RGPD appliqué aux salles de sport : tracking adhérents, biométrie, badges et vidéosurveillance

/ / Published in News Sport Santé

Publié le · Par · Light In Fitness, 6-8 rue Victor Laloux, 37000 Tours · Temps de lecture : 10 minutes

Une salle de sport collecte plus de données personnelles qu’elle ne le réalise : nom, adresse, email, téléphone, coordonnées bancaires, données de santé (certificat médical, questionnaire QS-SPORT), parfois données biométriques (accès par empreinte ou reconnaissance faciale), images de vidéosurveillance, historique de fréquentation, performances enregistrées par le matériel connecté. Chacune de ces données relève du RGPD et du Code de la protection des données. Les sanctions de la CNIL pour non-conformité peuvent atteindre 4 % du chiffre d’affaires annuel ou 20 millions d’euros. Cet article détaille les obligations concrètes pour un gérant de salle en 2026, avec un accent particulier sur les pièges de la biométrie et du tracking connecté.

Le cadre juridique de la protection des données en salle de sport

Deux textes principaux s’appliquent cumulativement : le Règlement Général sur la Protection des Données (RGPD) — règlement (UE) 2016/679, directement applicable en France depuis le 25 mai 2018 — et la loi Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée, qui précise les modalités françaises. L’autorité de contrôle est la CNIL (Commission Nationale de l’Informatique et des Libertés).

Pour une salle de sport, les obligations majeures sont :

  1. Registre des activités de traitement obligatoire (article 30 RGPD) — inventaire des données collectées, finalités, durées, destinataires.
  2. Base légale identifiée pour chaque traitement (contrat, consentement, intérêt légitime, obligation légale).
  3. Information claire des personnes au moment de la collecte (mentions légales, notice RGPD).
  4. Respect des droits des adhérents : accès, rectification, effacement, portabilité, opposition, limitation.
  5. Mesures de sécurité proportionnées au risque (chiffrement, accès limité, authentification).
  6. Notification des violations à la CNIL sous 72 heures.
  7. Contrats avec les sous-traitants (prestataires logiciels, systèmes de paiement, etc.).

Les 5 catégories de données collectées en salle de sport

Catégorie Exemples concrets Niveau de sensibilité
Données d’identification Nom, prénom, adresse, email, téléphone, date de naissance Standard
Données de paiement Coordonnées bancaires (IBAN, RUM pour prélèvement SEPA), historique de paiement Standard (mais exige mesures de sécurité renforcées — DSP2)
Données de santé Certificat médical (ou QS-SPORT), pathologies déclarées, restrictions, données cardio si matériel connecté Sensibles (article 9 RGPD)
Données biométriques Empreinte digitale, reconnaissance faciale (si utilisés pour contrôle d’accès) Sensibles (article 9 RGPD) + régime spécifique
Données de fréquentation et performance Badges d’accès, tracking horaires, données d’équipement connecté (watts, FC, temps, répétitions) Standard à sensibles selon finalité

Les données sensibles exigent une base légale renforcée (consentement explicite ou conditions précises de l’article 9.2 RGPD) et des mesures de sécurité maximales.

Le cas spécifique de la biométrie en salle de sport

C’est le sujet où le plus grand nombre de salles sont en non-conformité. Nombre de clubs utilisent la biométrie (empreinte digitale, reconnaissance faciale ou empreinte palmaire) pour le contrôle d’accès des adhérents, vantant le confort d’usage (« plus de badge à perdre »). Dans la grande majorité des cas, cette pratique est non conforme au RGPD.

La position de la CNIL

La CNIL a publié plusieurs délibérations et fiches pratiques sur la biométrie, synthétisées en 2019 dans ses référentiels. Les principes clés pour le secteur privé (hors contexte spécifique de sécurité d’État) :

  • La biométrie n’est pas justifiée pour un simple contrôle d’accès à une salle de sport. Le principe de proportionnalité (article 5 RGPD) impose qu’aucun moyen moins intrusif ne soit possible — or le badge, la carte d’adhérent ou l’identifiant/mot de passe remplissent la même fonction sans traiter de donnée biométrique.
  • Le consentement ne peut pas suffire si la biométrie est la seule modalité d’accès proposée. Il doit toujours exister une alternative non biométrique disponible sur simple demande, sans majoration ni restriction.
  • Le stockage biométrique doit idéalement être local (sur support individuel de l’adhérent), pas centralisé sur serveur. Le stockage centralisé multiplie les risques en cas de violation.
  • Une analyse d’impact relative à la protection des données (AIPD) est obligatoire avant tout traitement biométrique systématique (article 35 RGPD).

