Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62017CJ0025

Arrêt de la Cour (grande chambre) du 10 juillet 2018.
Procédure engagée par Tietosuojavaltuutettu.
Demande de décision préjudicielle, introduite par le Korkein hallinto-oikeus.
Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46/CE – Champ d’application de ladite directive – Article 3 – Collecte de données à caractère personnel par les membres d’une communauté religieuse dans le cadre de leur activité de prédication de porte‑à‑porte – Article 2, sous c) – Notion de “fichier de données à caractère personnel” – Article 2, sous d) – Notion de “responsable du traitement” – Article 10, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne.
Affaire C-25/17.

ECLI identifier: ECLI:EU:C:2018:551

ARRÊT DE LA COUR (grande chambre)

10 juillet 2018 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46/CE –Champ d’application de ladite directive – Article 3 – Collecte de données à caractère personnel par les membres d’une communauté religieuse dans le cadre de leur activité de prédication de porte-à-porte – Article 2, sous c) – Notion de “fichier de données à caractère personnel” – Article 2, sous d) – Notion de “responsable du traitement” – Article 10, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne »

Dans l’affaire C‑25/17,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Korkein hallinto-oikeus (Cour administrative suprême, Finlande), par décision du 22 décembre 2016, parvenue à la Cour le 19 janvier 2017, dans la procédure engagée par

Tietosuojavaltuutettu

en présence de :

Jehovan todistajat – uskonnollinen yhdyskunta,

LA COUR (grande chambre),

composée de M. K. Lenaerts, président, M. A. Tizzano, vice‑président, Mme R. Silva de Lapuerta, MM. T. von Danwitz (rapporteur), J. L. da Cruz Vilaça, J. Malenovský, E. Levits et C. Vajda, présidents de chambre, MM. A. Borg Barthet, J.‑C. Bonichot, A. Arabadjiev, S. Rodin, F. Biltgen, Mme K. Jürimäe et M. C. Lycourgos, juges,

avocat général : M. P. Mengozzi,

greffier : Mme C. Strömholm, administrateur,

vu la procédure écrite et à la suite de l’audience du 28 novembre 2017,

considérant les observations présentées :

pour le tietosuojavaltuutettu, par M. R. Aarnio, en qualité d’agent,

pour Jehovan todistajat – uskonnollinen yhdyskunta, par Me S. H. Brady, asianajaja, ainsi que par M. P. Muzny,

pour le gouvernement finlandais, par Mme H. Leppo, en qualité d’agent,

pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,

pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de M. P. Gentili, avvocato dello Stato,

pour la Commission européenne, par MM. P. Aalto, H. Kranenborg et D. Nardi, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 1er février 2018,

rend le présent

Arrêt

1

La demande de décision préjudicielle porte sur l’interprétation de l’article 2, sous c) et d), ainsi que de l’article 3 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), lus à la lumière de l’article 10, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).

2

Cette demande a été présentée dans le cadre d’une procédure engagée par le tietosuojavaltuutettu (contrôleur de la protection des données, Finlande) au sujet de la légalité d’une décision de la tietosuojalautakunta (commission de protection des données, Finlande) interdisant à la Jehovan todistajat – uskonnollinen yhdyskunta (communauté religieuse des témoins de Jéhovah, ci-après la « communauté des témoins de Jéhovah ») de collecter ou de traiter des données à caractère personnel dans le cadre de l’activité de prédication de porte-à-porte sans que les conditions de la législation finlandaise relative au traitement des données à caractère personnel soient respectées.

Le cadre juridique

Le droit de l’Union

3

Les considérants 10, 12, 15, 26 et 27 de la directive 95/46 énoncent :

« (10)

considérant que l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales[, signée à Rome le 4 novembre 1950,] et dans les principes généraux du droit communautaire ; que, pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté ;

[...]

(12)

considérant que les principes de la protection doivent s’appliquer à tout traitement de données à caractère personnel dès lors que les activités du responsable du traitement relèvent du champ d’application du droit communautaire ; que doit être exclu le traitement de données effectué par une personne physique dans l’exercice d’activités exclusivement personnelles ou domestiques, telles la correspondance et la tenue de répertoires d’adresses ;

[...]

(15)

considérant que les traitements portant sur de telles données ne sont couverts par la présente directive que s’ils sont automatisés ou si les données sur lesquelles ils portent sont contenues ou sont destinées à être contenues dans un fichier structuré selon des critères spécifiques relatifs aux personnes, afin de permettre un accès aisé aux données à caractère personnel en cause ;

[...]

(26)

considérant que les principes de la protection doivent s’appliquer à toute information concernant une personne identifiée ou identifiable ; que, pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne ; [...]

(27)

considérant que la protection des personnes doit s’appliquer aussi bien au traitement de données automatisé qu’au traitement manuel ; que le champ de cette protection ne doit pas en effet dépendre des techniques utilisées, sauf à créer de graves risques de détournement ; que, toutefois, s’agissant du traitement manuel, la présente directive ne couvre que les fichiers et ne s’applique pas aux dossiers non structurés ; que, en particulier, le contenu d’un fichier doit être structuré selon des critères déterminés relatifs aux personnes permettant un accès facile aux données à caractère personnel ; que, conformément à la définition figurant à l’article 2 point c), les différents critères permettant de déterminer les éléments d’un ensemble structuré de données à caractère personnel et les différents critères régissant l’accès à cet ensemble de données peuvent être définis par chaque État membre ; que les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés n’entrent en aucun cas dans le champ d’application de la présente directive ».

