Anonymisation : ce que vous voyez (et ce que vous ne voyez pas)

TABLEAU DE BORD INSTITUTIONNEL Temps estimé : 5 min Mis à jour le 29 mai 2026
L'agrégation institutionnelle Paak repose sur trois mécanismes de protection cumulés : jamais de données nominatives, k-anonymité ≥ 5 sur chaque cellule, et double consentement (le club admin opte-in côté club, ET chaque membre garde un droit d'opposition individuel sous RGPD art. 21). Voici comment ça affecte ce que vous voyez sur le tableau de bord.

Trois principes

  1. Agrégat statistique uniquement — votre institution ne reçoit jamais de noms, dates de naissance, emails, numéros de licence ou identifiants individuels. Seulement des compteurs et pourcentages.
  2. K-anonymité ≥ 5 — chaque cellule du tableau (par club, par sport, par département) doit représenter au moins 5 personnes pour être affichée individuellement. En dessous, regroupement dans un bucket anonyme.
  3. Double consentement — le partage est activé par le club admin (côté club, opt-in volontaire), ET chaque membre individuel garde un droit d'opposition (RGPD art. 21) qu'il peut exercer indépendamment du choix de son club.

Ce que votre institution ne voit JAMAIS

  • Identité individuelle — pas de noms, prénoms, dates de naissance, adresses, emails, téléphones, numéros de licence.
  • Données nominatives par club — un CDOS ne voit pas la liste des licenciés du club X, seulement un compteur agrégé.
  • Données de santé — certificats médicaux, blessures, notes médicales : ces données restent exclusivement dans le club concerné.
  • Données financières — montants des cotisations, paiements individuels : aucun export financier nominatif.
  • Clubs n'ayant pas activé le partage — un CDOS ne voit que les clubs ayant explicitement coché le partage avec lui. Aucune visibilité par défaut.

K-anonymité ≥ 5

La règle de k-anonymité protège contre la ré-identification par triangulation. Si un département ne contenait qu'un seul club, et que ce club ne déclarait que 2 licenciées, un chiffre affiché « 2 licenciées dans le département X » suffirait à identifier ces deux personnes. Paak empêche ça :

  • K_ANONYMITY_MIN_ENCADRANTS = 5 pour le pivot honorabilité : un club avec moins de 5 encadrants n'apparaît pas individuellement ; ses chiffres sont regroupés dans un bucket « petits clubs » anonyme.
  • K_ANONYMITY_MIN_LICENSEES = 5 pour le pivot licenciés et le drill-down départemental : même logique.
  • Per-sport : les sports ayant moins de 5 licenciés sur le territoire sont supprimés de la répartition par sport (et non regroupés dans un « autre sport », parce que ça réintroduirait du risque de triangulation).
  • Edge case — un seul petit club : si le bucket « petits clubs » ne contient qu'un seul club, il serait identifiable. Paak supprime alors le bucket entièrement (zéro affichage). Le bucket n'apparaît qu'à partir de 2 unités distinctes en dessous du seuil.

Double consentement (club + membre)

Le partage agrégé n'est PAS unilatéral. Deux niveaux d'opt-in / opt-out coexistent :

  • Niveau 1 — le club admin (côté club) : depuis Paramètres → Partage territorial, le club admin coche / décoche chaque institution destinataire. Sans coche, votre institution ne voit RIEN du club.
  • Niveau 2 — chaque membre individuel (RGPD art. 21) : indépendamment du choix du club admin, chaque licencié peut se retirer pour chaque institution destinataire — depuis son espace privé Paak, depuis un lien magique reçu par email, depuis la page « Lien perdu » sur paak.club/opt-out-institutionnel, ou en demandant verbalement à son club admin de l'enregistrer en son nom.

Quand un membre exerce son droit d'opposition individuel pour votre institution :

  • Ses données sont retirées avant l'application de la k-anonymité — pas après.
  • Il disparaît des totaux licenciés, du pivot par sport, de la pyramide des âges, du drill-down départemental, et du dossier CERFA.
  • Votre institution n'est PAS notifiée nominativement — vous voyez seulement les chiffres ajustés. La notification individuelle nominative contredirait le sens de l'objection.

Pourquoi un chiffre peut bouger sans qu'un club n'ait changé

Trois cas où vous verrez un chiffre évoluer sans que la composition d'un club ait été modifiée :

  • Un membre individuel a exercé son droit d'opposition pour votre institution. Son compte sort des agrégats — totaux et pivots descendent légèrement.
  • Un membre ayant exercé son droit d'opposition l'a retiré (il change d'avis depuis son espace privé). Son compte ré-entre dans les agrégats.
  • Effet de bord k-anonymité : une opposition individuelle peut faire descendre un club sous le seuil de 5, le déplaçant des lignes individuelles vers le bucket « petits clubs ». Le total du bucket grandit, le nombre de lignes individuelles diminue — sans qu'aucun club n'ait changé sa composition.

C'est un comportement volontaire et correct. Si vous constatez une variation et que vous voulez la comprendre, le panneau Clubs affiche la date du dernier opt-in / opt-out de chaque club et un compteur agrégé des oppositions individuelles enregistrées — sans révéler quels membres.

Base légale RGPD

  • Base légale : intérêt légitime (RGPD art. 6.1.f). L'intérêt légitime est l'observation territoriale du sport au service de la politique sportive publique. Documenté dans la politique de confidentialité de Paak et dans les CGU des clubs partageants.
  • Droit d'opposition : RGPD art. 21 (objection à un traitement fondé sur l'intérêt légitime). Exerçable individuellement par chaque licencié, sans avoir à justifier d'une « situation particulière » prépondérante (Paak applique la version la plus protectrice de l'art. 21).
  • K-anonymité : bonne pratique CNIL pour l'anonymisation par groupe, citée dans les délibérations CNIL sur les agrégats statistiques.
  • Sous-traitance : Paak est sous-traitant des clubs (DPA signée à l'inscription). Votre institution est destinataire d'un traitement séparé fondé sur le consentement du club admin + l'absence d'opposition individuelle des membres.
Dernière mise à jour : 29 mai 2026 ID : help.institutionnel.anonymisation