Contexte : Le FC Barcelone et la modernisation numérique
Ces dernières années, de nombreux grands clubs sportifs, dont le FC Barcelone, ont tenté de moderniser leur relation avec les membres à travers des outils numériques. Le club catalan a mis en place un système de vérification d’identité biométrique, utilisant des données telles que la voix et l’image faciale, afin d’actualiser son registre des socios. L’objectif était de renforcer la sécurité d’identification et de prévenir d’éventuelles usurpations d’identité. Pourtant, ce projet a abouti à une controverse réglementaire, entraînant une amende de 500 000 euros infligée par l’Agence Espagnole de Protection des Données (AEPD).
Raisons de la Sanction
Le défaut d’évaluation d’impact. L’AEPD ne remet pas en question l’utilisation des outils biométriques en soi, mais souligne l’absence d’une exigence préalable cruciale. Selon El Confidencial, le FC Barcelone n’a pas réalisé d’évaluation d’impact conforme à l’article 35 du Règlement Général sur la Protection des Données (RGPD). Une telle évaluation doit être effectuée avant de mettre en œuvre des traitements susceptibles de constituer un risque élevé pour les droits et libertés des individus.
Processus de Validation des Membres
Dans ce cadre, le système collectait divers traits biométriques pour authentifier chaque membre dans l’écosystème numérique du club. L’AEPD a noté que le mécanisme était en mesure de générer des vecteurs biométriques basés sur des images et des enregistrements vocaux des socios pour leur authentification.
Détails de la Mise en Œuvre
Campagne en plusieurs phases. La phase de vérification a débuté le 21 mars 2023, permettant aux socios de compléter leur mise à jour soit à distance, soit en personne. Un chemin alternatif a également été prévu pour ceux ne souhaitant pas utiliser la biométrie, qui pouvaient continuer à se faire identifier par des moyens traditionnels.
La Taille du Public Cible
L’un des facteurs pris en compte par le régulateur était le nombre de personnes concernées, avec environ 143 000 membres au FC Barcelone. Ce chiffre place le projet dans une catégorie particulièrement sensible du point de vue de la protection des données, augmentant le risque potentiel pour les droits des individus.
Éléments Clés de l’Audit
Évaluation de l’Impact Non Conforme. Le RGPD exige une évaluation d’impact lorsque le traitement de données présente un risque élevé. Malgré la soumission d’informations par le FC Barcelone sur les systèmes biométriques, l’AEPD a conclu que ces documents ne constituaient pas une évaluation d’impact complète au sens de l’article 35.
Possibilité d’Infraction écartée
L’article 9 du RGPD concerne le traitement des données biométriques. L’AEPD a finalement décidé d’archiver cette potentielle infraction, estimant qu’il n’y avait pas suffisamment de preuves pour activer cette clause.
Réaction du FC Barcelone
Le FC Barcelone a choisi de contester la sanction imposée par l’AEPD, défendant sa position concernant le processus d’actualisation de son registre. Les services juridiques du club soulignent également que la sanction initialement proposée était bien plus élevée, atteignant près de 6 millions d’euros, mais a pu être réduite à 500 000 euros.
Cette affaire met en lumière les défis liés à l’utilisation de technologies modernes dans des domaines sensibles comme la protection des données personnelles, illustrant l’importance d’une conformité rigoureuse avec la législation en vigueur.