La collecte de données personnelles effectuée par les membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte constitue bien un traitement de données personnelles au sens de la directive européenne, selon l’arrêt du 10 juillet 2018 de la Cour de justice de l’UE. Elle a estimé qu’il ne s’agissait pas d’un traitement pour l’exercice d’une activité purement personnelle ou domestique, ce qui aurait eu pour incidence de l’exclure du champ de la protection des données personnelles. La Cour a par ailleurs considéré qu’une communauté religieuse est co-responsable de traitement avec ses membres prédicateurs quand celui-ci est effectué « par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements. »
Cette affaire concerne la communauté des témoins de Jéhovah à qui la commission de protection des données de Finlande avait fait interdiction de collecter ou de traiter des données issues de son activité prosélyte de porte-à-porte effectuée par ses membres, sans que les conditions légales de traitement soient respectées. Le tribunal administratif d’Helsinki avait infirmé cette décision. Suite à un pourvoi de l’autorité de contrôle, la cour administrative suprême finlandaise avait posé trois questions préjudicielles à la CJUE.
La Cour a d’abord relevé que si la liberté de conscience religieuse est consacrée à l’article 10 de la Charte de l’UE, cet article n’a pas pour effet de conférer un caractère exclusivement personnel ou privé à l’activité de prédication en cause. Selon la Cour, l’activité telle que pratiquée en l’espèce dépasse la sphère privée d’un membre prédicateur d’une communauté religieuse, exception prévue par l’article 3 al. 2 de la directive. Elle constate que l’objet de cette activité est de répandre la foi de la communauté des témoins de Jéhovah auprès de personnes qui n’appartiennent pas au foyer des membres prédicateurs. Elle est donc dirigée à l’extérieur de la sphère privée de ces membres. Par ailleurs, certaines données étaient transmises aux paroisses de cette communauté pour s’insérer dans leurs listes de personnes ne voulant plus recevoir de visites desdits membres. Ces derniers rendent ainsi ces données accessibles à un nombre potentiellement indéfini de personnes.
La Cour finlandaise se demandait également s’il s’agissait, en l’espèce, d’un fichier. Pour la CJUE, cette notion « couvre un ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure. Pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire qu’il comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche. ».
Enfin, la communauté des témoins de Jéhovah remettait en cause le fait d’être co-responsable de traitement avec ses membres. La CJUE considère que : « une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements. ». La directive prévoit que le responsable du traitement est celui qui détermine, seul ou conjointement, les finalités du traitement. Comme le relève la Cour, cette collecte de données et les traitements ultérieurs servent la réalisation d’un objectif de la communauté visant à diffuser la foi. Si les membres décident quelles données exactes font l’objet de la collecte et de quelles manières ils procèdent à leur traitement, ces actions sont néanmoins effectuées dans le cadre de l’activité de prédication, forme d’action essentielle de cette communauté organisée, coordonnée et encouragée par elle.