Article 91 Règles de protection des données des églises et associations religieuses existantes

Champ d'application de l'article 91

L'article 91 s'applique aux églises et aux associations ou communautés religieuses qui appliquaient, à la date d'entrée en application du RGPD (25 mai 2018), des règles générales relatives à la protection des données personnelles. Cette condition temporelle vise à préserver les systèmes de protection déjà établis par les organisations religieuses, sans permettre la création de nouveaux régimes dérogatoires après l'entrée en vigueur du règlement.

Les « règles générales » visées par l'article 91 sont des règles adoptées par les organisations religieuses elles-mêmes, généralement au niveau de leur hiérarchie centrale (Vatican pour l'Église catholique, instances dirigeantes des autres confessions), établissant des principes et des procédures pour le traitement des données personnelles de leurs membres et des personnes en contact avec elles.

Toutes les confessions religieuses peuvent bénéficier de l'article 91, dès lors qu'elles disposent de règles générales de protection des données. Dans la pratique, l'Église catholique a été la première à se doter de telles règles au niveau européen, mais d'autres confessions ont également développé leurs propres cadres normatifs.

Exigence de mise en conformité avec le RGPD

Le paragraphe 1 de l'article 91 autorise la continuité des règles religieuses existantes, mais uniquement à condition qu'elles soient mises en conformité avec le RGPD. Cette exigence signifie que les règles religieuses doivent respecter les principes fondamentaux du règlement, notamment les principes de licéité, de loyauté, de transparence, de limitation des finalités, de minimisation des données, d'exactitude, de limitation de la conservation, d'intégrité et de confidentialité.

La mise en conformité ne signifie pas que les règles religieuses doivent reproduire à l'identique toutes les dispositions du RGPD. Elles peuvent adopter des modalités spécifiques adaptées aux particularités de l'organisation religieuse, à condition de garantir un niveau de protection au moins équivalent à celui du RGPD. Par exemple, elles peuvent prévoir des procédures spécifiques pour l'exercice des droits des personnes concernées, adaptées à la structure hiérarchique de l'organisation religieuse.

Les organisations religieuses doivent démontrer que leurs règles sont conformes au RGPD. Cette démonstration peut prendre la forme d'une analyse comparative entre les règles religieuses et les exigences du règlement, identifiant les équivalences et les éventuelles lacunes. En cas de lacunes, les organisations doivent compléter leurs règles pour assurer la conformité.

Contrôle par une autorité indépendante

Le paragraphe 2 de l'article 91 impose que les organisations religieuses appliquant leurs propres règles soient soumises au contrôle d'une autorité de contrôle indépendante. Cette autorité peut être l'autorité de contrôle nationale générale ou une autorité spécifique créée par ou pour l'organisation religieuse, à condition qu'elle remplisse les conditions d'indépendance et de compétence prévues au chapitre VI du RGPD.

L'exigence d'indépendance est essentielle. L'autorité de contrôle spécifique, si elle existe, ne doit pas être soumise à l'influence de la hiérarchie religieuse dans l'exercice de ses missions de contrôle. Elle doit disposer des mêmes garanties d'indépendance que les autorités de contrôle nationales : indépendance budgétaire, inamovibilité de ses membres, absence de conflits d'intérêts, et pouvoir de décision autonome.

L'autorité de contrôle spécifique doit également disposer des pouvoirs nécessaires pour exercer efficacement ses missions : pouvoir d'enquête, pouvoir d'injonction, pouvoir de sanction. Ces pouvoirs doivent être au moins équivalents à ceux des autorités de contrôle nationales prévus à l'article 58 du RGPD, garantissant ainsi l'effectivité du contrôle.

Articulation avec les autres dispositions du RGPD

L'article 91 constitue une exception au principe général selon lequel le RGPD s'applique uniformément à tous les responsables de traitement et sous-traitants. Il permet aux organisations religieuses d'appliquer leurs propres règles, sous réserve de leur conformité avec les principes fondamentaux du règlement.

Il s'articule avec le chapitre VI du RGPD, qui établit les conditions relatives aux autorités de contrôle indépendantes. Les autorités de contrôle spécifiques créées par les organisations religieuses doivent respecter l'ensemble de ces conditions pour garantir un niveau de contrôle équivalent à celui exercé par les autorités nationales.

L'article 91 doit également être lu en combinaison avec l'article 6, paragraphe 1, point d), qui prévoit que le traitement est licite s'il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée. Cette base de licéité peut être particulièrement pertinente pour certains traitements effectués par les organisations religieuses dans le cadre de leurs activités caritatives et sociales.

Jurisprudence relative à l'article 91

La jurisprudence spécifique à l'article 91 du RGPD est encore limitée, compte tenu de la relative nouveauté du règlement et du nombre restreint d'organisations religieuses ayant mis en place leurs propres règles générales de protection des données. Toutefois, les principes établis par la Cour de justice de l'Union européenne et par la Cour européenne des droits de l'homme en matière de liberté religieuse et d'autonomie des organisations religieuses restent pertinents pour l'interprétation de cet article.

L'Église catholique a été parmi les premières à adopter des règles générales de protection des données au niveau européen, s'appuyant sur l'article 91 pour maintenir son propre système de protection. D'autres confessions ont suivi cet exemple, développant leurs propres cadres normatifs adaptés à leurs structures et à leurs besoins spécifiques.

Recommandations de la CNIL et du CEPD

La CNIL a reconnu la validité des règles de protection des données adoptées par certaines organisations religieuses en application de l'article 91, tout en soulignant la nécessité de garantir leur conformité effective avec les principes du RGPD. Elle encourage ces organisations à coopérer étroitement avec les autorités de contrôle nationales pour assurer la cohérence des pratiques de protection des données.

Le Comité européen de la protection des données (CEPD) encourage les organisations religieuses qui souhaitent se prévaloir de l'article 91 à mettre en place des mécanismes robustes de contrôle et de supervision, garantissant le respect effectif des droits des personnes concernées. Il recommande également une coopération entre les autorités de contrôle spécifiques créées par les organisations religieuses et les autorités nationales, afin d'assurer une application cohérente du RGPD.

Implications pratiques pour les organisations religieuses

Les organisations religieuses qui souhaitent se prévaloir de l'article 91 doivent s'assurer qu'elles disposent de règles générales de protection des données qui étaient en vigueur à la date d'entrée en application du RGPD. Elles doivent également vérifier que ces règles sont conformes aux principes fondamentaux du règlement et, si nécessaire, les compléter ou les modifier pour assurer cette conformité.

Ces organisations doivent mettre en place ou désigner une autorité de contrôle indépendante, qui peut être une autorité spécifique créée au sein de l'organisation ou l'autorité de contrôle nationale. Si elles optent pour une autorité spécifique, elles doivent garantir son indépendance effective et lui conférer les pouvoirs nécessaires pour exercer ses missions de contrôle.

Les organisations religieuses qui ne remplissent pas les conditions de l'article 91, soit parce qu'elles ne disposaient pas de règles générales à la date d'entrée en application du RGPD, soit parce qu'elles choisissent de ne pas se prévaloir de cet article, doivent appliquer directement le RGPD et sont soumises au contrôle de l'autorité de contrôle nationale.