ARTICLE
12 May 2026

Fédérations sportives : anticiper les contrôles renforcés de la CNIL en 2026

HA
Haas Avocats

Contributor

Haas Avocats logo
HAAS Avocats, a French law firm, defends and protects national and international clients in the fields of French intellectual property, new information and communication technologies, data protection, e-commerce, e-marketing and business law.
Explore Firm Details
La CNIL annonce des contrôles renforcés en 2026 sur les fédérations sportives françaises, suite à une série de cyberattaques majeures ayant exposé les données de millions de licenciés. Face à cette surveillance accrue...
France Media, Telecoms, IT, Entertainment
Haas Avocats
Your Author LinkedIn Connections
Haas Avocats are most popular:
  • in European Union

Les clubs et fédérations ont enregistré une hausse significative des inscriptions, dopant les effectifs de licenciés. Mais qui dit plus de succès dit explosion du volume de données personnelles traitées par des structures souvent peu préparées à assumer juridiquement ce flux.

Le 3 avril 2026, la Commission nationale de l’informatique et des libertés (« CNIL ») a officialisé ses thématiques prioritaires de contrôle pour l’année en cours. Parmi les trois axes retenus figure, sans ambiguïté, le secteur des fédérations sportives. La CNIL l’indique clairement : ce choix n’est pas seulement la conséquence des JO mais aussi la réponse directe à une vague de cyberattaques qui a frappé le sport français depuis fin 2024, révélant des vulnérabilités énormes dans la protection des données de millions de licenciés.

Consciente du sujet, la CNIL a publié ces dernières années de nombreux outils pédagogiques à destination du monde sportif : guide sur les licences sportives, questions-réponses sur le sport amateur, fiches pratiques sur les données de santé des sportifs de haut niveau… L’autorité avait posé le cadre. Désormais, elle passe à l’étape du contrôle.

Une vague de cyberattaques comme déclencheur

Le déclencheur de ce périmètre prioritaire est autant sécuritaire que réglementaire. Depuis l’automne 2025, la liste des fédérations victimes de violations de données s’est allongée mois après mois :

  • La Fédération française de handball (FFHB) a révélé en décembre 2025 sur le logiciel utilisé par les clubs, les comités et les ligues « pour leur gestion administrative »1;
  • La Fédération française de tir (FFTir) a subi une intrusion fin 2025, concernant potentiellement 274 000 licenciés2;
  • La Fédération française de football (FFF) a confirmé, en novembre 2025, une cyberattaque concernant le logiciel utilisé par les clubs pour leur gestion administrative et notamment celle de leurs licenciés3;
  • La Fédération française d’athlétisme (FFA) a notifié une cyberattaque sur son logiciel de gestion de données des licenciés en février 2026 ;
  • Plus largement, le Ministère des Sports, de la Jeunesse et de la Vie associative a, lui aussi pris connaissance d’une exfiltration de données issue de l’un de ses systèmes d’information en décembre 20254.

Le butin est effectivement tentant pour les pirates de tout bord : Certificats médicaux, numéros de licence, données d’état civil, informations relatives à des infractions, coordonnées de mineurs… les fédérations sportives gèrent des données dont la sensibilité dépasse de très loin ce que leur modèle associatif traditionnel laisse supposer…

Quels sont les principaux points de vulnérabilité ?

VULNERABILITE DESCRIPTION VERIFICATION CNIL
Durées de conservation Conserver des données au-delà de la durée nécessaire à la finalité pour laquelle elles ont été collectées constitue une violation du RGPD5.

Par exemple pour les clubs, cela signifie que les données d’un ancien licencié ne doivent pas rester indéfiniment dans les bases de données de la fédération ou du club.

 La CNIL vérifiera que les structures sportives ont défini et effectivement mis en œuvre des durées de conservation différenciées selon les catégories de données : durée de vie de la licence active, période d’archivage pour des besoins légaux (contentieux, comptabilité), puis suppression ou anonymisation.

Les données de santé, les données relatives aux mineurs et les données liées à des infractions feront l’objet d’une attention toute particulière, compte tenu de leur nature sensible.
Minimisation La fédération ou le club collectent-ils trop d’informations ? La CNIL vérifiera que seules les données strictement nécessaires à la gestion de la licence ou de la compétition sont demandées6.