4

L’article 1er, paragraphe 1, de la directive 95/46 dispose :

« Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel. »

5

L’article 2 de cette directive prévoit :

« Aux fins de la présente directive, on entend par :

a)

“données à caractère personnel” : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;

b)

“traitement de données à caractère personnel” (traitement) : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;

c)

“fichier de données à caractère personnel” (fichier) : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;

d)

“responsable du traitement” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire ;

[...] »

6

Aux termes de l’article 3 de ladite directive :

« 1.   La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2.   La présente directive ne s’applique pas au traitement de données à caractère personnel :

mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,

effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques. »

Le droit finlandais

7

La directive 95/46 a été transposée en droit finlandais par la henkilötietolaki (523/1999) [loi sur les données à caractère personnel (523/1999), ci-après la « loi no 523/1999 »].

8

L’article 2 de cette loi, intitulé « Soveltamisala » (champ d’application), prévoit, à ses deuxième et troisième alinéas :

« La présente loi s’applique au traitement automatisé des données à caractère personnel. La présente loi s’applique également aux autres traitements de données à caractère personnel lorsque celles-ci constituent un fichier de données à caractère personnel ou une partie de fichier de données à caractère personnel, ou sont appelées à constituer un fichier de données à caractère personnel ou une partie de fichier de données à caractère personnel.

La présente loi ne s’applique pas au traitement de données à caractère personnel effectué par une personne physique à des fins exclusivement personnelles ou à des fins ordinaires et privées comparables. »

9

L’article 3, paragraphe 3, de la loi no 523/1999 définit le « fichier de données à caractère personnel » comme étant un « ensemble de données à caractère personnel constituant des informations regroupées en raison de leur destination, traitées entièrement ou partiellement à l’aide d’un procédé automatisé, ou qui sont organisées à l’aide de fiches, de listes, ou de toute autre méthode comparable permettant de retrouver les données relatives à une personne précise aisément et sans frais excessifs ».

10

Conformément à l’article 44 de cette loi, la commission de protection des données peut interdire, à la demande du contrôleur de la protection des données, le traitement de données à caractère personnel contraire à ladite loi ou aux règles et aux prescriptions édictées sur le fondement de celle-ci, et impartir aux intéressés un délai pour remédier à l’illégalité ou à la négligence constatée.

Le litige au principal et les questions préjudicielles

11

Le 17 septembre 2013, la commission de protection des données a adopté, à la demande du contrôleur de la protection des données, une décision interdisant à la communauté des témoins de Jéhovah de collecter ou de traiter des données à caractère personnel dans le cadre de l’activité de prédication de porte-à-porte effectuée par ses membres sans que les conditions légales du traitement de telles données, prévues aux articles 8 et 12 de la loi no 523/1999, soient respectées. En outre, la commission de protection des données a imposé à cette communauté, sur la base de l’article 44, paragraphe 2, de cette loi, de faire en sorte que, dans un délai de six mois, aucune donnée à caractère personnel ne soit collectée pour les finalités de cette communauté sans que lesdites conditions soient respectées.

12

Dans les motifs de sa décision, la commission de protection des données a considéré que la collecte des données en cause par les membres de la communauté des témoins de Jéhovah constituait un traitement de données à caractère personnel, au sens de ladite loi, et que cette communauté ainsi que ses membres étaient, conjointement, les responsables de ce traitement.

13

La communauté des témoins de Jéhovah a saisi le Helsingin hallinto-oikeus (tribunal administratif de Helsinki, Finlande) d’un recours contre cette décision. Par jugement du 18 décembre 2014, cette juridiction a annulé ladite décision au motif, notamment, que la communauté des témoins de Jéhovah n’était pas responsable du traitement de données à caractère personnel, au sens de la loi no 523/1999, et que l’activité de celle-ci ne constituait pas un traitement illégal de telles données.

14

Le contrôleur de la protection des données a contesté ce jugement devant le Korkein hallinto-oikeus (Cour administrative suprême, Finlande).

15

Selon les constatations de cette juridiction, les membres de la communauté des témoins de Jéhovah prennent, dans le cadre de leur activité de prédication de porte-à-porte, des notes sur les visites rendues à des personnes qu’eux-mêmes ou ladite communauté ne connaissent pas. Les données collectées pourraient, entre autres, comporter le nom et l’adresse des personnes démarchées ainsi que des informations portant sur leurs convictions religieuses et leur situation familiale. Ces données seraient collectées à titre d’aide-mémoire, et afin de pouvoir être retrouvées pour une éventuelle visite ultérieure, sans que les personnes concernées y aient consenti ni n’en aient été informées.

16

Toujours selon les constatations de la juridiction de renvoi, la communauté des témoins de Jéhovah a donné à ses membres des lignes directrices relatives à la prise de telles notes, lignes directrices figurant au moins dans une de ses revues consacrées à l’activité de prédication. Cette communauté et les paroisses qui en dépendent organiseraient et coordonneraient l’activité de prédication de porte-à-porte de leurs membres, notamment en établissant des cartes à partir desquelles des secteurs seraient répartis entre les membres assurant l’activité de prédication et en tenant des fiches sur les prédicateurs et le nombre de publications de la communauté diffusées par ceux-ci. En outre, les paroisses de la communauté des témoins de Jéhovah géreraient une liste des personnes ayant exprimé le souhait de ne plus faire l’objet de visites de la part des membres prédicateurs, et les données à caractère personnel figurant sur cette liste, dite « liste d’interdiction », seraient utilisées par les membres de cette communauté. Enfin, la communauté des témoins de Jéhovah aurait, dans le passé, tenu à la disposition de ses membres des formulaires aux fins de la collecte desdites données au cours de leur activité de prédication. L’utilisation de ces formulaires aurait, toutefois, été abandonnée à la suite d’une recommandation du contrôleur de la protection des données.

