Évaluation des préoccupations relatives à la confidentialité des données biométriques dans le sport professionnel

Cet article a été initialement publié dans Law360 le 15 mai 2025 et est republié ici avec autorisation.

Dans l'industrie du sport actuelle, axée sur les données, les équipes, les ligues et les sponsors s'appuient de plus en plus sur les données biométriques et les données de performance pour améliorer les performances des joueurs, prévenir les blessures et optimiser les négociations contractuelles. La collecte de ces données comprend souvent des informations physiologiques et médicales très sensibles qui vont au-delà de simples statistiques, ce qui soulève des questions éthiques et juridiques supplémentaires.

Cependant, cette dépendance croissante à l'égard de données hautement sensibles soulève d'importantes préoccupations juridiques et en matière de confidentialité, en particulier à la lumière de l'évolution des lois sur la confidentialité des données biométriques, telles que la loi de l'Illinois sur la confidentialité des informations biométriques (Illinois Biometric Information Privacy Act, ou BIPA)[1], ainsi que d'autres lois sur la confidentialité des consommateurs et la protection des données au niveau national et international qui imposent des exigences accrues en matière de collecte et de traitement des données biométriques, notamment plusieurs lois américaines sur la confidentialité des consommateurs et le règlement général européen sur la protection des données[2].

Les ligues sportives professionnelles et leurs clubs respectifs qui utilisent des données biométriques et des données de performance doivent être conscients de ces risques, ainsi que des autres considérations juridiques et réglementaires connexes, et des mesures qu'ils peuvent prendre pour minimiser leur exposition à une responsabilité potentielle.

En outre, ces organisations doivent être conscientes des diverses implications que leur recours aux données biométriques et de performance peut avoir et aura sur les négociations contractuelles avec les athlètes, ainsi que sur la question de la propriété des données. Ces aspects critiques liés à la collecte et à l'utilisation des données biométriques dans le sport professionnel aujourd'hui, et leur évolution probable, sont examinés ci-dessous.

Surveillance des joueurs et collecte de données biométriques

Hypothétique

Un joueur de football vedette accepte d'utiliser une technologie portable pour prévenir les blessures. Au fil du temps, le système recueille des données indiquant un risque plus élevé que la normale de certaines déchirures musculaires. Le personnel médical et les entraîneurs du club ont accès à ces données, ce qui inquiète l'agent du joueur, qui craint que ces informations ne réduisent la valeur du contrat du joueur. La ligue, quant à elle, souligne les avantages pour la santé des soins préventifs.

Ce scénario illustre comment les deux parties — le joueur et l'équipe — peuvent tirer profit d'une détection précoce, mais soulève également la possibilité d'un différend quant à l'impact négatif que ces données prédictives pourraient avoir sur les négociations.

Analyse

Les organisations sportives professionnelles exploitent des technologies de pointe telles que les appareils portables, les systèmes de suivi des mouvements et les analyses basées sur l'intelligence artificielle pour collecter et analyser les données biométriques des joueurs, notamment la variabilité de la fréquence cardiaque, les cycles de sommeil, les niveaux d'hydratation et les schémas de récupération musculaire.[3] Les avantages de ces outils sont évidents : amélioration de l'entraînement, meilleures stratégies de jeu et meilleure gestion de la santé des joueurs.

Cependant, si ces innovations sont conçues pour optimiser les performances et fournir des informations inégalées sur la condition physique, le potentiel à long terme et la santé des joueurs, elles présentent également des risques importants en matière de confidentialité. Les données collectées peuvent révéler des informations personnelles et sensibles sur l'état physique et mental d'un athlète, notamment son niveau de fatigue, ses risques de blessure et sa condition physique générale.

Une mauvaise gestion, un accès non autorisé ou une utilisation abusive de ces données pourraient avoir de graves répercussions sur la carrière et la réputation des joueurs, et donner lieu à des litiges juridiques. Par exemple, la publication de données mettant en évidence le déclin des performances d'un athlète pourrait nuire à sa valeur commerciale, entraînant une diminution des contrats publicitaires ou une attention accrue de la part du public. En outre, ces données pourraient être utilisées à l'encontre des joueurs dans des situations où leurs performances baissent en raison d'une blessure, de leur âge ou de la fatigue, ce qui les désavantagerait tant sur le terrain qu'en dehors.

La loi BIPA et les lois étatiques similaires imposent des restrictions strictes sur la collecte, le stockage et l'utilisation des données biométriques. En vertu de la loi BIPA, par exemple, les organisations doivent obtenir le consentement explicite et éclairé des personnes avant de collecter leurs identifiants biométriques, fournir des informations claires sur l'utilisation et la conservation des données, et mettre en œuvre des mesures de sécurité robustes pour protéger l'intégrité de ces données.

