Il ressort de l’article 3§1 de la directive 95/46/CE que les règles qu’édicte la réglementation communautaire relativement à la protection des personnes physiques à l’égard du traitement des données à caractère personnel s’appliquent à tout « traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».
En revanche, ne sont pas soumis auxdites règles les traitements de données personnelles mis en œuvre pour des activités qui ne relèvent pas de la compétence du droit communautaire, tels ceux ayant pour objet la sécurité de l’Etat (article 3§2, tiret 1), et ceux « effectués par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques » (article 3§2, tiret 2).
Par son arrêt du 10 Juillet 2018, saisie par voie de question préjudicielle, la Cour de Justice de l’Union Européenne (CJUE) est venue se prononcer sur la question de savoir si la collecte de données personnelles, menée par une communauté religieuse, pouvait rentrer dans le champ des exceptions prévues par la directive.
En l’espèce, la communauté des témoins de Jéhovah s’opposait à la décision de la commission de protection des données finlandaise lui interdisant de collecter ou de traiter des données à caractère personnel dans le cadre de ses activités de prédication de porte-à-porte, à défaut de respecter la législation nationale concernant la protection desdites données.
Par un jugement du 18 décembre 2014, le tribunal administratif d’Helsinki a annulé cette décision, considérant notamment que la communauté des témoins de Jéhovah n’était pas responsable du traitement de données à caractère personnel et qu’il n’y avait donc pas traitement illégal.
Le jugement a été vivement contesté par le contrôleur de la protection des données qui a décidé de saisir la Cour administrative suprême finlandaise.
La juridiction finlandaise a décidé de surseoir à statuer afin d’interroger la CJUE sur les points suivants :
• La collecte et le traitement des données personnelles menés par les membres d’une communauté religieuse relèvent-ils des exceptions prévues à l’article 3 §2 de la directive ? En cas de réponse positive, ils ne seraient donc pas soumis à la législation applicable en la matière.
• L’ensemble des données personnelles collectées dans le cadre de l’activité de prédication de porte à porte par des témoins de Jéhovah peut-il être considéré comme un fichier au sens de l’article 2 de la directive ?
• Dans le cadre d’une activité de prédication de porte à porte organisée, peut-on considérer une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, du traitement de données à caractère personnel ? Est-il pour ce faire nécessaire que « ladite communauté ait accès à ces données ou qu’il soit établi qu’elle a donné à ses membres des lignes directrices écrites ou consignes relativement à ces traitements » ?
Pour sa défense, la communauté des témoins de Jéhovah rétorquait notamment que, dans le cadre de l’activité de prédication de porte-à-porte de ces membres, la collecte des données était effectuée « par des personnes physiques pour l’exercice d’activités exclusivement personnelles ou domestiques » au sens de l’article 3§2 de la directive susvisée.
Dans sa décision du 10 Juillet 2018, la CJUE est venue:
• d’une part, indiquer que « l’activité de prédication de porte-à-porte des membres de la communauté des témoins de Jéhovah ne relève pas des exceptions prévues par le droit de l’Union en matière de protection des données à caractère personnel ». Elle a en effet notamment considéré que le traitement effectué n’était pas réalisé pour l’exercice d’activités exclusivement personnelles et domestiques dans la mesure où l’objet de l’activité des témoins de Jéhovah est de « diffuser la foi de la communauté des témoins de Jéhovah auprès des personnes qui n’appartiennent pas au foyer des membres prédicateurs » et donc « dirigée vers l’extérieur de la sphère privée des membres prédicateurs ».
• d’autre part, rappeler que la notion de fichier couvre « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ». Cette définition large englobe donc les aide-mémoires rédigés par les prédicateurs pour faciliter « l’organisation de visites ultérieures à des personnes ayant déjà été démarchées ».
• répondre aux deux dernières questions en ce sens que oui, la communauté religieuse et ses membres prédicateurs doivent être considérés conjointement responsables du traitement puisqu’ils fixent ensemble ses finalités et moyens. A cet égard, la Cour a souligné qu’aucune disposition de la directive ne précise que « la détermination des finalités et des moyens du traitement doit s’effectuer au moyen de lignes directrices écrites ou de consignes de la part du responsable de traitement ».