La Commission finlandaise de protection des données (Tietosuojalautakunta) avait interdit, le 17 septembre 2013, à la Communauté religieuse des témoins de Jéhovah de Finlande (Jehovan todistajat - uskonnollinen yhdyskunta) de collecter ou de traiter des données à caractère personnel dans le cadre de l’activité de prédication de porte-à-porte effectuée par ses membres, sans que les conditions légales prévues pour le traitement de telles données soient respectées.

Dans le cadre de leur activité de prédication de porte-à-porte, les membres de cette communauté prennent en effet des notes sur les visites rendues à des personnes que ni eux ni la communauté ne connaissent et ces données collectées peuvent comporter le nom et l’adresse des personnes démarchées ainsi que des informations portant sur leurs convictions religieuses et leur situation familiale. Elles sont collectées à titre d’aide-mémoire afin de pouvoir être retrouvées pour une éventuelle visite ultérieure, sans que les personnes concernées y aient consenti ni en aient été informées. La communauté des témoins de Jéhovah et les paroisses qui en dépendent organisent et coordonnent l’activité de prédication de porte-à-porte de leurs membres, notamment en établissant des cartes à partir desquelles des secteurs seraient répartis entre les membres prédicateurs et en tenant des fiches sur les prédicateurs et le nombre de publications de la communauté diffusées par ceux-ci. Les paroisses de la communauté des témoins de Jéhovah gèrent aussi une liste des personnes ayant exprimé le souhait de ne plus faire l’objet de visites de la part des membres prédicateurs mais les données à caractère personnel figurant sur cette liste continueraient à être utilisées par les membres de la communauté.

La demande préjudicielle du Korkein hallinto-oikeus (Cour administrative suprême, Finlande) porte sur le fait de savoir si la communauté est soumise au respect des règles du droit de l’Union en matière de protection des données à caractère personnelDirective 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, J.O.UE 1995, L 281, p. 31, lue à la lumière de l’article 10, § 1, de la charte des droits fondamentaux de l’Union européenne., du fait que ses membres, lorsqu’ils exercent leur activité de prédication de porte-à-porte, peuvent être amenés à prendre des notes retranscrivant le contenu de leur entretien et, en particulier, l’orientation religieuse des personnes auxquelles ils ont rendu visite.

La CourCJUE, 10 juill. 2018, n° C-25/17, Tietosuojavaltuutettu c/ Jehovan todistajat - uskonnollinen yhdyskunta. estime que l’activité de prédication de porte-à-porte des membres de la communauté des témoins de Jéhovah ne relève pas des exceptions prévues par le droit de l’Union en matière de protection des données à caractère personnel et, plus particulièrement, cette activité n’est pas « une activité exclusivement personnelle ou domestique à laquelle ce droit ne s’applique pas », la circonstance que l’activité de prédication de porte-à-porte est protégée par le droit fondamental à la liberté de conscience et de religion, consacré à l’article 10, § 1, de la charte des droits fondamentaux de l’Union européenne, n’a pas pour effet de lui conférer « un caractère exclusivement personnel ou domestique, en raison du fait qu’elle dépasse la sphère privée d’un membre prédicateur d’une communauté religieuse ».

La Cour rappelle ensuite que les règles du droit de l’Union en matière de protection des données à caractère personnel ne s’appliquent, cependant, au traitement manuel des données que lorsque ces dernières sont « contenues dans un fichier ou sont appelées à figurer dans un fichier » et, au cas particulier, comme le traitement de données à caractère personnel est effectué de manière non automatisée, la question se pose de savoir si les données ainsi traitées sont contenues dans un fichier ou sont appelées à figurer dans un tel fichier. La notion de « fichier » couvre, selon la Cour, « tout ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte » et « comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées », dès lors que ces données sont « structurées selon des critères déterminés » permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure, étant précisé que pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire que celui-ci comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche. Les traitements de données à caractère personnel qui sont effectués dans le cadre de l’activité de prédication de porte-à-porte doivent donc respecter les règles du droit de l’Union en matière de protection des données à caractère personnel.

En ce qui concerne la question de savoir qui peut être considéré comme responsable du traitement des données à caractère personnel, la Cour rappelle que la notion de « responsable du traitement » peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux devant alors être soumis aux règles du droit de l’Union en matière de protection des données à caractère personnel. Ces acteurs peuvent être impliqués à différents stades du traitement et à des degrés divers, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué, poursuit la Cour, en tenant compte « de toutes les circonstances pertinentes du cas d’espèce ». La Cour constate également qu’aucune disposition du droit de l’Union ne permet de considérer que la détermination des finalités et des moyens du traitement doit s’effectuer au moyen de lignes directrices écrites ou de consignes de la part du responsable du traitement mais, en revanche, une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement des données à caractère personnel et participe, de ce fait, à la détermination des finalités et des moyens de ce traitement peut être considérée comme étant responsable du traitement.

En l’espèce, selon la Cour, la communauté des témoins de Jéhovah — en organisant, coordonnant et encourageant l’activité de prédication de ses membres — « participe, conjointement avec ses membres prédicateurs, à la détermination de la finalité et des moyens du traitement des données à caractère personnel des personnes démarchées », ce qu’il appartient toutefois à la juridiction finlandaise d’apprécier au regard de l’ensemble des circonstances de fait et cette analyse n’est pas remise en cause par le principe de l’autonomie organisationnelle des communautés religieuses, garanti à l’article 17 du traité sur le fonctionnement de l’Union européenne (TFUE).

La Cour en conclut que le droit de l’Union en matière de protection des données à caractère personnel permet de considérer une communauté religieuse comme « responsable, conjointement avec ses membres prédicateurs, du traitement des données à caractère personnel effectué par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté », sans qu’il soit nécessaire que la communauté en question ait « accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ce traitement ».