This document is an excerpt from the EUR-Lex website
Document 62017CC0025
Opinion of Advocate General Mengozzi delivered on 1 February 2018.#Proceedings brought by Tietosuojavaltuutettu.#Request for a preliminary ruling from the Korkein hallinto-oikeus.#Reference for a preliminary ruling — Protection of individuals with regard to the processing of personal data — Directive 95/46/EC — Scope of the directive — Article 3 — Data collected and processed by the members of a religious community in the course of their door-to-door preaching — Article 2(c) — Definition of a ‘personal data filing system’ — Article 2(d) — Definition of a ‘controller’ of the processing of personal data — Article 10(1) of the Charter of Fundamental Rights of the European Union.#Case C-25/17.
Conclusions de l'avocat général M. P. Mengozzi, présentées le 1er février 2018.
Procédure engagée par Tietosuojavaltuutettu.
Demande de décision préjudicielle, introduite par le Korkein hallinto-oikeus.
Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46/CE – Champ d’application de ladite directive – Article 3 – Collecte de données à caractère personnel par les membres d’une communauté religieuse dans le cadre de leur activité de prédication de porte‑à‑porte – Article 2, sous c) – Notion de “fichier de données à caractère personnel” – Article 2, sous d) – Notion de “responsable du traitement” – Article 10, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne.
Affaire C-25/17.
Conclusions de l'avocat général M. P. Mengozzi, présentées le 1er février 2018.
Procédure engagée par Tietosuojavaltuutettu.
Demande de décision préjudicielle, introduite par le Korkein hallinto-oikeus.
Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46/CE – Champ d’application de ladite directive – Article 3 – Collecte de données à caractère personnel par les membres d’une communauté religieuse dans le cadre de leur activité de prédication de porte‑à‑porte – Article 2, sous c) – Notion de “fichier de données à caractère personnel” – Article 2, sous d) – Notion de “responsable du traitement” – Article 10, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne.
Affaire C-25/17.
ECLI identifier: ECLI:EU:C:2018:57
CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. PAOLO MENGOZZI
présentées le 1er février 2018 ( 1 )
Affaire C‑25/17
Tietosuojavaltuutettu
contre
Jehovan todistajat – uskonnollinen yhdyskunta
[demande de décision préjudicielle formée par le Korkein hallinto-oikeus (Cour administrative suprême, Finlande)]
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46/CE – Champ d’application – Notion d’activité exclusivement personnelle ou domestique – Données collectées et traitées par les membres d’une collectivité religieuse dans le cadre de leur activité de prédication de porte-à-porte – Liberté religieuse – Article 10 de la charte des droits fondamentaux de l’Union européenne – Notion de fichier – Notion de responsable du traitement de données à caractère personnel »
1. |
La communauté des témoins de Jéhovah doit-elle être soumise au respect des prescriptions du droit de l’Union en matière de protection des données à caractère personnel en raison du fait que ses membres, lorsqu’ils exercent leur activité de prédication de porte-à-porte, peuvent être amenés à prendre des notes retranscrivant le contenu de leur entretien et, en particulier, l’orientation religieuse des personnes auxquelles ils ont rendu visite ? Tel est, en substance, l’enjeu du présent renvoi préjudiciel. |
I. Cadre juridique
A. Le droit de l’Union
2. |
Il ressort du considérant 12 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ( 2 ) que « les principes de la protection doivent s’appliquer à tout traitement de données à caractère personnel dès lors que les activités du responsable du traitement relèvent du champ d’application du droit communautaire ; que doit être exclu le traitement de données effectué par une personne physique dans l’exercice d’activités exclusivement personnelles ou domestiques, telles la correspondance et la tenue de répertoires d’adresses ». |
3. |
Aux termes du considérant 27 de la directive 95/46, « la protection des personnes doit s’appliquer aussi bien au traitement de données automatisé qu’au traitement manuel ; […] le champ de cette protection ne doit pas en effet dépendre des techniques utilisées, sauf à créer de graves risques de détournement ; […] toutefois, s’agissant du traitement manuel, la présente directive ne couvre que les fichiers et ne s’applique pas aux dossiers non structurés ; […] en particulier, le contenu d’un fichier doit être structuré selon des critères déterminés relatifs aux personnes permettant un accès facile aux données à caractère personnel ; […] conformément à la définition figurant à l’article 2 point c), les différents critères permettant de déterminer les éléments d’un ensemble structuré de données à caractère personnel et les différents critères régissant l’accès à cet ensemble de données peuvent être définis par chaque État membre ; […] les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés n’entrent en aucun cas dans le champ d’application de la présente directive ». |
4. |
L’article 2 de la directive 95/46 est libellé comme suit : « Aux fins de la présente directive, on entend par :
[…] » |
5. |
L’article 3 de la directive 95/46 énonce : « 1. La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. 2. La présente directive ne s’applique pas au traitement de données à caractère personnel :
|
6. |
L’article 8, paragraphe 1, de la directive 95/46 dispose que « [l]es États membres interdisent le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle ». Le paragraphe 2, sous d), de ce même article poursuit en prévoyant que « [l]e paragraphe 1 ne s’applique pas lorsque […] le traitement est effectué dans le cadre de leurs activités légitimes et avec des garanties appropriées par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, à condition que le traitement se rapporte aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées […] ». |
B. Le droit national
7. |
La directive 95/46 a été transposée, en droit finlandais, par la henkilötietolaki 523/1999 (loi 523/1999 sur les données personnelles). |
8. |
L’article 3, paragraphe 3, de la loi sur les données personnelles définit le fichier de données à caractère personnel comme un « ensemble de données à caractère personnel constituant des informations regroupées en raison de leur destination, traitées entièrement ou partiellement à l’aide d’un procédé automatisé, ou qui sont organisées à l’aide de fiches, de listes, ou de toute autre méthode comparable permettant de retrouver les données concernant les personnes aisément et sans frais excessifs ». |
9. |
L’article 11 de la loi sur les données personnelles interdit le traitement des données sensibles, dont font partie les convictions religieuses. L’article 12 de la loi sur les données personnelles prévoit, toutefois, que le traitement de telles données est possible lorsque, quand les données concernent les convictions religieuses, elles sont collectées dans le cadre de l’activité d’associations ou d’autres entités défendant de telles convictions et si les données concernent les membres desdites associations ou entités ou des personnes ayant des liens réguliers avec elles en raison de leurs objectifs et dans la mesure où ces données ne sont pas transmises à des tiers sans le consentement de la personne concernée. |
10. |
L’article 44 de la loi sur les données personnelles énonce que la commission de protection des données peut interdire, sur demande du contrôleur à la protection des données, le traitement de données personnelles contraires à cette loi ou aux règles et prescriptions édictées sur le fondement de celle-ci, et impartir aux intéressés un délai pour remédier à l’illégalité ou à la négligence. |
II. Le litige au principal, les questions préjudicielles et la procédure devant la Cour
11. |
Le 17 septembre 2013, la commission finlandaise de protection des données (ci-après la « commission ») a adopté, à la demande du Tietosuojavaltuutettu (contrôleur de la protection des données, Finlande, requérant au principal), une décision interdisant à la communauté religieuse des témoins de Jéhovah (la défenderesse au principal, ci-après la « communauté ») de collecter ou de traiter des données à caractère personnel dans le cadre de l’activité de prédication de porte-à-porte sans se soumettre aux conditions légales du traitement des données à caractère personnel prévues par la loi sur les données personnelles. La commission a ainsi considéré que la communauté et ses membres étaient responsables, au sens de la loi sur les données personnelles, du traitement de données sensibles à caractère personnel. La décision prévoyait que la communauté disposait d’un délai de six mois pour s’y conformer. |
12. |
La communauté a introduit un recours contre cette décision devant le juge de première instance en excipant du fait qu’il s’agirait d’un traitement de données effectué à des fins strictement individuelles au sens de la loi sur les données personnelles. Par jugement rendu le 18 décembre 2014, ledit juge a annulé la décision de la commission en retenant que la communauté n’était pas responsable d’un traitement illégal de données à caractère personnel. |
13. |
Le contrôleur de la protection des données a saisi la juridiction de renvoi d’un recours visant à obtenir l’annulation du jugement du 18 décembre 2014. |