17

La juridiction de renvoi fait observer que, selon les propres indications de la communauté des témoins de Jéhovah, celle-ci n’exige pas de ses membres prédicateurs qu’ils procèdent à une collecte de données et que, dans les cas où une telle collecte a tout de même lieu, elle n’a connaissance ni de la nature des notes prises, lesquelles ne sont au demeurant que des notes personnelles informelles, ni de l’identité des membres prédicateurs ayant procédé à la collecte.

18

S’agissant de la nécessité de la présente demande de décision préjudicielle, le Korkein hallinto-oikeus (Cour administrative suprême) considère que l’examen de l’affaire au principal exige de tenir compte, d’une part, des droits à la protection de la vie privée et à la protection des données personnelles et, d’autre part, de la liberté de religion et d’association, garantis tant par la Charte et la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales que par la constitution finlandaise.

19

La juridiction de renvoi tend à considérer que l’activité de prédication de porte-à-porte pratiquée par les membres d’une communauté religieuse, telle que la communauté des témoins de Jéhovah, ne relève pas des activités exclues du champ d’application de la directive 95/46 en vertu de son article 3, paragraphe 2, premier tiret. En revanche, la question se pose de savoir si cette activité présente un caractère exclusivement personnel ou domestique, au sens de son article 3, paragraphe 2, second tiret. À cet égard, il conviendrait de tenir compte du fait que, en l’occurrence, les données collectées vont au-delà de simples notes figurant dans un carnet d’adresses, puisque les notes prises se rapportent à des inconnus et contiennent des données sensibles relatives à leurs convictions religieuses. Devrait également être pris en considération le fait que l’activité de prédication de porte-à-porte est une forme d’action essentielle de la communauté des témoins de Jéhovah, organisée et coordonnée par cette dernière et par ses paroisses.

20

Par ailleurs, dans la mesure où les données collectées en cause au principal sont traitées de manière non automatisée, il y aurait lieu, eu égard à l’article 3, paragraphe 1, de la directive 95/46, lu en combinaison avec l’article 2, sous c), de ladite directive, de déterminer si l’ensemble de ces données constitue un fichier, au sens de ces dispositions. Selon les informations fournies par la communauté des témoins de Jéhovah, lesdites données ne lui sont pas communiquées, si bien qu’il n’est pas possible de connaître avec certitude la nature et l’ampleur des données collectées. Cependant, il serait possible de considérer que le but de la collecte et du traitement ultérieur des données en cause au principal est de pouvoir retrouver aisément les données concernant une personne ou une adresse déterminée aux fins d’une utilisation ultérieure. Les données collectées ne seraient néanmoins pas structurées sous forme de fiches.

21

Dans le cas où le traitement des données en cause au principal relèverait du champ d’application de la directive 95/46, la juridiction de renvoi souligne que la question se poserait alors de savoir si la communauté des témoins de Jéhovah doit être considérée comme étant responsable de ce traitement, au sens de l’article 2, sous d), de cette directive. La jurisprudence de la Cour issue de l’arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317), définirait de manière large la notion de « responsable du traitement ». En outre, il ressortirait de l’avis 1/2010, du 16 février 2010, sur les notions de « responsable du traitement » et de « sous-traitant », rendu par le groupe de travail institué en vertu de l’article 29 de la directive 95/46, qu’il convient de prendre en compte, notamment, le pouvoir de contrôle effectif et la conception que la personne dont les données sont traitées se fait du responsable du traitement.

22

Or, en l’occurrence, il y aurait lieu d’avoir égard au fait que la communauté des témoins de Jéhovah organise, coordonne et encourage l’activité de prédication de porte-à-porte et qu’elle a donné, dans ses publications, des lignes directrices sur la collecte des données dans le cadre de cette activité. En outre, le contrôleur de la protection des données aurait constaté que cette communauté dispose du pouvoir effectif de déterminer les méthodes de traitement des données ainsi que d’interdire ou de restreindre ledit traitement, et qu’elle a préalablement défini la finalité et les moyens de celui-ci en donnant des lignes directrices sur la collecte. D’ailleurs, les formulaires utilisés auparavant témoigneraient également de la forte implication de ladite communauté dans le traitement des données.

23

Toutefois, il serait également nécessaire de prendre en considération le fait que les membres de la communauté des témoins de Jéhovah peuvent décider eux-mêmes de collecter des données et déterminer les modalités d’une telle collecte. En outre, cette communauté ne collecterait pas elle-même des données et n’aurait pas accès aux données collectées par ses membres, à l’exception de celles figurant sur la liste dite d’« interdiction ». De telles circonstances ne feraient néanmoins pas obstacle à ce qu’il puisse exister plusieurs responsables du traitement, chacun de ceux-ci assumant différentes missions et responsabilités.

