• Home  / 
  • DELIBERATION 2006-269

DELIBERATION 2006-269

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés;

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment son article 25-8° ;

Vu le décret n° 59-1489 du 22 décembre 1959 portant réglementation des jeux dans les casinos des stations balnéaires, thermales et climatiques ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu l'arrêté du 23 décembre 1959 relatif à la réglementation des jeux dans les casinos ;

Vu l'arrêté du 19 mai 1993 portant création d'un fichier automatisé des casinos et des exclus des salles de jeux ;

Vu la délibération n° 93-042 de la Commission nationale de l'informatique et des libertés du 11 mai 1993 relative à un arrêté du ministère de l'intérieur autorisant la création d'un fichier automatisé des casinos et des exclus des salles de jeux ;

Vu le protocole "sur la promotion du jeu responsable" signé par le ministre de l'intérieur et de l'aménagement du territoire, le ministre délégué au budget et à la réforme de l'Etat, le président de la commission supérieure des jeux et les présidents des syndicats représentant le secteur des casinos ;

Après avoir entendu M. François GIQUEL, commissaire, en son rapport, et Mme Catherine POZZO DI BORGO, commissaire du gouvernement adjoint, en ses observations.

Formule les observations suivantes :

Le 31 octobre 2006, le casino Pau Loisirs SAS a adressé à la CNIL un dossier de formalités préalables relatif à la mise en oeuvre d'un dispositif permettant de contrôler l'accès aux salles de jeux.

Ce dossier s'inscrit dans le cadre du "protocole sur la promotion du jeu responsable" signé, le 5 janvier 2006, par le ministre de l'intérieur et de l'aménagement du territoire, le ministre délégué au budget et à la réforme de l'Etat, le président de la commission supérieure des jeux et les présidents de deux syndicats représentants le secteur des casinos.

Ce protocole a notamment pour objet de supprimer le droit de timbre à l'entrée des salles des jeux de table et ainsi de réunir au sein d'un même espace les machines à sous, jusqu'à présent en accès libre, et les jeux de table dont l'accès doit être contrôlé. Il prévoit également, à compter du 1er novembre 2006, la mise en oeuvre d'un contrôle généralisé des personnes désirant accéder aux salles de jeux, et donc au casino dans son ensemble, afin de s'assurer qu'elles ne sont pas mineures ou qu'elles ne figurent pas dans le fichier national des interdits de jeux. Ce fichier comprend les données relatives aux personnes ayant volontairement fait une demande auprès du ministère de l'intérieur pour être exclues des salles de jeux ainsi que celles ayant fait l'objet d'une exclusion administrative.

Le respect de cette obligation implique, pour chaque personne souhaitant entrer dans un casino, un contrôle de la pièce d'identité suivi d'une vérification dans le fichier national des interdits de jeux. Le protocole précise qu'aucune collecte de données à caractère personnel n'est réalisée à cette occasion.

Estimant que la mise en oeuvre d'une telle procédure pourrait avoir pour conséquence de créer des files d'attente à l'entrée des casinos et accroîtrait le risque de laisser entrer par erreur une personne non autorisée, le casino Pau Loisirs SAS souhaite proposer à sa clientèle une carte sécurisée par la reconnaissance des empreintes digitales du porteur et qui permettrait à celui-ci d'accéder plus rapidement à l'enceinte du casino, tout en réduisant le flux des personnes faisant l'objet d'une procédure de contrôle "visuel" par ses employés.

La Commission constate que le recours à de tels dispositifs relève de l'article 25-8° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements comportant des données biométriques nécessaires au contrôle de l'identité des personnes.

Le dispositif présenté repose sur l'utilisation d'une carte à puce sans contact qui sera exclusivement remise aux personnes ayant volontairement accepté d'adhérer au programme proposé. Il leur sera alors demandé de présenter un document d'identité sur la base duquel le personnel habilité du casino interrogera le fichier national des casinos et des personnes exclues des salles de jeu, afin de ne pas délivrer une carte à une personne exclue.

Après avoir consulté le fichier précité, le personnel habilité du casino procédera à la collecte et à la saisie, au sein d'un fichier de clientèle, du nom et du prénom de la personne, de sa date et de son lieu de naissance ainsi que le type et le numéro de sa pièce d'identité, dans la mesure où ces informations sont exigées par le ministère de l'intérieur dans le cadre de la réglementation applicable aux casinos.