14. |
L’activité des membres de la communauté est décrite de la manière suivante par la juridiction de renvoi. Dans le cadre de leur activité de prédication, ces membres font du porte-à-porte, prennent des notes sur les rencontres effectuées avec des personnes qui sont, en principe, inconnues desdits membres. Les données sont collectées pour mémoire afin de retrouver des informations utiles pour une visite ultérieure. Les personnes ainsi visitées et dont les données sont relevées sur les notes des membres de la communauté ne sont pas informées de cette collecte ni du traitement de leurs données personnelles. Le support de la collecte prend la forme d’un répertoire ou de fiches. Les données concernées sont le nom, l’adresse et un résumé du contenu de la conversation portant, notamment, sur les convictions religieuses et la situation familiale. D’après la juridiction de renvoi, l’activité de prédication est organisée par la communauté en ce sens que cette dernière cartographie les zones et répartit les secteurs entre les membres aux fins d’évangélisation. Les paroisses tiennent des registres sur les prédicateurs mentionnant le nombre de publications qu’ils ont distribuées et comptabilisant le temps consacré par chaque membre à l’activité de prédication. |
15. |
La communauté a déjà utilisé une publication éditée par ses soins pour diffuser des instructions relatives à la prise de notes ( 3 ). Les données collectées l’étaient initialement au moyen de formulaires, dont l’incitation à l’utilisation par la communauté a cessé à la suite d’une recommandation dans ce sens du contrôleur de la protection des données. En outre, les paroisses de la communauté tiennent une liste, dite « liste d’interdictions », des personnes qui ont exprimé le souhait de ne plus faire l’objet de visites de la part des membres de ladite communauté. D’après le contrôleur de la protection des données, cette liste apparaît conforme à la loi sur les données personnelles. |
16. |
Le contrôleur de la protection des données soutient devant la juridiction de renvoi que les données collectées par les membres de la communauté lors de leur activité de prédication constitueraient un fichier puisqu’elles auraient la même destination et qu’il serait procédé à leur enregistrement afin de servir d’aide-mémoire lors d’une visite ultérieure. Le traitement des données effectué à partir de la prise de notes individuelles serait étroitement dirigé et organisé par la communauté elle-même, laquelle exercerait un pouvoir de contrôle effectif sur la collecte et le traitement des données. La communauté et ses membres lorsqu’ils s’adonnent à la prise de notes individuelles lors de leur activité de prédication devraient ensemble être considérés comme « responsable du traitement » des données. |
17. |
La communauté soutient, pour sa part, que l’activité de prédication, au cours de laquelle, le cas échéant, le membre prendra des notes, relèverait de la pratique religieuse individuelle. Les notes ainsi prises seraient purement personnelles. La prise de notes et l’éventuel traitement des données récoltées qui s’ensuivrait seraient effectués indépendamment de l’existence de la communauté, laquelle n’exercerait aucun contrôle même si elle reconnaît néanmoins formuler des recommandations et donner l’indication spirituelle du devoir de chaque membre de prendre part à l’activité d’évangélisation. Les notes des membres ne seraient, pour autant, pas transmises à la communauté qui n’y aurait pas accès. Il n’existerait pas de système regroupant les données et permettant de procéder à des recherches. La communauté ignorerait qui parmi ses membres procède à une prise de notes à l’issue de ses visites. La collecte de données ne porterait que sur des données accessibles à partir de sources publiques telles que l’annuaire et celles-ci seraient détruites dès qu’elles ne se révéleraient plus utiles. Les données collectées sur la seule initiative individuelle et personnelle des membres ne constitueraient pas un fichier et la communauté ne pourrait pas être considérée comme responsable du traitement des données personnelles. Telle serait d’ailleurs l’appréciation des autorités danoises, néerlandaises et norvégiennes selon lesquelles l’activité en cause au principal ne relèverait pas du champ d’application de la loi nationale régissant la collecte et le traitement des données à caractère personnel, ou bien ne serait pas contraire à une telle loi. |
18. |
Selon la juridiction de renvoi, il y a donc lieu de déterminer, dans un premier temps, le champ d’application de la loi sur les données personnelles qui correspond au champ d’application de la directive 95/46 ( 4 ). À la lumière de la jurisprudence de la Cour, l’activité de collecte et de traitement des données personnelles effectuée dans le cadre d’une pratique religieuse telle que l’activité de prédication n’apparaît pas relever de l’exclusion prévue à l’article 3, paragraphe 2, premier tiret, de la directive 95/46, mais une incertitude demeure quant au fait de savoir si l’activité de prédication peut être considérée comme une activité exclusivement personnelle ou domestique au sens de l’article 3, paragraphe 2, second tiret, de la directive 95/46. Aux fins de cette appréciation, la juridiction de renvoi s’interroge sur l’incidence des indications contenues au considérant 12 de la directive 95/46 alors que les données recueillies semblent aller au-delà de celles traditionnellement recueillies pour la tenue d’un carnet d’adresses, notamment en ce qu’elles peuvent être sensibles et recueillies à propos de personnes inconnues des membres, eu égard ensuite à la précision apportée par le considérant 18 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46 ( 5 ) et, enfin, au rôle joué par la communauté. La juridiction de renvoi suppose que la détermination du champ d’application de l’article 3, paragraphe 2, second tiret, de la directive 95/46 nécessitera de mettre en balance, d’une part, le droit fondamental au respect de la vie privée et, d’autre part, la liberté non moins fondamentale de religion dont l’activité de prédication constitue une modalité d’expression. |
19. |
Dans un deuxième temps, la juridiction de renvoi s’interroge sur la notion de « fichier » au sens de l’article 2, sous c), de la directive 95/46, étant entendu que si l’activité en cause au principal ne relève pas de l’exclusion prévue à l’article 3, paragraphe 2, second tiret, de ladite directive, cette dernière ne trouvera à s’appliquer, en l’absence de traitement automatisé des données concernées, que si ces données sont contenues dans un « fichier ». Ladite juridiction souligne dans ce contexte le but commun poursuivi par les notes des membres, à savoir celui de servir d’aide-mémoire et de faciliter la recherche des données des personnes à l’occasion d’une visite ultérieure. |
20. |
Enfin, dans un troisième temps, la juridiction de renvoi s’interroge sur le fait de savoir si la communauté, seule ou ensemble avec ses membres, peut être considérée comme « responsable du traitement » au sens de l’article 2, sous d), de la directive 95/46 alors qu’elle semble exercer un contrôle effectif sur l’activité de collecte sans qu’existe, à l’heure actuelle, de consignes ou d’instructions écrites émanant d’elle. Cette notion de « responsable du traitement » semble recevoir une définition large dans la jurisprudence de la Cour ( 6 ) et le juge a quo souligne en particulier, en dépit du fait que la communauté n’a peut-être pas accès aux données collectées, le rôle d’encouragement de l’activité de prédication en porte-à-porte de cette dernière ainsi que le fait qu’elle a déjà, par le passé, donné des instructions sur la collecte de données à ses membres et qu’elle a pu leur fournir des formulaires à cette fin. |
21. |
C’est dans ces conditions que le Korkein hallinto-oikeus (Cour administrative suprême) a décidé de surseoir à statuer et, par décision de renvoi parvenue au greffe le 19 janvier 2017, a adressé les questions préjudicielles suivantes à la Cour :
|
22. |
La présente affaire a bénéficié d’observations écrites déposées par la défenderesse au principal, les gouvernements finlandais, tchèque et italien ainsi que par la Commission européenne. |
23. |
Lors de l’audience qui s’est tenue devant la Cour le 28 novembre 2017, le contrôleur de la protection des données, la défenderesse au principal, le gouvernement finlandais ainsi que la Commission ont présenté leurs observations orales. |
III. Analyse
A. Sur la compétence de la Cour
24. |
Le présent renvoi préjudiciel se caractérise par une forte contestation, par la défenderesse au principal, des faits tels qu’ils ont été établis par le contrôleur de la protection des données et présentés par la juridiction de renvoi. La communauté soutient que la Cour ne devrait pas accepter de répondre aux questions posées par le Korkein hallinto-oikeus (Cour administrative suprême) en faisant application de l’arrêt Meilicke ( 7 ). |
25. |
