Des effets limités de l’apostasie en droit de la protection des données

1. Les vagues de reniement de certaines religions, et en particulier de la foi catholique, n’ont pas manqué de provoquer le débat sur leurs effets juridiques. Parce que les fidèles sont souvent recensés en tant que membres d’une communauté religieuse, le droit de la protection des données a naturellement vocation à s’y appliquer. Par un arrêt du Conseil d’État du 2 février 2024, la Haute juridiction administrative vient à son tour apporter une réponse sur le fondement du droit d’opposition et du droit à l’effacement du premier sacrement. Elle ne peut convaincre.

2. Au cas d’espèce, le baptême de M. B. a donné lieu à inscription sur le registre des baptêmes de son état civil, de sa filiation et de ses coordonnées. Le 15 février 2020, il a saisi la Commission nationale informatique et libertés (CNIL) d’une plainte consécutive au refus de l’association diocésaine d’Angers de faire droit à sa de demande d’accès aux données le concernant dans les registres de baptême ainsi qu’à l’exercice de ses droits à l’effacement et d’opposition au traitement de ses données. Cette plainte a été clôturée par une décision du 2 décembre 2021. M. B. a saisi le Conseil d’État d’un recours en excès de pouvoir aux fins d’obtenir l’annulation de ladite décision et qu’il soit enjoint à la CNIL d’ordonner ledit effacement.

3. L’existence d’un traitement de données, même en l’absence de moyen automatisé, n’était pas douteuse ni contestée. L’automatisation n’est pas une condition d’existence d’un traitement (RGPD, art. 4.2) dès lors qu’il est réalisé au moyen d’un fichier lequel doit correspondre à un « un ensemble structuré de données à caractère personnel, accessible selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique » (RGPD, art. 4.6). Nul doute qu’un registre de baptême constitue un tel fichier (comp., pour un traitement non automatisé de données collectées à l’occasion d’activités de prédication, CJUE, gr. ch., 10 juill. 2018, Jehovan todistajat, aff. C-25/17, pts 52 s., Dalloz actualité, 25 juill. 2018, obs. N. Nalepa ; AJDA 2018. 2280, chron. P. Bonneville, E. Broussy, H. Cassagnabère et C. Gänser ; D. 2018. 1493 ; ibid. 2019. 1673, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2018. 698, obs. R. Perray et J. Uzan-Naulin ; RTD eur. 2019. 393, obs. F. Benoît-Rohmer ).

4. Le Conseil d’État concentre son attention sur l’exercice des droits de la personne concernée. Avant d’exercer son contrôle, il en rappelle les termes. La CNIL dispose, dans l’exercice de ses missions en lien avec le traitement d’une plainte (RGPD, art. 57.1, a, f et h ; loi « informatique et libertés », art. 8, I, 2°), « d’un large pouvoir d’appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu’elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l’ont été et, plus généralement, de l’ensemble des intérêts généraux dont elle a la charge ». Toutefois, l’exercice de ce pouvoir est « sous l’entier contrôle du juge de l’excès de pouvoir » lorsqu’est en cause l’exercice des droits de la personne concernée par le traitement, quand le principe est celui du contrôle de l’erreur manifeste d’appréciation (v. déjà, CE, ass., 24 févr. 2017, n° 391000, Dalloz actualité, 28 févr. 2017, obs. M.-C. de Montecler ; Lebon ; AJDA 2017. 436 ; ibid. 740 , chron. G. Odinet et S. Roussel ; D. 2017. 500, obs. M.-C. de Montecler ; ibid. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2017. 479, obs. O. Henrard ; Légipresse 2017. 122 et les obs. ; RFDA 2017. 535, concl. A. Bretonneau ; RTD eur. 2017. 803, obs. A. Bouveresse ; rappr., CJUE 7 déc. 2023, SCHUFA Holding, aff. C-26/22 et C-64/22, pt 69, D. 2023. 2240 ).

5. La mise en œuvre d’un contrôle approfondi n’en a pas moins conduit le Conseil d’État à confirmer une solution discutable. Elle l’est tout autant sur le fond que par le raisonnement mis en œuvre.

Les droits limités de l’apostat à la protection de ses données

6. Le Conseil d’État relève qu’il avait été satisfait au droit d’accès de la personne concernée. Demeuraient dans le débat l’exercice des droits à l’effacement et d’opposition. Les deux sont liés de telle sorte que les effets limités du droit d’opposition pourraient paradoxalement s’expliquer par l’éviction du droit à l’effacement.

