惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

人人都是产品经理
人人都是产品经理
MyScale Blog
MyScale Blog
Y
Y Combinator Blog
罗磊的独立博客
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
P
Proofpoint News Feed
Google DeepMind News
Google DeepMind News
V
Vulnerabilities – Threatpost
T
The Blog of Author Tim Ferriss
云风的 BLOG
云风的 BLOG
Recorded Future
Recorded Future
N
News and Events Feed by Topic
B
Blog RSS Feed
阮一峰的网络日志
阮一峰的网络日志
博客园_首页
C
CXSECURITY Database RSS Feed - CXSecurity.com
博客园 - 【当耐特】
N
Netflix TechBlog - Medium
博客园 - 叶小钗
B
Blog
Vercel News
Vercel News
T
Tenable Blog
T
The Exploit Database - CXSecurity.com
Spread Privacy
Spread Privacy
T
Threat Research - Cisco Blogs
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
Last Week in AI
Last Week in AI
F
Fortinet All Blogs
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Microsoft Security Blog
Microsoft Security Blog
S
Securelist
Microsoft Azure Blog
Microsoft Azure Blog
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
P
Palo Alto Networks Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
D
DataBreaches.Net
Cyberwarzone
Cyberwarzone
Engineering at Meta
Engineering at Meta
Martin Fowler
Martin Fowler
G
GRAHAM CLULEY
Project Zero
Project Zero
Cisco Talos Blog
Cisco Talos Blog
A
Arctic Wolf
C
CERT Recently Published Vulnerability Notes
L
LangChain Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
C
Check Point Blog
A
About on SuperTechFans
W
WeLiveSecurity
The GitHub Blog
The GitHub Blog

RSS - Actualités CNIL

Revoir le webinaire : Nouveau téléservice santé et recherche, ce qui change pour vos demandes d’autorisation Travail, ressources humaines : le contrôle de l’activité des personnes employées Le CEPD met en lumière l’anonymisation et le moissonnage pour l’IA générative et adopte la version finale des lignes directrices sur la chaîne de blocs Géolocalisation et applications mobiles : quelles règles pour protéger les données des utilisateurs ? Géolocalisation et applications mobiles : comment protéger vos données ? La CNIL a prononcé 23 nouvelles sanctions depuis janvier au titre de la procédure simplifiée Le métier de DPO à l’heure de l’intelligence artificielle : publication des résultats de l’enquête Ordre du jour de la séance plénière du 2 juillet 2026 Véhicules connectés : dans quelles conditions vos données de localisation peuvent être utilisées ? Véhicules connectés : la CNIL publie sa recommandation sur l’utilisation des données de localisation Technologies émergentes et protection des mineurs : les autorités de protection des données du G7 s’accordent sur des principes clés Victimes de violations de données : restez vigilants face aux offres d’accompagnement Quatre auteurs reçoivent le deuxième prix CNIL/EHESS pour leur recherche sur la réception du règlement IA par les citoyens européens Informations publiques Remise du prix « Protection de la vie privée » 2026 par la CNIL et l’Inria Élections professionnelles dans la fonction publique et vote électronique : comment transmettre les rapports d’expertise à la CNIL ? Sécurité des données : les règles essentielles pour protéger les données et votre activité Ordre du jour de la séance plénière du 18 juin 2026 Nomination de Jean-Michel FIETIER au poste de directeur administratif et financier de la CNIL Revoir le webinaire - Pixels de suivi dans les courriels : présentation des recommandations de la CNIL Le CEPD rencontre le commissaire européen McGrath et adopte un modèle commun de notification des violations de données Communications par voie électronique aux prospects et clients : quelles règles respecter ? Ordre du jour de la séance plénière du 4 juin 2026 Quelles qualifications pour les acteurs de l’informatique en nuage (cloud) ? Données de santé : sanction de 5 millions d’euros à l’encontre de la société IQVIA Ordre du jour de la séance plénière du 28 mai 2026 « IA générative et vie privée » : une affiche coproduite par la PIPC et la CNIL pour sensibiliser les utilisateurs d’IA à la protection de leurs données Cyberattaque : le sous-traitant au centre de la crise Recherche en santé : la CNIL met à jour et élargit le champ des méthodologies de référence 001 et 003 Ordre du jour de la séance plénière du 21 mai 2026 Rapport annuel : le bilan et les actions marquantes de la CNIL en 2025 Confidentialité de l’euro numérique : où en sommes-nous ? Les lunettes connectées : la CNIL appelle à la vigilance Demandes de crédit : comprendre l’utilisation de vos données et vos droits Octroi de crédit : la CNIL publie sa recommandation sur l’utilisation de données personnelles pour l’évaluation de la solvabilité Privacy Research Day : participez à la journée dédiée à la recherche sur la vie privée Les membres et les résultats Médiathèque G7 2026 : la CNIL accueille à Paris la Table ronde des autorités de protection des données et de la vie privée Vue d’ensemble Ordre du jour de la séance plénière du 5 mai 2026 IA conversationnelle et santé mentale des jeunes : résultats de l’enquête européenne Revoir le webinaire - Usages numériques des enfants : comment sensibiliser les parents-salariés ? Commerce de détail : la CNIL approuve le code de conduite porté par l’Alliance du Commerce Le rapport d’activité du DPO : piloter la conformité et valoriser ses actions Vote par correspondance électronique : la CNIL met à jour sa recommandation Lignes directrices pour la recherche scientifique et certification : les derniers documents adoptés par le CEPD Revoir le webinaire - Élections municipales 2026 : quelles sont les nouvelles règles de ciblage électoral ? AIPD : le CEPD lance une consultation publique sur un modèle européen Ordre du jour de la séance plénière du 16 avril 2026 Les sanctions prononcées par la CNIL Pixels de suivi dans les courriers électroniques : vous devez être mieux informés Pixels de suivi dans les courriers électroniques : la CNIL publie ses recommandations pour mieux protéger la vie privée Municipales 2026 : le bilan de l’observatoire des élections de la CNIL Outil PIA : téléchargez et installez le logiciel de la CNIL Accompagnement des professionnels : le programme de travail de la CNIL pour 2026 Les webinaires de la CNIL Désigner un délégué à la protection des données (DPO) ou modifier une désignation Les contrôles en 2026 : recrutement, répertoire électoral unique et fédérations sportives Ordre du jour de la séance plénière du 2 avril 2026 Gestion des ressources humaines : la CNIL publie un référentiel de durées de conservation Revoir le webinaire - Développement d’un système IA, webscraping : comment mobiliser la base légale de l’intérêt légitime ? Données post mortem : publication du cahier air2025 sur l’éthique des traces numériques
Jeux d’argent et de hasard : appliquer le RGPD aux traitements de données des joueurs
CNIL · 2026-07-02 · via RSS - Actualités CNIL