Pour mémoire, dans cet arrêt, la Cour a rappelé les « règles du jeu » du dialogue préjudiciel. Ainsi, si la Cour est, en principe, tenue de répondre aux questions posées par le juge national qui est seul à avoir connaissance directe des faits de l’affaire et est, partant, le mieux placé pour apprécier la nécessité d’une décision préjudicielle pour rendre son jugement, elle peut néanmoins vérifier sa propre compétence afin de s’assurer que sa décision préjudicielle contribuera effectivement non pas à la formulation d’opinions consultatives sur des questions générales ou hypothétiques, mais à l’administration de la justice dans les États membres. Il appartient alors au juge national d’établir les faits de l’affaire de manière à permettre à la Cour de connaître tous les éléments de fait et de droit qui peuvent être importants pour l’interprétation qu’elle est appelée à donner du droit de l’Union ( 8 ). Dans l’arrêt Meilicke ( 9 ), la Cour a précisément estimé avoir été appelée à statuer sur un problème de nature hypothétique sans disposer des éléments de fait ou de droit nécessaires afin de lui permettre de répondre de façon utile aux questions qui lui avaient été posées et a conclu à un non-lieu à statuer. |
26. |
En invoquant cette jurisprudence, la défenderesse au principal n’ignore pas que le principe demeure celui d’une présomption forte de pertinence des questions préjudicielles posées par le juge de renvoi et que ce n’est que dans des cas exceptionnels que la Cour refuse d’y répondre ( 10 ). Or, le dossier soumis à la Cour dans la présente affaire, et en particulier la décision de renvoi, ne présentent pas des lacunes telles que la Cour dépasserait les limites de sa fonction si elle décidait de répondre aux questions préjudicielles posées par la juridiction de renvoi ( 11 ). Il revient en tout état de cause à cette dernière, si cela relève de son office ( 12 ), d’établir de manière définitive les faits. Ceux contenus dans la décision de renvoi sont, dans tous les cas, tout à fait suffisants pour que la Cour puisse se prononcer en toute connaissance de cause ( 13 ). |
B. Sur les questions préjudicielles
1. Sur la première question
27. |
Par sa première question, la juridiction de renvoi cherche à établir si l’activité des membres de la communauté des témoins de Jéhovah peut être soustraite à l’application des règles de la directive 95/46 sur le fondement, d’une part, de l’article 3, paragraphe 2, premier tiret, de ladite directive. À cet égard, la défenderesse au principal soutient que l’activité en cause au principal, qui a trait à la liberté de religion et d’expression religieuse privée et pacifique, relèverait de cette exclusion. D’autre part, la juridiction de renvoi se demande si cette activité peut être soustraite à l’application des règles de la directive 95/46 sur le fondement de son article 3, paragraphe 2, second tiret, lequel exclut du champ d’application de la directive les traitements de données à caractère personnel qui sont effectués « par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques» ( 14 ). |
a) L’activité de prédication n’est pas exclue du champ d’application de la directive 95/46 au titre de l’article 3, paragraphe 2, premier tiret, de cette dernière
28. |
L’article 3, paragraphe 2, premier tiret, de la directive 95/46 prévoit qu’échappent au champ d’application de cette directive les traitements de données à caractère personnel « mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal ». La thèse de la défenderesse au principal consiste à soutenir, en substance, que l’activité de prédication, dans le cadre de laquelle auraient lieu la collecte et le traitement des données des personnes auxquelles les membres de la communauté ont rendu visite, est une activité qui ne relève pas du champ d’application du droit de l’Union au sens de cette disposition ( 15 ). Le gouvernement italien, pour sa part, tire argument de l’existence de l’article 17 TFUE, qui consacre une compétence exclusive des États membres pour réglementer les organisations religieuses, pour parvenir à la même conclusion que la défenderesse au principal. |
29. |
Avant toute chose, il y a lieu de rappeler qu’il ressort d’une jurisprudence itérative de la Cour que la directive 95/46 définit « de manière très large » son champ d’application, en ne faisant notamment pas dépendre l’application des règles de protection de la question de savoir si le traitement comporte un lien effectif avec la libre circulation entre États membres ( 16 ). Par ailleurs, la Cour a également rappelé que la directive ne prévoit aucune limitation supplémentaire à son champ d’application par rapport à celles prévues à son article 3 ( 17 ). Eu égard à l’objectif poursuivi par la directive 95/46 de garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel ( 18 ), ladite protection exige que « les dérogations à la protection des données à caractère personnel et les limitations de celle-ci doivent s’opérer dans les limites du strict nécessaire» ( 19 ). L’article 3, paragraphe 2, premier tiret, de la directive 95/46 doit, comme toute clause dérogatoire, être interprété de manière restrictive. |
30. |
La Cour a, en outre, jugé que « [l]es activités mentionnées à titre d’exemples à l’article 3, paragraphe 2, premier tiret, de la directive 95/46 […] sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques et étrangères aux domaines d’activité des particuliers» ( 20 ). Elle a ensuite précisé que lesdites activités « sont destinées à définir la portée de l’exception y prévue, de sorte que cette exception ne s’applique qu’aux activités qui y sont ainsi expressément mentionnées ou qui peuvent être rangées dans la même catégorie (ejusdem generis)» ( 21 ). |
31. |
Surtout, la Cour a jugé, dans le cadre d’une affaire qui concernait l’activité d’une formatrice de communiants dans une paroisse en Suède, qui consistait en la création d’une page Internet fournissant des informations aux paroissiens préparant leur confirmation, que « des activités bénévoles ou religieuses, telles que celles exercées par [la requérante du litige alors au principal], ne sont pas assimilables aux activités mentionnées à l’article 3, paragraphe 2, premier tiret, de la directive 95/46 et ne sont pas couvertes par cette exception» ( 22 ). Si l’avocat général Tizzano avait, dans ses conclusions sous cette affaire, soutenu le contraire, ce n’est pas en raison du caractère religieux du contexte dans lequel l’activité de la requérante au principal se développait alors, mais en raison de l’absence de but lucratif, d’élément transfrontalier et de toute relation de travail, autrement dit l’absence de tout lien avec l’exercice des libertés fondamentales garanties par le traité de ladite activité ( 23 ). Par son arrêt Lindqvist ( 24 ), la Cour a non seulement dit pour droit que, eu égard à l’objectif essentiel poursuivi par la directive 95/46, il n’y avait pas de nécessité de vérifier, avant d’appliquer ladite directive, si l’activité concernée affectait directement la libre circulation entre États membres ( 25 ) mais elle a aussi, au moins implicitement, admis que l’activité de la requérante au principal, qui s’inscrivait dans le plein exercice de sa liberté de religion, relevait davantage du « domain[e] d’activité des particuliers » que des « activités propres aux États ou aux autorités étatiques» ( 26 ) qui, seules, relèvent de l’exclusion prévue à l’article 3, paragraphe 2, premier tiret, de la directive 95/46. |
32. |
L’insertion, par le traité de Lisbonne, de l’article 17 TFUE constitue-t-elle un élément nouveau susceptible d’infléchir l’interprétation fournie par la Cour dans son arrêt Lindqvist ( 27 ) ? |
33. |
Je ne le crois pas. |
34. |
À cet égard, il est utile de rappeler que, au moment où la Cour a rendu cet arrêt, son attention était déjà nécessairement attirée sur le fait que le litige au principal mettait en présence une activité religieuse. Elle n’ignorait pas, par ailleurs, la déclaration no 11 relative au statut des Églises et des organisations non confessionnelles ( 28 ) annexée au traité d’Amsterdam, aux termes de laquelle l’Union s’engageait déjà à respecter et à ne pas préjuger le statut dont bénéficiaient, en vertu du droit national, les Églises et les associations ou communautés religieuses dans les États membres. Il paraît difficile de soutenir que le législateur entendait exclure du champ d’application de la directive 95/46, sur le fondement de l’article 3, paragraphe 2, premier tiret, les activités des particuliers développées en lien avec la liberté de religion alors qu’il consacrait, quelques dispositions plus loin, un régime spécifique pour le traitement des données effectué par une organisation religieuse ( 29 ). L’on pourrait cependant objecter que la directive 95/46 est antérieure à la déclaration no 11 annexée au traité d’Amsterdam. Toutefois, en dépit de l’insertion, dans le traité, de l’article 17 TFUE, rappelé en substance au considérant 165 du règlement 2016/679, force est de reconnaître que le législateur de l’Union a persisté sur cette voie et n’a pas vu de contradiction entre, d’une part, la reconnaissance du statut des communautés religieuses tel qu’il est fixé par les États membres et, d’autre part, la confirmation de la soumission du traitement des données par ces mêmes communautés à un régime particulier ( 30 ). En tout état de cause, je peine à voir dans l’exclusion des activités religieuses, à tout le moins telles que celles en cause au principal, du champ d’application de l’article 3, paragraphe 2, premier tiret, de la directive 95/46 une quelconque menace du « statut » des communautés religieuses tel qu’il est défini par les États membres ( 31 ). |
35. |
Partant, l’activité en cause au principal ne relève pas de l’exclusion prévue à l’article 3, paragraphe 2, premier tiret, de la directive 95/46. |
