Par une délibération du 30 janvier 2014, la Commission nationale de l’informatique et des libertés (Cnil) a autorisé le Paris Saint-Germain (PSG) à mettre en oeuvre un traitement automatisé de données à caractère personnel ayant pour objet de recueillir les données nominatives relatives à des violations des conditions générales de vente et du règlement intérieur du Parc des Princes par les abonnés et acheteurs de billets, afin de procéder sur leur fondement à des suspensions, résiliations et refus de renouvellement d’abonnements ou d’achats de billets, mais a refusé que des motifs d’exclusion ayant trait à des infractions supposées commises par les abonnés soient traités par le club parisien.
Le PSG a alors saisi la justice administrative d’une demande d’annulation pour excès de pouvoir de cette délibération en tant qu’elle n’a pas intégralement fait droit à sa demande.
Par un arrêt du 13 juin 2016, le Conseil d’Etat juge que « d’une part, la commission n’a pas entendu interdire que les données nominatives relatives aux violations du règlement intérieur n’ayant pas donné lieu à des sanctions ou procédures pénales fassent l’objet du traitement, dès lors que leur utilité à la mission de préservation de l’ordre public lors des rencontres qu’ils organisent, impartie aux clubs par le code du sport, en légitime la collecte, et que, d’autre part, si la Commission devait prendre en compte ces missions légales, telles qu’énoncées par le code du sport, elle ne pouvait pas pour autant méconnaître, en ce qui concerne les données nominatives mentionnant des sanctions ou procédures pénales, les dispositions de l’article 9 de la loi du 6 janvier 1978 ».
Néanmoins, le Conseil d’Etat annule le point de la délibération de la Cnil interdisant au PSG de conserver les données relatives aux impayés bien au-delà de la date du remboursement, au motif que « les conséquences ou les risques résultant de la commission d’un impayé ne peuvent être réputés avoir disparu dès le règlement de la dette et qu’il n’est dès lors pas disproportionné de prévoir une conservation des données relatives aux incidents de cette nature pendant une durée suffisante, au-delà du règlement de la somme due, pour prévenir le renouvellement de tels incidents ».