La Cour de justice de l’Union européenne a rappelé le 10 juillet 2018, que les traitements de données à caractère personnel effectués dans le cadre de l’activité de prédication de porte-à-porte des témoins de Jéhovah devaient respecter les règles du droit de l’Union en matière de protection des données à caractère personnel.
La Cour administrative suprême de Finland a posé une question préjudicielle afin de savoir si la communauté des témoins de Jéhovah était soumise au respect des règles du droit de l’Union en matière de protection des données à caractère du fait que ses membres, lorsqu’ils exercent leur activité de prédication de porte-à-porte, peuvent être amenés à prendre des notes retranscrivant le contenu de leur entretien et, en particulier, l’orientation religieuse des personnes auxquelles ils ont rendu visite.
Les notes des témoins de Jéhovah contiennent également le nom et l’adresse des personnes démarchées ainsi que des informations portant sur leurs convictions religieuse et leur situation familiale. Ces données sont collectées à titre d’aide-mémoire afin de pouvoir être retrouvées pour une éventuelle visite ultérieure, sans que les personnes concernées y aient consenti ou n’aient été informées.
Les paroisses de la communauté des témoins de Jéhovah gérerait également une liste des personnes ayant exprimé le souhait de ne plus faire l’objet de visites de la part des membres prédicateurs.
La CJUE a considéré, dans cet arrêt du 10 juillet 2018, que l’activité de prédication de porte-à-porte ne relevait pas des exceptions prévues par le droit de l’Union en matière de protection des données. Il ne s’agit notamment pas d’une activité « exclusivement personnelle ou domestique ».
Elle rappelle que le droit de l’Union en matière de protection des données ne s’applique au traitement manuel des données que lorsque ces dernières sont contenus dans un fichier ou appelées à figurer dans un fichier. La Cour relève ici qu’il n’y ait pas de traitement automatisé. Cependant, la notion de « fichier » couvre, selon elle, tout ensemble de données à caractère personnel collecté dans le cadre d’une activité de prédication de porte-à-porte et comportant les noms et les adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieur.
La Cour en conclut que le traitement en cause doit respecter les règles du droit de l’Union en matière de protection des données à caractère personnel.
Elle poursuit sur la question de la détermination des responsables du traitement.
La Cour estime que rien ne lui permet de considérer que la détermination des finalités et des moyens du traitement doit s’effectuer au moyen de lignes directrices écrites ou de consignes de la part du responsable du traitement. Elle considère, en revanche, qu’une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement des données à caractère personnel et participe, de ce fait, à la détermination des finalités et des moyens de ce traitement peut être considérée comme étant responsable du traitement.
En outre, la responsabilité conjointe de plusieurs acteurs ne présuppose pas que chacun d’eux ait accès aux données à caractère personnel.
Pour la Cour, il apparaît que la communauté des témoins de Jéhovah, en organisant, coordonnant et encourageant l’activité de prédication de ses membres, participe, conjointement avec ses membres prédicateurs, à la détermination de la finalité et des moyens du traitement des données à caractère personnel des personnes démarchées, « ce qu’il appartient toutefois à la juridiction finlandaise d’apprécier au regard de l’ensemble des circonstances de l’espèce ».
La Cour conclut que le droit de l’Union en matière de protection des données à caractère personnel permet de considérer une communauté religieuse comme responsable, conjointement avec ses membres prédicateurs, du traitement des données à caractère personnel effectué par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que la communauté en question ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ce traitement.
