Alors que les Français peuvent enfin profiter des grands événements sportifs, il y a un sujet dont ont parle encore trop peu dans l’univers du sport : la data.
Pourtant, elle est partout ! Même les plus petits clubs se retrouvent à gérer des données sensibles avec les adhésions, les licences et les certificats médicaux.
A l’heure du “tout-numérique”, la dématérialisation est devenue la règle. Toutes les structures du sport (clubs, comités départementaux, ligues & districts, fédérations, entreprises et écoles du sport, INSEP…) doivent donc protéger les données de leurs salariés et des sportifs, qu’ils soient pratiquants bénévoles ou sportifs de haut niveau.
Ils sont ainsi obligés de se conformer au RGPD, même s’ils n’en ont pas toujours conscience. Nombre d’entre eux s’exposent à des sanctions financières, comme peut en témoigner la Fédération Française d’Athlétisme qui avait eu le tort de rendre certaines données publiques (résultats sportifs) sans en aviser au préalable les principaux concernés (source).
L’enjeu est d’autant plus important que les outils technologiques, qui permettent de décupler les performances (vidéosurveillance, arbitrage…), sont strictement encadrés. En février dernier, la CNIL a notamment rappelé à l’ordre un club qui expérimentait la reconnaissance facile pour faire respecter l’interdiction commerciale de stade (source).
Ces contraintes doivent pourtant être vues comme des opportunités : respecter le RGPD, c’est aussi améliorer la sécurité des donnés en cas de cyber-attaques. Or ces dernières se multiplient : l’Agence mondiale antidopage, le Comité olympique international ou le Tribunal arbitral du sport ont déjà été piratés (source), tout comme des confédérations sportives (source), des clubs (AS Saint Etienne, un club de Premier League,…), des entreprises (notamment Go Sport et Courir – source)…
Fabien Fernandez, le fondateur d’Asklépian, souligne :
“Les enjeux pour les pirates sont multiples : obtenir des bases de données qualifiées, des données sensibles, paralyser des systèmes, des finances… C’est le revers de la médaille. En France, tous les acteurs du sport sont visés, y compris les plus petits clubs, plus vulnérables et donc plus faciles à cibler. Et ce n’est qu’un début ! Il faut s’attendre à de nombreux cyberattaques de masse à l’approche des jeux Paris 2024.”
Heureusement, cette situation n’est pas une fatalité !
Afin d’aider toutes les organisations du sport à respecter leurs obligations, Asklépian les accompagne dans leur mise en conformité au RGPD et/ou à l’externalisation des compétences de DPO (délégué à la protection des données).
Le sport, un univers “tout numérique” aux nombreuses failles de sécurité
Asklépian accompagne les structures du sport par l’identification de leur système comme un réel outil de pilotage et d’optimisation. Son objectif : sécuriser les données via la mise en place de solutions techniques, organisationnelles et juridiques.
Car en matière de data, de nombreuses questions concrètes se posent :
- Comment cadrer les données sensibles ? Comment sensibiliser les bénévoles et les salariés ?
- Comment protéger les appareils informatiques de bénévoles traitant les données des pratiquants collectées par un club ?
- Comment gérer les responsabilités sur les transferts de données entre les instances d’une fédération ? Ou avant une rencontre sportive ?
- Comment prospecter en respectant les exigences réglementaires ?
- Comment gérer les informations de billettiques et de fidélisation ?
Si des solutions existent, elles sont souvent trop complexes et techniques pour être appliquées sans l’assistance d’un expert qualifié et reconnu. De plus, en cas de cyber attaque, il faut pouvoir redémarrer rapidement et dans les meilleures conditions.
Cela suppose de pouvoir s’appuyer sur une documentation spécifique qui va démontrer que des mesures ont été prises en amont et qu’elles ont été mises en œuvre dans un système maîtrisé.
Asklépian intervient alors pour proposer un accompagnement sur-mesure grâce à des outils & services adaptés.