b) L’activité de prédication n’est pas exclue du champ d’application de la directive 95/46 au titre de son article 3, paragraphe 2, second tiret
36. |
D’un point de vue littéral, l’article 3, paragraphe 2, second tiret, de la directive 95/46 prévoit que cette directive ne s’applique pas au traitement de données à caractère personnel « effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques» ( 32 ). |
37. |
D’emblée, il y a lieu de rejeter l’interprétation proposée lors de l’audience par la défenderesse au principal selon laquelle le caractère personnel ou domestique de l’activité visée par cette disposition devrait être apprécié du point de vue de la personne dont les données sont collectées. Les membres prédicateurs de la communauté se rendant au domicile des personnes « visitées », l’activité en question serait nécessairement domestique. Une telle approche n’a jamais été suivie par la Cour lorsqu’elle a examiné si une activité était bien « personnelle ou domestique » au sens de l’article 3, paragraphe 2, second tiret, de la directive 95/46, le point de vue adopté ayant toujours été celui de la personne qui collecte ou qui, plus largement, traite les données personnelles ( 33 ). |
38. |
Ensuite, il faut rappeler que le constat établi plus haut d’une interprétation nécessairement restrictive de la dérogation au champ d’application de la directive 95/46 contenue à l’article 3, paragraphe 2, premier tiret, de cette directive ( 34 ) vaut également pour ce qui concerne l’interprétation de son second tiret. |
39. |
Il ressort, par ailleurs, de la jurisprudence de la Cour que la portée de l’article 3, paragraphe 2, second tiret, de la directive 95/46 peut être utilement éclairée par son considérant 12 lequel mentionne, à titre d’exemple de traitement de données effectué par une personne physique dans l’exercice d’activités exclusivement personnelles ou domestiques, la correspondance et la tenue de répertoires d’adresses ( 35 ). Partant, « [c]ette exception doit donc être interprétée comme visant uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers» ( 36 ), c’est-à-dire lorsque le traitement « est effectué dans la sphère exclusivement personnelle ou domestique de celui qui procède à ce traitement» ( 37 ). La Cour considère que tel n’est manifestement pas le cas du traitement des données à caractère personnel « consistant dans leur publication sur Internet de sorte que ces données sont rendues accessibles à un nombre indéfini de personnes» ( 38 ) ou « dont l’objet est de porter les données collectées à la connaissance d’un nombre indéfini de personnes» ( 39 ). Ainsi, tout ce qui est « dirig[é] vers l’extérieur de la sphère privée de celui qui procède au traitement des données » ne peut être considéré comme consistant en une activité exclusivement personnelle ou domestique au sens de l’article 3, paragraphe 2, second tiret, de la directive 95/46 ( 40 ). |
40. |
Il ressort des faits tels qu’ils ont été présentés à la Cour par la juridiction de renvoi que l’activité de prédication au cours de laquelle les données personnelles des personnes visitées sont réputées être collectées dépasse à tout le moins la sphère domestique de celui qui traite les données, la prédication se définissant par nature par l’entrée en relation avec des personnes par principe inconnues et ne partageant pas la foi du prédicateur. Contrairement à la tenue d’un répertoire d’adresses, par exemple, l’activité de prédication induit nécessairement une « confrontation » avec la sphère extérieure à son foyer et à sa cellule familiale. La nature des données collectées – qui incluent des données bénéficiant d’une protection renforcée aux termes de la directive 95/46 ( 41 ) – plaide également pour une claire distinction avec l’exemple mentionné au considérant 12 de la directive 95/46. |
41. |
Il ressort également de ces mêmes faits que le rôle assigné, par le libellé de la première question préjudicielle, à la communauté religieuse et à ses paroisses d’organisation de l’activité de prédication amène nécessairement à la conclusion que non seulement la sphère domestique mais également la sphère privée des personnes exerçant l’activité de prédication sont dépassées. |
42. |
Eu égard à la dimension communautaire de l’activité de prédication ( 42 ) et au fait que celle-ci implique nécessairement que la personne qui traite les données dans ce contexte sort de sa sphère privée et familiale pour aller rencontrer, à leur domicile, des personnes qui ne font pas partie de son cercle intime, la collecte et le traitement de données personnelles effectués par les membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte ne sauraient être exclus du champ d’application de la directive 95/46 en vertu de son article 3, paragraphe 2, second tiret. |
43. |
Une telle interprétation remplit pleinement les exigences d’interprétation stricte des dérogations au champ d’application de la directive 95/46 et de limitation de ces dernières au strict nécessaire et est parfaitement fidèle à l’objectif poursuivi par cette directive de garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel ( 43 ). |
44. |
Il reste cependant à vérifier qu’une telle interprétation ne heurte pas les autres droits fondamentaux avec lesquels la protection de la vie privée et des données personnelles doit être conciliée ( 44 ) et qu’elle aboutit à une pondération équilibrée entre ladite protection, d’une part, et la liberté de religion dont la liberté de prédication constitue un corollaire, d’autre part. Si la Cour a jusqu’ici dit pour droit que les dispositions de la directive 95/46 doivent nécessairement être interprétées à la lumière des droits fondamentaux qui sont inscrits dans la charte des droits fondamentaux de l’Union européenne ( 45 ) (ci-après la « Charte ») en visant exclusivement les articles 7 et 8 de cette dernière ( 46 ), le respect des autres dispositions de la Charte s’impose toutefois avec la même évidence. |
45. |
Ainsi, l’article 10, paragraphe 1, de la Charte énonce que « [t]oute personne a droit à la liberté de […] religion. Ce droit implique la liberté de changer de religion ou de conviction, ainsi que la liberté de manifester sa religion ou sa conviction individuellement ou collectivement, en public ou en privé, par le culte, l’enseignement, les pratiques et l’accomplissement des rites ». L’explication ad article 10 de la Charte ( 47 ) précise que ce droit correspond au droit garanti à l’article 9 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950 (ci-après la « CEDH »), et que, conformément à l’article 52, paragraphe 3, de la Charte, il a le même sens et la même portée que celui-ci. Partant, la liberté de religion ne peut être limitée que dans les conditions prévues par l’article 9, paragraphe 2, de la CEDH c’est-à-dire que toute restriction doit être prévue par la loi, constituer une mesure nécessaire, dans une société démocratique, à la sécurité publique, à la protection de l’ordre, de la santé ou de la morale publiques ou à la protection des droits et libertés d’autrui. |
46. |
Le premier enseignement que nous pouvons tirer de l’article 9, paragraphe 2, de la CEDH est que, contrairement au résultat auquel aboutit la défenderesse au principal au terme de son argumentation, la liberté de religion et la liberté de prédication, qui en est le corollaire, aussi fondamentales soient-elles, ne constituent pas, pour autant, une sorte de « méta-droit fondamental » occupant une position hiérarchiquement supérieure à tous les autres et ne pouvant supporter aucune atteinte. Dès lors, la conciliation de la liberté de prédication avec la protection de la vie privée est non seulement possible mais également nécessaire afin de préserver « la protection des droits et libertés d’autrui » comme l’enjoint cette disposition. |
47. |
À propos de la liberté de religion, la Cour européenne des droits de l’homme (ci-après la « Cour EDH ») a jugé que si celle-ci « relève d’abord du for intérieur, elle implique également celle de manifester sa religion individuellement et en privé, ou de manière collective, en public et dans le cercle de ceux dont on partage la foi. Par ailleurs, la [Cour EDH] a déjà eu l’occasion de consacrer des droits négatifs au titre de l’article 9 de la [CEDH], notamment la liberté de ne pas adhérer à une religion et celle de ne pas la pratiquer» ( 48 ). |
48. |
Or, l’activité de prédication de porte-à-porte ne me paraît pas menacer, à proprement parler, l’aspect négatif de la liberté de religion tel que défini par la Cour EDH. J’ajoute que, d’après moi, il ne peut exister d’aspect négatif à la liberté de prédication, cette dernière impliquant nécessairement de tenter de convaincre celui qui ne partage pas sa foi ou qui n’en a pas du tout. Si je puis m’exprimer ainsi, la liberté de prédication implique nécessairement l’existence d’un public « cible » auquel on ne peut reconnaître le droit négatif de ne pas être prêché, de ne pas faire l’objet de tentative de prosélytisme, sauf à vider de sa substance la liberté en question et sa conséquence potentielle, également protégée tant par l’article 9 de la CEDH que par l’article 10, paragraphe 1, de la Charte, qu’est la liberté de changer de religion ( 49 ). |
49. |
L’activité de prédication de porte-à-porte décrite par la juridiction de renvoi ne m’apparaît pas non plus atteindre les limites fixées par la Cour EDH, laquelle prohibe seulement le prosélytisme abusif ( 50 ) ou de mauvais aloi ( 51 ). |
