Opinion of Advocate General Mengozzi delivered on 1 February 2018.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2018:57
• Date: 01 February 2018
• Celex Number: 62017CC0025
• Court: Court of Justice (European Union)
• Procedure Type: Reference for a preliminary ruling
• Docket Number: C-25/17

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. PAOLO MENGOZZI

présentées le 1er février 2018 ( 1 )

Affaire C‑25/17

Tietosuojavaltuutettu

contre

Jehovan todistajat – uskonnollinen yhdyskunta

[demande de décision préjudicielle formée par le Korkein hallinto-oikeus (Cour administrative suprême, Finlande)]

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46/CE – Champ d’application – Notion d’activité exclusivement personnelle ou domestique – Données collectées et traitées par les membres d’une collectivité religieuse dans le cadre de leur activité de prédication de porte-à-porte – Liberté religieuse – Article 10 de la charte des droits fondamentaux de l’Union européenne – Notion de fichier – Notion de responsable du traitement de données à caractère personnel »

1. La communauté des témoins de Jéhovah doit-elle être soumise au respect des prescriptions du droit de l’Union en matière de protection des données à caractère personnel en raison du fait que ses membres, lorsqu’ils exercent leur activité de prédication de porte-à-porte, peuvent être amenés à prendre des notes retranscrivant le contenu de leur entretien et, en particulier, l’orientation religieuse des personnes auxquelles ils ont rendu visite ? Tel est, en substance, l’enjeu du présent renvoi préjudiciel.

I. Cadre juridique

A. Le droit de l’Union

2. Il ressort du considérant 12 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ( 2 ) que « les principes de la protection doivent s’appliquer à tout traitement de données à caractère personnel dès lors que les activités du responsable du traitement relèvent du champ d’application du droit communautaire ; que doit être exclu le traitement de données effectué par une personne physique dans l’exercice d’activités exclusivement personnelles ou domestiques, telles la correspondance et la tenue de répertoires d’adresses ».

3. Aux termes du considérant 27 de la directive 95/46, « la protection des personnes doit s’appliquer aussi bien au traitement de données automatisé qu’au traitement manuel ; […] le champ de cette protection ne doit pas en effet dépendre des techniques utilisées, sauf à créer de graves risques de détournement ; […] toutefois, s’agissant du traitement manuel, la présente directive ne couvre que les fichiers et ne s’applique pas aux dossiers non structurés ; […] en particulier, le contenu d’un fichier doit être structuré selon des critères déterminés relatifs aux personnes permettant un accès facile aux données à caractère personnel ; […] conformément à la définition figurant à l’article 2 point c), les différents critères permettant de déterminer les éléments d’un ensemble structuré de données à caractère personnel et les différents critères régissant l’accès à cet ensemble de données peuvent être définis par chaque État membre ; […] les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés n’entrent en aucun cas dans le champ d’application de la présente directive ».

4. L’article 2 de la directive 95/46 est libellé comme suit : « Aux fins de la présente directive, on entend par : a) “données à caractère personnel” : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ; b) “traitement de données à caractère personnel” (traitement) : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ; c) “fichier de données à caractère personnel” (fichier) : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ; d) “responsable du traitement” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire ; e) “sous-traitement” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ; […] »

5. L’article 3 de la directive 95/46 énonce : « 1. La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. 2. La présente directive ne s’applique pas au traitement de données à caractère personnel : – mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal, – effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques. »

6. L’article 8, paragraphe 1, de la directive 95/46 dispose que « [l]es États membres interdisent le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle ». Le paragraphe 2, sous d), de ce même article poursuit en prévoyant que « [l]e paragraphe 1 ne s’applique pas lorsque […] le traitement est effectué dans le cadre de leurs activités légitimes et avec des garanties appropriées par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, à condition que le traitement se rapporte aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées […] ».

B. Le droit national

7. La directive 95/46 a été transposée, en droit finlandais, par la henkilötietolaki 523/1999 (loi 523/1999 sur les données personnelles).

8. L’article 3, paragraphe 3, de la loi sur les données personnelles définit le fichier de données à caractère personnel comme un « ensemble de données à caractère personnel constituant des informations regroupées en raison de leur destination, traitées entièrement ou partiellement à l’aide d’un procédé automatisé, ou qui sont organisées à l’aide de fiches, de listes, ou de toute autre méthode comparable permettant de retrouver les données concernant les personnes aisément et sans frais excessifs ».

9. L’article 11 de la loi sur les données personnelles interdit le traitement des données sensibles, dont font partie les convictions religieuses. L’article 12 de la loi sur les données personnelles prévoit, toutefois, que le traitement de telles données est possible lorsque, quand les données concernent les convictions religieuses, elles sont collectées dans le cadre de l’activité d’associations ou d’autres entités défendant de telles convictions et si les données concernent les membres desdites associations ou entités ou des personnes ayant des liens réguliers avec elles en raison de leurs objectifs et dans la mesure où ces données ne sont pas transmises à des tiers sans le consentement de la personne concernée.

10. L’article 44 de la loi sur les données personnelles énonce que la commission de protection des données peut interdire, sur demande du contrôleur à la protection des données, le traitement de données personnelles contraires à cette loi ou aux règles et prescriptions édictées sur le fondement de celle-ci, et impartir aux intéressés un délai pour remédier à l’illégalité ou à la négligence.

II. Le litige au principal, les questions préjudicielles et la procédure devant la Cour

11. Le 17 septembre 2013, la commission finlandaise de protection des données (ci-après la « commission ») a adopté, à la demande du Tietosuojavaltuutettu (contrôleur de la protection des données, Finlande, requérant au principal), une décision interdisant à la communauté religieuse des témoins de Jéhovah (la défenderesse au principal, ci-après la « communauté »)...