24

C’est dans ces conditions que le Korkein hallinto-oikeus (Cour administrative suprême) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)

Les exceptions au champ d’application de la directive [95/46] prévues à l’article 3, paragraphe 2, premier et second tirets, de ladite directive doivent-elles être interprétées en ce sens que la collecte et le traitement de données personnelles que des membres d’une communauté religieuse effectuent dans le cadre d’une activité de prédication de porte-à-porte ne relèvent pas dudit champ d’application ? Aux fins de l’examen de l’applicabilité de la directive [95/46], quelle importance y-a-t-il lieu d’accorder, d’une part, au fait que ce sont la communauté religieuse et ses paroisses qui organisent l’activité de prédication dans le cadre de laquelle les données sont collectées et, d’autre part, au fait qu’il s’agit aussi en même temps d’une pratique religieuse individuelle des membres de la communauté religieuse ?

2)

La définition de “fichier” visée à l’article 2, sous c), de la directive [95/46], examinée à la lumière des considérants 26 et 27 de ladite directive, doit-elle être interprétée en ce sens que l’ensemble des données personnelles (comprenant des noms et des adresses ainsi que d’autres données et caractéristiques éventuelles concernant une personne) collectées de manière non automatisée dans le cadre de l’activité de prédication de porte-à-porte décrite précédemment

a)

ne constitue pas un tel fichier, du fait qu’il ne comporte pas de fiches ou de listes spécifiques ou d’autre système de recherche comparable au sens de la définition donnée par la loi [no 523/1999] ; ou

b)

constitue un tel fichier, du fait que les données nécessaires à une utilisation ultérieure, compte tenu de leur destination, peuvent faire l’objet d’une recherche aisée en pratique et sans coûts excessifs au sens de la loi [no 523/1999] ?

3)

L’expression “[...] qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel [...]”, qui figure à l’article 2, sous d), de la directive [95/46], doit-elle être interprétée en ce sens qu’une communauté religieuse qui organise une activité dans le cadre de laquelle des données personnelles sont collectées (notamment en répartissant des secteurs d’activité entre les différents prédicateurs, en effectuant un suivi de l’activité desdits prédicateurs et en tenant un registre des personnes qui ne souhaitent pas que ceux-ci viennent chez elles) peut être considérée comme responsable du traitement, pour le traitement de données personnelles effectué par ses membres, même si, selon ladite communauté, seuls les différents prédicateurs ont accès aux données qu’ils relèvent ?

4)

L’article 2, sous d), de la directive [95/46] doit-il être interprété en ce sens que, pour que la communauté soit considérée comme étant le responsable du traitement, il doit exister d’autres actes spécifiques adoptés par celle-ci, tels que des lignes directrices écrites ou des consignes, par lesquelles elle dirige la collecte des données, ou suffit-il qu’il puisse être considéré qu’elle est effectivement en mesure de diriger l’activité de ses membres ?

Les troisième et quatrième questions n’appellent de réponse que pour le cas où, à la lumière des réponses données aux première et deuxième questions, la directive [95/46] est applicable. La quatrième question n’appelle de réponse que pour le cas où, à la lumière de la troisième question, la possibilité d’appliquer l’article 2, sous d), de la directive [95/46] à la communauté ne peut être considérée comme exclue. »

Sur les demandes de réouverture de la procédure orale

25

Par deux actes déposés au greffe de la Cour le 12 décembre 2017 et le 15 février 2018, la communauté des témoins de Jéhovah a demandé à ce que soit ordonnée la réouverture de la phase orale de la procédure, en application de l’article 83 du règlement de procédure de la Cour. À l’appui de la première de ces demandes, la communauté des témoins de Jéhovah fait notamment valoir qu’elle n’a pas obtenu la possibilité de répliquer, lors de l’audience, aux observations soumises par les autres parties, dont certaines ne correspondaient pas aux faits au principal. En ce qui concerne la seconde de ces demandes, ladite communauté avance, en substance, que les conclusions de M. l’avocat général se fondent sur des éléments factuels imprécis ou potentiellement trompeurs, dont certains ne figuraient pas dans la demande de décision préjudicielle.

26

En vertu de l’article 83 de son règlement de procédure, la Cour peut, à tout moment, l’avocat général entendu, ordonner la réouverture de la phase orale de la procédure, notamment si elle considère qu’elle est insuffisamment éclairée, ou lorsqu’une partie a soumis, après la clôture de cette phase, un fait nouveau de nature à exercer une influence décisive sur la décision de la Cour, ou encore lorsque l’affaire doit être tranchée sur la base d’un argument qui n’a pas été débattu entre les parties ou les intéressés visés à l’article 23 du statut de la Cour de justice de l’Union européenne.

27

Or, tel n’est pas le cas en l’occurrence. En particulier, les demandes de la communauté des témoins de Jéhovah tendant à ce que soit ordonnée la réouverture de la procédure orale ne font état d’aucun argument nouveau sur la base duquel la présente affaire devrait être tranchée. En outre, cette partie ainsi que les autres intéressés visés à l’article 23 du statut de la Cour de justice de l’Union européenne ont présenté, tant au cours de la phase écrite que de la phase orale de la procédure, leurs observations relatives à l’interprétation de l’article 2, sous c) et d), ainsi que de l’article 3 de la directive 95/46, lus à la lumière de l’article 10 de la Charte, faisant l’objet des questions préjudicielles.

28

S’agissant des faits au principal, il convient de rappeler que, dans le cadre de la procédure visée à l’article 267 TFUE, il appartient à la seule juridiction de renvoi de définir le cadre factuel dans lequel s’insèrent les questions qu’elle pose à la Cour. Il en découle qu’une partie au principal ne saurait alléguer que certaines des prémisses factuelles sur lesquelles reposent les arguments avancés par les autres intéressés visés à l’article 23 du statut de la Cour de justice de l’Union européenne, ou encore l’analyse de l’avocat général, sont inexactes, pour justifier la réouverture de la procédure orale sur le fondement de l’article 83 du règlement de procédure (voir, en ce sens, arrêt du 26 juin 2008, Burda, C‑284/06, EU:C:2008:365, points 44, 45 et 47).

