Le Premier ministre,
Sur le rapport du ministre du budget, des comptes publics et de la réforme de l'Etat,
Vu la directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 modifiée prévoyant une
procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux
services de la société de l'information, et notamment la notification no 2010/0057/F ;
Vu le code civil, notamment son article 1er ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi no 2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur
des jeux d'argent et de hasard en ligne ;
Vu le décret no 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé
« Agence nationale de la sécurité des systèmes d'information » ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 12 mai 2010 ;
Le Conseil d'Etat (section des finances) entendu,
Vu l'urgence,
Décrète :
CHAPITRE Ier
Définitions
Art. 1er. - Au sens du présent décret :
1° Les données tracées s'entendent des données électroniques échangées entre chaque joueur et l'opérateur
qui doivent être conservées dans le support matériel d'archivage, en application de l'article 31 de la loi du
12 mai 2010 susvisée ;
2° Le support matériel d'archivage s'entend du dispositif technique, tel que mentionné à l'article 31 de la loi
du 12 mai 2010 susvisée, mis en place pour recueillir, mettre en forme et conserver les données tracées ; il est
composé d'un capteur et d'un coffre-fort ; le capteur s'entend de la partie du support matériel d'archivage
dédiée à la fonction de recueil et de mise en forme des données tracées ; le coffre-fort s'entend de la partie du
support matériel d'archivage dédiée à la fonction de sécurisation et de conservation de ces données ;
3° La plate-forme s'entend du système d'information de l'opérateur contenant notamment les informations
personnelles liées au joueur et le logiciel de jeu.
CHAPITRE II
Support matériel d'archivage
Art. 2. - Avant toute activité de jeu ou de pari, l'opérateur déclare auprès de l'Autorité de régulation des
jeux en ligne la mise en fonctionnement du support matériel d'archivage dans les conditions prévues par le
dossier des exigences techniques mentionné à l'article 11.
Afin de garantir que son fonctionnement est conforme aux spécifications du présent décret et aux
dispositions du dossier des exigences techniques, le support matériel d'archivage fait l'objet, dans le délai de
six mois à compter de sa date de mise en fonctionnement, de la certification mentionnée au II de l'article 23 de
la loi du 12 mai 2010 susvisée.
Art. 3. - Le support matériel d'archivage est développé et exploité sous la seule responsabilité de
l'opérateur.
L'opérateur redirige vers le support matériel d'archivage les connexions des joueurs telles que mentionnées à
l'article 24 de la loi du 12 mai 2010 susvisée.
Les échanges électroniques entre le joueur, le support matériel d'archivage et la plate-forme de l'opérateur
sont sécurisés de sorte que soient garanties leur authentification et leur confidentialité.
Le support matériel d'archivage doit être au moins doté de quatre fonctions :
1° Recueil et mise en forme des données tracées ;
2° Conservation de ces données ;
3° Consultation et extraction de ces données ;
4° Administration et gestion des utilisateurs du support matériel d'archivage.
Art. 4. - La conception du coffre-fort garantit :
1° Que seuls les agents de l'Autorité de régulation des jeux en ligne peuvent déchiffrer le contenu des
données qui y sont conservées ;
2° Que toute suppression ou altération de ces données, malveillante ou non, est identifiable par ces agents ;
3° Que la gestion des droits d'accès au coffre ne peut être réalisée que par des agents de l'Autorité de
régulation des jeux en ligne.
L'Agence nationale de la sécurité des systèmes d'information se prononce sur la conception du coffre-fort au
regard des garanties exigées.
Art. 5. - Le coffre-fort contient deux espaces de conservation des données, l'un pour les données
d'administration du support matériel d'archivage, l'autre pour les données tracées. Lorsque l'opérateur dispose
de plusieurs agréments, le coffre-fort contient un espace de conservation des données tracées par activité de jeu
ou de pari faisant l'objet d'un agrément.
Les données tracées et conservées dans le coffre-fort sont chiffrées de manière à en garantir la
confidentialité. Elles sont horodatées, chaînées et scellées de manière à ce qu'elles ne puissent être altérées et à
ce que tout ajout, suppression ou modification soit détectable par les agents de l'Autorité de régulation des jeux
en ligne.
Les données tracées font l'objet d'un codage spécifique correspondant aux catégories d'informations
précisées dans le dossier des exigences techniques et portant notamment sur :
1° L'identifiant du joueur, ou « login », saisi par le joueur pour s'identifier auprès de l'opérateur ;
2° Le pseudonyme du joueur ou « pseudo », c'est-à-dire le nom d'emprunt que se donne le joueur dans le
cadre de ses activités de jeu ;
3° L'« adresse IP » du joueur, c'est-à-dire l'adresse dite « Internet Protocol » du terminal depuis lequel le
joueur se connecte au site de l'opérateur ;
4° Toute autre donnée relative à un événement de jeu ou de pari ou concourant à la formation du solde du
compte joueur.
CHAPITRE III
Contrôle des données du support matériel d'archivage
par l'Autorité de régulation des jeux en ligne
Art. 6. - L'Autorité de régulation des jeux en ligne peut accéder aux données conservées dans le coffre-fort
du support matériel d'archivage soit sur le site d'hébergement de ce dernier, soit en téléchargeant ces données à
distance. A cette fin, l'opérateur fournit à l'autorité une version des outils d'extraction et de validation des
données que celle-ci pourra utiliser dans ses locaux.
Les données restent accessibles sur le site d'hébergement du support matériel d'archivage durant toute leur
durée de conservation exigée à l'article 10. Les données accessibles à distance doivent couvrir au moins les
douze derniers mois d'activité de l'opérateur.
Les agents de l'Autorité de régulation des jeux en ligne mentionnés au II de l'article 42 de la loi du
12 mai 2010 susvisée peuvent se rendre à tout moment sur le site d'hébergement du support matériel
d'archivage pour saisir l'ensemble ou un sous-ensemble des données qui y sont conservées. A cette fin, ils
informent au moins deux heures à l'avance le représentant de l'opérateur mentionné au cinquième alinéa de
l'article 16 de cette même loi de leur intention d'accéder à ce site et de l'heure à laquelle cet accès devra leur
être donné.
CHAPITRE IV
Données mises à disposition
de l'Autorité de régulation de jeux en ligne
Art. 7. - Les données mentionnées à l'article 8 sont mises à la disposition de l'Autorité de régulation des
jeux en ligne :
1° Par l'accès permanent au support matériel d'archivage dont dispose l'autorité ;
2° Par la transmission périodique à l'autorité de données, exhaustives ou agrégées, extraites de la plate-forme
de l'opérateur ;
3° A la suite d'une demande ponctuelle formulée par l'autorité.
Art. 8. - Les données que l'opérateur est tenu de mettre à la disposition de l'Autorité de régulation des
jeux en ligne dès le commencement de son activité, sous forme exhaustive ou agrégée, portent sur :
1° Toute information détenue par l'opérateur concernant chaque joueur, et notamment les informations
suivantes : nom, prénoms, sexe, date et lieu de naissance, adresse postale du domicile, le cas échéant adresse de
courrier électronique, identifiant permettant l'accès au compte joueur, date d'ouverture du compte joueur,
référence du compte de paiement tel que mentionné au dernier alinéa de l'article 17 de la loi du 12 mai 2010
susvisée, sur lequel l'opérateur reversera, le cas échéant, les avoirs du joueur ;
2° Les opérations de compte réalisées par les joueurs ;
3° Les opérations de jeu réalisées par les joueurs ainsi que toute donnée concourant à la formation du solde
du compte joueur ;
4° Le catalogue des jeux et paris proposés ;
5° Le tirage des cartes réalisé par le générateur de nombres aléatoires pour l'organisation des jeux de cercle ;
6° Les profils des joueurs et leurs comportements de jeu ;
7° Les offres promotionnelles attribuées par l'opérateur sous quelque forme que ce soit, y compris les lots en
nature et leur utilisation par les joueurs ;
8° La gestion de la plate-forme de jeu et les incidents techniques ;
9° Les contrôles menés par ses soins et leurs résultats, ainsi que les incidents de jeu et les opérations
frauduleuses détectés ;
10° L'évolution et la maintenance des matériels, plate-formes et logiciels de jeu utilisés.
Art. 9. - La liste détaillée des données mentionnées à l'article 8, la périodicité de leur transmission prévue
au 2° de l'article 7 ainsi que les formats associés sont précisés dans le dossier des exigences techniques.
CHAPITRE V
Délai de conservation des données
Art. 10. - Les données mentionnées à l'article 8 sont conservées pendant une durée de cinq ans. A l'issue
de ce délai, l'opérateur supprime ces données.
Pour les données personnelles déclarées par chaque joueur, le délai de cinq ans mentionné à l'alinéa
précédent court à compter de la clôture du compte joueur correspondant. A l'issue de ce délai, l'opérateur
supprime ces données. Cependant, si aucune opération de jeu ou de pari n'a été réalisée avant la clôture du
compte, ces données sont supprimées dès sa clôture.
CHAPITRE VI
Dispositions finales
Art. 11. - L'Autorité de régulation des jeux en ligne détermine dans un dossier des exigences techniques
les mesures liées à la mise en oeuvre, par les opérateurs, des obligations mentionnées au présent décret.
Art. 12. - Le ministre du budget, des comptes publics et de la réforme de l'Etat est chargé de l'exécution
du présent décret, qui sera publié au Journal officiel de la République française et entrera en vigueur
immédiatement.
Fait à Paris, le 18 mai 2010.
FRANÇOIS FILLON
Par le Premier ministre :
Le ministre du budget, des comptes publics
et de la réforme de l'Etat,
FRANÇOIS BAROIN