Les Eglises n’échappent pas au GDPR

Publié le par - 712 vues

Une communauté religieuse, telle que celle des témoins de Jéhovah, est responsable, conjointement avec ses membres prédicateurs, du traitement des données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte. Les traitements de données à caractère personnel effectués dans ce cadre doivent respecter le GDPR.

La collecte de données

Les membres de la communauté des témoins de Jéhova prennent, dans le cadre de leur activité de prédication de porte-à-porte, des notes sur les visites rendues à des personnes que ni eux ni la communauté ne connaissent. Les données collectées peuvent comporter le nom et l’adresse des personnes démarchées ainsi que des informations portant sur leurs convictions religieuses et leur situation familiale. Elles sont collectées à titre d’aide-mémoire afin de pouvoir être retrouvées pour une éventuelle visite ultérieure, sans que les personnes concernées y aient consenti ni en aient été informées.

La communauté des témoins de Jéhovah et les paroisses qui en dépendent organiseraient et coordonneraient l’activité de prédication de porte-à-porte de leurs membres, notamment en établissant des cartes à partir desquelles des secteurs seraient répartis entre les membres prédicateurs et en tenant des fiches sur les prédicateurs et le nombre de publications de la communauté diffusées par ceux-ci.

En outre, les paroisses de la communauté des témoins de Jéhovah géreraient une liste des personnes ayant exprimé le souhait de ne plus faire l’objet de visites de la part des membres prédicateurs ; les données à caractère personnel figurant sur cette liste seraient utilisées par les membres de la communauté.

Le 17 septembre 2013, la tietosuojalautakunta (commission finlandaise de protection des données) a interdit à la Jehovan todistajat – uskonnollinen yhdyskunta (communauté religieuse des témoins de Jéhovah en Finlande) de collecter ou de traiter des données à caractère personnel dans le cadre de l’activité de prédication de porte-à-porte effectuée par ses membres, sans que les conditions légales prévues pour le traitement de telles données soient respectées.

La demande de décision préjudicielle du Korkein hallinto-oikeus (Cour administrative suprême, Finlande) vise, en substance, à savoir si la communauté est soumise au respect des règles du droit de l’Union en matière de protection des données à caractère personnel 1, du fait que ses membres, lorsqu’ils exercent leur activité de prédication de porte-à-porte, peuvent être amenés à prendre des notes retranscrivant le contenu de leur entretien et, en particulier, l’orientation religieuse des personnes auxquelles ils ont rendu visite.

Les Eglises soumises au GDPR

Dans son arrêt, la Cour de justice considère tout d’abord que l’activité de prédication de porte-à-porte des membres de la communauté des témoins de Jéhovah ne relève pas des exceptions prévues par le droit de l’Union en matière de protection des données à caractère personnel.

En particulier, cette activité n’est pas une activité exclusivement personnelle ou domestique à laquelle ce droit ne s’applique pas. La circonstance que l’activité de prédication de porte-à-porte est protégée par le droit fondamental à la liberté de conscience et de religion, consacré à l’article 10, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, n’a pas pour effet de lui conférer un caractère exclusivement personnel ou domestique, en raison du fait qu’elle dépasse la sphère privée d’un membre prédicateur d’une communauté religieuse.

Les fichiers « non-automatisés »

Ensuite, la Cour rappelle que les règles du droit de l’Union en matière de protection des données à caractère personnel ne s’appliquent, cependant, au traitement manuel des données que lorsque ces dernières sont contenues dans un fichier ou sont appelées à figurer dans un fichier.

En l’espèce, comme le traitement de données à caractère personnel est effectué de manière non automatisée, la question se pose de savoir si les données ainsi traitées sont contenues dans un fichier ou sont appelées à figurer dans un tel fichier.

À cet égard, la Cour conclut que la notion de « fichier » couvre tout ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte et comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure. Pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire que celui-ci comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche.

La responsabilité conjointe du traitement

En ce qui concerne la question de savoir qui peut être considéré comme responsable du traitement des données à caractère personnel, la Cour rappelle que la notion de « responsable du traitement » peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux devant alors être soumis aux règles du droit de l’Union en matière de protection des données à caractère personnel. Ces acteurs peuvent être impliqués à différents stades du traitement et à des degrés divers, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce. La Cour constate également qu’aucune disposition du droit de l’Union ne permet de considérer que la détermination des finalités et des moyens du traitement doit s’effectuer au moyen de lignes directrices écrites ou de consignes de la part du responsable du traitement. En revanche, une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement des données à caractère personnel et participe, de ce fait, à la détermination des finalités et des moyens de ce traitement peut être considérée comme étant responsable du traitement.

En outre, la responsabilité conjointe de plusieurs acteurs ne présuppose pas que chacun d’eux ait accès aux données à caractère personnel.

En l’occurrence, il apparaît que la communauté des témoins de Jéhovah, en organisant, coordonnant et encourageant l’activité de prédication de ses membres, participe, conjointement avec ses membres prédicateurs, à la détermination de la finalité et des moyens du traitement des données à caractère personnel des personnes démarchées, ce qu’il appartient toutefois à la juridiction finlandaise d’apprécier au regard de l’ensemble des circonstances de l’espèce. Cette analyse n’est pas remise en cause par le principe de l’autonomie organisationnelle des communautés religieuses, garanti à l’article 17 TFUE.

La Cour conclut que le droit de l’Union en matière de protection des données à caractère personnel permet de considérer une communauté religieuse comme responsable, conjointement avec ses membres prédicateurs, du traitement des données à caractère personnel effectué par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que la communauté en question ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ce traitement

Droit & Technologies

Annexes

Conclusions de l’avocat général

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK