Les membres des témoins de Jéhovah prennent des notes dans le cadre de leur activité de prédication de porte-à-porte. Les données collectées peuvent comporter de nombreuses informations personnelles sur les personnes démarchées comme le nom, adresse, leurs convictions religieuses, leur situation familiale, etc. Ces données sont collectées à titre d’aide-mémoire pour d’éventuelles visites ultérieures, sans que les personnes concernées en aient connaissance ou consenti. La communauté donne à ses membres des lignes directrices relatives à la prise de telles notes, lignes directrices figurant au moins dans une de ses revues consacrées à l’activité de prédication, sans se poser la question du consentement. Cette méthode qui pose question en termes de prosélytisme d’une part, pose également problème sur le plan de la collecte de données personnelles d’autre part.
En effet, en 2013, la Commission de protection des données de Finlande a interdit à la communauté religieuse des témoins de Jéhovah de collecter ou de traiter des données à caractère personnel dans le cadre de l’activité de porte-à-porte.
L’affaire a abouti devant la Cour administrative suprême de Finlande. Celle-ci a posé à la Cour de justice de l’Union Européenne (CJUE) les questions préjudicielles sur l’interprétation de la Directive 95/46/CE sur le traitement des données à caractère personnel (la Directive) alors applicable :
-
L’activité de collecte des prédicateurs constitue-t-elle un traitement de données personnelles ?
-
L’ensemble des données collectées par les prédicateurs peut-il être qualifié de « fichier» ?
-
La communauté religieuse peut-elle être qualifiée de responsable conjoint de traitement avec ses prédicateurs ?
Une collecte et les traitements ultérieurs de données effectués par des prédicateurs constituent un traitement de données personnelles au sens de la Directive de 1995
La CJUE a interprété les dispositions de la Directive à la lumière de l’article 10 (§.1) de la Charte des droits fondamentaux de l’Union européenne qui protège l’activité de prédication de porte-à-porte comme droit fondamental à la liberté de conscience et de religion.
La CJUE rappelle que la Directive s’applique au traitement total ou partiel de données à caractère personnel contenues ou appelées à figurer dans un fichier.
Toutefois, ce principe comporte deux limites : les activités propres aux autorités étatiques et les activités exclusivement personnelles ou domestiques. La CJUE écarte la première exception et se concentre sur la deuxième. À ce titre, elle précise que l’activité de prédication ne se cantonne pas uniquement à la sphère privée du prédicateur, mais va bien au-delà ! En conséquence, l’exception d’activités exclusivement personnelles ou domestiques ne peut être invoquée, dès lors qu’il s’agit justement de constituer un fichier, comme examiné infra, composé d’adeptes potentiels, et d’autant de donateurs…
La CJUE conclut alors que la collecte de données lors de l’activité de porte à porte constitue bien un traitement de données personnelles au sens de la Directive.
Un fichier recouvre un ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication dès lors que ces données sont structurées de façon à les retrouver ultérieurement.
Il est ici question de savoir si l’ensemble des données collectées par les prédicateurs peut être qualifié de « fichier » au sens de la Directive.
La CJUE précise que la notion de « fichier » couvre « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ». Pour cette raison, la notion de « fichier » peut couvrir un ensemble de données à caractère personnel (noms, adresses, ou autres informations concernant les personnes démarchées) collectées dans le cadre d’une activité de prédication.
Elle en conclut que, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure, elles correspondent à la notion de « fichier ».
En outre, la CJUE énonce que pour être considéré comme un « fichier », il n’est pas nécessaire que celui-ci comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche.
Une communauté religieuse est responsable, conjointement, des traitements de données à caractère personnel effectués par ses prédicateurs dans le cadre d’une activité de porte-à-porte organisée, coordonnée et encouragée par cette communauté.
La CJUE rappelle la notion de « responsable du traitement » comme étant la personne physique ou morale qui, « seule ou conjointement avec d’autres », détermine les finalités et les moyens du traitement de données à caractère personnel.
L’objectif de la CJUE est d’avoir une définition large de la notion de « responsable », pour une protection efficace et complète des personnes concernées. Selon elle, pour un même traitement de données personnelles, la responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents acteurs mais plutôt par une responsabilité modulée en fonction de l’implication et de l’espèce.
En ce sens, une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et participe de ce fait à la détermination des finalités et des moyens de ce traitement, peut être considérée comme étant responsable du traitement, au sens de la Directive.
Or, le prédicateur agit rarement dans son seul intérêt ou pour constituer son propre auditoire, mais pour grossir les rangs de son culte.
La CJUE constate que la collecte et le traitement des données personnelles servent à la réalisation de l’objectif de diffusion de la foi de la communauté des témoins de Jéhovah et sont, de ce fait, effectués par ses prédicateurs à des fins propres à cette communauté. De surcroît, la communauté des témoins de Jéhovah organise et coordonne l’activité de ses prédicateurs en répartissant leurs secteurs d’activité. Elle les encourage à procéder, dans le cadre de leur activité de prédication, à des traitements de données à caractère personnel. Du reste, elle participe, conjointement avec ses membres prédicateurs, à la détermination de la finalité et des moyens des traitements de données à caractère personnel des personnes qui sont démarchées.
La CJUE conclut alors qu’une communauté religieuse est « responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté ».
En outre, elle précise qu’il n’est pas nécessaire de démontrer un accès aux données ou une transmission de consignes relatives au traitement pour être qualifié de responsable conjoint.
Par cet arrêt, la CJUE rappelle les critères devant être pris en compte afin de déterminer la qualité de responsable conjoint du traitement. Cette décision fait ainsi écho, dans un tout autre domaine, à son arrêt du 5 juin 2018 où la CJUE a considéré que l’administrateur d’une page fan était responsable conjoint avec Facebook. Cette décision rejoint la politique européenne actuelle qui tend vers une protection toujours plus forte des données personnelles. D’ailleurs, bien que cette jurisprudence soit rendue sous l’empire de la Directive de 1995, les critères dégagés par la CJUE devront être pris en compte afin de déterminer la qualité de responsable conjoint du traitement, telle que prévue par le RGPD.