50. |
Pour que l’interprétation de l’article 3, paragraphe 2, second tiret, de la directive 95/46 proposée au point 42 des présentes conclusions se trouve modifiée par la prise en compte de l’article 9 de la CEDH et, partant, de l’article 10, paragraphe 1, de la Charte, il faudrait constater que la soumission de l’activité en cause au principal au respect des règles de ladite directive soit constitutive d’une ingérence intolérable ou disproportionnée dans la liberté de prédication. Or, je peine à identifier dans le cas qui nous est aujourd’hui soumis une telle ingérence, la prise de notes et leur transmission au sein de la communauté religieuse n’étant en rien consubstantielle à l’activité de prédication. À supposer, toutefois, qu’une telle ingérence soit constatée, il resterait à vérifier qu’elle est prévue par la loi et qu’elle est nécessaire, dans une société démocratique, pour atteindre l’objectif légitime de préservation des droits et libertés d’autrui. Or, la supposée ingérence qui serait causée par la nécessité de respecter les prescriptions de la directive 95/46 est bien prévue par la loi, en ce qu’elle est précisément prévue par la directive 95/46 et, pour les raisons précédemment évoquées, elle est nécessaire, dans une société démocratique, à la protection des droits d’autrui, en particulier du droit à la vie privée et du droit à la protection des données personnelles des personnes visitées, droits auxquels une égale attention doit être portée. |
51. |
Partant, la protection tirée de l’article 10, paragraphe 1, de la Charte n’est pas de nature à remettre en cause le constat selon lequel l’activité de prédication de porte-à-porte des membres de la communauté ne revêt pas un caractère exclusivement personnel ou domestique au sens de l’article 3, paragraphe 2, second tiret, de la directive 95/46. |
52. |
Eu égard à ces considérations, il y a lieu de répondre à la première question préjudicielle posée par la juridiction de renvoi qu’une activité de prédication de porte-à-porte telle que celle en cause au principal ne constitue pas une activité exclusivement personnelle ou domestique au sens de l’article 3, paragraphe 2, second tiret, de la directive 95/46. |
2. Sur la deuxième question
53. |
La deuxième question préjudicielle posée par la juridiction de renvoi invite encore la Cour à se pencher sur le champ d’application de la directive 95/46, envisagé cette fois-ci du point de vue de son article 3, paragraphe 1, qui énonce que la directive « s’applique au traitement de données à caractère personnel […] contenues ou appelées à figurer dans un fichier ». Puisqu’il semble constant que le traitement des données collectées par les membres de la communauté n’est, au moins en partie, pas automatisé, la directive 95/46 ne s’appliquera qu’en présence d’un fichier défini par l’article 2, sous c), de la directive 95/46 comme « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ». La juridiction de renvoi fait valoir que, au sens de la loi sur les données personnelles, l’absence de fiches ou de listes spécifiques ou d’un autre système de recherche comparable empêcherait de qualifier de « fichier » les données traitées par les membres de la communauté. Toutefois, la même juridiction s’interroge sur l’incidence du fait que les données puissent faire l’objet d’une recherche aisée, à des fins d’utilisation ultérieure, et sans coût excessif – qui sont les deux critères énoncés dans la loi sur les données personnelles – sur une telle qualification. |
54. |
La défenderesse au principal insiste à nouveau sur le caractère hautement théorique de cette deuxième question, eu égard au fait qu’il ne serait pas avéré que des notes soient effectivement prises par ses membres à l’occasion de leur activité de prédication en porte-à-porte, ce qui ressortirait de la motivation de la demande de décision préjudicielle. Sur ce reproche réitéré, je renvoie aux points 25 et suivants des présentes conclusions. Conformément à l’analyse de la juridiction de renvoi, les développements qui suivent partent du postulat que les membres de la communauté sont susceptibles de prendre des notes au cours de ladite activité. |
55. |
Il importe de recentrer le débat sur la directive 95/46 et la définition qu’elle fournit de la notion de fichier. L’article 2, sous c), de la directive 95/46, dont la rédaction est plutôt sibylline ( 52 ), doit être lu avec le considérant 27 de cette même directive, lequel indique, d’une part, que le champ d’application de la protection des données ne saurait dépendre des techniques utilisées, sauf à créer de graves risques de contournement et que, d’autre part, en ce qui concerne le traitement manuel, la directive ne couvre que les fichiers qui doivent être structurés selon des critères déterminés relatifs aux personnes permettant un accès facile aux données à caractère personnel. Par ailleurs, les différents critères permettant de déterminer les éléments d’un ensemble structuré de données à caractère personnel et les différents critères régissant l’accès à cet ensemble de données peuvent être définis par chaque État membre. |
56. |
Selon la jurisprudence de la Cour, l’article 3, paragraphe 1, de la directive 95/46 définit de manière très large le champ d’application de cette dernière ( 53 ). Il ne s’agirait donc pas d’interpréter cette disposition d’une manière qui menacerait le niveau élevé de protection conféré par la directive 95/46. |
57. |
Il me semble que, derrière une apparente décentralisation ( 54 ), les notes prises le cas échéant par les membres de la communauté sont susceptibles de constituer un « fichier » au sens de la directive 95/46. L’un des tout premiers critères qui structurent cet ensemble est le critère géographique. Dans une certaine mesure, le membre lui-même devient un critère structurant l’ensemble des données dans la mesure où la communauté répartit géographiquement les secteurs. Elle sait donc que les données sur telle personne habitant tel quartier ont pu être collectées par tel membre. À supposer que la communauté n’indique pas à ses membres la nature des données collectées, cette dernière est de facto induite par l’objectif poursuivi, c’est-à-dire la préparation des visites ultérieures. La juridiction de renvoi a indiqué à la Cour qu’il s’agissait du nom, de l’adresse et d’un résumé du contenu de la conversation portant notamment sur les convictions religieuses et la situation familiale. Une telle structure, même si elle n’est pas d’une sophistication particulière, permet un accès facile aux données collectées. Elle perpétue également la mémoire de l’activité de prédication de la communauté et l’on peut aisément imaginer que, en cas de déménagement d’un membre, celui-ci soit en mesure de transmettre les informations collectées au nouveau membre qui prendra sa relève dans le secteur géographique concerné. Le critère de l’accessibilité des données apparaît donc rempli ( 55 ). |
58. |
Dans ces conditions, il semble que le droit finlandais exige un degré de sophistication supérieur à celui exigé par la directive 95/46 en se bornant à qualifier de « fichiers » des fiches, listes ou tout autre système de recherche comparable. Il n’est donc pas à exclure que la loi sur les données personnelles contienne une restriction supplémentaire par rapport à ce que prévoit la directive 95/46. Toutefois, la juridiction de renvoi n’a pas saisi la Cour d’une telle question et il lui appartiendra de tirer toutes les conséquences, y compris à l’égard de son droit national, de la réponse que la Cour donnera à cette deuxième question. |
59. |
Partant, il y a lieu de constater que l’article 3, paragraphe 1, de la directive 95/46, lu en combinaison avec l’article 2, sous c), de ladite directive, doit être interprété en ce sens que l’ensemble des données personnelles collectées de manière non automatisée par les membres d’une communauté religieuse, dans le cadre d’une activité telle que celle en cause au principal, selon une répartition géographique déterminée et ayant pour finalité la préparation des visites ultérieures auprès des personnes avec lesquelles un dialogue spirituel s’est engagé est susceptible de constituer un fichier. |
3. Sur les troisième et quatrième questions envisagées conjointement
60. |
Par ses troisième et quatrième questions qu’il convient d’examiner ensemble, la juridiction de renvoi demande en substance à la Cour de déterminer si l’article 2, sous d), de la directive 95/46 doit être interprété en ce sens qu’une communauté religieuse qui organise une activité de prédication dans le cadre de laquelle des données personnelles, qui ne sont accessibles qu’aux seuls prédicateurs, sont collectées peut être considérée comme « responsable du traitement » au sens de ladite directive. Aux fins de cette même opération de qualification, la juridiction de renvoi demande encore s’il doit exister des actes spécifiques adoptés par la communauté, tels que des instructions écrites adressées à ses membres, ou s’il peut suffire que ladite communauté soit effectivement en mesure de diriger l’activité de ses membres. |
61. |