Alerte opérationnelle : une salle de sport qui utilise l’empreinte digitale comme seule modalité d’accès, sans alternative proposée, sans AIPD documentée et sans consentement explicite formalisé, est en non-conformité. Les sanctions observées dans le secteur privé vont de la mise en demeure (qui peut être rendue publique) à des amendes administratives. Le passage au badge RFID ou à un identifiant mot de passe résout le problème.

Les systèmes de gestion d’adhérents : les sous-traitants à encadrer

La plupart des salles utilisent un logiciel de gestion (Resamania, DeciPlus, Planity, BeTomorrow, Heitz System, etc.). Ces prestataires sont des sous-traitants RGPD au sens de l’article 28. Obligations du gérant :

  • Contrat de sous-traitance écrit formalisant les obligations (durée, finalité, mesures de sécurité, sort des données en fin de contrat).
  • Vérification de la localisation des serveurs — si les données transitent hors UE, des garanties supplémentaires sont exigées (clauses contractuelles types, Data Privacy Framework pour les États-Unis).
  • Registre d’accès : les collaborateurs du sous-traitant accédant aux données doivent être listés et limités au strict nécessaire.
  • Notification de violation : le contrat doit imposer au sous-traitant d’informer le gérant en cas de faille, dans un délai compatible avec l’obligation de notification à la CNIL en 72 heures.

Un contrat de sous-traitance manquant ou incomplet est l’un des non-conformités les plus fréquemment relevés lors des contrôles CNIL dans le secteur sportif.

La vidéosurveillance : cadre spécifique

Nombre de salles utilisent la vidéosurveillance (accueil, couloirs, parking). Cela relève d’un double cadre — RGPD pour les données personnelles filmées + Code de la sécurité intérieure pour la vidéoprotection des lieux ouverts au public.

Règles clés

  • Autorisation préfectorale préalable si la vidéoprotection vise des lieux ouverts au public (zone accueil accessible sans adhésion).
  • Information visible par affichage à l’entrée : existence de la surveillance, finalité, durée de conservation, responsable, droits d’accès.
  • Durée de conservation maximale 30 jours sauf incident particulier (conservation alors justifiée par la procédure en cours).
  • Non-filmage des zones privatives (vestiaires, sanitaires, douches) — interdit absolument.
  • Non-filmage permanent des postes de travail des salariés (éducateurs, accueil) — règle du droit du travail cumulée au RGPD.
  • Registre des accès aux images : qui a visionné les images, quand, pour quelle raison.

Les données de santé et le questionnaire QS-SPORT

Depuis la loi du 2 mars 2022, le certificat médical n’est plus obligatoire pour la plupart des pratiquants adultes de sport non compétitif. Il est remplacé par une auto-évaluation via le questionnaire QS-SPORT. Lorsque ce questionnaire ou un certificat médical est demandé, les données de santé relevées sont sensibles au sens du RGPD.

Règles applicables

  • Base légale forte : obligation légale (prescription sport sur ordonnance) ou consentement explicite de l’adhérent.
  • Accès restreint : seuls les personnels habilités (responsable, encadrant direct) accèdent aux données de santé, idéalement via un espace logiciel séparé.
  • Durée de conservation proportionnée : durée d’adhésion + durée légale de conservation des contrats (en général 5 ans). Au-delà, suppression ou archivage sécurisé.
  • Chiffrement au repos et en transit : les bases de données doivent être chiffrées, les transmissions HTTPS.

Matériel connecté et tracking : le nouveau terrain RGPD

Les équipements fitness connectés (tapis, vélos, machines avec écrans tactiles, smart resistance) collectent désormais massivement des données : fréquence cardiaque, puissance (watts), vitesse, répétitions, programme suivi, progression dans le temps. Ces données, associées à un identifiant adhérent, sont des données personnelles au sens du RGPD, et certaines (fréquence cardiaque par exemple) sont assimilables à des données de santé.

