Pour la CJUE, les activités prosélytes des membres d’une communauté religieuse constituent bien un traitement de données personnelles


Par Florence Dubosc | Publié le 18 mai 2019
Print Friendly, PDF & Email

Partagez à vos contacts :
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin

Même les témoins de Jéhovah doivent respecter les règles relatives à la protection des données personnelles, c’est ce qu’a considéré la Cour de Justice de l’Union européenne (CJUE) dans un arrêt en date du 10 juillet 2018. Elle a ainsi donné raison à la tietosuojalautakunta, la commission finlandaise de protection des données, qui avait interdit en 2013 à la Jehovan todistajat – uskonnollinen yhdyskunta, la communauté religieuse des témoins de Jéhovah du pays, de collecter ou de traiter des données à caractère personnel dans le cadre de l’activité de prédication de porte-à-porte effectuée par ses membres, sans que les conditions légales prévues pour le traitement de telles données soient respectées.
Si cette décision a été rendue sur le fondement du droit antérieur, à savoir la Directive 95/46/CE, elle ne fait que souligner davantage l’importance accordée par la CJUE au respect des données personnelles, désormais protégées par le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018.

Caractère public des données collectées

La Cour de justice a tout d’abord estimé que les données collectées dans cette affaire n’étaient pas traitées dans le cadre d’une activité purement personnelle ou domestique, ce qui aurait eu pour incidence de l’exclure du champ de la protection des données personnelles. En effet, si la Cour a relevé que la liberté de conscience religieuse était consacrée à l’article 10 de la Charte de l’UE, cet article n’avait pas pour effet de conférer un caractère exclusivement personnel ou privé à l’activité de prédication en cause.

C’est donc logiquement qu’elle a estimé qu’en l’espèce l’activité était dirigée à l’extérieur de la sphère privée des membres de la Communauté puisque son objectif était de répandre la foi des prédicateurs auprès de personnes qui n’appartiennent pas au foyer de ses membres. Elle a en outre relevé que certaines données étaient transmises aux paroisses de la communauté pour enrichir les listes de personnes ne voulant plus recevoir de visites desdits membres, rendant ainsi ces données accessibles à un nombre potentiellement indéfini de personnes.

Champ d’application matériel de la directive

La CJUE a par ailleurs considéré que la collecte de données personnelles effectuée par les membres d’une communauté religieuse prise au sens large dans le cadre d’une activité prosélyte constituait bien un traitement de données personnelles au sens de la directive européenne de 1995 puisqu’en l’espèce les données collectées étaient « structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure » au sein d’un fichier. Pour la Cour, il n’est donc pas nécessaire qu’un tel ensemble « comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche » pour relever de la notion de fichier au sens du droit de l’Union en matière de protection des données.

Dans cette affaire, les membres de la communauté religieuse prenaient des notes sur les visites rendues à des personnes dans le cadre de leurs activités de porte-à-porte que ni eux ni la communauté ne connaissaient. Ces données comportaient le nom, l’adresse et la situation familiale des personnes démarchées mais aussi des informations plus sensibles comme leurs convictions religieuses. Lesdites informations étaient en outre collectées à titre d’aide-mémoire afin de pouvoir être retrouvées pour une éventuelle visite ultérieure, sans que les personnes concernées y aient consenti ni en aient été informées. La communauté religieuse pouvait alors coordonner l’activité de prédication de porte-à-porte de ses membres, en établissant par exemple des cartes à partir desquelles des secteurs pouvaient être répartis entre les membres prédicateurs notamment sur la base d’une liste des personnes ayant exprimé le souhait de ne plus faire l’objet de visites de la part des prédicateurs.

La responsabilité conjointe des acteurs

 La CJUE a enfin considéré qu’une communauté religieuse est co-responsable de traitement avec ses membres prédicateurs quand celui-ci est effectué « par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements. ».

 Cette analyse est basée sur l’article 2, d) de la directive 95/46/CE, repris à l’article 26 du RGPD qui prévoit la possibilité d’avoir plusieurs « responsables du traitement » à différents stades du traitement des données. Ainsi, il est apparu dans le cas d’espèce que la communauté des témoins de Jéhovah, en organisant, coordonnant et encourageant l’activité de prédication de ses membres, avait participé, conjointement avec ses membres prédicateurs, à la détermination de la finalité et des moyens du traitement des données à caractère personnel des personnes démarchées, ce qu’il reviendra toutefois à la juridiction finlandaise d’apprécier au regard de l’ensemble des circonstances de l’espèce.

Ladite analyse n’est pas remise en cause par le principe de l’autonomie organisationnelle des communautés religieuses, garanti à l’article 17 du Traité sur le fonctionnement de l’Union européenne (TFUE).

 

(Source: CJUE: http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130da910b9b53e61240f1a3e4ce476875478e.e34KaxiLc3eQc40LaxqMbN4Pb3qKe0?text=&docid=203822&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=350592

Auteur de l’article : Florence Dubosc

Avocate aux barreaux de New York et de Californie spécialisée dans la protection des données personnelles, actuellement juriste en Principauté de Monaco au sein de la Commission de Contrôle des Informations Nominatives

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.