Témoins de Jéhova et RGPD, Cour de Justice de l’Union Européenne, grande Chambre, Arrêt du 10 juillet 2018 :
En 2013, le Contrôleur de la protection des données finlandais avait estimé que l’activité de prédication de porte-à-porte, menée par cette communauté, contrevenait aux règles issues de la directive de 1995 sur la protection des données à caractère personnelles (qui précédait l’adoption du RGPD) et que la communauté et ses membres devaient être regardés comme coresponsables de ce traitement.
Suite à différents recours, la CJUE a été saisie de cette question et a rendu sa décision le 10 juillet 2018 (M. Rees, Données personnelles : la communauté des témoins de Jéhovah coresponsable avec ses prédicateurs, Nextinpact, 10 juillet 2018). Elle y confirme en tous points la décision du Contrôleur de la protection des données finlandais en retenant :
- Que l’activité de prédication de porte-à-porte relève bien de la régulation européenne, et non de l’exception prévue pour les traitements effectués « par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques ». En effet, cette exception ne peut s’appliquer à une activité que « lorsque son objet est de rendre les données à caractère personnel accessibles à un nombre indéfini de personnes, ou encore lorsque cette activité s’étend, même partiellement, à l’espace public, et, de ce fait, est dirigée vers l’extérieur de la sphère privée de celui qui procède au traitement des données ». Or, c’était bien le cas en l’espèce, puisque la collecte des données avait pour effet de diffuser la foi à des personnes extérieures à cette communauté et qu’en outre, les données étaient transmises aux différentes paroisses.
- Que la directive de 1995 s’appliquait aux traitements réalisés à titre manuel, par la prise de notes, « lorsque les données traitées sont contenues ou appelées à figurer dans un fichier », ce qui était le cas en l’espèce.
- Que la communauté et ses membres étaient coresponsables du traitement dans la mesure où ils déterminaient conjointement les finalités et les moyens du traitement de données à caractère personnel. En effet, l’activité de prédication en porte-à-porte, qui constitue une action essentielle de cette communauté, est nourrie par les données retranscrites par les membres de celle-ci.
Cette solution devrait demeurer la même sous l’empire du RGPD, dont trois dispositions reprennent plus ou moins les 3 points ci-dessus mentionnés :
- L’article 2, §2, point c) en écarte l’application lorsque le traitement de données à caractère personnel est effectué « par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ».
- L’article 2, §1 prévoit qu’il « s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».
- L’article 26 dispose que « lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont responsables conjoints du traitement ».
Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris
Mise en ligne: 10/09/2018