La Cour de justice de l’Union européenne, par un arrêt rendu le 10 juillet 2018, précise l’application du droit des données personnelles aux activités de prédication religieuse. Des membres d’une association procèdent à une collecte d’informations nominatives et de notes sur les convictions spirituelles lors de visites effectuées au domicile de particuliers. Le médiateur finlandais à la protection des données interdit ces pratiques en l’absence d’un consentement exprès et préalable des personnes physiques ainsi démarchées. Saisie du litige, la Cour administrative suprême de Finlande, par décision du 22 décembre 2016, interroge la juridiction européenne sur l’interprétation de la directive 95/46. Les parties s’opposent sur la nature privée de cette activité prosélyte et sur la qualification de fichier pour les notes manuscrites prises par les fidèles. La question posée est de savoir si la collecte de données lors d’une prédication de porte-à-porte relève de la protection européenne et qui doit en assumer la responsabilité. La Cour juge que ces traitements ne sont pas exclusivement personnels et que la communauté religieuse partage la responsabilité du traitement avec ses membres prédicateurs. L’étude de cette décision impose d’analyser l’application rigoureuse du cadre juridique aux activités de prédication avant d’examiner les modalités de la responsabilité conjointe de la communauté.
I. L’assujettissement de la prédication religieuse au régime de protection des données
La juridiction européenne écarte l’exception de l’activité exclusivement personnelle pour soumettre les pratiques de démarchage religieux aux obligations de la directive du 24 octobre 1995.
A. L’étroitesse de l’exception pour activités personnelles ou domestiques
Le juge considère que le traitement de données effectué par des membres d’une communauté religieuse dans le cadre d’une prédication ne relève pas de la sphère privée. Ces activités « ne constituent ni des traitements de données à caractère personnel mis en œuvre pour l’exercice d’activités visées à l’article 3… ni des traitements… pour l’exercice d’activités exclusivement personnelles ou domestiques ». La prédication vise à diffuser une foi auprès d’un public extérieur et s’écarte ainsi radicalement du cadre strictement familial ou de la vie privée habituelle. Cette interprétation garantit que la protection des libertés fondamentales s’applique dès que les données sortent du cercle intime pour intégrer une démarche organisée de collecte.
B. L’approche fonctionnelle de la notion de fichier
La Cour définit le fichier de manière souple pour inclure les notes prises manuellement dès qu’elles permettent une recherche aisée des informations collectées. La notion de fichier couvre un « ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ». Il suffit que ces données soient « structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure ». Le juge précise qu’il n’est pas nécessaire de disposer de listes spécifiques ou de systèmes de recherche sophistiqués pour entrer dans le champ de la réglementation. Cette solution assure une protection effective des citoyens face à toute forme de stockage organisé d’informations sensibles indépendamment du support technique utilisé.
II. La consécration d’une responsabilité conjointe de la communauté religieuse
L’arrêt précise les critères de la qualité de responsable de traitement en attribuant ce rôle à la communauté qui organise et encourage l’activité de ses membres.
A. Le critère de l’influence exercée sur le traitement
La responsabilité de la communauté religieuse est engagée dès lors qu’elle coordonne et favorise les activités de prédication menées par ses fidèles sur le terrain. La directive permet de « considérer une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, des traitements… effectués… dans le cadre d’une activité de prédication… organisée, coordonnée et encouragée ». La Cour privilégie ainsi une vision matérielle du contrôle sur les données plutôt qu’une approche purement formelle liée à la possession physique des fichiers. Cette qualification de responsable conjoint ne nécessite pas que la communauté dicte précisément chaque acte de collecte mais repose sur son rôle moteur dans l’organisation globale.
B. L’indifférence de l’accès effectif aux données collectées
La décision affirme que la qualité de responsable de traitement ne dépend pas de l’accès direct aux informations ni de l’existence de consignes écrites obligatoires. Il n’est pas nécessaire que « ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes ». Le juge européen renforce ainsi la protection des personnes en multipliant les débiteurs de l’obligation de conformité au droit de l’Union. Cette responsabilité collective assure que les entités structurantes ne puissent s’exonérer de leurs obligations en déléguant l’exécution matérielle de la collecte à leurs membres individuels. La solution témoigne de la volonté de la Cour de maintenir un niveau élevé de protection des données personnelles face aux structures collectives complexes.
