Type de juridiction : Cour de justice de l’Union européenne (CJUE)

Juridiction : CJUE

Thématique : Données personnelles religieuses

Affaire des témoins de Jéhovah

Collecter des données personnelles en porte à porte ne dispense pas du respect des obligations en matière de traitement des données personnelles. La CJUE a considéré qu’une communauté religieuse, telle que celle des témoins de Jéhovah, est responsable, conjointement avec ses membres prédicateurs, du traitement des données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte. La commission finlandaise de protection des données est en droit d’interdire à la communauté religieuse des témoins de Jéhovah en Finlande, de collecter ou de traiter des données à caractère personnel dans le cadre de l’activité de prédication de porte-à-porte effectuée par ses membres, sans que les conditions légales prévues pour le traitement de telles données soient respectées.

Porte à porte et collecte domestique de données

Les membres de cette communauté prennent, dans le cadre de leur activité de prédication de porte-à-porte, des notes sur les visites rendues à des personnes que ni eux ni la communauté ne connaissent. Les données collectées peuvent comporter le nom et l’adresse des personnes démarchées ainsi que des informations portant sur leurs convictions religieuses et leur situation familiale. Elles sont collectées à titre d’aide-mémoire afin de pouvoir être retrouvées pour une éventuelle visite ultérieure, sans que les personnes concernées y aient consenti ni en aient été informées. La communauté des témoins de Jéhovah et les paroisses qui en dépendent organiseraient et coordonneraient l’activité de prédication de porte-à-porte de leurs membres, notamment en établissant des cartes à partir desquelles des secteurs seraient répartis entre les membres prédicateurs et en tenant des fiches sur les prédicateurs et le nombre de publications de la communauté diffusées par ceux-ci.

En outre, les paroisses de la communauté des témoins de Jéhovah géreraient une liste des personnes ayant exprimé le souhait de ne plus faire l’objet de visites de la part des membres prédicateurs ; les données à caractère personnel figurant sur cette liste seraient utilisées par les membres de la communauté.

L’activité de prédication de porte-à-porte des membres de la communauté des témoins de Jéhovah ne relève pas des exceptions prévues par le droit de l’Union en matière de protection des données à caractère personnel. En particulier, cette activité n’est pas une activité exclusivement personnelle ou domestique à laquelle ce droit ne s’applique pas. La circonstance que l’activité de prédication de porte-à-porte est protégée par le droit fondamental à la liberté de conscience et de religion (article 10 de la charte des droits fondamentaux de l’Union européenne), n’a pas pour effet de lui conférer un caractère exclusivement personnel ou domestique, en raison du fait qu’elle dépasse la sphère privée d’un membre prédicateur d’une communauté religieuse.

Traitement non automatisé de données personnelles

Ensuite, la CJUE a rappelé que les règles du droit de l’Union en matière de protection des données à caractère personnel ne s’appliquent, cependant, au traitement manuel des données que lorsque ces dernières sont contenues dans un fichier ou sont appelées à figurer dans un fichier. En l’espèce, comme le traitement de données à caractère personnel est effectué de manière non automatisée, la question s’est posée de savoir si les données ainsi traitées sont contenues dans un fichier ou sont appelées à figurer dans un tel fichier.

À cet égard, la Cour a conclu que la notion de « fichier » couvre tout ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte et comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure. Pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire que celui-ci comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche.

Notion de responsable du traitement des données

En ce qui concerne la question de savoir qui peut être considéré comme responsable du traitement des données à caractère personnel, la Cour a jugé que la notion de « responsable du traitement » peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux devant alors être soumis aux règles du droit de l’Union en matière de protection des données à caractère personnel. Ces acteurs peuvent être impliqués à différents stades du traitement et à des degrés divers, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce. Une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement des données à caractère personnel et participe, de ce fait, à la détermination des finalités et des moyens de ce traitement peut être considérée comme étant responsable du traitement. En outre, la responsabilité conjointe de plusieurs acteurs ne présuppose pas que chacun d’eux ait accès aux données à caractère personnel.

En l’occurrence, il apparaît que la communauté des témoins de Jéhovah, en organisant, coordonnant et encourageant l’activité de prédication de ses membres, participe, conjointement avec ses membres prédicateurs, à la détermination de la finalité et des moyens du traitement des données à caractère personnel des personnes démarchées, ce qu’il appartient toutefois à la juridiction finlandaise d’apprécier au regard de l’ensemble des circonstances de l’espèce. Le droit de l’Union en matière de protection des données permet de considérer une communauté religieuse comme responsable, conjointement avec ses membres prédicateurs, du traitement des données à caractère personnel effectué par ces derniers dans le cadre d’une activité de prédication de porte à porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que la communauté en question ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ce traitement.

Télécharger