La Cour de justice de l’Union européenne a consacré ce jour la coresponsabilité de la communauté des témoins de Jéhovah avec ses prédicateurs. Dans son arrêt, ont pesé la détermination de la finalité et des moyens des traitements de données à caractère personnel des personnes démarchées.
En 2013, en Finlande, le contrôleur de la protection des données avait fait interdiction à la communauté des témoins de Jéhovah de collecter ou traiter des données à caractère personnel.
Elle visait en particulier l’activité de prédication de porte-à-porte, non respectueuse selon lui de la législation nationale en vigueur, issue de la directive de 1995 sur la protection des données, l’ancêtre du RGPD. Pour la CNIL finlandaise, la communauté et ses membres étaient même coresponsables de ce traitement. Cette dernière a cependant contesté cette analyse devant la justice.
Bien lui en a pris : le tribunal administratif de Helsinki a annulé la décision, qui a été aussitôt attaquée devant la Cour suprême. C’est dans ces conditions que la Cour de justice de l’Union européenne a été interrogée au fil d’une série de questions préjudicielles.
Une activité exclusivement personnelle ?
Première interrogation : est-ce que ces activités de porte-à-porte tombent bien dans le champ de la régulation européenne ? La directive de 95 exclut en effet de son champ les traitements effectués « par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques ». Une thèse développée par la communauté des témoins de Jéhovah.
La Cour a rappelé au contraire qu’une activité ne saurait être considérée comme étant exclusivement personnelle ou domestique « lorsque son objet est de rendre des données à caractère personnel accessibles à un nombre indéfini de personnes, ou encore lorsque cette activité s’étend, même partiellement, à l’espace public, et, de ce fait, est dirigée vers l’extérieur de la sphère privée de celui qui procède au traitement des données ».
Or, c’est bien le cas ici : d’une part, la collecte de données a pour objet de diffuser la foi de la communauté auprès de personnes qui n’appartiennent pas à son foyer. « Cette activité est donc dirigée vers l’extérieur de la sphère privée des membres prédicateurs ». D’autre part, les données sont transmises aux différentes paroisses. À ce stade, est même constituée une sorte de liste noire pour exclure les personnes ne souhaitant plus recevoir de visites.
Un traitement automatisé de fichiers ?
Une autre réponse apportée concerne le champ d’application matériel de cette directive. Dans la mesure où les traitements étaient réalisés à titre manuel, par prise de note, pouvaient-ils échapper à ce texte sur les traitements automatisés de fichiers ?
Avant de répondre par l’affirmative, la CJUE a rappelé que la directive « ne s’applique aux traitements manuels de données à caractère personnel que lorsque les données traitées sont contenues ou appelées à figurer dans un fichier ». Or, ici, l’objet même des aides mémoires, remplis au fil des visites, reposait sur des données « structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure ».
Dans le cadre du RGPD, rappelons que le champ d’application a été étendu. Il « s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». Autant dire qu’une même solution devrait s’imposer sous ce nouveau règne.
Une coresponsabilité ?
Enfin, la coresponsabilité de la communauté avec ses membres a été reconnue. Selon le texte de 95, un « responsable du traitement » est celui qui, « seul ou conjointement avec d’autres », détermine les finalités et les moyens du traitement de données à caractère personnel. On retrouve peu ou prou cette logique à l’article 26 du RGPD.
Pour la Cour, l’activité de prédication en porte-à-porte constitue « une forme d’action essentielle de cette communauté, action qui est organisée, coordonnée et encouragée par ladite communauté ». Elle est nourrie par des données retranscrites dans des aide-mémoires pour une utilisation ultérieure ou la constitution de liste noire.
Ces actions « servent à la réalisation » des objectifs de la communauté, qui non seulement en a connaissance, mais organise et coordonne l’activité des prédicateurs. « De telles circonstances permettent de considérer que la communauté des témoins de Jéhovah encourage ses membres prédicateurs à procéder, dans le cadre de leur activité de prédication, à des traitements de données à caractère personnel ».
En somme, « elle participe, conjointement avec ses membres prédicateurs, à la détermination de la finalité et des moyens des traitements de données à caractère personnel des personnes qui sont démarchées ».