29

Dans ces conditions, la Cour, l’avocat général entendu, considère qu’elle dispose de tous les éléments nécessaires pour répondre aux questions posées par la juridiction de renvoi et que la présente affaire ne nécessite pas d’être tranchée sur la base d’arguments qui n’auraient pas été débattus. Les demandes de réouverture de la procédure orale doivent donc être rejetées.

Sur la recevabilité de la demande de décision préjudicielle

30

La communauté des témoins de Jéhovah fait valoir que la demande de décision préjudicielle est irrecevable. Tout en contestant les principaux faits sur lesquels cette demande est fondée, elle avance que celle-ci se rapporte au comportement de certains de ses membres, qui ne seraient pas parties à la procédure au principal. Ainsi, ladite demande concernerait un problème de nature hypothétique.

31

À cet égard, il y a lieu de relever qu’il appartient au seul juge national qui est saisi du litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour. En conséquence, dès lors que les questions posées portent sur l’interprétation du droit de l’Union, la Cour est, en principe, tenue de statuer. Le refus de la Cour de statuer sur une question préjudicielle posée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées (voir, en ce sens, arrêt du 27 juin 2017, Congregación de Escuelas Pías Provincia Betania, C‑74/16, EU:C:2017:496, points 24 et 25 ainsi que jurisprudence citée).

32

En l’occurrence, la décision de renvoi contient les éléments de fait et de droit suffisants pour la compréhension tant des questions préjudicielles que de leur portée. En outre, et surtout, aucun élément du dossier ne permet de considérer que l’interprétation sollicitée du droit de l’Union n’aurait pas de rapport avec la réalité ou l’objet du litige au principal ou serait de nature hypothétique, notamment en raison du fait que les membres de la communauté des témoins de Jéhovah, dont l’activité de collecte de données à caractère personnel est à la base des questions préjudicielles, ne sont pas parties à la procédure au principal. En effet, il ressort de la décision de renvoi que les questions préjudicielles visent à permettre à la juridiction de renvoi de déterminer si cette communauté elle-même peut être considérée comme étant responsable, au sens de la directive 95/46, de la collecte des données à caractère personnel effectuée par ses membres dans le cadre de leur activité de prédication de porte-à-porte.

33

Dans ces conditions, la demande de décision préjudicielle est recevable.

Sur les questions préjudicielles

Sur la première question

34

Par sa première question, la juridiction de renvoi demande, en substance, si l’article 3, paragraphe 2, de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la Charte, doit être interprété en ce sens que la collecte de données à caractère personnel par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données constituent des traitements de données à caractère personnel mis en œuvre pour l’exercice d’activités visées à l’article 3, paragraphe 2, premier tiret, de cette directive, ou des traitements de données à caractère personnel effectués par des personnes physiques pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de l’article 3, paragraphe 2, second tiret, de ladite directive.

35

Afin de répondre à cette question, il convient d’emblée de rappeler que, ainsi qu’il résulte de son article 1er, paragraphe 1, et de son considérant 10, la directive 95/46 vise à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, a' l’égard du traitement des données a' caractère personnel (arrêts du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, point 66, ainsi que du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, point 26).

36

L’article 3 de la directive 95/46, qui détermine le champ d’application de celle-ci, dispose, à son paragraphe 1, que cette directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

37

Cet article 3 prévoit néanmoins, à son paragraphe 2, deux exceptions au champ d’application de ladite directive devant recevoir une interprétation stricte (voir, en ce sens, arrêts du 11 décembre 2014, Ryneš, C‑212/13, EU:C:2014:2428, point 29, ainsi que du 27 septembre 2017, Puškár, C‑73/16, EU:C:2017:725, point 38). Par ailleurs, la directive 95/46 ne prévoit aucune limitation supplémentaire à son champ d’application (arrêt du 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia, C‑73/07, EU:C:2008:727, point 46).

38

S’agissant, en premier lieu, de l’exception figurant à l’article 3, paragraphe 2, premier tiret, de la directive 95/46, il a été jugé que les activités qui y sont mentionnées à titre d’exemples sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques, étrangères aux domaines d’activité des particuliers. Ces activités sont destinées à définir la portée de l’exception prévue à ladite disposition, de telle sorte que cette exception ne s’applique qu’aux activités qui y sont ainsi expressément mentionnées ou qui peuvent être rangées dans la même catégorie (arrêts du 6 novembre 2003, Lindqvist, C‑101/01, EU:C:2003:596, points 43 et 44 ; du 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia, C‑73/07, EU:C:2008:727, point 41, ainsi que du 27 septembre 2017, Puškár, C‑73/16, EU:C:2017:725, points 36 et 37).

39

Or, en l’occurrence, la collecte de données à caractère personnel par des membres de la communauté des témoins de Jéhovah, dans le cadre d’une activité de prédication de porte-à-porte, relève exclusivement d’une démarche religieuse de particuliers. Il s’ensuit qu’une telle activité ne constitue pas une activité propre aux autorités étatiques et ne saurait dès lors être assimilée à celles visées à l’article 3, paragraphe 2, premier tiret, de la directive 95/46.

