Language of document : ECLI:EU:C:2018:551

Affaire C25/17

Procédure engagée par Tietosuojavaltuutettu

(demande de décision préjudicielle, introduite par le Korkein hallinto-oikeus)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46/CE – Champ d’application de ladite directive – Article 3 – Collecte de données à caractère personnel par les membres d’une communauté religieuse dans le cadre de leur activité de prédication de porte‑à‑porte – Article 2, sous c) – Notion de “fichier de données à caractère personnel” – Article 2, sous d) – Notion de “responsable du traitement” – Article 10, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne »

Sommaire – Arrêt de la Cour (grande chambre) du 10 juillet 2018

1.        Procédure juridictionnelle – Procédure orale – Réouverture – Caractère prétendument inexact de prémisses factuelles figurant dans les observations présentées par des parties intéressées à une procédure préjudicielle ou dans les conclusions de l’avocat général – Justification de la réouverture de la procédure orale – Absence

(Art. 267 TFUE ; statut de la Cour de justice, art. 23 ; règlement de procédure de la Cour, art. 83)

2.        Droits fondamentaux – Charte des droits fondamentaux de l’Union européenne – Droit à la liberté de pensée, de conscience et de religion – Notion de religion – Portée

(Charte des droits fondamentaux de l’Union européenne, art. 10, § 1)

3.        Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Champ d’application – Traitements de données à caractère personnel mis en œuvre pour l’exercice d’activités ne relevant pas du droit de l’Union ou effectués par des personnes physiques pour l’exercice d’activités exclusivement personnelles ou domestiques – Exclusion – Applicabilité à la collecte de données à caractère personnel par les membres d’une communauté religieuse dans le cadre de leur activité de prédication de porte-à-porte – Absence

(Charte des droits fondamentaux de l’Union européenne, art. 10, § 1 ; directive du Parlement européen et du Conseil 95/46, art. 3, § 2)

4.        Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Champ d’application – Fichier de données à caractère personnel – Notion – Ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte et structurées afin de faciliter leur utilisation ultérieure – Inclusion

[Directive du Parlement européen et du Conseil 95/46, art. 2, c)]

5.        Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Responsable du traitement – Collecte de données à caractère personnel par les membres d’une communauté religieuse dans le cadre de leur activité de prédication de porte-à-porte – Imputation de la responsabilité du traitement à la communauté – Ingérence dans l’autonomie organisationnelle de telles communautés – Absence

[Art. 17 TFUE ; charte des droits fondamentaux de l’Union européenne, art. 10, § 1 ; directive du Parlement européen et du Conseil 95/46, art. 2, d)]

1.      Voir le texte de la décision.

(voir points 26, 28)

2.      Voir le texte de la décision.

(voir point 47)

3.      L’article 3, paragraphe 2, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lu à la lumière de l’article 10, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens que la collecte de données à caractère personnel effectuée par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données ne constituent ni des traitements de données à caractère personnel mis en œuvre pour l’exercice d’activités visées à l’article 3, paragraphe 2, premier tiret, de cette directive ni des traitements de données à caractère personnel effectués par des personnes physiques pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de l’article 3, paragraphe 2, second tiret, de ladite directive.

(voir point 51, disp. 1)

4.      L’article 2, sous c), de la directive 95/46 doit être interprété en ce sens que la notion de « fichier », visée par cette disposition, couvre un ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure. Pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire qu’il comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche.

(voir point 62, disp. 2)

5.      L’article 2, sous d), de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il permet de considérer une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements.

Cette constatation ne saurait être remise en cause par le principe de l’autonomie organisationnelle des communautés religieuses, qui découle de l’article 17 TFUE. En effet, l’obligation de toute personne de se conformer aux règles du droit de l’Union relatives à la protection des données à caractère personnel ne peut être considérée comme une ingérence dans l’autonomie organisationnelle desdites communautés (voir, par analogie, arrêt du 17 avril 2018, Egenberger, C‑414/16, EU:C:2018:257, point 58).

(voir points 74, 75, disp. 3)