Les précisions apportées par la grande chambre de la CJUE, dans son arrêt du 10 juillet 2018, quant à l’interprétation de la directive de 1995 sont utiles à la compréhension des concepts repris dans le RGPD.

Les faits, datant de 2013, portaient sur une interdiction faite par le contrôleur de protection des données finlandaises à la communauté des témoins de Jéhovah de collecter et de traiter des données à caractère personnel dans le cadre  des activités de porte-à-porte de ses membres au mépris des dispositions légales.

Un recours contre cette décision ayant été porté devant le tribunal administratif d’Helsinki, celle-ci a été annulée, le tribunal administratif ayant considéré que la communauté en cause n’était pas responsable du traitement des données personnelles ainsi constitué.

Le contrôleur de protection des données a contesté ce jugement devant la Cour administrative suprême de Finlande, laquelle a décidé de surseoir à statuer et a saisi la Cour de justice de l’Union européenne (CJUE) de différentes questions préjudicielles parmi lesquelles nous retiendrons ici :

  1. Un ensemble de données à caractère personnel collectées de manière non automatisée constitue-t-il un fichier, dès lors que les données peuvent être aisément retrouvées aux fins d’une utilisation ultérieure ?
  2. Une communauté religieuse qui organise une activité dans le cadre de laquelle des données personnelles sont collectées pour un traitement auquel seuls les prédicateurs ont accès en est-elle la responsable de traitement ?

1.    Sur la notion de fichier

Les données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte comportant les noms, adresses et indications relatives aux personnes interrogées relèvent-elles du traitement des données à caractère personnel ?

Une réponse positive est apportée par la CJUE du fait :

  • de la répartition des fiches par secteur géographique destinées à faciliter les visites ultérieures des personnes déjà démarchées,
  • des informations relatives au contenu des conversations portant sur les convictions des personnes ainsi que leur nom et adresse,
  • de la mise en place de listes gérées par les paroisses de la communauté destinées à exclure des visites les personnes réfractaires.

Ces critères ainsi réunis permettent de retenir le caractère structuré de la collecte des données dont l’objectif est de préparer les visites ultérieures, d’exclure les personnes ne souhaitant plus être démarchées et de retrouver aisément les données relatives à des personnes déterminées.

2.    Sur la qualification de responsable de traitement

La CJUE a considéré la communauté des témoins de Jehovah comme responsable conjoint, avec ses membres, du traitement ainsi constitué par ces derniers dans le cadre d’une activité de prédication, organisée, coordonnée et encouragée par la communauté et dont l’objectif était de la servir en diffusant sa foi.

Cette décision traduit l’importance de la prise en considération de la finalité générale du traitement, comme l’a d’ailleurs tout récemment rappelé la formation restreinte de la CNIL dans une délibération du 19 décembre 2018 prononçant une sanction à l’encontre de la société Uber France.

Dans cette délibération, la CNIL rappelle la position du G 29 dans son avis du 16 février 2010 sur les notions de responsable du traitement et de sous-traitant. La qualification des acteurs doit ainsi reposer sur une analyse plus factuelle que formelle. En l’espèce, la détermination de la finalité du traitement l’emporte sur la détermination des moyens pour qualifier l’acteur comme responsable de traitement.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance

 

 

Nous contacter