Jeux d’argent et de hasard : appliquer le RGPD aux traitements de données des joueurs 02 juillet 2026 Les opérateurs de jeux d’argent et de hasard doivent concilier les exigences du RGPD avec leurs obligations sectorielles. Pour accompagner les acteurs dans cette démarche, l’ANJ a élaboré, en concertation avec la CNIL, un guide apportant des repères pratiques. Diminuer la taille de la police Augmenter la taille de la police Un guide pour articuler RGPD et réglementation des jeux Les opérateurs de jeux d’argent et de hasard (opérateurs titulaires de droits exclusifs, opérateurs de jeux en ligne, casinos et clubs de jeux) traitent quotidiennement un volume important de données personnelles concernant les joueurs : identité, coordonnées, données bancaires et opérations financières, activité de jeux, etc. Ces traitements doivent respecter le RGPD tout en répondant à des obligations sectorielles spécifiques, notamment en matière de prévention du jeu excessif ou de lutte contre le blanchiment de capitaux et le financement du terrorisme.
Pour les accompagner, l’Autorité nationale des jeux (ANJ) a publié, en concertation étroite avec la CNIL, un guide destiné à clarifier l’application des règles de protection des données dans ce secteur particulier. Il n’a pas de visée prescriptive mais apporte des recommandations pour aider les acteurs à se mettre en conformité. À noter : le guide couvre uniquement les traitements de données personnelles mis en œuvre dans le cadre des activités de jeux d’argent et de hasard relevant de la compétence de l’ANJ.
Les traitements liés à la gestion générale de l’entreprise (ressources humaines, comptabilité, gestion financière etc.) n’entrent pas dans son périmètre. Une expertise croisée au service des opérateurs Élaboré par l’ANJ avec la contribution active de la CNIL, le Guide relatif aux traitements des données personnelles pour le secteur des jeux d’argent et de hasard est le fruit d’une collaboration entre les deux autorités. Il vise à apporter aux opérateurs des repères pratiques tenant compte à la fois : des exigences du RGPD et de la protection des données personnelles des joueurs ; des obligations sectorielles applicables aux jeux d’argent et de hasard et des objectifs de régulation poursuivis par l’ANJ.
Cette approche conjointe permet de proposer des recommandations adaptées aux spécificités du secteur tout en garantissant un haut niveau de protection des personnes concernées. Télécharger le guide Les principaux repères apportés par le guide Après un rappel des principes fondamentaux du RGPD, le guide propose des repères opérationnels pour aider les opérateurs à les appliquer. Il apporte notamment des précisions sur trois thématiques centrales : la gestion des comptes joueurs et la prospection commerciale ; la prévention du jeu excessif ou pathologique ; la lutte contre le blanchiment de capitaux et le financement du terrorisme.
Pour chacune de ces thématiques, le guide précise bases légales appropriées, les droits des personnes concernées et les conditions permettant de garantir que les traitements sont proportionnés par rapport aux finalités poursuivies. Gestion des comptes joueurs et prospection commerciale Identifier la base légale adaptée à chaque finalité de traitement Le guide apporte aux opérateurs des repères pratiques pour identifier la base juridique appropriée à chaque traitement mis en œuvre dans le cadre de la gestion de la relation avec les joueurs. Il précise notamment les fondements juridiques applicables à l’ouverture et à la gestion des comptes joueurs, au traitement des réclamations, aux programmes de fidélité, aux statistiques ou encore à la gestion des contentieux.
Des repères sur les durées de conservation Le guide propose des durées de conservation adaptées aux différentes finalités de traitement mises en œuvre par les opérateurs. Il rappelle notamment que certaines données doivent être conservées pendant 6 ans à compter de la clôture du compte joueur correspondant, en application de la réglementation sectorielle. Il précise également les durées recommandées pour d'autres traitements, tels que la prospection commerciale, les programmes de fidélité, les contentieux ou encore les traitements statistiques, conformément à la doctrine de la CNIL en matière de gestion des activités commerciales.
Prévention du jeu excessif ou pathologique Des traitements dédiés à la prévention du jeu excessif Les opérateurs de jeux d’argent et de hasard sont légalement tenus de mettre en œuvre des dispositifs destinés à prévenir le jeu excessif ou pathologique. Le guide précise les traitements de données pouvant être réalisés à cette fin, notamment pour identifier les situations à risque, accompagner les joueurs concernés ou mettre en œuvre les dispositifs d’auto-exclusion et d’autolimitation. Une approche fondée sur les principes de minimisation et de proportionnalité Le guide apporte des repères sur les données susceptibles d’être utilisées pour détecter les comportements de jeu à risque, tout en rappelant l’importance du respect des principes de nécessité, de proportionnalité et de minimisation des données.
