Bonjour,

Un long commentaire qui va casser l'ambiance, j'en suis désolé (jusqu'à présent, je me contentais de lire, je n'avais rien d'intéressant à écrire).

Comme tous les commentateurs précédents de ce sujet, ma première réaction, à la découverte de cette innovation, a été favorable. Je me suis amusé à retrouver mes (généralement médiocres) anciens résultats sur une même page.

Ensuite, j’ai joué à regarder les résultats de mes adversaires préférés, de mes camarades de club, et puis j'ai fait des recherches par club. Et là, j'ai réalisé qu'il y a un GROS PROBLÈME et que les responsables d’Escrime-Info devraient SANS DÉLAI FERMER L’ACCÈS À CETTE NOUVELLE INTERFACE. Je leur suggère même, de ne pas remettre en ligne l’ancienne version avant d’avoir mené une sérieuse réflexion.

Cette nouvelle interface a en effet ouvert une Boîte de Pandore, qu'il ne sera pas simple de refermer (et je le déplore).

Je m’explique. Cette nouvelle présentation met en évidence que l’association éditrice d’Escrime-Info détient des données personnelles sur de nombreux individus (noms, prénoms, dates de naissance, clubs, résultats de matchs, quoi d'autre?) sans que ceux-ci lui en ait donné l'autorisation, qu'elle les conserve a priori sans limite de temps, et qu'elle procède à des traitements de ces données, toujours sans autorisation.

Le RGPD

C'est contraire à la loi, qui est la même dans toute l’Union Européenne : le Règlement Général sur la Protection des Données (RGPD). Le fait que le serveur est hébergé hors Union Européenne n’a aucun effet : le RGPD s’applique dès lors que le service concerne des ressortissants de l’Union Européenne (en outre, le propriétaire du site est une association de droit français).

Je passe sur les aspects les plus techniques et organisationnels du RGDP. Il repose sur quelques principes de base :

- la constitution de fichiers contenant des informations personnelles est soumise à l’autorisation explicite des intéressés (c'est la raison pour laquelle de nombreuses entreprises nous ont assaillis mi-2018 d'e-mails nous demandant de confirmer notre accord pour être dans leurs fichiers ;
- tout traitement de ces fichiers est aussi soumis à autorisation préalable explicite des intéressés (si j'ai donné mon accord pour être dans plusieurs fichiers de résultats, mais qu'on ne m'a pas demandé EXPLICITEMENT l'autorisation de croiser ces fichiers, eh bien on ne peut pas le faire ;
- toute personne ayant donné son accord pour figurer dans un fichier dispose d’un droit d'accès, de correction et de suppression des données la concernant (c'est même vrai depuis 1978).

Conséquences pour E-I?

À ma connaissance, aucun/e escrimeur/se s’inscrivant à une compétition n’a donné explicitement l’autorisation aux organisateurs :

- de constituer un fichier informatique contenant des données personnelles ;
- de le conserver sans limitation de durée ;
- de le publier ;
- de le céder à un tiers (l’association éditrice d’E-I en l’occurrence).

Aucun/e compétiteur/compétitrice n’a autorisé non plus E-I, directement ou indirectement :
- à conserver et publier ces fichiers sans limitation de durée ;
- à procéder à quelque traitement que ce soit du fichier de la compétition ;
- à procéder à des traitements croisés de plusieurs fichiers dans lesquels il/elle apparaîtrait.

Mais on le faisait avant!

Vous me direz : « EI publie des fichiers de résultats depuis de nombreuses années et personne n’y a trouvé à redire ». Certes. Avant l’entrée en vigueur du RGPD en 2018, il y avait les déclarations à la CNIL (E-I indique que le site est déclaré à la CNIL ; les fichiers en question étaient-ils déclarés?). Depuis, c’était toléré, mais déjà illégal. De la même façon, les fichiers constitués par les organisateurs de compétitions sont tolérés (sinon, on ne peut plus rien faire).

Le problème de cette nouvelle interface, est que non seulement le site E-I publie des informations personnelles nouvelles (les dates de naissance par exemple, révélant ainsi qu’il les possédait, illégalement), mais qu'il opère aussi des traitements sur des fichiers les contenant. Pour couronner le tout, les données et les résultats des traitement sont accessibles à la totalité des internautes de la planète (vos conjoints, patrons, collègues, assureurs, etc.).

Si des spécialistes du droit passent par ici, ils apporteront sans doute corrections et précisions, mais en gros, voilà le tableau, et il est problématique

Quelles solutions?

Je n’en ai hélas pas à proposer.

Comme sportif, comme je l’ai écrit en introduction, j’apprécie l'idée de retrouver mes résultats. Comme citoyen, vous avez compris que je suis plus critique.

On pourrait imaginer qu’à l’avenir, les organisateurs de compétitions souhaitant publier leurs résultats sur GREG fassent signer une autorisation aux participants, en explicitant quelles données seront publiées, qu'elles seront cédées à E-I, comment elles seront conservées et pour combien de temps, et comment elles seront traitées. Mais peut-on refuser l’inscription à un/e tireur/se qui ne voudrait pas signer ? Et comment fait-on pour les mineurs, que les parents n’accompagnent pas toujours en compétition ?

Par ailleurs, même s’il/elle a signé l’autorisation, un/e escrimeur/se, ou son/sa représentant/e légal/e peut demander l’effacement de ses données de la base de données. Sur le plan pratique, j'entrevois une galère pour celui ou celle qui devra caviarder les fichiers à la main ! Au niveau du résultat, des fichiers peu utilisables avec des tireurs supprimés.

Pour conclure, et afin de ne pas hypothéquer l’avenir, les responsables du site Escrime-Info devraient, à mon humble avis :

- fermer l’accès à tout fichier de résultat de façon conservatoire (la période est hélas favorable, il n’y a pas de compétitions) ;
- mener une réflexion approfondies avec un/e spécialiste du RGPD et de la sécurité informatique (il y en a certainement qui passent ici) ;
- trouver des solutions acceptables pour la consultation des fichiers déjà en stock (sans exclure a priori la suppression pure et simple) ;
- mettre en place des dispositions conformes à la loi pour l’acquisition future de fichiers et l’encadrement de leur traitement.

Merci à celles et ceux qui ont lu jusqu’au bout.