L’Essentiel : La CJUE a statué que la communauté des témoins de Jéhovah est responsable du traitement des données personnelles collectées lors de leur prédication de porte-à-porte. Cette collecte, qui inclut des informations sur les convictions religieuses et la situation familiale des personnes démarchées, doit respecter les obligations légales en matière de protection des données. La commission finlandaise peut interdire cette collecte si les conditions légales ne sont pas respectées. De plus, la notion de « responsable du traitement » s’applique à plusieurs acteurs, chacun ayant un niveau de responsabilité évalué selon les circonstances du cas.

Affaire des témoins de Jéhovah

Collecter des données personnelles en porte à porte ne dispense pas du respect des obligations en matière de traitement des données personnelles. La CJUE a considéré qu’une communauté religieuse, telle que celle des témoins de Jéhovah, est responsable, conjointement avec ses membres prédicateurs, du traitement des données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte. La commission finlandaise de protection des données est en droit d’interdire à la communauté religieuse des témoins de Jéhovah en Finlande, de collecter ou de traiter des données à caractère personnel dans le cadre de l’activité de prédication de porte-à-porte effectuée par ses membres, sans que les conditions légales prévues pour le traitement de telles données soient respectées.

Porte à porte et collecte domestique de données

Les membres de cette communauté prennent, dans le cadre de leur activité de prédication de porte-à-porte, des notes sur les visites rendues à des personnes que ni eux ni la communauté ne connaissent. Les données collectées peuvent comporter le nom et l’adresse des personnes démarchées ainsi que des informations portant sur leurs convictions religieuses et leur situation familiale. Elles sont collectées à titre d’aide-mémoire afin de pouvoir être retrouvées pour une éventuelle visite ultérieure, sans que les personnes concernées y aient consenti ni en aient été informées. La communauté des témoins de Jéhovah et les paroisses qui en dépendent organiseraient et coordonneraient l’activité de prédication de porte-à-porte de leurs membres, notamment en établissant des cartes à partir desquelles des secteurs seraient répartis entre les membres prédicateurs et en tenant des fiches sur les prédicateurs et le nombre de publications de la communauté diffusées par ceux-ci.

En outre, les paroisses de la communauté des témoins de Jéhovah géreraient une liste des personnes ayant exprimé le souhait de ne plus faire l’objet de visites de la part des membres prédicateurs ; les données à caractère personnel figurant sur cette liste seraient utilisées par les membres de la communauté.

L’activité de prédication de porte-à-porte des membres de la communauté des témoins de Jéhovah ne relève pas des exceptions prévues par le droit de l’Union en matière de protection des données à caractère personnel. En particulier, cette activité n’est pas une activité exclusivement personnelle ou domestique à laquelle ce droit ne s’applique pas. La circonstance que l’activité de prédication de porte-à-porte est protégée par le droit fondamental à la liberté de conscience et de religion (article 10 de la charte des droits fondamentaux de l’Union européenne), n’a pas pour effet de lui conférer un caractère exclusivement personnel ou domestique, en raison du fait qu’elle dépasse la sphère privée d’un membre prédicateur d’une communauté religieuse.

Traitement non automatisé de données personnelles

Ensuite, la CJUE a rappelé que les règles du droit de l’Union en matière de protection des données à caractère personnel ne s’appliquent, cependant, au traitement manuel des données que lorsque ces dernières sont contenues dans un fichier ou sont appelées à figurer dans un fichier. En l’espèce, comme le traitement de données à caractère personnel est effectué de manière non automatisée, la question s’est posée de savoir si les données ainsi traitées sont contenues dans un fichier ou sont appelées à figurer dans un tel fichier.

À cet égard, la Cour a conclu que la notion de « fichier » couvre tout ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte et comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure. Pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire que celui-ci comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche.

Notion de responsable du traitement des données

En ce qui concerne la question de savoir qui peut être considéré comme responsable du traitement des données à caractère personnel, la Cour a jugé que la notion de « responsable du traitement » peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux devant alors être soumis aux règles du droit de l’Union en matière de protection des données à caractère personnel. Ces acteurs peuvent être impliqués à différents stades du traitement et à des degrés divers, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce. Une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement des données à caractère personnel et participe, de ce fait, à la détermination des finalités et des moyens de ce traitement peut être considérée comme étant responsable du traitement. En outre, la responsabilité conjointe de plusieurs acteurs ne présuppose pas que chacun d’eux ait accès aux données à caractère personnel.