A ce stade, la Commission souligne que la gestion du fichier de clientèle et la consultation du fichier des personnes exclues, fichier sur lequel elle a émis un avis favorable dans sa délibération n° 93-042 susvisée, constituent des traitement de données à caractère personnel nécessitant d'accomplir les formalités préalables prévues par la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004.

A la suite de l'inscription dans le fichier de clientèle, une carte à puce sera éditée et il sera alors demandé à la personne concernée d'apposer son doigt sur un lecteur afin d'enregistrer le gabarit de l'empreinte digitale d'un seul de ses doigts au sein de la puce. Ce procédé s'effectuera en temps réel. L'ordinateur servant à l'enrôlement biométrique ne sera connecté à aucun réseau.

En outre, seul le gabarit de l'empreinte digitale, clé biométrique résultat du traitement des mesures par un algorithme, sera enregistré sur le support individuel et non une image ou une photographie de l'empreinte digitale. Le gabarit fera également l'objet d'un chiffrement.

De même, tous les lecteurs biométriques et les lecteurs de cartes sans contact posséderont un "code site" unique propre au casino Pau Loisirs SAS. Ce code sera généré par le prestataire technique et sera inscrit sur chacune des cartes créées. Ainsi, les cartes ne pourront être lues que par des lecteurs ayant le même "code site", ce qui exclut toute lecture par un lecteur similaire mais étranger à l'application ou d'un autre casino du groupe Tranchant auquel appartient celui de Pau Loisirs SAS.

Par la suite, lorsque les personnes souhaiteront accéder au casino, elles se présenteront à des bornes d'accès automatique. Le contrôle d'accès s'effectuera par une comparaison entre le doigt apposé sur le lecteur et le gabarit de l'empreinte digitale enregistré sur le badge. Aucun historique des entrées et des sorties ne sera réalisé. En outre, une interrogation automatisée du fichier des personnes exclues de jeux sera effectuée lors du passage des personnes ayant une carte de fidélité afin de vérifier qu'elles n'ont pas fait l'objet d'une inscription dans ce fichier depuis la date à laquelle leur carte leur a été délivrée.

Dans l'hypothèse où la personne figurerait sur ledit fichier, il sera procédé au retrait et à la destruction de sa carte ainsi qu'à la suppression des données la concernant dans le fichier de gestion des cartes. Dans le cas contraire, les données seront conservées tant que la personne concernée souhaite adhérer au programme de fidélisation dans le cadre duquel elle dispose d'un support individuel lui permettant d'utiliser un dispositif de contrôle d'accès automatisé à l'enceinte du casino.

En outre, la Commission prend acte que les personnes faisant demandant à bénéficier d'une carte seront informées de leurs droits, dans les conditions prévues à l'article 32 de la loi du 6 janvier 1978 modifiée, par la diffusion à chacune d'entre elles d'une note d'information précisant la possibilité qui leur est reconnue de s'opposer à tout moment au traitement des données les concernant et d'utiliser une autre possibilité d'accès. Les personnes concernées seront également informées que le responsable de traitement interroge, sur la base des informations qu'elles auront communiquées, le fichier national des personnes exclues des salles de jeux.

Compte tenu des éléments précités et dans la mesure où d'une part, seules les données à caractère personnel des personnes volontaires seront traitées, et d'autre part, le gabarit de l'empreinte digitale est uniquement stocké dans un support individuel exclusivement détenu par la personne concernée et dont elle décide librement de l'utilisation, la Commission considère que le dispositif soumis par le Casino Pau Loisirs SAS ne comporte pas de risques particuliers pour la protection des libertés et des droits fondamentaux de la personne.

Les droits d'accès et de rectification s'exerceront auprès du directeur responsable du casino ou des membres du comité de direction le Casino Pau Loisirs SAS.

S'agissant des personnes figurant dans le fichier national des personnes exclues des salles de jeux, le droit d'accès s'exerce auprès de la direction des libertés publiques et des affaires juridiques du ministère de l'intérieur.

Les catégories de données à caractère personnel enregistrées seront le gabarit de l'empreinte digitale d'un doigt, le nom, le prénom, la date et le lieu de naissance ainsi que le type et le numéro de la pièce d'identité de la personne faisant une demande de carte de fidélité.

Les destinataires des informations seront, dans la limite de leurs attributions et pour la poursuite de la finalité précitée, le directeur responsable du casino, les membres du comité de direction du casino, les personnels en charge des contrôles à l'entrée du casino.

Dans ces conditions, la Commission autorise le casino Pau Loisirs SAS, parc Beaumont, 64000 Pau, à mettre en oeuvre un traitement de données à caractère personnel présenté.

Le président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: