[Brèves] Traitement des données à caractère personnel : responsabilité d’une communauté religieuse

Une communauté religieuse, telle que celle des témoins de Jéhovah, est responsable, conjointement avec ses membres prédicateurs, du traitement des données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte. En outre, les traitements de données à caractère personnel effectués dans le cadre d’une telle activité doivent respecter les règles du droit de l’Union en matière de protection des données à caractère personnel. Tel est l’enseignement d’un arrêt rendu par la CJUE le 10 juillet 2018 (CJUE, 10 juillet 2018, aff. C-25/17 N° Lexbase : A6542XXL).

La Cour de justice considère, tout d’abord, que l’activité de prédication de porte-à-porte des membres de la communauté des témoins de Jéhovah ne relève pas des exceptions prévues par la Directive 95/46 du 24 octobre 1995 (N° Lexbase : L8240AUQ). En particulier, cette activité n’est pas une activité exclusivement personnelle ou domestique à laquelle ce droit ne s’applique pas. La circonstance que l’activité de prédication de porte-à-porte est protégée par le droit fondamental à la liberté de conscience et de religion, consacré à l’article 10 § 1 de la Charte des droits fondamentaux de l’Union européenne, n’a pas pour effet de lui conférer un caractère exclusivement personnel ou domestique, en raison du fait qu’elle dépasse la sphère privée d’un membre prédicateur d’une communauté religieuse.

Ensuite, la Cour rappelle que les règles du droit de l’Union en matière de protection des données à caractère personnel ne s’appliquent, cependant, au traitement manuel des données que lorsque ces dernières sont contenues dans un fichier ou sont appelées à figurer dans un fichier. A cet égard, la Cour conclut que la notion de «fichier» couvre tout ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte et comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure. Pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire que celui-ci comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche. Les traitements de données à caractère personnel qui sont effectués dans le cadre de l’activité de prédication de porte-à-porte doivent donc respecter les règles du droit de l’Union en matière de protection des données à caractère personnel.

En ce qui concerne la question de savoir qui peut être considéré comme responsable du traitement des données à caractère personnel, la Cour estime notamment qu’une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement des données à caractère personnel et participe, de ce fait, à la détermination des finalités et des moyens de ce traitement peut être considérée comme étant responsable du traitement. En outre, la responsabilité conjointe de plusieurs acteurs ne présuppose pas que chacun d’eux ait accès aux données à caractère personnel. En l’occurrence, il apparaît que la communauté des témoins de Jéhovah, en organisant, coordonnant et encourageant l’activité de prédication de ses membres, participe, conjointement avec ses membres prédicateurs, à la détermination de la finalité et des moyens du traitement des données à caractère personnel des personnes démarchées. Cette analyse n’est pas remise en cause par le principe de l’autonomie organisationnelle des communautés religieuses.

© Reproduction interdite, sauf autorisation écrite préalable