL rappelle qu’en cas de « fichiers ou bases de données constituées » avec ces informations, ces derniers doivent être placés sous la houlette d’un responsable de traitement attitré. Ce dernier devra déterminer « l’objectif poursuivi par l’utilisation qui est faite des informations » et veiller à « la conformité du traitement » avec le RGPD.
Minimisation, consentement et expiration
Une base légale de traitement des données doit également être mise en place et la CNIL en liste quelques-unes, dont celles fournies par le Code du sport ou celle de l’Institut national du sport, de l’expertise et de la performance (INSEP). Cette dernière ne permet évidemment pas de faire n’importe quoi avec les données puisque la logique de minimisation (et donc de limite de collecte) s’applique toujours, tout comme le besoin de déterminer un objectif « explicite et légitime » pour le traitement.
Seules des informations « adéquates, pertinentes et limitées » pourront être collectées, explique la CNIL. Pas question par exemple d’opérer une « mesure permanente de la fréquence cardiaque […] en dehors des périodes d’entraînement » ou de collecter des informations comme « la mise sous contraception, le type de contraception ou encore la marque du contraceptif » pour les sportives.
25 mai 2023 à 08h58
Le besoin de mettre en place des « mesures de sécurité appropriées » ainsi qu’une date de péremption de ces données s’applique également, comme pour tout traitement protégé par le RGPD. Enfin, la CNIL rappelle aussi que le port « d’un capteur lors des entraînements et compétitions officielles » repose évidemment sur le consentement de la sportive ou du sportif concernés.
Source : Cnil