40

S’agissant, en second lieu, de l’exception figurant à l’article 3, paragraphe 2, second tiret, de la directive 95/46, cette disposition soustrait à l’application de celle-ci le traitement de données effectué pour l’exercice d’activités non pas simplement personnelles ou domestiques, mais « exclusivement » personnelles ou domestiques (voir, en ce sens, arrêt du 11 décembre 2014, Ryneš, C‑212/13, EU:C:2014:2428, point 30).

41

Les termes « personnelles ou domestiques », au sens de ladite disposition, se réfèrent à l’activité de la personne qui traite des données à caractère personnel et non pas à la personne dont les données sont traitées (voir, en ce sens, arrêt du 11 décembre 2014, Ryneš, C‑212/13, EU:C:2014:2428, points 31 et 33).

42

Ainsi que l’a jugé la Cour, l’article 3, paragraphe 2, second tiret, de la directive 95/46 doit être interprété comme visant uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers. À cet égard, une activité ne saurait être considérée comme étant exclusivement personnelle ou domestique, au sens de cette disposition, lorsque son objet est de rendre des données à caractère personnel accessibles à un nombre indéfini de personnes, ou encore lorsque cette activité s’étend, même partiellement, à l’espace public, et, de ce fait, est dirigée vers l’extérieur de la sphère privée de celui qui procède au traitement des données (voir, en ce sens, arrêts du 6 novembre 2003, Lindqvist, C‑101/01, EU:C:2003:596, point 47 ; du 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia, C‑73/07, EU:C:2008:727, point 44, ainsi que du 11 décembre 2014, Ryneš, C‑212/13, EU:C:2014:2428, points 31 et 33).

43

Dans la mesure où il apparaît que les traitements de données à caractère personnel en cause au principal sont effectués dans le cadre de l’exercice de l’activité de prédication de porte-à-porte des membres de la communauté des témoins de Jéhovah, il convient de déterminer si une telle activité revêt un caractère exclusivement personnel ou domestique, au sens de l’article 3, paragraphe 2, second tiret, de la directive 95/46.

44

À cet égard, il ressort de la décision de renvoi que l’activité de prédication de porte-à-porte, dans le cadre de laquelle des données à caractère personnel sont collectées par les membres de la communauté des témoins de Jéhovah, a, par sa nature même, pour objet de diffuser la foi de la communauté des témoins de Jéhovah auprès de personnes qui, comme l’a relevé en substance M. l’avocat général au point 40 de ses conclusions, n’appartiennent pas au foyer des membres prédicateurs. Cette activité est donc dirigée vers l’extérieur de la sphère privée des membres prédicateurs.

45

Par ailleurs, il ressort également de la décision de renvoi que certaines des données collectées par les membres prédicateurs de ladite communauté sont transmises par ceux-ci aux paroisses de cette communauté, lesquelles tiennent, à partir de ces données, des listes de personnes ne souhaitant plus recevoir de visites desdits membres. Dans le cadre de leur activité de prédication, ces derniers rendent ainsi, à tout le moins, certaines des données collectées accessibles à un nombre potentiellement indéfini de personnes.

46

Quant à savoir si le fait que le traitement de données à caractère personnel est effectué dans le cadre d’une activité relative à une pratique religieuse peut conférer un caractère exclusivement personnel ou domestique à l’activité de prédication de porte-à-porte, il y a lieu de rappeler que le droit à la liberté de conscience et de religion, consacré à l’article 10, paragraphe 1, de la Charte, implique, notamment, la liberté de toute personne de manifester sa religion ou sa conviction individuellement ou collectivement, en public, ou en privé, par le culte, l’enseignement, les pratiques et l’accomplissement de rites.

47

La Charte retient une acception large de la notion de « religion » visée à cette disposition, susceptible de couvrir tant le forum internum, à savoir le fait d’avoir des convictions, que le forum externum, à savoir la manifestation en public de la foi religieuse (arrêt du 29 mai 2018, Liga van Moskeeën en Islamitische Organisaties Provincie Antwerpen e.a., C‑426/16, EU:C:2018:335, point 44 ainsi que jurisprudence citée).

48

En outre, la liberté de manifester sa religion individuellement ou collectivement, en public ou en privé, pouvant prendre diverses formes, telles que l’enseignement, les pratiques et l’accomplissement des rites, elle comporte également le droit d’essayer de convaincre d’autres personnes, par exemple au moyen d’une prédication (Cour EDH, 25 mai 1993, Kokkinakis c. Grèce, CE:ECHR:1993:0525JUD001430788, § 31, ainsi que Cour EDH, 8 novembre 2007, Perry c. Lettonie, CE:ECHR:2007:1108JUD003027303, § 52).

49

Cependant, si l’activité de prédication de porte-à-porte des membres d’une communauté religieuse est ainsi protégée par l’article 10, paragraphe 1, de la Charte en tant qu’expression de la foi du ou des prédicateurs, cette circonstance n’a pas pour effet de conférer à ladite activité un caractère exclusivement personnel ou domestique, au sens de l’article 3, paragraphe 2, second tiret, de la directive 95/46.

50

En effet, l’activité de prédication dépasse, compte tenu de ce qui est exposé aux points 44 et 45 du présent arrêt, la sphère privée d’un membre prédicateur d’une communauté religieuse.

51

Eu égard aux considérations qui précèdent, il y a lieu de répondre à la première question que l’article 3, paragraphe 2, de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la Charte, doit être interprété en ce sens que la collecte de données à caractère personnel par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données ne constituent ni des traitements de données à caractère personnel mis en œuvre pour l’exercice d’activités visées à l’article 3, paragraphe 2, premier tiret, de cette directive ni des traitements de données à caractère personnel effectués par des personnes physiques pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de l’article 3, paragraphe 2, second tiret, de ladite directive.