Avant d’entamer l’analyse, je souhaite formuler une remarque liminaire. La défenderesse au principal a nié, tant dans ses observations écrites que lors de sa plaidoirie devant la Cour, être « responsable du traitement » des données collectées par ses membres, au sens de la directive 95/46, et a fait part d’une certaine irritation à l’évocation du fait que ses membres agiraient sur ses instructions et non en réponse à un commandement divin. Toutefois, je réitère que l’on ne saurait conférer à la détermination de l’applicabilité de la directive 95/46 au cas d’espèce, comme à une éventuelle qualification de la communauté de « responsable du traitement » au sens de cette même directive, une portée qui aille au-delà de ce qu’elles sont, à savoir des opérations de qualification juridique. Il ressort de la jurisprudence de la Cour que le responsable du traitement, au sens de la directive 95/46 « doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que [l’activité de traitement des données] satisfait aux exigences de la directive 95/46 pour que les garanties prévues par celle-ci puissent développer leur plein effet et qu’une protection efficace et complète des personnes concernées, notamment de leur droit au respect de leur vie privée, puisse effectivement être réalisée» ( 56 ). Partant, il s’agit d’une opération de qualification juridique, et non d’une quelconque remise en cause du rôle de la communauté ou du fondement originel de l’activité de prédication. |
62. |
Cela étant précisé, venons-en à l’analyse. |
63. |
Au sens de l’article 2, sous d), de la directive 95/46, le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel […] ». Il ressort de la jurisprudence de la Cour que cette notion doit être définie de manière large afin de satisfaire l’objectif de protection efficace et complète poursuivi par la directive 95/46 ( 57 ) et eu égard au rôle déterminant du responsable du traitement dans le système mis en place par la directive 95/46 ( 58 ). |
64. |
Le groupe de travail « Article 29 » sur la protection des données (ci-après le « groupe de travail “Article 29” ») ( 59 ) considère que la détermination du responsable du traitement au sens de l’article 2, sous d), de la directive 95/46 « repose […] sur une analyse factuelle plutôt que formelle» ( 60 ) et « revient à établir respectivement le “pourquoi” et le “comment” de certaines activités de traitement» ( 61 ). |
65. |
Il s’agit donc de rechercher si la communauté détermine les finalités et les moyens du traitement des données collectées par ses membres. À cette fin, il y a lieu de rappeler qu’il ressort du libellé de la troisième question préjudicielle que la communauté « organise » l’activité dans le cadre de laquelle les données personnelles sont collectées par ses membres en ce sens qu’elle répartit les secteurs d’activité entre les différents prédicateurs, effectue un suivi de l’activité desdits prédicateurs ( 62 ) et tient un registre des personnes qui ne souhaitent pas être visitées. Ces éléments sont autant de signes d’une centralisation par la communauté de l’activité de prédication. Il est, dans ces conditions, difficile de continuer à soutenir que cette activité, et la collecte de données personnelles qui l’accompagne le cas échéant, demeurent exclusivement individuelles et tout à fait étrangères à la communauté ( 63 ). |
66. |
Il existe, à mon sens, un faisceau d’indices suffisant – eu égard à la nécessité d’interpréter largement la notion de « responsable du traitement » au sens de la directive 95/46 et à la poursuite d’un niveau élevé de protection – pour considérer que la communauté détermine la finalité du traitement des données personnelles collectées par les membres, résidant dans la recherche permanente d’une augmentation numéraire du nombre de fidèles au travers d’une plus grande efficacité de l’activité de prédication qui passe par une préparation optimale des visites. |
67. |
En ce qui concerne la détermination des moyens par la communauté, celle‑ci me paraît difficilement contestable pour la période durant laquelle ladite communauté fournissait des formulaires à ses membres et donnait des instructions très concrètes relatives à la prise de notes par le biais d’articles publiés dans sa revue. Si l’utilisation des formulaires semble avoir cessé, je relève que les publications sont, pour leur part, toujours disponibles en ligne et que des directives pour la prise de notes, postérieures à la date de la décision attaquée dans le cadre du litige au principal, ont encore été données ( 64 ). |
68. |
En tout état de cause, la question préjudicielle part de l’hypothèse d’une absence d’instructions écrites. Aux fins de la détermination du « responsable du traitement » au sens de la directive 95/46, j’incline à considérer, de concert avec les gouvernements finlandais, tchèque et italien, qu’un formalisme excessif permettrait de contourner facilement les dispositions de la directive 95/46 et que, par conséquent, il y a lieu de se fonder sur une analyse plus factuelle que formelle afin d’apprécier si la communauté joue un rôle effectif dans la détermination des objectifs et des modalités du traitement. |
69. |
Une telle interprétation est encore corroborée par le texte de l’article 2, sous d), de la directive 95/46 qui ne contient aucune référence explicite à une exigence de consignes écrites. Il semble que tel soit également le sens donné par le groupe de travail « Article 29 » à cette disposition, selon lequel une influence de fait peut suffire pour déterminer le responsable du traitement des données ( 65 ). |
70. |
Il est clair que le constat de l’existence d’une influence de fait échappe à la Cour et revient à la juridiction de renvoi. Toutefois, il est utile que cette dernière garde à l’esprit que la notion de « responsable du traitement » au sens de la directive 95/46 doit être définie de manière large. Alors que je viens de conclure que l’on ne saurait exiger la présence de consignes écrites pour ne pas enfermer ladite notion dans un formalisme trop strict, l’appréciation de l’existence d’une influence de fait devrait être faite selon des standards raisonnablement vérifiables. À cet égard, j’avoue ne pas être convaincu par la position soutenue par la Commission selon laquelle il appartiendrait à la juridiction de renvoi de vérifier que l’injonction de la communauté est perçue par ses membres comme « moralement suffisamment contraignante ». |
71. |
Quant à la question de savoir si le responsable du traitement des données doit nécessairement avoir accès auxdites données, à nouveau, je relève qu’une telle exigence ne fait pas partie de la définition donnée par la directive 95/46. C’est également la conviction du groupe de travail « Article 29 » selon lequel l’incapacité de s’acquitter directement de toutes les obligations qui incombent au responsable du traitement, telles que le droit d’accès, n’exclut pas la possibilité d’être responsable du traitement ( 66 ). C’est même précisément pour ce type de configuration que la directive 95/46 prévoit explicitement que la responsabilité puisse être exercée conjointement ( 67 ). Je partage donc ici pleinement la position exprimée par l’avocat général Bot selon lequel une « interprétation privilégiant l’existence d’un pouvoir de contrôle complet sur tous les aspects du traitement est susceptible d’entraîner de sérieuses lacunes en matière de protection des données à caractère personnel» ( 68 ). |
72. |
Je terminerai donc l’analyse en précisant que, dans le cadre du litige au principal, l’éventuel constat de la responsabilité de la communauté n’est en rien exclusif du constat parallèle d’une responsabilité partagée des membres de cette communauté, « [l]’évaluation de cette coresponsabilité [devant] être calquée sur celle de la responsabilité “unique”, en adoptant une approche concrète et pratique, pour établir si les finalités et les éléments essentiels des moyens sont déterminés par plus d’une partie. La participation des parties à la détermination des finalités et des moyens de traitement dans le cadre d’une coresponsabilité peut revêtir différentes formes et n’est pas nécessairement partagée de façon égale» ( 69 ). Or, il semble ressortir des faits tels qu’ils ont été présentés à la Cour par la juridiction de renvoi que les membres de la communauté ont la possibilité d’influer de manière concrète sur les moyens du traitement (en ciblant les personnes qui vont faire l’objet d’une visite, en décidant de l’opportunité de procéder à la prise de notes, en choisissant le support de cette prise de notes, en déterminant l’étendue des données collectées, etc.). |
73. |
Eu égard à ce qui précède, je suggère à la Cour de répondre que l’article 2, sous d), de la directive 95/46 doit être interprété en ce sens qu’une communauté religieuse qui organise une activité de prédication dans le cadre de laquelle des données personnelles sont collectées peut être considérée comme responsable du traitement en dépit du fait qu’elle n’ait elle-même pas accès aux données à caractère personnel relevées par ses membres. Aux fins de la détermination du « responsable du traitement » au sens de la directive 95/46, il n’est pas exigé que des consignes écrites existent, mais il doit être constaté, le cas échéant au moyen d’un faisceau d’indices, que le responsable est en mesure d’exercer une influence de fait sur l’activité de collecte et de traitement des données personnelles, ce qu’il appartient à la juridiction de renvoi de vérifier. |
IV. Conclusion
74. |
Eu égard à l’ensemble des considérations qui précèdent, je propose à la Cour de répondre comme suit aux questions préjudicielles posées par le Korkein hallinto-oikeus (Cour administrative suprême, Finlande) :
|
( 1 ) Langue originale : le français.
