Plusieurs associations ont demandé l’annulation pour excès de pouvoir du décret du 28 décembre 2016 précisant les modalités de mise en uvre des traitements automatisés de données à caractère personnel relatives au non-respect des dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives à but lucratif.
Elles soulèvent que les traitements en cause devraient être soumis au régime d’autorisation prévu par l’article R. 332-20 du code du sport créé par le décret, et non pas au régime de déclaration prévu par larticle 22 de la loi du 6 janvier 1978.
Dans une décision du 6 avril 2018, le Conseil dEtat énonce que les données susceptibles de figurer dans les traitements en cause qui sont, ainsi que le prévoit le 2° de l’article R. 332-15 créé par le décret attaqué, relatives à des manquements « aux dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives » sont collectées dans le seul but d’assurer la sécurité des manifestations sportives en permettant aux organisateurs de telles manifestations d’empêcher certaines personnes d’accéder à leurs enceintes sportives, en raison de comportements dangereux correspondant à des manquements à des obligations de nature contractuelle.
Ainsi, même si certains faits ou comportements susceptibles d’être enregistrés dans ces traitements sont pénalement réprimés, les données ayant vocation à figurer dans les traitements en cause ne sont pas relatives à des infractions au sens de l’article 25 de la loi précité, dès lors qu’elles ne sont pas collectées dans le but d’établir l’existence ou de prévenir la commission d’infractions, et ne sauraient d’ailleurs être mobilisées au soutien d’une plainte déposée devant le juge pénal.
Le Conseil dEtat conclut que les traitements en cause ne relèvent par suite pas du régime d’autorisation prévu par cet article mais du régime de déclaration prévu par l’article 22 de la loi susvisée.