Une approche sur-mesure adaptée aux besoins de chacun
Reconnu pour son expertise et son savoir-faire, Asklépian intervient à différents niveaux :
Mise en conformité RGPD en session individuelle durant 9 mois
Ces sessions, adaptées au planning surchargé des professionnels du sport, peuvent être organisées de façon collective ou individuelle.
Pendant 9 mois, à raison d’un atelier par mois, ils vont ainsi être aidés, guidés, conseillés, relus et corrigés par un délégué à la protection des données certifié.
Ils profitent de :
- 9 séances collectives ou individuelles pour définir leurs objectifs, les trames documentaires et co-construire leur projet de mise en conformité ;
- 9 phases de travail individuel ;
- 9 phases de conseils personnalisés (relecture et correction).
Mise en conformité RGPD clé en main
Très appréciée, cette prestation permet de n’avoir à se soucier de rien ! Les équipes d’Asklépian vont se charger de tout : elles réalisent tous les audits préalables, toute la documentation, effectuent des recommandations et accompagnent leur mise en œuvre.
Durée : de 9 mois à 1 an.
Externalisation de compétences DPO
Les activités du délégué à la protection des données externalisées consistent à apporter une expertise sur le RGPD :
- Informer et sensibiliser, diffuser une culture « Informatique et Libertés » ;
- Veiller au respect du cadre légal ;
- Informer et responsabiliser, alerter si besoin, son responsable de traitement ;
- Analyser, investiguer, auditer, contrôler ;
- Établir et maintenir une documentation au titre de « l’Accountability » pour documenter toute la conformité ;
- Assurer la médiation avec les salariés et les patients ;
- Interagir avec l’autorité de contrôle ;
- Être le point de contact entre tous les acteurs sur tous les sujets autour de la protection des données (CNIL, responsables, sous-traitants, clients, salariés…) ;
- Accompagner la mise en place de mesures techniques et organisationnelles.
Sa présence peut notamment permettre d’éviter le prononcé d’une amende ou même d’une astreinte par la CNIL, qui interdirait alors aux professionnels du sport de continuer le traitement des données.
Back-office pour aider à la constitution documentaire
Mise à disposition d’assistants DPO pour la rédaction documentaire au titre de l’Accountability prévue dans la RGPD (documentation avec cartographie interactive, excel, csv et pdf).
Le client pilote sa conformité avec l’assistance et l’aide d’une équipe technique dédiée.
Prestations de conseils à la demande
- Préconisations et recommandations pour juger du degré de conformité de l’organisation, mettre en évidence les éventuelles non-conformités (gravité, impacts possibles pour les personnes concernées, origine, responsabilité, etc.), et afin de vérifier le respect du cadre légal ou la bonne application des procédures, méthodes ou consignes relatives à la protection des données personnelles.
- Etudes de cas
- Analyses juridiques et technologiques…
Asklépian, une approche à 360° du RGPD
Asklépian est une référence en matière de sécurité informatique et des réseaux. Ses compétences de Délégué à la protection des données (DPO) sont d’ailleurs certifiées par l’AFNOR selon l’agrément CNIL.
Asklépian est également membre de l’Association Française des Correspondants à la protection des Données à caractère personnel, ce qui lui permet de signer une charte de déontologie afin de promouvoir une culture de l’éthique parmi les DPO désignés auprès de la CNIL au titre du RGPD.
Au plus proche des besoins de ses clients, cette société dynamique dispose notamment d’un logiciel pour la gestion d’un système de management opérationnel des données à caractère personnel contenant l’ensemble des registres RGPD, ainsi que d’un service de communication spécifique.
Un véritable pôle de compétences
Service “Organisationnel”
Les équipes accompagnent à mettre en œuvre les mesures organisationnelles adéquates et cohérentes dans les organisations pour sécuriser les données à caractère personnel en optimisant les systèmes, mais aussi en définissant, formalisant et simplifiant les procédures.
