On sait que la définition de la notion de traitement de données à caractère personnel commande le champ d’application des principes de protection des données.

La Cour de Justice de l’Union Européenne vient, dans un arrêt rendu cet été, de préciser davantage les contours de cette notion et, même rendu sous l’empire de la Directive 95/46/CE aujourd’hui abrogée, les enseignements tirés de l’arrêt de la CJUE restent entièrement d’actualité sous l’empire du RGPD.

La Cour devait en l’espèce se prononcer sur la notion de « traitement de données à caractère personnel  » à propos de la collecte de données personnelles effectuée par les membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte, et du traitement qui en était ultérieurement fait.

La Cour devait notamment vérifier si cette collecte ne constituait pas, au titre des exceptions limitativement énoncées par la Directive (article 3.2 repris à l’article 2 du RGPD), un traitement exclu de son champ d’application comme traitement « mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal, » ou comme traitement réalisé par « une personne physique dans le cadre d’une activité strictement personnelle ou domestique »..

Sur la catégorie des activités propres aux États ou aux autorités étatiques, étrangères aux domaines d’activité des particuliers, la Cour a estimé que la collecte de données à caractère personnel par des membres de la communauté des témoins de Jéhovah, dans le cadre d’une activité de prédication de porte-à-porte, relevait exclusivement d’une démarche religieuse de particuliers. Une telle activité ne constitue pas une activité propre aux autorités étatiques et ne saurait dès lors être assimilée à celles visées à l’article 3, paragraphe 2, premier tiret, de la directive 95/46.

Cette activité pouvait-elle néanmoins relever de l’exercice d’activités non pas simplement personnelles ou domestiques, mais « exclusivement » personnelles ou domestiques.

La Cour rappelle tout d’abord que les termes « personnelles ou domestiques », au sens de ladite disposition, se réfèrent à l’activité de la personne qui traite des données à caractère personnel et non pas à la personne dont les données sont traitées. Elle poursuit en rappelant également sa jurisprudence au terme de laquelle cette exception doit être interprétée comme visant uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers.

Ainsi, une activité ne saurait être considérée comme étant exclusivement personnelle ou domestique lorsque son objet est de rendre des données à caractère personnel accessibles à un nombre indéfini de personnes, ou encore lorsque cette activité s’étend, même partiellement, à l’espace public, et, de ce fait, est dirigée vers l’extérieur de la sphère privée de celui qui procède au traitement des données. (arrêt Lindqvist, C‑101/01, arrêt Satakunnan Markkinapörssi et Satamedia, C‑73/07, arrêt Ryneš, C‑212/13).

A cet égard, la CJUE a estimé que l’activité de prédication de porte-à-porte a par sa nature même pour objet de diffuser la foi de la communauté des témoins de Jéhovah auprès de personnes qui n’appartiennent pas au foyer des membres prédicateurs. Il s’agit donc d’une activité dirigée vers l’extérieur de la sphère privée des membres prédicateurs.

La Cour relève d’autre part que certaines des données collectées par les membres prédicateurs sont transmises aux paroisses de la communauté, lesquelles tiennent, à partir de ces données, des listes de personnes ne souhaitant plus recevoir de visites desdits membres. Dès lors, dans le cadre de leur activité de prédication, ces derniers rendent ainsi, à tout le moins, certaines des données collectées accessibles à un nombre potentiellement indéfini de personnes.

Par conséquent, la Cour écarte la 2^ème exclusion et en conclut que la collecte de données personnelles dans le cadre d’une activité de prédication de porte-à-porte par les membres d’une communauté religieuse, et du traitement qui en était ultérieurement fait, constitue bien un traitement de données personnelles et doit donc à ce titre respecter les règles applicables relatives à la protection des données personnelles.

On retient également de cet arrêt qu’une communauté religieuse est co-responsable de traitement avec ses membres prédicateurs quand celui-ci est effectué « par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements. ».

Illustration intéressante alors que le RGPD consacre précisément la notion de co-responsable de traitement avec les conséquences qui s’y attachent.

Source : InfoCuria - Jurisprudence de la Cour de justice de l’UE

Lien internet :

http://curia.europa.eu/juris/liste.jsf?pro=&nat=or&oqp=&dates=%2524type%253Dpro%2524mode%253Don%2524on%253D2018.07.10&lg=&language=fr&jur=C%2CT%2CF&cit=none%252CC%252CCJ%252CR%252C2008E%252C%252C%252C%252C%252C%252C%252C%252C%252C%252Ctrue%252Cfalse%252Cfalse&td=%3BALL&pcs=Oor&avg=&page=1&mat=or&jge=&for=&cid=704916