L’effet limité du droit d’opposition

7. Aux termes de l’article 21.1 du RGPD, « la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant » fondé sur l’intérêt légitime du responsable de traitement (RGPD, art. 6.1, f). Dans sa décision, la CNIL avait estimé suffisante pour y satisfaire l’apposition d’une mention selon laquelle M. B. ne reconnaissait pas la valeur de son baptême. Et le Conseil d’État de ne relever aucune erreur de droit ou d’appréciation, quoi qu’il n’ait pas manqué de prendre une certaine distance en considérant que le droit d’opposition « pouvait être satisfait » par ladite mention qui, au premier abord, satisfait uniquement au principe d’exactitude (v. en ce sens, CNIL, Rapp. annuel 1993, p. 43, évoquant le respect des dispositions de la loi « informatique et libertés » alors applicable, et plus particulièrement de son art. 36 relatif au droit de rectification, par l’apposition d’une telle mention relative à un fait dont la réalité historique n’était pas contestée).

8. Ce faisant, le Conseil d’État confirme qu’il peut être donné moins d’effet au droit d’opposition que n’en prévoit la lettre du RGPD. Elle lui prête les effets du droit à la limitation (RGPD, art. 4.3 et 18), ce qui tend à priver le premier de son effet utile. Ce droit vise à rétablir un rapport de droit équilibré entre la personne concernée et le responsable de traitement lorsque ce dernier n’a pas justifié a priori des nécessités du traitement qu’il a entrepris unilatéralement (O. Tambou, Manuel de droit européen de la protection des données à caractère personnel, Bruylant, 2020, p. 207, n° 236).

Aux termes de l’article 21.1 du RGPD, l’exercice du droit d’opposition a pour effet que « le responsable de traitement ne traite plus les données à caractère personnel (nous soulignons), à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée ». Cette exception n’est pas explicitement invoquée dans le développement dédié au droit d’opposition, sauf à l’extrapoler de la référence à la « la nature du registre des baptêmes tenu par l’Église catholique ». Et elle ne saurait avoir joué sans priver d’effet le droit d’opposition.

9. Le droit d’opposition devant recevoir effet au cas d’espèce, il aurait dû obliger le responsable du traitement à cesser de traiter les données de la personne concernée (RGPD, art. 21.1), sans que la licéité des opérations antérieures de traitement ne soit nécessairement remise en cause. La formulation de l’article 21.1 du RGPD requiert encore que les données objet du droit d’opposition soient effacées lorsqu’il n’existe pas d’autre finalité ou base juridique pour justifier leur conservation ou archivage qui sont indubitablement des opérations de traitement (RGPD, art. 4.2 et 89). Pourtant, le Conseil d’État ne s’oppose pas à leur conservation, non sans lien avec le quitus donné à l’inapplication du droit à l’effacement.

L’éviction du droit à l’effacement

10. Le Conseil d’État confirme les conclusions de la CNIL : aucun des motifs d’effacement prévus par l’article 17 du RGPD « ne trouve à s’appliquer ». À défaut de pertinence pour ceux tenant à une obligation légale (RGPD, art. 17.1, e) ou à une collecte dans le cadre de l’offre de services de la société de l’information à des personnes concernées mineures (RGPD, art. 17.1, f), ce sont les quatre premiers motifs d’effacement de l’article 17 sur lesquels le Conseil d’État se prononce.

11. Pour le plus simple, et de façon opportune, le retrait du consentement (RGPD, art. 17.1, b) n’est pas applicable dès lors que le traitement en cause ne repose pas sur une telle base juridique (RGPD, art. 6.1, a, et 9.2, a).

12. Le motif tiré de la disparition de la nécessité des données au regard des finalités pour lesquelles elles ont collectées (RGPD, art. 17.1, a) n’est pas plus utile aux yeux de la Haute juridiction administrative. Le Conseil d’État juge que la conservation des données concernant l’apostat « durant une période ne s’achevant qu’après le décès de la personne concernée est nécessaire au regard des finalités du traitement ». Il s’agit de conserver la trace d’une entrée dans la communauté chrétienne par le baptême, lequel ne peut qu’être unique pour le cas où l’intéressé souhaiterait ultérieurement réintégrer la communauté ou se marier.

Une erreur d’appréciation nous paraît ici constituée, en particulier parce que la conservation excède la durée de vie de la personne concernée, lequel ne saurait bénéficier de sacrement ou d’une réintégration dans la communauté chrétienne au-delà de sa mort. Par ailleurs, il existe des moyens moins attentatoires d’atteindre les finalités du traitement : délivrer à l’apostat un extrait du...