La protection de la vie privée dans le sport : N’attendez pas d’être mis en échec!

Organisations sportives : quel est votre plan de match en matière de protection de la vie privée? Au Québec, la confidentialité des renseignements personnels est importante pour toutes les entreprises, et encore plus depuis l’entrée en vigueur en 2022 des nouvelles dispositions de la Loi 25, modifiant notamment la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1.

À la lumière de ces nouvelles dispositions, les équipes, les ligues, les agents de joueurs et toutes les organisations sportives qui colligent des renseignements personnels sur les athlètes, les entraîneurs ou les partisans doivent se conformer à de nouvelles obligations qui ne peuvent être ignorées. Certaines considérations sont toutefois plus spécifiques aux organisations qui administrent notamment des dossiers médicaux, des résultats de performance et des renseignements sur la clientèle. 

Le présent article est donc destiné aux organisations sportives qui ont des activités au Québec, mais également à toutes celles qui collectent, utilisent, conservent et communiquent des renseignements personnels d’athlètes, de partisans, de fournisseurs et/ou d’employés québécois. 

Nombreux renseignements personnels colligés  

La majorité des organisations sportives ont en commun la diversité et l’importante sensibilité des renseignements personnels qu’elles colligent. En effet, dans le cadre de leurs activités, ces organisations collectent des renseignements: 

• sur leurs employés (date de naissance, NAS, etc.); 
• sur les athlètes (santé, performances sportives, mesures biométriques, numéro de passeport pour les déplacements d’équipe, etc.); 
• concernant des mineurs (p. ex., des renseignements sur les recrues ou les jeunes étudiants-athlètes inscrits à des activités sportives); 
• liés à leur clientèle (renseignements financiers lors de l’achat de billets ou d’articles promotionnels, habitudes de consommation permettant la conduite d’activités marketing, etc.). 

La quantité et la sensibilité de ces données exigent un niveau de prudence supplémentaire de la part des organisations sportives. 

Lourdes conséquences en cas d’incident de confidentialité 

En plus des sanctions générales pouvant être imposées en cas de non-conformité aux obligations prévues par la loi québécoise, qui peuvent atteindre 25 M$ ou 4 % du chiffre d’affaires mondial, les organisations sportives sont exposées à des fuites de données dont les conséquences peuvent être importantes et onéreuses considérant la sensibilité de certaines informations détenues. Par exemple : 

• des renseignements confidentiels sur la santé physique ou mentale d’un athlète diffusés publiquement, qui le désavantagent par rapport à d’autres athlètes en diminuant potentiellement sa valeur sur le marché; 
• l’accès non autorisé à des résultats de tests antidopage ayant d’importantes conséquences réputationnelles; 
• la divulgation d’informations liées aux salaires ou aux montants versés à un athlète par des commanditaires, pouvant entraîner des conséquences importantes lors des négociations de tels contrats. 

Survol des obligations légales auxquelles devraient s’attarder les organisations sportives  

Certains requis importants devraient être particulièrement considérés par les organisations sportives, en plus des obligations plus générales imposées à toutes entreprises privées soumises aux lois québécoises. Pensons notamment à la publication des coordonnées du responsable de la protection des renseignements personnels en ligne, la tenue d’un registre d’incidents de confidentialité, la détermination des délais de conservation de chaque renseignement personnel collecté. Devraient également être mis en place des mesures de sécurité accrues comme la gestion des accès aux renseignements personnels à l’intérieur de l’organisation, la rédaction de politiques de confidentialité et la mise en place de procédures permettant de protéger la vie privée. 

 

1. L’obtention et la gestion des consentements pour la communication de renseignements personnels 

Un athlète peut avoir intérêt à ce qu’une organisation communique ses renseignements personnels à une autre. Par exemple, la transmission de données de performance peut faciliter une transaction ou aider à la signature d’un contrat. Cependant, dans d’autres situations, une telle communication de renseignements peut être défavorable ou entraîner des conséquences négatives importantes, par exemple pour des cas de dopage, d’usage de drogues ou d’alcool, ou d’enjeux de santé mentale.  

Contrairement à d’autres juridictions, la seule base légale permettant une telle communication de renseignements personnels en vertu de la loi québécoise est l’obtention d’un consentement de la personne concernée. Les organisations sportives souhaitant communiquer des renseignements personnels d’athlètes devraient donc s’assurer, soit par le biais d’un contrat signé par l’athlète ou par un autre moyen approprié, que toutes les communications de renseignements personnels concernant cet athlète à un tiers (autres équipes sportives, journalistes, agences de marketing, etc.) sont couvertes par l’obtention préalable d’un consentement à cet effet.  

