La protection des personnes physiques à l’égard du traitement des données personnelles par les témoins de Jéhovah, une communauté religieuse (1).
Le 17 septembre 2013, la commission finlandaise de protection des données a adopté une décision visant à interdire à la communauté des témoins de Jéhovah de collecter ou de traiter des données à caractère personnel dans le cadre de son activité de prédication de porte-à-porte.
Les membres de la communauté, lors de leur activité rythmée par une importante organisation, prennent en note plusieurs informations concernant des personnes extérieures à la communauté, sans leur accord. Ces données à caractère personnel sont le nom, l’adresse, la conviction religieuse et la situation familiale. Ces informations sont par la suite organisées en liste et utilisées par les membres de la communauté dans le cadre de leurs activités.
La Cour administrative suprême finlandaise a demandé à la Cour de justice de l’Union européenne d’interpréter, dans le cadre d’une décision préjudicielle, les définitions de «fichier de données à caractère personnel» et de «responsable du traitement» au sens des articles 2, c) et d) et 3 de la directive, désormais abrogée, 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ainsi que le champ d’application de ladite directive, alors applicable en l’espèce. Les dispositions concernées par la décision en l’espèce sont reprises par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD). L’objectif étant de savoir si une communauté religieuse, en l’espèce la communauté des témoins de Jéhovah, est soumise au respect des règles du droit de l’Union européenne en matière de protection des données à caractère personnel.
La Cour de justice de l’Union européenne s’est ainsi prononcée sur :
- la qualification de fichier personnel des fichiers établis par la communauté des témoins de Jéhovah ;
- l’application de la règlementation européenne en matière de protection des données à caractère personnel à cette communauté ;
- la responsabilité conjointe de la communauté des témoins de Jéhovah avec ses membres prédicateurs.
Le caractère public des données personnelles collectées par la communauté des témoins de Jéhovah
La Cour de justice de l’Union européenne a, dans un premier temps, considéré que l’activité de prédication de porte-à-porte de la communauté des témoins de Jéhovah n’entre pas dans les exceptions prévues à l’application de la règlementation en matière de protection des données à caractère personnel.
Cette activité, en application de l’article 10, paragraphe 1 de la Charte des droits fondamentaux de l’Union européenne, est protégé par le droit fondamental à la liberté de conscience et de religion. En revanche, dépassant la sphère privée, la prédication de porte-à-porte effectuée par les témoins de Jéhovah, la Cour ne lui attribue pas un caractère exclusivement personnel ou domestique, ne remplissant alors pas les critères d’exclusions au champ d’application de la réglementation européenne en matière de protection des données.
Le champ d’application matériel des données personnelles
La Cour de justice de l’Union européenne a, ensuite, jugé que la notion de « fichier » couvre l’ensemble des données personnelles collectées durant l’activité de prédication de porte-à-porte à partir du moment où elles sont organisées pour les retrouver aisément, sur le fondement de l’article 3 de la directive 95/46/CE, repris à l’article 2 du RGPD applicable aux traitements de données à caractère personnel depuis le 25 mai 2018.
La responsabilité conjointe du traitement des données personnelles
La Cour de justice de l’Union européenne a analysé, en application de l’article 2, d) de la directive 95/46/CE, repris à l’article 26 du RGPD, la possibilité d’avoir plusieurs «responsables du traitement» impliqués en l’espèce à différents stades du traitement des données. Ainsi, il était question de savoir si une communauté religieuse pouvait être considérée responsable du traitement conjointement avec ses membres prédicateurs.
La Cour de justice de l’Union européenne a observé qu’aucune disposition ne permet de considérer que la détermination des finalités et des moyens du traitement doit s’effectuer au moyen de lignes directrices écrites ou de consignes de la part du responsable du traitement. Une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement des données à caractère personnel et participe à sa détermination peut être considérée comme étant responsable du traitement.
La Cour de justice de l’Union européenne, sur le fondement de l’article 17 du Traité sur le fonctionnement de l’Union européenne, considère que la communauté des témoins de Jéhovah participe à la détermination de la finalité et des moyens du traitement des données à caractère personnel des personnes démarchées mais qu’il appartient à la juridiction finlandaise d’en juger l’effectivité.
Le Cour de justice de l’Union européenne conclut que le droit de l’Union en matière de protection des données personnelles permet de considérer une communauté religieuse comme responsable avec ses membres prédicateurs, du traitement des données à caractère personnel effectué par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée par cette communauté, sans nécessairement que toute la communauté ait eu accès aux données, ni qu’il soit établi qu’elle a donné à ses membres les consignes par écrit.
Virginie Bensoussan-Brulé
Debora Cohen
Lexing Contentieux numérique
(1) CJUE, grande chambre,10-7-2018, affaire C‑25/17.