Sur la deuxième question

52

Par sa deuxième question, la juridiction de renvoi demande, en substance, si l’article 2, sous c), de la directive 95/46 doit être interprété en ce sens que la notion de « fichier » visée par cette disposition couvre un ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données peuvent, en pratique, être aisément retrouvées aux fins d’une utilisation ultérieure, ou si cet ensemble doit, pour relever de cette notion, comprendre des fiches, des listes spécifiques ou d’autres systèmes de recherche.

53

Ainsi qu’il ressort de l’article 3, paragraphe 1, et des considérants 15 et 27 de la directive 95/46, celle-ci vise aussi bien le traitement automatisé de données à caractère personnel que le traitement manuel de telles données, afin de ne pas faire dépendre la protection qu’elle confère aux personnes dont les données sont traitées des techniques utilisées et d’éviter des risques de contournement de cette protection. Cependant, il en ressort également que ladite directive ne s’applique aux traitements manuels de données à caractère personnel que lorsque les données traitées sont contenues ou appelées à figurer dans un fichier.

54

En l’occurrence, dès lors que les traitements de données à caractère personnel en cause au principal sont effectués de manière non automatisée, la question se pose de savoir si les données ainsi traitées sont contenues ou appelées à figurer dans un fichier, au sens de l’article 2, sous c), et de l’article 3, paragraphe 1, de la directive 95/46.

55

À cet égard, il ressort de l’article 2, sous c), de la directive 95/46 que la notion de « fichier » couvre « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».

56

Conformément à l’objectif rappelé au point 53 du présent arrêt, cette disposition définit de manière large la notion de « fichier », notamment en visant « tout » ensemble structuré de données à caractère personnel.

57

Ainsi qu’il ressort des considérants 15 et 27 de la directive 95/46, le contenu d’un fichier doit être structuré afin de permettre un accès aisé aux données à caractère personnel. En outre, si l’article 2, sous c), de cette directive ne précise pas les critères selon lesquels ce fichier doit être structuré, il ressort de ces mêmes considérants que ces critères doivent être « relatifs aux personnes ». Il apparaît donc que l’exigence selon laquelle l’ensemble de données à caractère personnel doit avoir un caractère « structuré selon des critères déterminés » vise uniquement à permettre que les données relatives à une personne puissent être retrouvées aisément.

58

Cette exigence mise à part, l’article 2, sous c), de la directive 95/46 ne prescrit ni les modalités selon lesquelles un fichier doit être structuré ni la forme que celui-ci doit présenter. En particulier, il ne ressort pas de cette disposition ni d’aucune autre disposition de cette directive que les données à caractère personnel en cause devraient figurer dans des fiches ou des listes spécifiques ou encore dans un autre système de recherche, afin de pouvoir conclure à l’existence d’un fichier, au sens de ladite directive.

59

En l’occurrence, il ressort des constatations de la juridiction de renvoi que les données collectées dans le cadre de l’activité de prédication de porte-à-porte en cause au principal le sont à titre d’aide-mémoire, sur la base d’une répartition par secteur géographique, afin de faciliter l’organisation de visites ultérieures à des personnes ayant déjà été démarchées. Elles comportent non seulement des informations relatives au contenu de conversations portant sur les convictions de la personne démarchée, mais également son nom et son adresse. En outre, ces informations, à tout le moins certaines d’entre elles, sont utilisées pour établir des listes gérées par les paroisses de la communauté des témoins de Jéhovah, concernant les personnes ne souhaitant plus recevoir de visites de la part de membres prédicateurs de cette communauté.

60

Il apparaît ainsi que les données à caractère personnel collectées dans le cadre de l’activité de prédication de porte-à-porte en cause au principal sont structurées selon des critères retenus en fonction de l’objectif poursuivi par cette collecte, qui est de préparer des visites ultérieures et de gérer les listes de personnes ne souhaitant plus être démarchées. Ainsi qu’il ressort de la décision de renvoi, ces critères, au nombre desquels figurent notamment le nom et l’adresse des personnes démarchées, leurs convictions ou encore leur souhait de ne plus recevoir de visites, sont choisis de sorte qu’ils puissent permettre de retrouver aisément les données relatives à des personnes déterminées.

61

À cet égard, la question de savoir selon quel critère exact et sous quelle forme précise l’ensemble de données à caractère personnel collectées par chacun des membres prédicateurs est effectivement structuré est dépourvue de pertinence, pour autant que cet ensemble permet de retrouver aisément les données relatives à une personne démarchée déterminée, ce qu’il appartient toutefois à la juridiction de renvoi de vérifier à la lumière de l’ensemble des circonstances de l’affaire au principal.

62

Il convient donc de répondre à la deuxième question que l’article 2, sous c), de la directive 95/46 doit être interprété en ce sens que la notion de « fichier », visée par cette disposition, couvre un ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure. Pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire qu’il comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche.

Sur les troisième et quatrième questions

63

Par ses troisième et quatrième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi demande, en substance, si l’article 2, sous d), de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il permet de considérer une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, et s’il est, à cette fin, nécessaire que ladite communauté ait accès à ces données ou qu’il soit établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements.

64

En l’occurrence, la commission de protection des données a, dans la décision en cause au principal, considéré la communauté des témoins de Jéhovah comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre de l’activité de prédication de porte-à-porte. Dans la mesure où seule la responsabilité de cette communauté est contestée, celle des membres prédicateurs n’apparaît pas être remise en cause.

