Tu obéiras aux préceptes de la protection des données

Ils vous rendent visite, prennent des notes, repasseront peut-être. Les membres de la communauté des témoins de Jéhovah collectent vos nom et adresse, parfois des informations sur vos convictions religieuses ou votre situation familiale – sans votre consentement et sans vous en informer. Cette activité de prédication de porte-à-porte est en fait organisée et coordonnée par cette communauté et les paroisses qui en dépendent. Pendant que la première répartit les secteurs d’activité des différents prédicateurs, les secondes établissent des listes des personnes ne souhaitant plus être démarchées ; et les données à caractère personnel figurant sur celles-ci peuvent finalement être utilisées par les membres de la communauté.

Cela étant, la commission finlandaise de protection des données a interdit à la communauté des témoins de Jéhovah de collecter ou de traiter des données à caractère personnel dans le cadre de l’activité de prédication de porte-à-porte, sans que soient respectées les conditions légales prévues pour le traitement de telles données. Le tribunal administratif d’Helsinki annula cette décision et bientôt la Cour administrative suprême de Finlande fut saisie. Celle-ci décida de surseoir à statuer pour demander en substance à la Cour de justice de l’Union européenne (CJUE) si cette communauté elle-même pouvait être considérée comme étant responsable, au sens de la directive 95/46, de la collecte des données à caractère personnel effectuée par ses membres prédicateurs (dir. 95/46/CE du Parlement européen et du Conseil, 24 oct. 1995, JOUE 23 nov. ; abrogée par règl. 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, JOUE 4 mai).

Tout d’abord, la CJUE remarque que la prédication de porte-à-porte a « pour objet de diffuser la foi de la communauté des témoins de Jéhovah auprès de personnes qui […] n’appartiennent pas au foyer des membres prédicateurs » (§ 44). En outre, le fait qu’elle soit protégée par l’article 10 de la Charte des droits fondamentaux de l’Union européenne « en tant qu’expression de la foi du ou des prédicateurs » n’a pas pour effet de lui conférer un caractère « exclusivement personnel ou domestique » (§ 49). Cette activité n’entre donc pas dans le champ des exceptions à l’application des règles du droit de l’Union relatives à la protection des données à caractère personnel (v. dir. 95/46, art. 3, § 2).

Par ailleurs, les traitements en cause sont effectués de manière non automatisée. Or la directive 95/46 ne s’applique aux traitements manuels de données à caractère personnel « que lorsque les données traitées sont contenues ou appelées à figurer dans un fichier » (§ 53). Alors la CJUE doit étayer cette dernière notion, laquelle renvoie à un ensemble « structuré selon des critères déterminés » (§ 57). Elle précise, in fine, que les critères exacts ou la forme précise importent peu, dès lors qu’ils permettent, « en pratique », de « retrouver aisément [les données] aux fins d’une utilisation ultérieure » (§ 62).

Enfin, c’est la notion de « responsable du traitement » qui est examinée et les considérations émises sont à peu près celles dégagées dans l’arrêt Wirtschaftsakademie Schleswig-Holstein (CJUE 5 juin 2018, aff. C-210/16, Dalloz actualité, 25 juin 2018, obs. N. Nalepa ). Ainsi, la grande chambre observe que la communauté des témoins de Jéhovah « organise », « coordonne » et même « encourage » l’activité de prédication de ses membres ; avec ces derniers, elle « participe […] à la détermination de la finalité et des moyens des traitements de données à caractère personnel des personnes qui sont démarchées » (§ 73). Ce qui permet aux juges de conclure, plus généralement, qu’« une communauté religieuse, [telle que celle en cause, est] responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte » (§ 75).