De plus, dans certains cas, la loi impose des modalités spécifiques au consentement à obtenir. Essentiellement, le consentement devra être exprès lorsque des renseignements sensibles sont divulgués. Par exemple, des dossiers médicaux, des données biométriques ou des renseignements personnels concernant des mineurs de moins de 14 ans, tels que de jeunes étudiants-athlètes ou de jeunes partisans. Considérant les enjeux financiers substantiels dans le monde du sport professionnel, la communication de renseignements personnels sensibles peut entraîner de sérieuses conséquences juridiques et pécuniaires. 

2. L’aspect « hors Québec » 

La pratique d’un sport n’est souvent pas limitée à une seule juridiction. À cet égard, des athlètes pratiquant leur sport ailleurs au Canada ou à l’international, ou des spectateurs ayant acheté des billets pour un match dans une autre juridiction pourraient être soumis à d’autres lois ayant une portée extraterritoriale. Par exemple, les organisations sportives faisant affaire en Europe et colligeant ainsi les renseignements personnels d’athlètes ou de clients européens se devraient de considérer les requis du Règlement général sur la protection des données (RGPD), en plus de ceux imposés par la loi québécoise. 

En plus de tenir compte des obligations découlant des lois applicables ayant une portée extraterritoriale, les organisations sportives doivent également s’attarder au requis imposé par la loi québécoise de conduire une analyse de risques, nommée « Évaluation des facteurs relatifs à la vie privée » (ou « EFVP »), et ce, avant toute communication de renseignements personnels à l’extérieur de la province de Québec. Considérant la portée des différentes ligues sportives, souvent pancanadiennes, panaméricaines et même internationales, ces communications de renseignements personnels à l’extérieur du Québec sont vraisemblablement fréquentes. De plus, outre l’échange de renseignements entre les organisations, cette obligation couvre aussi la transmission de renseignements personnels à tout fournisseur de service, incluant le simple stockage de renseignements sur un serveur tiers situé à l’étranger. Il faut savoir qu’à tout moment, la Commission d’accès à l’information (« CAI ») peut demander des informations sur la conduite de telles EFVP. Il est donc important de les documenter dans un rapport qui pourra ensuite être transmis à la CAI sur demande. 

3. Le recours aux renseignements sur la santé et aux données biométriques des athlètes 

Que ce soit la tenue d’un historique de blessures, la conduite de bilans de santé ou la prise de mesures des performances physiques d’un athlète, les données de santé et les renseignements biométriques prennent de plus en plus d’importance aux yeux des athlètes et des organisations sportives. Par exemple, en accédant aux données biométriques d’un athlète, les organisations peuvent observer les performances de celui-ci ou l’usure du corps en temps réel et prendre des décisions basées sur le risque de future blessure, plutôt que de se concentrer uniquement sur les résultats d’un jeu ou d’un match. Un athlète pourrait autrement souhaiter profiter de la collecte et de l’utilisation de ses données biométriques pour prouver le rétablissement d’une blessure antérieure ou attester de ses performances lors d’entraînements. L’utilisation, dont la vente, de ces données peut ainsi représenter un avantage ou une source de revenus importante pour un athlète ou pour une organisation sportive. 

Étant qualifiées de « sensibles » par la loi, les données sur la santé et les renseignements biométriques doivent faire l’objet d’une attention particulière par les organisations sportives qui les colligent. Comme mentionné, la communication de ces données doit, sauf exception, faire l’objet d’un consentement exprès de la part de l’athlète concerné. Ces renseignements doivent également être protégés par des mesures de sécurité accrues et, dans le cas des données biométriques, la constitution ou l’utilisation d’une base de données biométriques doit systématiquement être déclarée à la CAI dans un délai imparti. 

 

Conclusion

En conclusion, les différentes considérations énumérées ci-dessus ne sont qu’un survol des éléments importants devant être pris en compte par les organisations sportives. Considérant la place de plus en plus importante que prennent les données dans le monde du sport, notamment l’utilisation de la biométrie, et les conséquences importantes des fuites potentielles de renseignements personnels, les organisations sportives doivent être proactives et ne peuvent plus ignorer ces requis qui leur sont désormais imposés. 

Pour toute question relative à l’incidence de ces exigences sur votre organisation, n’hésitez pas à communiquer avec notre équipe, qui se fera un plaisir de vous conseiller.