Le guide recommande, par exemple, que : l’ensemble des données ne soient pas systématiquement collectées. Par exemple, certaines données ne peuvent être collectées que lorsque des évènements significatifs surviennent au cours de la pratique de jeu. C’est le cas pour les données concernant l’attitude du joueur qui ne peuvent être collectées que si elle est atypique ; les opérateurs ne retranscrivent pas les échanges avec les proches dans le dossier du joueur mais consignent l’existence de l’alerte et, si nécessaire, la nature générique de l’alerte (par exemple : « difficultés financières », « conflits familiaux », « isolement », « vulnérabilité particulière »).
Identifier les situations à risque est traitement de données de santé Le guide précise en outre que l’identification d’un joueur présentant un risque de jeu excessif ou pathologique constitue un traitement de données de santé, au sens du RGPD. Des garanties renforcées doivent ainsi être mises en œuvre, notamment en matière de sécurité et de réalisation d’une analyse d’impact sur la protection des données. Le cadre applicable aux outils algorithmiques permettant de détecter les situations à risque Enfin, le guide encadre le recours aux outils algorithmiques utilisés pour détecter les situations à risque.
L’article 22 du RGPD encadre les processus de prise de décision entièrement automatisés, lorsqu’elles produisent des effets juridiques ou significatifs. Le RGPD prévoit des garanties dans ces cas pour éviter que les personnes concernées ne subissent des décisions émanant uniquement « de machines ». Le guide souligne que les opérateurs de jeux qui ont recours à des outils algorithmiques pour identifier les joueurs excessifs ou pathologiques n’y sont pas soumis lorsque : le joueur reçoit des messages de prévention ne comportant pas de décisions qui produisent des effets juridiques ou significatifs ; une vérification humaine (par l’opérateur de jeux) a lieu avant toute décision produisant des effets juridiques ou significatifs sur le joueur.
Le guide rappelle, selon les règles applicables au secteur des jeux d’argent et de hasard, que toutes les décisions entrainant une restriction unilatérale de la possibilité de jouer devront faire l’objet d’une supervision humaine. Lutte contre le blanchiment et le financement du terrorisme (LCB-FT) Des traitements fondés sur une obligation légale Le guide précise les traitements de données que les opérateurs peuvent mettre en œuvre pour satisfaire à leurs obligations de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT). Il rappelle que les principaux traitements mis en œuvre dans le cadre de la LCB-FT (mesures de vigilance à l’égard de la clientèle, détection des opérations atypiques, déclarations de soupçon ou encore mise en œuvre des mesures de gel des avoirs) reposent sur le respect d'une obligation légale.
Une approche fondée sur les risques et la proportionnalité Le guide souligne également que les objectifs du RGPD et ceux de la règlementation LCB-FT peuvent se coordonner autour d’une logique commune d’analyse des risques et de proportionnalité. Les opérateurs doivent ainsi collecter uniquement les données nécessaires à l’évaluation du risque présenté par chaque joueur, et ne collecter que les données strictement nécessaires à cette évaluation. Le guide apporte, à ce titre, des précisions sur les catégories de données pouvant être collectées dans le cadre des obligations de vigilance renforcée.
Il rappelle à cet égard que ces collectes ne peuvent être systématiques et doivent respecter le principe de minimisation. Enfin, le document met en avant les garanties particulières qui doivent entourer ces traitements : limitation des accès aux personnes habilitées, interdiction de réutiliser les données à d’autres fins (sauf exceptions prévues par la loi), durées de conservation encadrées, obligation de réaliser une analyse d’impact relative à la protection des données, etc. Texte reference Pour aller plus loin Le guide de l’ANJ relatif aux traitements de données personnelles dans le secteur des jeux d’argent et de hasard Protection des données personnelles et jeux d’argent : un guide de bonnes pratiques pour accompagner la conformité des opérateurs de jeux - ANJ #RGPD#Jeux d’argent et de hasard#Autorité nationale des jeux (ANJ) Ceci peut également vous intéresser ... Sécurité des données : les règles essentielles pour protéger les données et votre activité 19 juin 2026 Cybersécurité AIPD : le CEPD lance une consultation publique sur un modèle européen 16 avril 2026 CEPD Outil PIA : téléchargez et installez le logiciel de la CNIL 07 avril 2026 AIPD