Les opérateurs de jeux d’argent et de hasard doivent concilier les exigences du RGPD avec leurs obligations sectorielles. Pour accompagner les acteurs dans cette démarche, l’ANJ a élaboré, en concertation avec la CNIL, un guide apportant des repères pratiques.

Un guide pour articuler RGPD et réglementation des jeux

Les opérateurs de jeux d’argent et de hasard (opérateurs titulaires de droits exclusifs, opérateurs de jeux en ligne, casinos et clubs de jeux) traitent quotidiennement un volume important de données personnelles concernant les joueurs : identité, coordonnées, données bancaires et opérations financières, activité de jeux, etc.

Ces traitements doivent respecter le RGPD tout en répondant à des obligations sectorielles spécifiques, notamment en matière de prévention du jeu excessif ou de lutte contre le blanchiment de capitaux et le financement du terrorisme.

Pour les accompagner, l’Autorité nationale des jeux (ANJ) a publié, en concertation étroite avec la CNIL, un guide destiné à clarifier l’application des règles de protection des données dans ce secteur particulier. Il n’a pas de visée prescriptive mais apporte des recommandations pour aider les acteurs à se mettre en conformité.

À noter : le guide couvre uniquement les traitements de données personnelles mis en œuvre dans le cadre des activités de jeux d’argent et de hasard relevant de la compétence de l’ANJ. Les traitements liés à la gestion générale de l’entreprise (ressources humaines, comptabilité, gestion financière etc.) n’entrent pas dans son périmètre.

Une expertise croisée au service des opérateurs

Élaboré par l’ANJ avec la contribution active de la CNIL, le Guide relatif aux traitements des données personnelles pour le secteur des jeux d’argent et de hasard est le fruit d’une collaboration entre les deux autorités.

Il vise à apporter aux opérateurs des repères pratiques tenant compte à la fois :

  • des exigences du RGPD et de la protection des données personnelles des joueurs ;
  • des obligations sectorielles applicables aux jeux d’argent et de hasard et des objectifs de régulation poursuivis par l’ANJ.

Cette approche conjointe permet de proposer des recommandations adaptées aux spécificités du secteur tout en garantissant un haut niveau de protection des personnes concernées.

Télécharger le guide

Les principaux repères apportés par le guide

Après un rappel des principes fondamentaux du RGPD, le guide propose des repères opérationnels pour aider les opérateurs à les appliquer.

Il apporte notamment des précisions sur trois thématiques centrales :

  • la gestion des comptes joueurs et la prospection commerciale ;
  • la prévention du jeu excessif ou pathologique ;
  • la lutte contre le blanchiment de capitaux et le financement du terrorisme.

Pour chacune de ces thématiques, le guide précise bases légales appropriées, les droits des personnes concernées et les conditions permettant de garantir que les traitements sont proportionnés par rapport aux finalités poursuivies.

Gestion des comptes joueurs et prospection commerciale

Identifier la adaptée à chaque finalité de traitement

Le guide apporte aux opérateurs des repères pratiques pour identifier la base juridique appropriée à chaque traitement mis en œuvre dans le cadre de la gestion de la relation avec les joueurs. Il précise notamment les fondements juridiques applicables à l’ouverture et à la gestion des comptes joueurs, au traitement des réclamations, aux programmes de fidélité, aux statistiques ou encore à la gestion des contentieux.

