CJUE – Jehovan todistajat – C-25/17

Décision

Autorité:

Cour de Justice de l'UE

Numéro:

C-25/17

Nom:

Jehovan todistajat

Date:

10 juillet 2018

Pays:

Finlande

Lien:

Cliquer ici

Contexte

Le 17 septembre 2013, la commission de protection des données a adopté, à la demande du contrôleur de la protection des données, une décision interdisant à la communauté des témoins de Jéhovah de collecter ou de traiter des données à caractère personnel dans le cadre de l’activité de prédication de porte-à-porte effectuée par ses membres sans que les conditions légales du traitement de telles données, prévues aux articles 8 et 12 de la loi no 523/1999, soient respectées.

La communauté des témoins de Jéhovah a saisi le Helsingin hallinto-oikeus (tribunal administratif de Helsinki, Finlande) d’un recours contre cette décision. Par jugement du 18 décembre 2014, cette juridiction a annulé ladite décision au motif, notamment, que la communauté des témoins de Jéhovah n’était pas responsable du traitement de données à caractère personnel. Le contrôleur de la protection des données a contesté ce jugement devant le Korkein hallinto-oikeus (Cour administrative suprême, Finlande), la juridiction de renvoi dans cette affaire.

Apport(s)
Exception domestique - Collecte de données à caractère personnel effectuée par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et traitements ultérieurs de ces données - Exclusion Extrait(s) pertinent(s)51. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la première question que l’article 3, paragraphe 2, de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la Charte, doit être interprété en ce sens que la collecte de données à caractère personnel par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données ne constituent ni des traitements de données à caractère personnel mis en œuvre pour l’exercice d’activités visées à l’article 3, paragraphe 2, premier tiret, de cette directive ni des traitements de données à caractère personnel effectués par des personnes physiques pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de l’article 3, paragraphe 2, second tiret, de ladite directive. Article(s) du RGPD Article 2 – Champ d’application matériel Fait référence à > CJUE – Puškár – C-73/16 > CJUE – Wirtschaftsakademie Schleswig-Holstein – C-210/16 > CJUE – Ryneš – C-212/13 > CJUE – Google Spain – C-131/12 > CJUE – Satakunnan Markkinapörssi et Satamedia – C-73/07 > CJUE – Lindqvist – C-101/01 Autres informations
Fichier - Activité de prédication de porte-à-porte comportant des noms et des adresses - Données structurées selon des critères déterminés - Inclusion Extrait(s) pertinent(s)62. Il convient donc de répondre à la deuxième question que l’article 2, sous c), de la directive 95/46 doit être interprété en ce sens que la notion de « fichier », visée par cette disposition, couvre un ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure. Pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire qu’il comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche. Article(s) du RGPD Article 4 – Définitions Fait référence à Autres informations
Responsabilité conjointe - Obligation que chaque responsable de traitement participe de manière équivalente et/ou ait accès aux données et/ou ait donné des consignes écrites relatives aux traitements - Absence Extrait(s) pertinent(s)66. L’objectif de cette disposition étant d’assurer, par une définition large de la notion de « responsable », une protection efficace et complète des personnes concernées, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce (voir, en ce sens, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, points 28, 43 et 44). 75. Eu égard aux considérations qui précèdent, il convient de répondre aux troisième et quatrième questions que l’article 2, sous d), de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il permet de considérer une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements. Article(s) du RGPD Article 24 – Responsabilité du responsable du traitement Article 26 – Responsables conjoints du traitement Fait référence à > CJUE – Wirtschaftsakademie Schleswig-Holstein – C-210/16 Autres informations