Le gérant d’une salle qui propose du matériel connecté doit :

  • Informer clairement les adhérents sur la collecte, les finalités, les destinataires (fabricant du matériel ? application mobile partenaire ?) et les durées.
  • Obtenir le consentement si l’usage principal est l’amélioration produit du fabricant (transmission hors finalité de service à l’adhérent).
  • Vérifier les transferts internationaux — de nombreuses marques de matériel connecté ont leurs serveurs hors UE. L’information de l’adhérent doit le mentionner.
  • Prévoir la portabilité : l’adhérent peut demander ses données dans un format réutilisable en cas de changement de club.

Point stratégique : beaucoup de clubs ne se rendent pas compte qu’en intégrant du matériel connecté propriétaire, ils deviennent responsables conjoints de traitement avec le fabricant. Cette responsabilité conjointe exige un accord écrit qualifiant la répartition des obligations (article 26 RGPD). L’absence d’accord engage la responsabilité du club — même si c’est le fabricant qui traite les données.

Les droits des adhérents : comment répondre en pratique

Chaque adhérent peut exercer 6 droits fondamentaux. Le gérant doit avoir une procédure opérationnelle pour chacun.

Droit Action requise Délai
Droit d’accèsTransmettre l’ensemble des données détenues sur la personne1 mois (prolongeable à 3 mois motivés)
Droit de rectificationCorriger une donnée inexacte signalée par l’adhérent1 mois
Droit à l’effacement (« oubli »)Supprimer les données quand la finalité n’est plus justifiée (sauf obligation légale contraire)1 mois
Droit à la limitationSuspendre le traitement sans supprimer (cas de contestation)1 mois
Droit à la portabilitéFournir les données dans un format structuré et réutilisable1 mois
Droit d’oppositionArrêter un traitement lorsque la personne s’y oppose pour raisons légitimes1 mois

Un exercice de droit non répondu ou répondu hors délai est un motif fréquent de plainte à la CNIL. Mettre en place un email dédié (ex : privacy@clubname.fr) et une procédure interne documentée sécurise le traitement des demandes.

Sanctions et enjeux

Les sanctions de la CNIL peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le plus élevé des deux (article 83 RGPD). En pratique, les sanctions observées dans le secteur fitness restent modérées pour les PME (5 000 à 150 000 €) mais les mises en demeure publiques sont fréquentes et ont un impact réputationnel fort. Les contrôles CNIL se sont intensifiés depuis 2022, avec un focus sur les traitements biométriques, la vidéosurveillance et la conservation des données.

« Le RGPD n’est pas une question juridique en marge du métier : c’est une composante de la relation de confiance avec l’adhérent. Un club qui gère bien ses données protège ses adhérents et se protège lui-même. Un club qui collecte de la biométrie pour « le confort » sans cadre juridique clair prend un risque disproportionné par rapport au bénéfice opérationnel. » — Michaël Galy, directeur Light In Fitness

Ce qu’on retient pour sécuriser la conformité RGPD d’une salle de sport

Les 8 actions à mettre en place ou vérifier

  • Tenir un registre des activités de traitement à jour avec l’inventaire des données, finalités et durées.
  • Renoncer à la biométrie comme seul moyen d’accès. Badge RFID ou identifiant/mot de passe résout le problème. Si la biométrie est conservée, documenter AIPD et proposer une alternative.
  • Rédiger une notice d’information claire remise au moment de l’adhésion, couvrant toutes les finalités de traitement.
  • Formaliser les contrats de sous-traitance avec tous les prestataires logiciels et services tiers.
  • Mettre en place une procédure d’exercice des droits avec email dédié et registre des demandes.
  • Déclarer la vidéosurveillance en préfecture si elle vise des lieux ouverts au public, afficher l’information, limiter la conservation à 30 jours.
  • Cadrer le matériel connecté : accord de responsabilité conjointe avec le fabricant, information des adhérents, vérification des transferts internationaux.
  • Préparer une procédure de notification de violation sous 72 heures — en pratique, identifier dès maintenant qui fait quoi en cas de faille.

