Pour situer le contexte du guide RGPD, il faut revenir au 12 mai. Ce jour-là, l’ANJ dévoilait son algorithme de détection des joueurs excessifs : 600 000 joueurs à forte probabilité de jeu excessif sur le seul périmètre du jeu sur compte, dont 300 000 qui ne bénéficient d’aucun accompagnement. 1,2 milliard d’euros de produit brut des jeux est attribuable à cette population, soit 60,6% du chiffre d’affaires en ligne. Des chiffres qui plaçaient le régulateur en porte-à-faux : « on sait, mais on peut difficilement agir. »
Ce guide, qui ne fait que rappeler et structurer un ensemble de règles qui s’appliquent déjà et qui sont bien connue des opérateurs, arrive comme un indice clair d’un durcissement du cadre et en dessine ses leviers que nous allons parcourir.
Gestion des clients et prospection commerciale : le cross-sell au grill réglementaire
Le guide consacre sa première étude aux données collectées tout au long de la vie d’un compte joueur : ouverture, vérification d’identité, historique de jeu, réclamations, programmes de fidélité, et prospection commerciale. C’est sur ce dernier point qu’il aura les conséquences les plus immédiates.
La CNIL prend position de manière tranchée : en matière de jeux d’argent, le consentement est la base légale de toute prospection commerciale, quel que soit le canal utilisé. E-mail, SMS, téléphone, courrier postal : pas de distinction. La règle s’applique aux clients comme aux prospects.
Cette interprétation va au-delà du droit commun, où l’exception dite des « produits et services analogues » permet d’adresser des offres multi-canal à des clients existants sans consentement préalable. La CNIL écarte explicitement cette exception pour le secteur des jeux, en s’appuyant sur l’article 2, 3° du décret du 19 mai 2010.
Un juge va considérer que les différentes offres ne sont pas équivalentes. Le pari hippique demande des compétences différentes du pari sportif ou du poker. Comme ce ne sont pas les mêmes produits, on ne peut pas dire que ce sont des services analogues.
Valérie Achache, avocate spécialisée en droit du jeu et conformité RGPD
En pratique, un opérateur qui envoie un e-mail promotionnel poker à un joueur n’ayant pas coché la case dédiée est en infraction. Un opérateur qui transmet les coordonnées de ses joueurs à un partenaire sans consentement spécifique l’est aussi. Le guide fixe les durées de conservation : 6 ans après clôture du compte pour les obligations légales, 3 ans après le dernier contact pour la prospection.
Prévention du jeu excessif : frontières entre données métier et des données de santé
Les opérateurs sont tenus par la loi d’identifier les joueurs dont la pratique est excessive ou pathologique et de les accompagner pour modérer leur jeu. Pour y parvenir, ils croisent des données d’activité, de fréquence et de transactions afin d’attribuer un niveau de risque à chaque joueur. C’est sur la nature juridique de ce traitement que le guide pose sa qualification la plus lourde de conséquences.
La CNIL qualifie l’identification d’un joueur comme excessif ou pathologique de traitement de données de santé au sens de l’article 9 du RGPD. Le raisonnement : les données de jeu prises isolément (fréquence, montant des mises, nombre de dépôts) ne sont pas des données de santé. Mais leur croisement, qui permet de caractériser une pratique excessive ou pathologique, révèle potentiellement une addiction comportementale reconnue comme maladie par le DSM-5.
C’est la donnée résultante, le « score » attribué au joueur, qui entre dans la catégorie des données sensibles.
Tous les opérateurs travaillent avec des associations de lutte contre l’addiction et tout le monde est d’accord pour dire que l’addiction, c’est une pathologie. Ce qui est nouveau, c’est de le déclarer officiellement. Et à ce moment-là, on est obligé de faire automatiquement des analyses d’impact. Le mécanisme est celui du croisement. Ce n’est pas la donnée isolée qui pose problème. C’est le regroupement d’informations qui révèle une pathologie à travers le traitement.
Valérie Achache
Les conséquences opérationnelles sont considérables. L’analyse d’impact (AIPD) devient obligatoire et doit précéder le déploiement de tout dispositif de scoring. L’accès au fichier des joueurs identifiés comme excessifs doit être restreint aux seules personnes en charge de la prévention, avec authentification multifacteur et journalisation des accès.
C’est formulé sans ambiguïté : il ne saurait y avoir de transmission de ces données à des partenaires commerciaux. Un joueur identifié comme excessif ne peut pas recevoir de communications promotionnelles. Et lorsqu’il exerce son droit d’accès, l’opérateur doit lui communiquer le niveau de risque qui lui a été attribué.
Rappels dans la lutte contre le blanchiment du guide RGPD
Les opérateurs de jeux sont assujettis aux obligations de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) : vérification d’identité, surveillance des opérations, croisement avec les listes de gel des avoirs et de personnes politiquement exposées, et le cas échéant déclaration de soupçon auprès de Tracfin. Le guide pose la question de la proportionnalité entre ces obligations et la protection des données.
La collecte de justificatifs sur l’origine des fonds ne peut intervenir que sur alerte, pas de façon systématique. L’avis d’imposition ne peut être demandé qu’en dernier recours, et le joueur peut caviarder ses données non pertinentes (numéro de sécurité sociale, numéro fiscal). L’analyse d’impact relative à la protection des données est là aussi obligatoire.
Dans la lutte contre le blanchiment, on ne doit pas informer les personnes qui sont sujettes à vérification. C’est une dérogation au devoir d’information. Mais ça doit quand même faire l’objet d’une analyse d’impact.
Valérie Achache
L’ombre qui pèse : les contrôles sectoriels de la CNIL
Le guide ne prévoit aucune sanction. Mais les sanctions existent dans le RGPD, et c’est là que la séquence prend tout son sens.
La CNIL fait des contrôles par secteur. Tous les ans, ils choisissent un secteur. Maintenant qu’ils ont créé le guide, les opérateurs de jeux peuvent être les prochains contrôlés.
Valérie Achache
L’amende maximale prévue par le RGPD atteint 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, soit un tout autre ordre de grandeur que les sanctions de l’ANJ.
Le calendrier est limpide. L’algorithme a été présenté le 12 mai. Le guide sort le 26 mai. Les réunions de conformité avec les opérateurs commenceront en septembre. Les plans d’action 2027 seront déposés à l’automne. Quant à la période estivale, Valérie Achache prévient que les vacances seront courtes pour les services concernés.
L’analyse d’impact doit précéder l’installation de l’algorithme. Les conseils des opérateurs vont avoir du travail cet été.
Ce qui se dessine, c’est un transfert de levier. L’ANJ, dont la doctrine repose sur l’accompagnement, dispose d’un outil de mesure (l’algorithme) mais de peu de moyens coercitifs pour imposer un changement de pratiques aux opérateurs dont 60% du chiffre d’affaires repose sur les joueurs qu’il faut protéger.
En adossant la qualification « données de santé » à un guide co-construit avec la CNIL, la présidente Isabelle Falque-Pierrotin, elle-même ancienne présidente de la CNIL, déroule la stratégie d’une voie de contrôle parallèle, autrement plus dissuasive. Le guide invite d’ailleurs explicitement les opérateurs à solliciter l’assistance de leur conseil juridique. Les opérateurs sont prévenus.
