Le droit des données personnelles est au cœur d’une actualité jurisprudentielle abondante, touchant à de nombreux domaines de la vie des individus, depuis leur présence sur les réseaux sociaux à leurs préférences religieuses.

Ainsi dans la présente décision¹, la Cour de Justice, saisie par la Cour Administrative Suprême finlandaise de questions relatives aux traitements effectués par les membres prédicateurs de la communauté des Témoins de Jéhovah, opère une mise en balance entre le droit à la liberté de conscience et de religion et le droit au respect de la vie privée et à la protection des données personnelles.

La Cour confirme tout d’abord que la liberté de prédication n’est pas un droit supérieur ne pouvant supporter aucune ingérence dès lors que celle-ci est prévue par la loi et nécessaire, dans une société démocratique, à la préservation des droits et libertés d’autrui.

La Cour vient préciser ensuite diverses notions clés relatives tant au champ d’application du droit des données personnelles qu’à la qualification de responsable de traitement.

En ce qui concerne le champ d’application, en premier lieu, la Cour souligne que :

- la réglementation en matière de données personnelles trouve à s’appliquer aux traitements automatisés comme aux traitements manuels dès lors que les données traitées sont contenues ou appelées à figurer dans un fichier ;

- la notion de fichier couvre tout ensemble de données personnelles structuré selon des critères déterminés permettant d’y accéder aisément. Partant, des notes manuscrites, organisées par secteur géographique, peuvent constituer un fichier nonobstant l’absence de système de recherche sophistiqué ;

- l’exception de traitement effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques doit être entendue strictement et analysée en fonction de l’activité de la personne qui traite les données et non de la personne dont les données sont traitées². Ainsi, cette exception qui vise les activités privées et familiales de particuliers n’est nullement applicable en l’espèce où les données collectées sur les personnes visitées par les Témoins de Jéhovah visent à faciliter la prédication, qui est, par définition, une activité tournée vers l’extérieur, et qu’elles peuvent être partagées au sein de la communauté.

La Cour précise, en second lieu, que la qualification de responsable de traitement peut être appliquée :

- d’une part, à toute personne influant, « à des fins qui lui sont propres », sur un traitement de données et participant, de ce fait, à la détermination de ses finalités et moyens, sans qu’il soit nécessaire d’établir que celle-ci ait accès aux données collectés ou ait transmis des lignes directrices écrites ou consignes relatives au traitement en cause;

- d’autre part, à plusieurs acteurs « impliqués à différents stades du traitement et à des degrés divers »³. En conséquence, la Cour retient,en l’espèce, la qualité de responsable conjoint de traitement tant de la communauté des Témoins de Jéhovah que de ses membres prédicateurs dès lors que la communauté organise, coordonne et encourage l’activité de prédication de ses membres et a connaissance des traitements effectués dans ce cadre.

Par cette décision, la Cour confirme ainsi que :

- le droit des données personnelles a vocation à s’appliquer largement à toute activité survenant hors de la sphère privée, y compris religieuse ou bénévole, mais aussi à tout type de traitements, quelle que soit la technique employée, et tout type de fichiers, centralisés ou non ; et

- la responsabilité d’un acteur doit être caractérisée de manière concrète par l’existence d’une influence de fait sur les opérations de traitement qui ne requiert nullement, pour pouvoir être retenue, un cadre écrit ou un accès aux données.

Rendue sous l’empire de l’ancienne directive, cette décision demeure entièrement d’actualité dès lors que les notions abordées ici par la Cour reçoivent une définition identique dans le Règlement Général sur la Protection des Données (RGPD) applicable depuis le 25 mai 2018.

Clémence Lapôtre, collaboratrice et Céline Bey, associée, Département Propriété Intellectuelle et Nouvelles Technologies du cabinet Gowling WLG

________________

NOTES

1. CJUE, 10 juillet 2018, affaire C-25/17.
2. A cet égard, la Cour avait déjà exclu l’application de l’exception à la création d’une page Internet pour la conduite d’activités bénévoles ou religieuses (CJUE, 6 novembre 2003, C-101/01).
3. Voir également : CJUE, 5 juin 2018, affaire C‑210/16.