La question posée à la Cour de Justice de l’Union européenne par la Cour Administrative suprême de Finlande  dans l’affaire C‑25/17 ; arrêt du 10 juillet 2018 ; ECLI:EU:C:2018:551, ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Korkein hallinto-oikeus (Cour administrative suprême, Finlande) avec intervention, outre du gouvernement finlandais, du gouvernement tchèque, et du gouvernement italien, s’impose maintenant aux autres juridictions nationales qui seraient saisies d’un problème similaire.

Il s’agit de l’articulation entre la réglementation relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et celle de l’exercice même de la pratique des groupements religieux  dans le cadre d’activités de prédication.

La question porte, plus précisément, sur l’applicabilité ou non de la directive de l’Union européenne sur le traitement des données à caractère personnel, aux cas de collectes ou de traitement des données à caractère personnel dans le cadre de l’activité de prédication de porte-à-porte effectuée par les membres d’une communauté religieuse.

La directive C‑25/17 du 24 octobre 1995 relative à « la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données », ne s’applique pas systématiquement :

  • elle ne s’applique pas au traitement de données à caractère personnel « mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal ; »
  • elle ne s’applique pas non plus au traitement « effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques. »

Pour pouvoir répondre à la question portant sur l’application de ce texte  aux données collectées dans le cadre de prédications par les groupements religieux, le raisonnement juridique est fondé sur deux interrogations.

  • La première interrogation posée est de savoir si l’activité de « prédication » est ou non hors champs d’application du droit communautaire ; la Cour va répondre clairement que cette activité est bien soumise au droit de l’Union européenne.
  • La seconde interrogation posée est de savoir si le traitement des données de la prédication relève ou non de l’exercice d’activités exclusivement personnelles ou domestiques.

 

1- Le cadre général du droit de l'Union européenne dans lequel s’inscrivent les activités de « prédication » religieuse.

La Cour, dans le cas d’espèce, va bien bâtir sa jurisprudence sur la problématique du traitement des données à caractère personnel, mais avec cet éclairage particulier et qui n’avait jamais encore été abordé, des activités des groupements religieux.

La Cour va, dans cette jurisprudence, pour pouvoir répondre, faire le pontage entre le droit de l’Union européenne et la jurisprudence de la CEDH qui n’est pas toujours facile en la matière.

Pour cela elle rappelle que le droit à la liberté de conscience et de religion, est  consacré à l’article 10, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne et implique, notamment, la liberté de toute personne de manifester sa religion ou sa conviction individuellement ou collectivement, en public, ou en privé, par le culte, l’enseignement, les pratiques et l’accomplissement de rites ; que la Charte confère les dits droits  tant en ce qui concerne le fait d’avoir des convictions, qu’en ce qui concerne la manifestation en public de la foi religieuse ; elle rappelle enfin que, en application de la jurisprudence de la CEDH la Charte comporte également, le droit d’essayer de convaincre d’autres personnes, par exemple au moyen d’une prédication.

Par contre, au point 49 se son jugement, elle va différencier les objectifs de la pratique de la prédication et conclure que si l’activité de prédication de porte-à-porte des membres d’une communauté religieuse est protégée en tant qu’expression de la foi du ou des prédicateurs, cette circonstance n’a pas pour effet de conférer à ladite activité un caractère exclusivement personnel ou domestique. Or, nous l’avons rappelé, c’est ce caractère qui permet de ne pas appliquer la directive.

 

2- Le traitement des données de la prédication relève t’il ou non de l’exercice d’activités exclusivement personnelles ou domestiques

La Cour va dire que la collecte de données à caractère personnel par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données, ne constituent ni des traitements de données à caractère personnel mis en œuvre pour l’exercice d’activités visées par la directive, ni des traitements de données à caractère personnel effectués par des personnes physiques pour l’exercice d’activités exclusivement personnelles ou domestiques.

En effet, selon la Cour, « l’activité de prédication de porte-à-porte, dans le cadre de laquelle des données à caractère personnel sont collectées par les membres de la communauté a, par sa nature même, pour objet de diffuser la foi de la communauté auprès de personnes qui n’appartiennent pas au foyer des membres prédicateurs. » « Cette activité est donc dirigée vers l’extérieur de la sphère privée des membres prédicateurs. Certaines des données collectées par les membres prédicateurs de ladite communauté sont transmises par ceux-ci aux paroisses de cette communauté, lesquelles tiennent, à partir de ces données, des listes de personnes ne souhaitant plus recevoir de visites desdits membres. Dans le cadre de leur activité de prédication, ces derniers rendent ainsi, à tout le moins, certaines des données collectées accessibles à un nombre potentiellement indéfini de personnes. »

Par conséquent dans le cas d’espèce la directive s’applique.

 

3-Puisque le droit de l’Union européenne s’applique, se pose la question de la responsabilité.

Selon la directive le “responsable du traitement” est «  la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire ; »

La Cour, précise alors que dans le cas d’espèce : « le droit de l’Union en matière de protection des données à caractère personnel permet de considérer une communauté religieuse comme responsable, conjointement avec ses membres prédicateurs, du traitement des données à caractère personnel effectué par ces derniers dans le cadre d’une activité de prédication de porte-à- porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que la communauté en question ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ce traitement. »

La Cour estime en effet que « la collecte des données à caractère personnel est effectuée dans le cadre de l’exercice de l’activité de prédication de porte-à-porte, par laquelle les membres prédicateurs diffusent la foi de leur communauté. Cette activité de prédication constitue, une forme d’action essentielle de cette communauté, action qui est organisée, coordonnée et encouragée par ladite communauté. » ( point 70)

Elle fait reposer sa position sur les points indicateurs suivants qui permettront certainement d’éclairer de futurs recours :

  • les données sont collectées à titre d’aide-mémoire aux fins d’une utilisation et d’une éventuelle nouvelle visite ultérieures (point 70) ;
  • les paroisses de la communauté tiennent, à partir des données qui leur sont transmises par les membres prédicateurs, des listes de personnes ne souhaitant plus recevoir la visite de tels membres (point 70) ;
  • la collecte de données à caractère personnel relatives aux personnes démarchées et leur traitement ultérieur servent à la réalisation de l’objectif de la communauté consistant à diffuser la foi de celle-ci et sont, de ce fait, effectués par ses membres prédicateurs à des fins propres à cette communauté (point 71) ;
  • la communauté organise et coordonne l’activité de prédication de ses membres, notamment en répartissant les secteurs d’activité des différents prédicateurs (point 71) ;
  • la communauté encourage ses membres prédicateurs à procéder, dans le cadre de leur activité de prédication, à des traitements de données à caractère personnel (point 72).

 

4- La Cour va préciser la définition du « fichier » appliqué au cas des données collectées et traitées par les communautés religieuses.

Selon la directive C‑25/17 du 24 octobre 1995, en son article 2 c) repris par le  règlement de 2016, article 4- 6) : est un «fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

La Cour va préciser la notion de fichier en rajoutant les deux éléments suivants : « finalité d’utilisation ultérieure » et caractère indifférent de la forme du fichier. « la notion de « fichier », visée par cette disposition, couvre un ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure. Pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire qu’il comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche» (point 62).

La directive qui sert de support à cette jurisprudence a certes été abrogée par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données JO L 119 du 4.5.2016, p. 1–88) qui fait en ce moment la « une » des revues. Mais la jurisprudence reste applicable au contenu du règlement, de par les éléments sur lesquels elle apporte un éclairage. L’esprit est le même. La jurisprudence est fondamentale en la matière.

 

Cet arrêt laisse présager des heures de débats juridiques !