Jeux d'argent en ligne : l'ANJ et la CNIL publient un guide RGPD commun pour les opérateurs
L'Autorité nationale des jeux (ANJ) a publié, en concertation étroite avec la CNIL, un guide dédié à l'application du RGPD dans le secteur des jeux d'argent et de hasard. Casinos, opérateurs de paris en ligne et clubs de jeux disposent enfin de repères pratiques pour concilier leurs obligations sectorielles (prévention du jeu excessif, lutte anti-blanchiment) avec la protection des données de leurs joueurs.
Ce qui s'est passé
Le 2 juillet 2026, la CNIL a annoncé la publication du Guide relatif aux traitements des données personnelles pour le secteur des jeux d'argent et de hasard, rédigé par l'ANJ avec la contribution active de la CNIL. Le document n'a pas de valeur prescriptive, mais il clarifie pour la première fois de façon aussi détaillée comment appliquer le RGPD aux trois grandes familles de traitements du secteur : la gestion des comptes joueurs et la prospection commerciale, la prévention du jeu excessif ou pathologique, et la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT).
Point important : le guide couvre uniquement les traitements liés aux activités de jeu relevant de la compétence de l'ANJ. Les traitements RH, comptables ou financiers classiques des opérateurs restent hors périmètre.
Pourquoi c'est important
Le secteur des jeux d'argent traite un volume massif de données sensibles — identité, coordonnées bancaires, historique de jeu — tout en étant soumis à des obligations réglementaires concurrentes qui, en apparence, tirent dans des directions opposées : le RGPD impose la minimisation des données, quand la LCB-FT ou la prévention du jeu excessif poussent à la surveillance des comportements. Le guide ANJ-CNIL tranche plusieurs zones grises qui faisaient jusqu'ici l'objet d'interprétations disparates.
Trois apports méritent l'attention des DPO du secteur :
D'abord, sur la base légale à mobiliser : le guide détaille les fondements applicables à l'ouverture de compte, aux programmes de fidélité ou à la gestion des contentieux, et précise les durées de conservation recommandées — notamment une conservation de 6 ans après clôture du compte joueur pour certaines données, imposée par la réglementation sectorielle.
Ensuite, sur la qualification juridique : la CNIL confirme que l'identification d'un joueur à risque constitue un traitement de données de santé au sens du RGPD, ce qui déclenche des garanties renforcées, notamment une analyse d'impact (AIPD) obligatoire. Notre guide pour réaliser une AIPD en 5 étapes reste la référence pour cadrer cette démarche.
Enfin, sur les outils algorithmiques de détection des joueurs excessifs : le guide rappelle que l'article 22 du RGPD encadre les décisions entièrement automatisées produisant des effets juridiques ou significatifs. Un opérateur qui déploie un scoring automatique du risque de jeu excessif doit prévoir une supervision humaine réelle avant toute décision restrictive — un sujet que nous suivons de près depuis la consultation britannique de l'ICO sur le contrôle humain effectif des décisions automatisées, qui pointait déjà la difficulté des entreprises à distinguer supervision de façade et intervention réelle.
Ce que ça change pour les organisations
Pour les opérateurs de jeux, trois actions concrètes découlent de ce guide. Premièrement, revoir le registre des traitements pour documenter séparément la base légale de chaque finalité (compte joueur, prospection, LCB-FT, prévention du jeu excessif) plutôt que de s'appuyer sur une base légale unique et générique. Deuxièmement, vérifier que toute alerte comportementale liée à un joueur est consignée de façon générique (« difficultés financières », « isolement ») plutôt que par une retranscription intégrale des échanges — le guide insiste sur ce point de minimisation. Troisièmement, s'assurer qu'une AIPD couvre bien les traitements de détection du jeu excessif, dès lors qu'ils sont qualifiés de traitements de données de santé, et documenter la réalité de la supervision humaine sur les décisions automatisées à effet restrictif.
Ce que Leto pense de cette décision
Ce guide a le mérite de trancher un point que beaucoup d'opérateurs laissaient dans le flou : la qualification en données de santé des signaux de jeu excessif. C'est une bonne nouvelle pour la sécurité juridique du secteur, mais cela alourdit mécaniquement la charge de conformité — AIPD obligatoire, traçabilité de la supervision humaine, durées de conservation différenciées par finalité. Les opérateurs qui traitaient jusqu'ici la prévention du jeu excessif comme un simple sujet produit devront désormais l'aborder comme un sujet de conformité RGPD à part entière, au même titre que le KYC ou la LCB-FT.
Sources : CNIL, « Jeux d'argent et de hasard : appliquer le RGPD aux traitements de données des joueurs », 2 juillet 2026 — Guide ANJ relatif aux traitements des données personnelles pour le secteur des jeux d'argent et de hasard (PDF).