Washington[4] et le Texas[5] ont également promulgué des lois sur la confidentialité des données biométriques qui, bien que moins ambitieuses que la BIPA, imposent des obligations aux entités qui collectent des données biométriques.

La loi de Washington oblige les entités à informer les personnes concernées de la collecte de données biométriques et à obtenir leur consentement, tandis que la loi du Texas interdit la vente ou la divulgation de données biométriques sans autorisation explicite.

De plus, les tendances législatives allant dans le sens d'une protection accrue des données personnelles, plusieurs autres États envisagent de renforcer les mesures de protection de la vie privée en matière de biométrie, ce qui témoigne d'une tendance constante vers un durcissement de la réglementation à l'échelle nationale.

Politiques de la Ligue relatives aux données biométriques

Comme illustré ci-dessous, les principales ligues professionnelles américaines ont pris des mesures pour définir la portée de l'utilisation des données biométriques dans le suivi des joueurs, reflétant ainsi une prise de conscience croissante des préoccupations liées à la confidentialité des données au niveau des ligues.

• La NFL a mis en place en 2020 des règles autorisant les équipes à collecter des données biométriques, mais en limitant leur utilisation dans les négociations contractuelles.
• La LNH procède actuellement à la mise à jour de sa convention collective afin d'exiger le consentement des joueurs avant d'utiliser leurs données biométriques recueillies pendant les matchs ou les entraînements ; et 
• La MLB a établi en 2020 des politiques accordant aux joueurs la possibilité de consulter et de contrôler l'accès à leurs données biométriques.[6]

Obtenir le consentement est une première étape importante, mais cela ne résout que le problème immédiat de la collecte non autorisée de données. Cela ne tient pas compte de l'utilisation continue ou à long terme de ces données, par exemple la manière dont elles pourraient être partagées, stockées ou utilisées dans des négociations des années après leur collecte initiale.

De plus, les accords de consentement sont souvent complexes et peuvent être signés sous la contrainte, les joueurs se sentant obligés d'accepter afin de conserver leur place dans l'équipe.

À mesure que le suivi biométrique s'intègre davantage dans les sciences du sport, les ligues continueront probablement à affiner leurs politiques afin de trouver un équilibre entre les avantages concurrentiels et les droits à la vie privée des joueurs. Les futures versions de ces politiques pourraient inclure des dispositions relatives à l'utilisation de l'anonymisation ou de la pseudonymisation, ainsi que des restrictions concernant la vente ou la concession de licences de données à des tiers.

Propriété des données et droits d'utilisation

Hypothétique

Une franchise de basket-ball investit dans une plateforme propriétaire d'analyse des performances. Les données du joueur sont partagées avec des prestataires tiers spécialisés en médecine sportive afin d'obtenir des recommandations thérapeutiques. En milieu de saison, le joueur est transféré, mais la franchise conserve un accès complet à l'historique biométrique de l'athlète, même après son arrivée dans une nouvelle équipe.

Des litiges surviennent quant à savoir si l'athlète peut demander la suppression des données anciennes, si ces données peuvent être conservées par l'ancienne équipe et utilisées comme avantage concurrentiel, ou si l'ancienne équipe peut tirer profit des ensembles de données agrégées qu'elle utilise dans le cadre d'initiatives commerciales plus larges.

Analyse

Déterminer à qui appartiennent les données collectées auprès des athlètes est une question juridique complexe et parfois controversée. Cela est particulièrement vrai dans le contexte des données biométriques et des données de performance, qui ont des implications directes sur les négociations salariales, l'évaluation des risques de blessures et l'évaluation du marché.

Les données appartiennent-elles à l'athlète, à l'équipe, à la ligue ou au fournisseur de technologie ? Des accords contractuels clairs sont essentiels pour définir la propriété des données et les droits d'utilisation, afin d'éviter d'éventuels litiges et de garantir une utilisation équitable des informations relatives aux athlètes.

Les conventions collectives jouent un rôle central dans la définition de l'étendue de l'utilisation des données biométriques dans les ligues professionnelles. Par exemple, en 2017, l'Association nationale des joueurs de basket-ball a négocié des dispositions concernant la collecte et l'utilisation des données issues des technologies portables, garantissant ainsi aux joueurs le maintien de droits spécifiques sur leurs informations biométriques personnelles.

À mesure que le suivi biométrique deviendra plus sophistiqué, les futures CBA affineront probablement encore davantage ces protections.