( 2 ) JO 1995, L 281, p. 31.
( 3 ) La juridiction de renvoi mentionne ici deux articles publiés dans la revue Le service du Royaume en novembre 2011 et en juin 2012.
( 4 ) La juridiction de renvoi cite, à cet égard, les arrêts du 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596) et du 20 mai 2003, Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 et C‑139/01, EU:C:2003:294).
( 5 ) JO 2016 L 119, p. 1. Aux termes de ce considérant, le règlement ne s’appliquera pas aux traitements de données effectués par une personne physique « au cours d’activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale ». Je précise d’emblée que le règlement 2016/679 ne sera applicable, comme le prévoit son article 99, qu’à partir du 25 mai 2018, raison pour laquelle mon analyse sera centrée sur la directive 95/46, explicitement visée par les questions préjudicielles adressées à la Cour.
( 6 ) La juridiction de renvoi mentionne ici l’arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317).
( 7 ) Arrêt du 16 juillet 1992 (C‑83/91, EU:C:1992:332).
( 8 ) Voir arrêt du 16 juillet 1992, Meilicke (C‑83/91, EU:C:1992:332, point 26).
( 9 ) Arrêt du 16 juillet 1992 (C‑83/91, EU:C:1992:332).
( 10 ) Voir arrêts du 18 juin 1998, Corsica Ferries France (C‑266/96, EU:C:1998:306, point 27) ; du 28 septembre 2006, Gasparini e.a. (C‑467/04, EU:C:2006:610, point 44), ainsi que du 20 octobre 2011, Interedil (C‑396/09, EU:C:2011:671, point 23).
( 11 ) Voir, a contrario, arrêt du 16 juillet 1992, Meilicke (C‑83/91, EU:C:1992:332, point 33).
( 12 ) La juridiction de renvoi est, en effet, une juridiction suprême dont le contrôle sur les faits tels qu’établis par la juridiction de première instance pourrait s’avérer limité.
( 13 ) À cet égard, il n’y a pas de comparaison possible, contrairement à ce que soutient la défenderesse au principal, entre la présente affaire et celle ayant donné lieu à l’arrêt Benedetti [arrêt du 3 février 1977 (52/76, EU:C:1977:16)], qui se caractérisait par une absence chronique de précision et de constatation détaillée sur les faits [voir arrêt du 3 février 1977, Benedetti (52/76, EU:C:1977:16, points 10, 14, 16, 19 et 22)] qui empêchait alors la Cour d’exercer correctement et utilement son office. En outre, il ne fait pas de doute que la défenderesse au principal a bien la qualité de partie dans le litige au principal et qu’elle a été mise en mesure de s’expliquer puisqu’elle est elle-même à l’origine de la saisine du juge de première instance, lequel a – je le rappelle – fait droit à son recours [a contrario, voir arrêt du 3 février 1977, Benedetti (52/76, EU:C:1977:16, point 12)].
( 14 ) Italique ajouté par mes soins.
( 15 ) Pour appuyer la démonstration selon laquelle l’article 3, paragraphe 2, premier tiret, de la directive 95/46 exclut non seulement les activités visées aux titres V et VI TUE mais, plus largement, toute activité qui ne relève pas du champ d’application du droit de l’Union, la défenderesse au principal s’appuie sur le texte de l’article 2, paragraphe 2, du règlement 2016/679. Il me semble néanmoins que la précision contenue à l’article 2, paragraphe 2, sous a), du règlement 2016/679 est plutôt superfétatoire, étant entendu que, en tout état de cause, aucune règle de droit de l’Union ne peut trouver à s’appliquer en dehors du champ d’application du droit de l’Union.
( 16 ) Arrêt du 20 mai 2003, Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 et C‑139/01, EU:C:2003:294, point 43).
( 17 ) Arrêt du 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia (C‑73/07, EU:C:2008:727, point 46).
( 18 ) Voir arrêts du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 66 et jurisprudence citée) ; du 11 décembre 2014, Ryneš (C‑212/13, EU:C:2014:2428, point 27) ainsi que du 9 mars 2017, Manni (C‑398/15, EU:C:2017:197, point 37).
( 19 ) Arrêt du 11 décembre 2014, Ryneš (C‑212/13, EU:C:2014:2428, point 28). Voir également arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650, point 92).
( 20 ) Arrêt du 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596, point 43).
( 21 ) Arrêt du 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596, point 44).
( 22 ) Arrêt du 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596, point 45).
( 23 ) Voir conclusions de l’avocat général Tizzano dans l’affaire Lindqvist (C‑101/01, EU:C:2002:513, points 36 et suiv. et 44).
( 24 ) Arrêt du 6 novembre 2003 (C‑101/01, EU:C:2003:596).
( 25 ) Arrêt du 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596, point 42).
( 26 ) Selon les expressions employées par la Cour au point 43 de l’arrêt du 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596).
( 27 ) Arrêt du 6 novembre 2003 (C‑101/01, EU:C:2003:596).
( 28 ) JO 1997, C 340, p. 133.
( 29 ) Voir article 8, paragraphe 2, sous d), de la directive 95/46.
( 30 ) Voir article 9, paragraphe 2, sous d), du règlement 2016/679 ainsi que article 91 dudit règlement qui prévoit explicitement la soumission des associations religieuses au contrôle d’une autorité indépendante en ce qui concerne le respect des prescriptions relatives à la protection des données.
( 31 ) Je tiens à faire ici remarquer que le fait religieux n’échappe pas, par principe et en tant que tel, à l’emprise du droit de l’Union, que ce dernier agisse, pour ne citer que ces exemples, dans le sens d’une protection de la liberté de croyance et d’expression religieuse des individus sur leur lieu de travail [voir dernièrement arrêts du 14 mars 2017, Bougnaoui et ADDH (C‑188/15, EU:C:2017:204) et du 14 mars 2017, G4S Secure Solutions (C‑157/15, EU:C:2017:203)] ou dans le sens d’une soumission des activités des Églises aux règles du droit de la concurrence lorsque lesdites activités ne poursuivent pas de finalité strictement religieuse [voir arrêt du 27 juin 2017, Congregación de Escuelas Pías Provincia Betania (C‑74/16, EU:C:2017:496, point 43)].
( 32 ) Italique ajouté par mes soins.
( 33 ) Voir arrêt du 11 décembre 2014, Ryneš (C‑212/13, EU:C:2014:2428, points 31 et 33).
( 34 ) Voir point 29 des présentes conclusions.
( 35 ) Voir arrêts du 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596, point 46) ainsi que du 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia (C‑73/07, EU:C:2008:727, point 43).
( 36 ) Arrêt du 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596, point 47).
( 37 ) Arrêt du 11 décembre 2014, Ryneš (C‑212/13, EU:C:2014:2428, point 31).
( 38 ) Arrêt du 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596, point 47).
( 39 ) Arrêt du 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia (C‑73/07, EU:C:2008:727, point 44).