Service “Juridique”
Il intervient pour sécuriser juridiquement la documentation lors de contractualisation avec des sous-traitants ou de rédactions de mentions d’information, légales ou politiques…
Chaque semaine, une veille juridique est également produite en interne pour apporter les meilleurs conseils et un suivi optimisé.
Service “Sécurité des systèmes d’information et Cybersécurité”
La Dream Team propose une stratégie de sécurisation des systèmes d’information (SI), sécuriser les infrastructures, présente et pilote un plan de continuité et de reprise d’activité, audite et identifie des vulnérabilités du SI.
Services “Supports”
Les équipes Asklépian accompagnent la traçabilité du projet de A à Z pour la mise en conformité et/ou d’externalisation des compétences de délégué à la protection des données, assurent le bon déroulement du suivi personnalisé de la relation contractuelle…
Afin de valoriser l’engagement de ses clients auprès de leurs équipes et partenaires, Asklépian met à disposition sa cellule communication pour la réalisation de nombreux supports de communication autour du RGPD, du DPO et de la sensibilisation. Toutes les réalisations peuvent être personnalisées à leur image.
A propos de Fabien Fernandez, le fondateur
Fabien Fernandez est un des premiers DPO certifiés sous l’agrément de la CNIL. Il est titulaire d’une licence pluridisciplinaire en Sciences Fondamentales Appliquées de l’Université de Bourgogne avec des surspécialisations en informatique.
Fort de dix ans d’expérience dans des fonctions publiques étatiques ou territoriales, Fabien Fernandez a un parcours riche et varié qui lui a donné de solides connaissances de l’organisation administrative de la France dans différents domaines techniques.
En 2015, il a accompagné la mise en œuvre de la réforme du collège auprès du corps d’inspection des services déconcentrés de l’Éducation nationale. Il a ainsi participé à renforcer les liens du collège avec le monde économique et professionnel, et proposé des programmes pédagogiques ayant l’orientation des élèves comme priorité.
Fabien Fernandez a également travaillé pendant huit ans auprès de la Fédération Française du Sport Adapté et du Comité Paralympique International, pour les réformes de la réglementation sportive et de la classification des athlètes.
En 2018, il a participé à la mise en œuvre de la réforme de décentralisation du stationnement sur l’ensemble de la ville de Bordeaux, accompagnant l’application du RGPD. Responsable d’un budget de plus de 30 millions d’euros, il a suivi et contrôlé l’exécution du marché de dépénalisation par le prestataire. Cela lui a permis de développer des connaissances techniques supplémentaires en finances et marchés publics, et de construire une réelle expertise des politiques de mobilité.
En 2019, Fabien Fernandez fonde Asklépian. Au fur et à mesure des missions qu’il effectue en France et à l’étranger, il constate que, malgré l’approche du Brexit, il n’existe pas de solution fiable de protection des données pour les entreprises britanniques et basées en dehors de l’Union Européenne. Il décide alors de créer une nouvelle offre d’Outsourcing UE Representative à destination du Royaume-Uni. Il ambitionne aujourd’hui de la développer en Afrique du nord, au Canada, aux États-Unis et en Asie.
En 2020, Asklépian a lancé sa nouvelle web-série qui sera diffusée jusqu’en septembre 2021. En parallèle, sa veille juridique et technologique hebdomadaire est diffusée dans un format accessible au plus grand nombre.
En 2021, Asklépian a la chance de compter sur le renouvellement de la confiance de ses clients, malgré la crise sanitaire que nous traversons. Fabien Fernandez envisage de développer un organisme de formation afin de renforcer la sensibilisation pour tous.
Pour 2022, face aux cyber-attaques toujours plus nombreuses, Asklépian engage dès à présent des moyens pour le développement d’une nouvelle direction opérationnelle en cybersécurité préventive.
Pour en savoir plus
Présentation Asklépian : https://www.relations-publiques.pro/wp-content/uploads/pros/20210416103848-p3-document-adnb.pdf
Site web : https://www.asklepian.fr/