Considérations juridiques et réglementaires

Au-delà des lois BIPA, Washington et Texas, d'autres réglementations nationales et internationales ont une incidence sur la manière dont les ligues, les clubs et les équipes collectent et utilisent les données biométriques et les données de performance dans le sport professionnel. Voici quelques exemples notables.

Lois américaines sur la protection de la vie privée des consommateurs

À l'heure actuelle, 20 États ont promulgué des lois sur la protection de la vie privée des consommateurs, dont certaines sont déjà en vigueur, tandis que d'autres entreront en vigueur plus tard cette année ou l'année prochaine.[7]

Les données biométriques sont considérées comme des données sensibles en vertu de toutes ces lois, qui étendent leurs protections respectives aux résidents de ces États — y compris les athlètes — soit : (1) en exigeant des entreprises concernées qu'elles fournissent un avis spécifique et obtiennent le consentement avant de collecter ou de traiter les données biométriques ou les identifiants de ces personnes, comme c'est le cas dans la plupart des lois étatiques sur la protection de la vie privée des consommateurs ; ou (2) en accordant aux personnes des droits supplémentaires, tels que la possibilité de limiter l'utilisation et la divulgation de leurs données biométriques aux seules fins expressément autorisées par la loi.

Il est intéressant de noter que, contrairement à la loi BIPA, qui n'exige pas explicitement que le consentement soit donné librement avant la collecte et le traitement des données biométriques ou des identifiants des personnes, presque toutes les lois étatiques sur la protection de la vie privée des consommateurs adoptées à ce jour ont adopté une définition similaire du consentement, à savoir un acte affirmatif clair signifiant l'accord libre, spécifique, éclairé et sans ambiguïté d'une personne.

Compte tenu du déséquilibre des pouvoirs entre les athlètes et les organisations sportives, on peut se demander si le consentement peut réellement être donné librement. Si un athlète doit fournir ses données biométriques pour pouvoir participer à une compétition, son consentement peut-il vraiment être considéré comme volontaire ?

De plus, contrairement à la loi BIPA, plusieurs lois étatiques sur la protection de la vie privée des consommateurs exigent que les entités qui collectent et traitent des données biométriques à des fins personnelles ou commerciales procèdent à une évaluation des risques destinée à aider les organisations à identifier, analyser et minimiser les risques liés à la confidentialité associés à leurs pratiques en matière de collecte, d'utilisation, de conservation et de divulgation des données. Cette évaluation est également connue sous le nom d'analyse d'impact relative à la protection des données.

Cela dit, les exigences relatives aux analyses d'impact sur la protection des données varient d'un État à l'autre.

Règlement général sur la protection des données

Les ligues sportives professionnelles européennes, les équipes et les clubs, ainsi que les athlètes, en particulier ceux qui participent à des ligues ou à des événements internationaux, relèvent probablement de la compétence du RGPD, qui impose des exigences strictes en matière de protection des données et de confidentialité pour le traitement des données biométriques, classées comme des données sensibles en vertu de la loi.

Par exemple, les entités doivent disposer d'une base légale pour traiter ces données avant de pouvoir le faire, comme (1) obtenir le consentement explicite des athlètes européens, ce qui est similaire à la définition du consentement dans les lois nationales sur la protection de la vie privée des consommateurs ; ou (2) si le traitement est nécessaire pour remplir des obligations professionnelles ou exercer des droits spécifiques, à condition qu'il soit autorisé par la législation nationale applicable ou par des conventions collectives prévoyant des garanties appropriées pour les athlètes européens.

Les organisations soumises au RGPD qui traitent les données biométriques d'athlètes européens doivent mettre en œuvre des mesures de sécurité robustes, garantir la transparence concernant l'utilisation des données et faciliter l'exercice des droits des personnes concernées, tels que l'accès, la rectification et l'effacement, sauf exception.

En outre, les données biométriques étant considérées comme des données sensibles au sens du RGPD, les entités soumises à ce règlement doivent également réaliser une analyse d'impact relative à la protection des données avant de traiter ces données.

Points clés à retenir pour les organisations sportives professionnelles

Scénario réel

Dans une ligue internationale de football, les équipes adoptent la surveillance biométrique en temps réel pour optimiser leurs performances. Les joueurs acceptent de partager leurs données avec le personnel médical, les entraîneurs et les nutritionnistes. Cependant, les sponsors de la ligue, qui produisent les appareils portables, commencent à demander des données anonymisées et agrégées pour leurs propres besoins de recherche et développement.