En l’occurrence, il apparaît que la communauté des témoins de Jéhovah, en organisant, coordonnant et encourageant l’activité de prédication de ses membres, participe, conjointement avec ses membres prédicateurs, à la détermination de la finalité et des moyens du traitement des données à caractère personnel des personnes démarchées, ce qu’il appartient toutefois à la juridiction finlandaise d’apprécier au regard de l’ensemble des circonstances de l’espèce. Le droit de l’Union en matière de protection des données permet de considérer une communauté religieuse comme responsable, conjointement avec ses membres prédicateurs, du traitement des données à caractère personnel effectué par ces derniers dans le cadre d’une activité de prédication de porte à porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que la communauté en question ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ce traitement.

Télécharger 

Q/R juridiques soulevées :

Quelle est la position de la CJUE concernant la collecte de données personnelles par les témoins de Jéhovah ?

La Cour de justice de l’Union européenne (CJUE) a affirmé que la communauté des témoins de Jéhovah, ainsi que ses membres prédicateurs, sont responsables du traitement des données personnelles collectées lors de leur activité de prédication de porte-à-porte.

Cette responsabilité implique que la collecte de données doit respecter les obligations légales en matière de protection des données. En Finlande, la commission de protection des données a le droit d’interdire cette collecte si les conditions légales ne sont pas respectées.

Ainsi, même si l’activité est menée dans un cadre religieux, elle doit se conformer aux réglementations sur la protection des données personnelles.

Comment les témoins de Jéhovah collectent-ils des données lors de leurs visites ?

Les membres de la communauté des témoins de Jéhovah prennent des notes sur les visites effectuées auprès de personnes qu’ils ne connaissent pas. Ces notes peuvent inclure des informations telles que le nom, l’adresse, les convictions religieuses et la situation familiale des personnes démarchées.

Ces données sont utilisées comme aide-mémoire pour d’éventuelles visites ultérieures, mais souvent sans le consentement ou l’information des personnes concernées.

De plus, les paroisses de la communauté gèrent des listes de personnes ayant demandé à ne plus être contactées, ce qui soulève des questions sur le respect de la vie privée et des droits des individus.

L’activité de prédication de porte-à-porte est-elle considérée comme personnelle ou domestique ?

Non, l’activité de prédication de porte-à-porte des témoins de Jéhovah ne relève pas des exceptions prévues par le droit de l’Union européenne concernant la protection des données personnelles.

Bien que cette activité soit protégée par le droit à la liberté de conscience et de religion, elle dépasse la sphère privée d’un membre prédicateur.

Ainsi, même si l’activité est menée dans un cadre religieux, elle est soumise aux règles de protection des données, car elle implique la collecte et le traitement d’informations personnelles sur des tiers.

Quelles sont les implications du traitement non automatisé des données personnelles ?

La CJUE a précisé que les règles de protection des données s’appliquent au traitement manuel des données uniquement si celles-ci sont contenues dans un fichier ou destinées à y figurer.

Dans le cas des témoins de Jéhovah, même si le traitement est non automatisé, les données collectées lors de la prédication de porte-à-porte peuvent être considérées comme faisant partie d’un « fichier ».

Cela signifie que si les données sont structurées de manière à pouvoir être facilement retrouvées, elles sont soumises aux règles de protection des données, indépendamment de la méthode de traitement utilisée.

Qui est considéré comme responsable du traitement des données personnelles ?

La CJUE a établi que plusieurs acteurs peuvent être considérés comme responsables du traitement des données personnelles. Cela inclut toute personne ou entité qui influence le traitement des données à des fins propres.

Dans le cas des témoins de Jéhovah, la communauté religieuse, en organisant et en coordonnant l’activité de prédication, participe à la détermination des finalités et des moyens du traitement des données.

Il est important de noter que la responsabilité conjointe ne nécessite pas que chaque acteur ait accès aux données, mais plutôt qu’ils participent d’une manière ou d’une autre au traitement.