( 40 ) Arrêt du 11 décembre 2014, Ryneš (C‑212/13, EU:C:2014:2428, point 33). Je souhaite indiquer ici que je trouve particulièrement regrettable la confusion née du considérant 18 du règlement 2016/679 selon lequel une activité personnelle ou domestique est « donc sans lien avec une activité professionnelle ou commerciale », considérant qui pourrait laisser entendre que, dès lors qu’une activité n’est ni professionnelle ni commerciale, elle est nécessairement personnelle ou domestique et échappe, par conséquent, au champ d’application du règlement. Une telle lecture mettrait clairement en danger le niveau de protection offert par le droit de l’Union en ce qu’elle exclurait toute activité bénévole, par exemple, du champ d’application du règlement 2016/679.
( 41 ) Voir article 8, paragraphe 1, de la directive 95/46.
( 42 ) Je précise partager pleinement la position de la défenderesse au principal exposée lors de l’audience devant la Cour selon laquelle les membres de la communauté religieuse s’adonnent à la prédication de manière volontaire, le cas échéant pour répondre à une injonction divine dont la communauté et les paroisses ne sont pas, en tant que telles, responsables, de sorte que la prédication peut tout à fait exister sans qu’une structure communautaire existe. Toutefois, le débat n’est pas celui-là étant donné que, précisément et actuellement, une telle structure existe et qu’elle entend favoriser, encourager et organiser l’activité de prédication selon l’appréciation factuelle menée par la juridiction de renvoi.
Par ailleurs, aux fins de la qualification de l’activité en cause au principal, une certaine inspiration peut être tirée des conclusions de l’avocat général Tizzano dans l’affaire Lindqvist (C‑101/01, EU:C:2002:513), lequel excluait que l’activité de catéchiste de la requérante au principal puisse relever du champ d’application de l’article 3, paragraphe 2, second tiret, de la directive 95/46 notamment au motif que cette activité présentait une « forte connotation sociale » au sein de la communauté paroissiale (voir point 34 desdites conclusions). Je partage avec lui l’idée implicite selon laquelle la communauté religieuse ne constitue pas un prolongement de la sphère privée ou domestique de ses membres en dépit du caractère profondément intime de tout choix religieux.
( 43 ) Voir arrêts du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 66 et jurisprudence citée) et du 9 mars 2017, Manni (C‑398/15, EU:C:2017:197, point 37).
( 44 ) Par analogie, voir arrêt du 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia (C‑73/07, EU:C:2008:727, point 53).
( 45 ) JO 2007, C 303, p. 1.
( 46 ) Voir arrêts du 11 décembre 2014, Ryneš (C‑212/13, EU:C:2014:2428, point 29) et du 9 mars 2017, Manni (C‑398/15, EU:C:2017:197, point 39). Pour la période antérieure à la Charte, voir arrêt du 20 mai 2003, Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 et C‑139/01, EU:C:2003:294, point 68).
( 47 ) JO 2007, C 303, p. 17.
( 48 ) Cour EDH, 21 février 2008, Alexandridis c. Grèce, (CE:ECHR:2008:0221JUD001951606, § 32 et jurisprudence citée).
( 49 ) Voir Cour EDH, 25 mai 1993, Kokkinakis c. Grèce, (CE:ECHR:1993:0525JUD001430788, § 31).
( 50 ) Cour EDH, 25 mai 1993, Kokkinakis c. Grèce, (CE:ECHR:1993:0525JUD001430788, § 48 : « Il échet d’abord de distinguer le témoignage chrétien du prosélytisme abusif : le premier correspond à la vraie évangélisation qu’un rapport élaboré en 1956, dans le cadre du Conseil œcuménique des Églises, qualifie de “mission essentielle” et de “responsabilité de chaque chrétien et de chaque église”. Le second en représente la corruption ou la déformation. Il peut revêtir la forme d’“activités [offrant] des avantages matériels ou sociaux en vue d’obtenir des rattachements à [une] Église ou [exerçant] une pression abusive sur des personnes en situation de détresse ou de besoin”, selon le même rapport, voire impliquer le recours à la violence ou au “lavage de cerveau” ; plus généralement, il ne s’accorde pas avec le respect dû à la liberté de pensée, de conscience et de religion d’autrui [...] »).
( 51 ) Cour EDH, 24 février 1998, Larissis e.a. c. Grèce, (CE:ECHR:1998:0224JUD002337294, § 45) : « La [Cour EDH] souligne d’emblée que si la liberté religieuse relève d’abord du for intérieur, elle implique de surcroît, notamment, celle de “manifester sa religion”, y compris le droit d’essayer de convaincre son prochain, par exemple au moyen d’un “enseignement” […]. L’article 9 ne protège toutefois pas n’importe quel acte motivé ou inspiré par une religion ou une croyance. Ainsi, il ne protège pas le prosélytisme de mauvais aloi, tel qu’une activité offrant des avantages matériels ou sociaux ou l’exercice d’une pression abusive en vue d’obtenir des adhésions à une Église ».
( 52 ) Le règlement 2016/679 n’apporte aucune clarification, reprenant à droit constant les articles 2, sous c), et 3, paragraphe 1, de la directive 95/46 (voir article 2, paragraphe 1, et article 4, sous 6), du règlement 2016/679).
( 53 ) Arrêt du 20 mai 2003, Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 et C‑139/01, EU:C:2003:294, point 43).
( 54 ) Laquelle n’est, en tout état de cause, pas exclusive de l’existence d’un fichier au sens de la directive 95/46.
( 55 ) Voir également point 6 de la demande de décision préjudicielle.
( 56 ) Arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 38).
( 57 ) Voir arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 34).
( 58 ) Voir conclusions de l’avocat général Bot dans l’affaire Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, point 44).
( 59 ) Comme son nom l’indique, il s’agit du groupe de protection des personnes à l’égard du traitement des données à caractère personnel mis en place sur le fondement de l’article 29 de la directive 95/46, dont les avis ont un caractère seulement consultatif (voir article 29, paragraphe 1, deuxième alinéa, de ladite directive).
( 60 ) Avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant » adopté par le groupe de travail « Article 29 » le 16 février 2010 (00264/10/FR, WP 169, p. 1).
( 61 ) Avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant » adopté par le groupe de travail « Article 29 » le 16 février 2010 (00264/10/FR, WP 169, p. 14).
( 62 ) Il ressort de la demande de décision préjudicielle que la communauté tient des registres sur lesquels sont indiqués le nombre de publications de la communauté qu’un membre a diffusées et le temps que celui-ci a consacré à l’activité de prédication.
( 63 ) La Commission a soutenu, lors de l’audience devant la Cour et sans être contredite par la défenderesse au principal, que la participation à l’activité de prédication est une exigence pour recevoir le baptême.
( 64 ) Bien qu’il appartienne à la juridiction de renvoi de statuer sur les faits pertinents de l’espèce, une rapide recherche sur le site Internet de la communauté, disponible dans de nombreuses langues dont le finnois, et en particulier dans les archives de sa revue, témoigne du fait que la communauté non seulement organise l’activité de prédication en formulant des conseils à cette fin mais encourage également la prise de notes lors de ladite activité : voir, par exemple, à la page 3 du numéro du mois de janvier 2014 de la revue Le ministère du Royaume, le paragraphe intitulé « Arrose les graines de vérité » (« Note la date de chaque visite, les publications laissées, les sujets abordés et les versets examinés ») (disponibles en français à partir de la page https://www.jw.org/fr/publications/le-ministere-du-royaume/ et en finnois à partir de https://www.jw.org/fi/julkaisut/valtakunnan-palveluksemme/).
( 65 ) Avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant » adopté par le groupe de travail « Article 29 » le 16 février 2010 (00264/10/FR, WP 169, p. 9). Voir, dans le même sens, conclusions de l’avocat général Bot dans l’affaire Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, point 46).
( 66 ) Avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant » adopté par le groupe de travail « Article 29 » le 16 février 2010 (00264/10/FR, WP 169, p. 23).
( 67 ) Voir avis 1/2010 sur les notions de « responsable du traitement » et de « sous‑traitant » adopté par le groupe de travail « Article 29 » le 16 février 2010 (00264/10/FR, WP 169, p. 23).
( 68 ) Conclusions de l’avocat général Bot dans l’affaire Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, point 62).
( 69 ) Avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant » adopté par le groupe de travail « Article 29 » le 16 février 2010 (00264/10/FR, WP 169, p. 35).