65

Ainsi que le prévoit expressément l’article 2, sous d), de la directive 95/46, la notion de « responsable du traitement » vise la personne physique ou morale qui, « seule ou conjointement avec d’autres », détermine les finalités et les moyens du traitement de données à caractère personnel. Cette notion ne renvoie, dès lors, pas nécessairement à une personne physique ou morale unique et peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux devant alors être soumis aux dispositions applicables en matière de protection des données (voir, en ce sens, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, point 29).

66

L’objectif de cette disposition étant d’assurer, par une définition large de la notion de « responsable », une protection efficace et complète des personnes concernées, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce (voir, en ce sens, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, points 28, 43 et 44).

67

À cet égard, ni le libellé de l’article 2, sous d), de la directive 95/46 ni aucune autre disposition de cette directive ne permettent de considérer que la détermination des finalités et des moyens du traitement doit s’effectuer au moyen de lignes directrices écrites ou de consignes de la part du responsable du traitement.

68

En revanche, une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et participe de ce fait à la détermination des finalités et des moyens de ce traitement, peut être considérée comme étant responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46.

69

En outre, la responsabilité conjointe de plusieurs acteurs pour un même traitement, en vertu de cette disposition, ne présuppose pas que chacun d’eux ait accès aux données à caractère personnel concernées (voir, en ce sens, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, point 38).

70

En l’occurrence, ainsi qu’il ressort de la décision de renvoi, il incombe, certes, aux membres prédicateurs de la communauté des témoins de Jéhovah d’apprécier dans quelles circonstances concrètes ils collectent des données à caractère personnel relatives aux personnes démarchées, quelles données exactes font l’objet de cette collecte et de quelle manière ils procèdent à leur traitement ultérieur. Toutefois, ainsi qu’il a été rappelé aux points 43 et 44 du présent arrêt, la collecte des données à caractère personnel est effectuée dans le cadre de l’exercice de l’activité de prédication de porte-à-porte, par laquelle les membres prédicateurs de la communauté des témoins de Jéhovah diffusent la foi de leur communauté. Cette activité de prédication constitue, comme il ressort de la décision de renvoi, une forme d’action essentielle de cette communauté, action qui est organisée, coordonnée et encouragée par ladite communauté. Dans ce cadre, les données sont collectées à titre d’aide-mémoire aux fins d’une utilisation et d’une éventuelle nouvelle visite ultérieures. Enfin, les paroisses de la communauté des témoins de Jéhovah tiennent, à partir des données qui leur sont transmises par les membres prédicateurs, des listes de personnes ne souhaitant plus recevoir la visite de tels membres.

71

Il apparaît donc que la collecte de données à caractère personnel relatives aux personnes démarchées et leur traitement ultérieur servent à la réalisation de l’objectif de la communauté des témoins de Jéhovah consistant à diffuser la foi de celle-ci et sont, de ce fait, effectués par ses membres prédicateurs à des fins propres à cette communauté. En outre, non seulement la communauté des témoins de Jéhovah a, de manière générale, connaissance du fait que de tels traitements ont lieu aux fins de la diffusion de sa foi, mais elle organise et coordonne l’activité de prédication de ses membres, notamment en répartissant les secteurs d’activité des différents prédicateurs.

72

De telles circonstances permettent de considérer que la communauté des témoins de Jéhovah encourage ses membres prédicateurs à procéder, dans le cadre de leur activité de prédication, à des traitements de données à caractère personnel.

73

Il apparaît ainsi, au vu du dossier soumis à la Cour, que la communauté des témoins de Jéhovah, en organisant, coordonnant et encourageant l’activité de prédication de ses membres visant à diffuser sa foi, participe, conjointement avec ses membres prédicateurs, à la détermination de la finalité et des moyens des traitements de données à caractère personnel des personnes qui sont démarchées, ce qu’il appartient toutefois à la juridiction de renvoi d’apprécier au regard de l’ensemble des circonstances de l’espèce.

74

Cette constatation ne saurait être remise en cause par le principe de l’autonomie organisationnelle des communautés religieuses, qui découle de l’article 17 TFUE. En effet, l’obligation de toute personne de se conformer aux règles du droit de l’Union relatives à la protection des données à caractère personnel ne peut être considérée comme une ingérence dans l’autonomie organisationnelle desdites communautés (voir, par analogie, arrêt du 17 avril 2018, Egenberger, C‑414/16, EU:C:2018:257, point 58).

75

Eu égard aux considérations qui précèdent, il convient de répondre aux troisième et quatrième questions que l’article 2, sous d), de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il permet de considérer une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements.

Sur les dépens

76

La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

 

Par ces motifs, la Cour (grande chambre) dit pour droit :

 

1)

L’article 3, paragraphe 2, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lu à la lumière de l’article 10, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens que la collecte de données à caractère personnel effectuée par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données ne constituent ni des traitements de données à caractère personnel mis en œuvre pour l’exercice d’activités visées à l’article 3, paragraphe 2, premier tiret, de cette directive ni des traitements de données à caractère personnel effectués par des personnes physiques pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de l’article 3, paragraphe 2, second tiret, de ladite directive.

 

2)

L’article 2, sous c), de la directive 95/46 doit être interprété en ce sens que la notion de « fichier », visée par cette disposition, couvre un ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure. Pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire qu’il comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche.

 

3)

L’article 2, sous d), de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il permet de considérer une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements.

 

Signatures


( *1 ) Langue de procédure : le finnois.

Top