Questions fréquentes — RGPD salle de sport

Un gérant de club doit-il désigner un DPO (Délégué à la Protection des Données) ?

Pour la majorité des salles indépendantes : non, la désignation n’est pas obligatoire (sauf traitement massif de données sensibles ou traitement à grande échelle). Elle reste fortement recommandée pour les chaînes et les clubs dépassant 2 000-3 000 adhérents. Un DPO externalisé (avocat, cabinet conseil) peut être une solution économique et conforme.

L’empreinte digitale pour accéder à une salle est-elle vraiment interdite ?

Elle n’est pas juridiquement « interdite », mais elle doit respecter un cadre strict : proportionnalité démontrée, alternative non biométrique disponible, analyse d’impact (AIPD) réalisée, consentement explicite obtenu, stockage local privilégié. Dans les faits, ce cadre est rarement respecté par les salles qui proposent la biométrie — les exposant à une non-conformité. Le badge RFID reste la solution la plus simple et juridiquement sûre.

Combien de temps peut-on conserver les données d’un ancien adhérent ?

Les données actives doivent être supprimées ou anonymisées dès que la finalité n’est plus justifiée (fin de l’adhésion). Les données contractuelles peuvent être archivées pour la durée légale de conservation (5 ans pour les contrats, 10 ans pour les pièces comptables). Au-delà, suppression obligatoire. Un ancien adhérent peut exercer son droit à l’effacement à tout moment, sauf obligation légale contraire.

Light In Fitness collecte-t-il des données sur les utilisateurs du matériel installé ?

Non. Light In Fitness est fournisseur de matériel — nous ne traitons aucune donnée personnelle des utilisateurs finaux (adhérents des clubs). Les équipements connectés des fabricants partenaires peuvent collecter des données, mais ces traitements relèvent du fabricant et du club client, pas de Light In Fitness. Nous accompagnons nos clients dans le choix de matériel cohérent avec leur politique RGPD.

Équiper votre salle avec du matériel cohérent avec votre politique RGPD ?

Light In Fitness vous aide à choisir entre matériel connecté et matériel non connecté selon votre niveau de conformité souhaité, documente les traitements associés au matériel fourni, et oriente vers des solutions d’accès non biométriques.

Demander un devis 06 20 72 66 96

À propos de l’auteurMichaël Galy dirige Light In Fitness depuis Tours (37). Suivi attentif des évolutions RGPD applicables au secteur fitness et aux équipements connectés.

Sources — Règlement (UE) 2016/679 (RGPD). Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée. Délibérations et référentiels CNIL sur la biométrie, la vidéosurveillance et les données de santé. Code de la sécurité intérieure (vidéoprotection). Code du sport. Loi n° 2022-296 du 2 mars 2022 (certificat médical sport).

Avertissement : cet article est informatif et ne constitue pas un conseil juridique personnalisé. Pour une mise en conformité concrète, consultez un avocat en droit des données personnelles ou un DPO qualifié.

Pour aller plus loinERP type X : obligations salle de sport · Accessibilité PMR · Décret tertiaire · Sport sur ordonnance matériel APA

Articles similaires

Michael Galy est fondateur et directeur de Light In Fitness, expert en équipements de fitness et musculation professionnels depuis 2013. Fort de plus de 15 ans d'expérience dans l'équipement sportif professionnel, il accompagne les salles de sport, box CrossFit, hôtels, collectivités et établissements de santé dans leurs projets d'aménagement fitness de A à Z. Consultant reconnu en France et en Europe, Michael Galy a équipé plus de 500 établissements professionnels. Il partage régulièrement son expertise sur les tendances fitness, les normes de sécurité et les meilleures pratiques d'aménagement des espaces sportifs professionnels.

What you can read next

comment brûler les graisses rapidement
Comment brûler les graisses rapidement ?
quel appareil de fitness pour muscler les bras
Quel appareil de fitness pour muscler les bras ?
Yoga régénératif (qu'est-ce que c'est, comment le pratiquer, 13 bienfaits)
Yoga régénératif (qu’est-ce que c’est, comment le pratiquer, 13 bienfaits)