La SASP Paris Saint-Germain Football avait adopté un périmètre de motifs d’exclusion du stade des supporters beaucoup trop large pour la Cnil, qui avait limité son autorisation de traitement aux données relatives à « l’existence d’un impayé, le non-respect des règles de billetterie (prêt, revente…), une activité commerciale dans l’enceinte sportive en violation des conditions générales de ventes, des paris dans l’enceinte sportive sur le match en cours». Elle avait cependant écarté le fichage des personnes indésirables car ne respectant pas les « valeurs » du PSG. Par une décision du 13 juin 2016, le Conseil d’Etat a confirmé la position de la Cnil, en invalidant cependant un point sur la durée de conservation des données relatives aux impayés.

Suite à une plainte de supporters du PSG qui accusaient le club de foot d’avoir constitué une liste noire de personnes indésirables au Parc des Princes, la Cnil avait procédé les 8 et 9 novembre 2012 à un contrôle sur place pour vérifier ces allégations. Constatant la réalité des faits, la Commission avait mis en demeure le PSG de lui soumettre, dans un délai d’un mois, « une demande d’autorisation concernant le traitement ayant pour finalité l’exclusion des personnes frappées d’une peine complémentaire d’interdiction de stade et à une demande d’autorisation concernant le traitement ayant pour finalité l’exclusion des personnes jugées indésirables à l’occasion des rencontres sportives du PSG Football, d’autre part, de cesser de communiquer au PSG Handball des informations relatives aux interdictions de stade et, enfin, de justifier auprès de la Commission que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti ». Ce que le PSG a fait. La Cnil a d’abord autorisé le traitement sur les interdits de stade. Et par une autre délibération du 30 janvier 2014, la Cnil a donc autorisé le traitement ayant pour objet de recueillir des données nominatives relatives à la violation des conditions générales de vente et du règlement du Parc des Princes par les abonnés et acheteurs de billets. Mais le champ de l’autorisation délivrée par la Cnil est bien plus limité que celui de la demande du club de foot. Ce dernier avait instauré ses propres critères d’exclusion, selon la Cnil qui s’est prononcée par rapport à la légitimité des finalités du traitement. Le Conseil d’Etat a confirmé la position de la Commission, en rappelant que « d’une part, la commission n’a pas entendu interdire que les données nominatives relatives aux violations du règlement intérieur n’ayant pas donné lieu à des sanctions ou procédures pénales fassent l’objet du traitement, dès lors que leur utilité à la mission de préservation de l’ordre public lors des rencontres qu’ils organisent, impartie aux clubs par le code du sport, en légitime la collecte ; que, d’autre part, si la Commission devait prendre en compte ces missions légales, telles qu’énoncées par le code du sport, elle ne pouvait pas pour autant méconnaître, en ce qui concerne les données nominatives mentionnant des sanctions ou procédures pénales, les dispositions de l’article 9 de la loi du 6 janvier 1978 ; que, par suite, le moyen ne peut qu’être écarté ».
Le Conseil d’Etat a cependant annulé un point de la délibération de la Cnil qui interdisait au PSG de conserver les données relatives aux impayés bien au-delà de la date du remboursement. Le Conseil d’Etat a considéré que « les conséquences ou les risques résultant de la commission d’un impayé ne peuvent être réputés avoir disparu dès le règlement de la dette et qu’il n’est dès lors pas disproportionné de prévoir une conservation des données relatives aux incidents de cette nature pendant une durée suffisante, au-delà du règlement de la somme due, pour prévenir le renouvellement de tels incidents ».

Le PSG avait également attaqué la délibération qui mettait le club parisien en demeure de procéder à une demande d’autorisation car, selon lui, elle était fondée sur une opération de vérification sur place qui aurait été entachée d’irrégularités. Un agent de la Cnil, qui faisait partie de la délégation constituée de quatre personnes, n’avait pas été habilité par le Premier ministre pour effectuer des visites ou des vérifications portant sur les traitements relevant de l’article 26 de la loi Informatique et libertés, comme l’impose un décret du 20 octobre 2005. Selon l’article 26 de la loi de 1978, les traitements qui « intéressent la sûreté de l’État, la défense ou la sécurité publique ; ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté » doivent être autorisés par arrêté ministériel. Par une décision du 13 juin 2016, le Conseil d’Etat a donc annulé les décisions de la Cnil de procéder aux mises en demeure. Cependant, cet arrêt est sans effet, dans la mesure où le PSG s’était exécuté et avait effectué ses demandes d’autorisation.
Comme le demande le Conseil d’Etat, la Cnil va revoir son autorisation en retirant uniquement sur le point relatif à la durée de conservation des données sur les impayés