Des repères sur les durées de conservation

Le guide propose des durées de conservation adaptées aux différentes finalités de traitement mises en œuvre par les opérateurs. Il rappelle notamment que certaines données doivent être conservées pendant 6 ans à compter de la clôture du compte joueur correspondant, en application de la réglementation sectorielle.

Il précise également les durées recommandées pour d'autres traitements, tels que la prospection commerciale, les programmes de fidélité, les contentieux ou encore les traitements statistiques, conformément à la doctrine de la CNIL en matière de gestion des activités commerciales.

Prévention du jeu excessif ou pathologique 

Des traitements dédiés à la prévention du jeu excessif

Les opérateurs de jeux d’argent et de hasard sont légalement tenus de mettre en œuvre des dispositifs destinés à prévenir le jeu excessif ou pathologique. Le guide précise les traitements de données pouvant être réalisés à cette fin, notamment pour identifier les situations à risque, accompagner les joueurs concernés ou mettre en œuvre les dispositifs d’auto-exclusion et d’autolimitation.

Une approche fondée sur les principes de et de proportionnalité

Le guide apporte des repères sur les données susceptibles d’être utilisées pour détecter les comportements de jeu à risque, tout en rappelant l’importance du respect des principes de nécessité, de proportionnalité et de minimisation des données.

Le guide recommande, par exemple, que :

  • l’ensemble des données ne soient pas systématiquement collectées. Par exemple, certaines données ne peuvent être collectées que lorsque des évènements significatifs surviennent au cours de la pratique de jeu. C’est le cas pour les données concernant l’attitude du joueur qui ne peuvent être collectées que si elle est atypique ;
     
  • les opérateurs ne retranscrivent pas les échanges avec les proches dans le dossier du joueur mais consignent l’existence de l’alerte et, si nécessaire, la nature générique de l’alerte (par exemple : « difficultés financières », « conflits familiaux », « isolement », « vulnérabilité particulière »).

Identifier les situations à risque est traitement de données de santé

Le guide précise en outre que l’identification d’un joueur présentant un risque de jeu excessif ou pathologique constitue un traitement de données de santé, au sens du RGPD. Des garanties renforcées doivent ainsi être mises en œuvre, notamment en matière de sécurité et de réalisation d’une analyse d’impact sur la protection des données.

Le cadre applicable aux outils algorithmiques permettant de détecter les situations à risque

Enfin, le guide encadre le recours aux outils algorithmiques utilisés pour détecter les situations à risque.

L’article 22 du RGPD encadre les processus de prise de décision entièrement automatisés, lorsqu’elles produisent des effets juridiques ou significatifs. Le RGPD prévoit des garanties dans ces cas pour éviter que les personnes concernées ne subissent des décisions émanant uniquement « de machines ».

Le guide souligne que les opérateurs de jeux qui ont recours à des outils algorithmiques pour identifier les joueurs excessifs ou pathologiques n’y sont pas soumis lorsque :

  • le joueur reçoit des messages de prévention ne comportant pas de décisions qui produisent des effets juridiques ou significatifs ;
     
  • une vérification humaine (par l’opérateur de jeux) a lieu avant toute décision produisant des effets juridiques ou significatifs sur le joueur. Le guide rappelle, selon les règles applicables au secteur des jeux d’argent et de hasard, que toutes les décisions entrainant une restriction unilatérale de la possibilité de jouer devront faire l’objet d’une supervision humaine.

Lutte contre le blanchiment et le financement du terrorisme (LCB-FT)

Des traitements fondés sur une obligation légale

Le guide précise les traitements de données que les opérateurs peuvent mettre en œuvre pour satisfaire à leurs obligations de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT). Il rappelle que les principaux traitements mis en œuvre dans le cadre de la LCB-FT (mesures de vigilance à l’égard de la clientèle, détection des opérations atypiques, déclarations de soupçon ou encore mise en œuvre des mesures de gel des avoirs) reposent sur le respect d'une obligation légale.

Une approche fondée sur les risques et la proportionnalité

Le guide souligne également que les objectifs du RGPD et ceux de la règlementation LCB-FT peuvent se coordonner autour d’une logique commune d’analyse des risques et de proportionnalité.

Les opérateurs doivent ainsi collecter uniquement les données nécessaires à l’évaluation du risque présenté par chaque joueur, et ne collecter que les données strictement nécessaires à cette évaluation. Le guide apporte, à ce titre, des précisions sur les catégories de données pouvant être collectées dans le cadre des obligations de vigilance renforcée. Il rappelle à cet égard que ces collectes ne peuvent être systématiques et doivent respecter le principe de minimisation.

Enfin, le document met en avant les garanties particulières qui doivent entourer ces traitements : limitation des accès aux personnes habilitées, interdiction de réutiliser les données à d’autres fins (sauf exceptions prévues par la loi), durées de conservation encadrées, obligation de réaliser une analyse d’impact relative à la protection des données, etc.