Certains joueurs craignent l'exploitation commerciale et s'interrogent sur le degré réel d'anonymisation de ces données. En fin de compte, l'organisme de réglementation de la ligue pourrait être amené à négocier des protocoles d'anonymisation plus stricts au nom des joueurs et de la ligue, mais cette controverse met en évidence la facilité avec laquelle les données peuvent franchir les frontières une fois qu'elles ont été collectées.

Analyse

À mesure que la collecte de données biométriques et de performances devient plus sophistiquée, les acteurs du sport professionnel doivent naviguer dans un paysage juridique de plus en plus complexe afin de garantir la conformité et de protéger les droits des joueurs.

Outre les obligations légales, les considérations éthiques relatives à l'équité, au consentement et au bien-être des athlètes sont tout aussi pressantes. Il est essentiel que les ligues et les équipes sportives professionnelles mettent en œuvre des politiques globales en matière de technologies portables et de confidentialité des données afin de protéger les droits des athlètes. Vous trouverez ci-dessous quelques bonnes pratiques à prendre en considération.

Obtenir un consentement explicite et éclairé.

Veillez à ce que les athlètes comprennent exactement quelles données sont collectées, comment elles seront utilisées et qui y aura accès. Les formulaires de consentement doivent détailler tout partage potentiel de données avec des tiers et préciser tout suivi au-delà de l'entraînement et des matchs, ainsi que se conformer à toutes les exigences connexes en vertu des lois applicables en matière de confidentialité. Insistez sur le fait que les athlètes peuvent révoquer leur consentement ou demander la suppression des données lorsque la loi le permet.

Limiter la surveillance aux moments pertinents.

Limiter la collecte de données aux entraînements et aux compétitions afin de respecter la vie privée des athlètes pendant leur temps libre. Des politiques claires devraient définir les circonstances spécifiques dans lesquelles une surveillance continue est justifiée et limiter la collecte inutile de données.

Sécurisez vos données contre toute utilisation abusive.

Mettre en œuvre des mesures de sécurité des données rigoureuses afin d'empêcher tout accès et/ou utilisation non autorisés des données biométriques et des données de performance.

Définissez clairement vos attentes auprès des fournisseurs tiers.

Exigez des fournisseurs tiers qui traitent des données biométriques et de performance pour votre compte qu'ils se conforment aux lois applicables en matière de protection des données et qu'ils mettent en place des mesures de sécurité des données qui protègent contre tout accès ou utilisation non autorisés de ces données.

Ces accords doivent définir explicitement les responsabilités du fournisseur en matière de confidentialité et de sécurité, et offrir des droits d'indemnisation étendus à la ligue et/ou à l'équipe contractante si la mauvaise gestion des données par le fournisseur entraîne un incident de sécurité.

[1] 740 ILCS 14/1 et suivants (loi de l'Illinois sur la confidentialité des informations biométriques), disponible à l'adresse https://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=3004.

[2] Règlement (UE) 2016/679, règlement général sur la protection des données (RGPD), disponible à l'adresse https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng.

[3] Jen Booton, « Analyzing Movement and Biometrics in Sports », Sports Business Journal (29 juillet 2020), disponible à l'adresse https://www.sportsbusinessjournal.com/Daily/Issues/2020/07/30/Technology/biometrics-sports-athletes-performance-injury-prevention/ (un abonnement peut être nécessaire).

[4] Wash. Rev. Code § 19.375.010 et suivants (loi de l'État de Washington sur la protection de la vie privée en matière biométrique), disponible à l'adresse https://app.leg.wa.gov/RCW/default.aspx?cite=19.375.

[5] Tex. Bus. & Com. Code Ann. § 503.001 et suivants (loi texane sur la capture ou l'utilisation d'identifiants biométriques), disponible à l'adresse https://statutes.capitol.texas.gov/docs/bc/htm/bc.503.htm.

[6] Nick Fustor, « MLB Approves Use of Device to Measure Biometrics of Players », Fox Sports (mars 2020), disponible à l'adresse https://www.foxsports.com/stories/mlb/mlb-approves-use-of-device-to-measure-biometrics-of-players. Tom Friend, Le langage biométrique évolue à chaque nouvelle convention collective, Sports Business Journal (1er août 2022), disponible à l'adresse https://www.sportsbusinessjournal.com/Journal/Issues/2022/08/01/In-Depth/Biometrics (un abonnement peut être nécessaire).

[7] Association internationale des professionnels de la protection de la vie privée (IAPP), US State Privacy Legislation Tracker (dernière mise à jour le 7 avril 2025), disponible à l'adresse https://iapp.org/resources/article/us-state-privacy-legislation-tracker/.