Les centres sportifs et les salles de sport font face à un paysage de conformité au RGPD plus exigeant qu'on ne le perçoit généralement. La raison principale est l'utilisation de données biométriques — le plus souvent des empreintes digitales — pour le contrôle d'accès. L'article 9.1 du Règlement (UE) 2016/679 inclut expressément les « données biométriques aux fins d'identifier une personne physique de manière unique » parmi les catégories particulières de données à caractère personnel, dont le traitement est en principe interdit sauf si l'une des exceptions prévues à l'article 9.2 s'applique. Pour la plupart des salles de sport, la seule base légale viable est le consentement explicite du membre au sens de l'article 9.2(a) du RGPD, ce qui implique que ce consentement doit être libre, spécifique, éclairé et univoque, et que le membre qui ne souhaite pas fournir ses données biométriques doit pouvoir accéder à l'installation par un moyen alternatif sans aucun préjudice pour ses droits.
L'utilisation de systèmes biométriques de contrôle d'accès déclenche également l'obligation de réaliser une Analyse d'Impact relative à la Protection des Données (AIPD) préalablement au début du traitement, conformément à l'article 35 du RGPD. L'AEPD (Agencia Española de Protección de Datos — Agence espagnole de protection des données) a inclus le traitement à grande échelle de données de catégories particulières dans sa liste de types d'opérations de traitement nécessitant une AIPD, et les systèmes d'empreintes digitales déployés dans les installations sportives entrent dans cette catégorie lorsque le volume de membres est significatif. L'AIPD n'est pas un formulaire : c'est une analyse structurée des risques pour les droits et libertés des membres, des mesures pour les atténuer et de la justification que le traitement est nécessaire et proportionné à la finalité poursuivie. Si, après l'évaluation, le risque résiduel reste élevé et que le responsable du traitement ne peut pas adopter de mesures suffisantes pour le réduire, l'article 36 du RGPD impose une consultation de l'AEPD avant le début du traitement.
Les questionnaires d'aptitude physique — tels que le PAR-Q ou des formulaires équivalents — constituent un autre front de conformité. Ces documents recueillent des informations sur les maladies cardiovasculaires, les blessures, les médicaments ou les contre-indications à l'exercice, ce qui les place dans le champ des données relatives à la santé visées à l'article 9.1 du RGPD. Le traitement de ces informations exige une base légale spécifique au titre de l'article 9.2 — habituellement le consentement explicite de l'article 9.2(a) — et une clause d'information au titre de l'article 13 du RGPD expliquant la finalité du traitement, la durée de conservation et les droits que le membre peut exercer. Il ne suffit pas d'annexer le questionnaire au verso du contrat d'adhésion : le centre sportif doit s'assurer que le membre comprend qu'il communique des données de santé et qu'il donne son consentement de façon distincte et éclairée.
La vidéosurveillance est le troisième élément critique dans les installations sportives. L'article 22 de la LOPDGDD (Loi organique 3/2018) régit le traitement d'images par caméras de sécurité : il exige l'apposition d'une signalétique informative bien visible à tous les accès des zones surveillées, la suppression des images dans un délai maximal d'un mois à compter de leur captation — sauf si elles sont liées à des faits délictueux ou à des incidents nécessitant leur transmission aux autorités ou à des procédures judiciaires — et la garantie que les caméras ne captent pas des zones où la vie privée des personnes serait violée. L'installation de caméras dans les vestiaires, les toilettes ou les douches constitue une infraction grave au RGPD et à la LOPDGDD et peut donner lieu à des procédures de sanction devant l'AEPD.
Les mandats de prélèvement bancaire des cotisations mensuelles et les données de paiement des membres complètent la cartographie des traitements. Bien que l'IBAN et les données de paiement ne soient pas des catégories particulières, leur traitement requiert une base légale au titre de l'article 6 du RGPD — habituellement l'exécution du contrat conformément à l'article 6.1(b) — et des mesures de sécurité appropriées au risque conformément à l'article 32 du RGPD, comprenant le chiffrement des informations, le contrôle des accès internes et la gestion des contrats avec les sous-traitants (plateformes de gestion des membres, prestataires de paiement et organismes de recouvrement). Summum Consultoría accompagne le centre sportif dans l'identification et la documentation de tous ces traitements, la mise en œuvre des mesures techniques et organisationnelles appropriées et la formation de l'équipe pour que la conformité soit effective au quotidien dans l'installation.