Par exemple, la conservation d’un historique médical complet au lieu d’un simple certificat médical pourrait être analysée.
Sécurité des systèmes Les vecteurs de vulnérabilité son nombreux en termes de sécurité technique et organisationnelle7. Cela pourrait par exemple concerner :

· Procédure d’authentification ;

· Gestion du BYOD ;

· Cloisonnement ;

· Chiffrement ;

· Sauvegarde ;

· Sensibilisation des acteurs ;

· Procédures mises en place ; etc

C’est sans doute le point de contrôle le plus critique au regard des incidents récents.

 La CNIL vérifiera que les fédérations et leurs clubs affiliés ont mis en place des mesures de sécurité techniques et organisationnelles adaptées aux risques.

Comment anticiper ? les solutions pour se préparer

Face à cette annonce, les fédérations et les clubs ne sont pas démunis. Une démarche structurée en plusieurs étapes permet de se préparer efficacement.

Etape 1 : Prévention & sensibilisation

La priorité est de s’appuyer sur les ressources que la CNIL a elle-même publiées (guides articles, etc).

En parallèle, il convient de sensibiliser les différents opérationnels à ces ressources et à la protection des données de manière générale.

Etape 2 : Réaliser un audit de ses traitements de données.

Il s’agit d’identifier et d’analyser l’ensemble des traitements opérés. Ces analyses comprennent l’intégralité des données collectées, leurs finalités, leurs destinataires et leurs durées de conservation.

Si cela n’est pas déjà fait, il convient d’initier ou de mettre à jour le registre des activités de traitement.

Etape 3 : Désigner ou mandater un délégué à la protection des données (DPO).

Pour les acteurs qui traitent des données à grande échelle, notamment des données de santé ou de mineurs, la désignation d’un DPO peut être obligatoire.

Même lorsqu’elle ne l’est pas, recourir à un DPO (internalisé ou externalisé) constitue une garantie précieuse de suivi de la conformité dans le temps.

Assistance en cas de contrôle : savoir comment réagir

Un contrôle de la CNIL n’est jamais un moment agréable pour un organisme, mais le préparer facilite grandement les choses.

La CNIL peut se présenter sur site, procéder à des contrôles en ligne ou adresser des questionnaires. Dans tous les cas, la coopération est impérative (le défaut de coopération avec la CNIL est lui-même un manquement sanctionnable).

Pour être préparé, il convient d’identifier en amont les interlocuteurs qui seront mobilisés en cas de contrôle (direction, DPO, DSI, responsable juridique) et de définir une procédure claire pour accueillir les opérationnels.

En outre, la capacité à produire rapidement les documents de conformité demandés, comme le registre des traitements, est essentielle dans le cadre d’un contrôle.

Les risques : sanctions RGPD et atteinte à la réputation

Si les sanctions peuvent grimper jusqu’à 20 millions d’euros (ou 4 % du chiffre d’affaires)8 pour les cas graves, les structures plus modestes ne sont pas épargnées grâce à une procédure simplifiée prévoyant des amendes allant jusqu’à 20 000 euros9.

Cependant, pour une fédération, le risque le plus douloureux reste celui de l’image. Une sanction rendue publique ou une fuite de données (surtout si elle concerne des mineurs) peut briser le lien de confiance entre les différents acteurs.

Alors que le grand public et les médias sont de plus en plus vigilants face aux cyberattaques, une faille de sécurité n’est plus perçue comme une fatalité technique, mais comme une défaillance de responsabilité.

Une fois les données exfiltrées sur le darknet, le préjudice pour la crédibilité de la fédération est souvent durable et bien plus difficile à réparer qu’une simple amende.

À l’heure où les fédérations sportives accélèrent leur transformation numérique, la question n’est plus de savoir si elles seront contrôlées, mais quand (et même avec quel niveau de préparation).

Les priorités affichées par la CNIL pour 2026 traduisent une attente forte : celle d’organisations capables de concilier performance sportive, gestion des données et sécurité numérique. Reste à voir si le secteur va suivre… A méditer.

Footnotes

1 https://www.ffhandball.fr/actualite/lactualite-federale/incident-de-securite-informatique-communication-de-la-ffhandball/

2 https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/violation-de-donnees-personnelles-fftir-202511

3 https://www.fff.fr/article/15831-communique-du-26-novembre-relatif-au-vol-de-donnees.html

4 https://www.sports.gouv.fr/exfiltration-de-donnees-provenant-d-un-des-systemes-d-information-du-ministere-10048

5 Article 5 du RGPD

6 Article 5 du RGPD

7 Article 32 du RGPD

8 Article 83 du RGPD

9 Article 22-1 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

[View Source]
Authors
Photo of Haas Avocats
Haas Avocats
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More