Saisie d’un renvoi préjudiciel par le Korkein hallinto-oikeus (Finlande), la Cour de justice de l’Union européenne a interprété, le 10 juillet dernier, les articles 2 et 3 de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Tietosuojavaltuutettu, aff. C-25/17). Dans l’affaire au principal, la commission de protection des données finlandaise a adopté une décision interdisant à la communauté des témoins de Jéhovah de collecter ou de traiter des données à caractère personnel dans le cadre de l’activité de prédication de porte-à-porte effectuée par ses membres sans que les conditions légales du traitement de telles données soient respectées. Saisie dans ce contexte, la juridiction de renvoi a interrogé la Cour, notamment, sur les points de savoir si les exceptions au champ d’application de la directive doivent être interprétées en ce sens que la collecte et le traitement de données personnelles dans le cadre d’une activité de prédication de porte-à-porte ne relèvent pas de ce champ d’application et si cette dernière, lue conjointement avec la Charte, doit être interprétée en ce sens qu’elle permet de considérer une communauté religieuse comme responsable, conjointement avec ses membres, des traitements de données à caractère personnel effectués dans le cadre d’une telle activité. D’une part, concernant l’exception visant à exclure les activités personnelles ou domestiques du champ d’application de la directive, la Cour relève que l’activité de prédication de porte-à-porte a, par sa nature même, pour objet de diffuser la foi de la communauté des témoins de Jéhovah auprès de personnes qui n’appartiennent pas au foyer des membres prédicateurs et que les données collectées sont transmises par ceux-ci aux paroisses lesquelles tiennent des listes de personnes. Par conséquent, l’activité de prédication dépasse la sphère privée d’un membre prédicateur d’une communauté religieuse et relève, selon la Cour, du champ d’application de la directive. D’autre part, concernant la responsabilité de la communauté religieuse dans le traitement des données dans le cadre d’une activité de prédication de porte-à-porte, la Cour estime qu’une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et participe de ce fait à la détermination des finalités et des moyens de ce traitement peut être considérée comme responsable du traitement au sens de l’article 2, sous d), de la directive. En l’occurrence, la collecte des données est effectuée dans le cadre de l’exercice de l’activité de prédication qui constitue une forme d’action essentielle de la communauté concernée et il apparaît, selon la Cour, que la collecte et le traitement en question servent à la réalisation de l’objectif de la communauté des témoins de Jéhovah. La Cour considère, dès lors, que la communauté encourage ses membres à procéder à des traitements de données à caractère personnel et il apparaît ainsi que la communauté participe, conjointement avec ses membres prédicateurs, à la détermination de la finalité et des moyens du traitement des données. Partant, la Cour juge que l’article 2, sous d), de la directive doit être interprété en ce sens qu’il permet de considérer une communauté religieuse comme responsable des traitements de données à caractère personnel effectués dans le cadre d’une activité de prédication de porte-à-porte. (JJ)
