Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Article 91 RGPD : églises et associations religieuses

Article 91 RGPD : les églises et associations religieuses peuvent conserver leurs règles de protection des données. Analyse et application en France.

L’article 91 du RGPD est la dernière disposition du règlement, et l’une des plus déroutantes pour un juriste français : il autorise une église ou une association religieuse à conserver son propre corpus de règles de protection des données, voire sa propre autorité de contrôle distincte de la CNIL. En Allemagne, l’Église catholique et l’Église protestante ont effectivement leurs autorités de contrôle dédiées. En France, où la laïcité structure le rapport entre l’État et les cultes, la disposition reste théorique — mais la question revient régulièrement dans mes accompagnements de diocèses, de fédérations cultuelles et d’associations confessionnelles. Voici l’analyse paragraphe par paragraphe de l’Art. 91 du RGPD et sa lecture française.

Ce que dit l’article 91 du RGPD

L’Art. 91 RGPD s’intitule « Règles existantes des églises et associations religieuses en matière de protection des données ». Il clôt le chapitre IX du règlement consacré aux situations particulières de traitement, après l’Art. 85 sur la liberté d’expression et le journalisme, l’Art. 86 sur l’accès aux documents publics, l’Art. 87 sur le NIR, l’Art. 88 sur les relations de travail, l’Art. 89 sur la recherche, l’archivage et la statistique et l’Art. 90 sur le secret professionnel.

L’article comporte deux paragraphes.

« 1. Lorsque, dans un État membre, des églises et des associations ou communautés religieuses appliquent, à la date d’entrée en vigueur du présent règlement, un ensemble complet de règles relatives à la protection des personnes physiques à l’égard du traitement, lesdites règles peuvent continuer de s’appliquer à condition d’être mises en conformité avec le présent règlement.

  1. Les églises et les associations religieuses qui appliquent un ensemble complet de règles conformément au paragraphe 1 du présent article sont soumises au contrôle d’une autorité de contrôle indépendante, qui peut être spécifique, pour autant qu’elle remplisse les conditions fixées au chapitre VI du présent règlement. »

C’est une nouveauté absolue par rapport à la directive 95/46/CE, qui ne prévoyait aucun régime spécial pour les organisations religieuses. À ce jour, ni la CNIL, ni le Comité européen de la protection des données (CEPD) n’ont publié de lignes directrices interprétant cette disposition — ce qui en fait l’une des dispositions les moins commentées du règlement.

Article 91(1) : la clause de maintien des règles préexistantes

Le premier paragraphe pose une clause de « droit acquis » (grandfather clause). Trois conditions cumulatives encadrent la faculté.

Première condition : un ensemble complet de règles

L’organisation religieuse doit appliquer un « ensemble complet de règles » relatives à la protection des données — autrement dit un véritable corpus normatif autonome, structuré, couvrant les principes de licéité, les droits des personnes, la sécurité et la gouvernance. Une simple charte interne ou une politique de confidentialité ne suffit pas. Le considérant 165 du RGPD rappelle d’ailleurs que le règlement respecte le statut dont bénéficient, en vertu du droit constitutionnel des États membres, les églises et associations religieuses, conformément à l’article 17 du traité sur le fonctionnement de l’Union européenne (TFUE).

Deuxième condition : une antériorité au 24 mai 2016

Le corpus doit être appliqué « à la date d’entrée en vigueur du présent règlement », soit le 24 mai 2016 — et non à la date de son application le 25 mai 2018. La disposition gèle donc une situation préexistante : une organisation religieuse qui n’avait pas de règles propres avant mai 2016 ne peut pas en créer un nouveau régime dérogatoire après coup. Elle relève alors du droit commun et de la compétence de la CNIL au titre de l’Art. 51 RGPD.

Troisième condition : une mise en conformité avec le RGPD

Le maintien des règles préexistantes n’est pas un blanc-seing. Ces règles « peuvent continuer de s’appliquer à condition d’être mises en conformité avec le présent règlement ». Le niveau de protection doit donc être au moins équivalent à celui du RGPD : mêmes bases légales de l’Art. 6, mêmes droits des personnes, mêmes obligations de sécurité, même régime de traitement des données sensibles de l’Art. 9 — dont les convictions religieuses font précisément partie. L’autonomie est procédurale et institutionnelle, pas substantielle.

Article 91(2) : la possibilité d’une autorité de contrôle spécifique

Le second paragraphe est le plus singulier. Il autorise une église ou une association religieuse à être contrôlée par une autorité de contrôle spécifique, distincte de la CNIL, à la double condition qu’elle soit indépendante et qu’elle remplisse les conditions du chapitre VI du RGPD — celles-là mêmes qui s’imposent à toute autorité nationale au titre des Art. 51 et Art. 52 sur l’indépendance : indépendance fonctionnelle, moyens propres, pouvoirs d’enquête et de sanction, absence de conflit d’intérêts.

Cette autorité religieuse se substitue alors à la CNIL pour les traitements relevant du corpus interne. C’est une délégation institutionnelle de la surveillance, exceptionnelle dans l’architecture du règlement.

L’exemple allemand : les autorités de contrôle confessionnelles

L’Art. 91 a été pensé pour l’Allemagne, où les Églises bénéficient d’un droit d’auto-administration (Selbstbestimmungsrecht) garanti par la Loi fondamentale. Deux corpus complets préexistaient largement à 2016 et ont été mis à jour pour le RGPD :

  • le KDG (Gesetz über den Kirchlichen Datenschutz), loi sur la protection des données de l’Église catholique romaine en Allemagne ;
  • le DSG-EKD (Datenschutzgesetz der Evangelischen Kirche in Deutschland), loi de l’Église protestante.

Chacun a institué ses propres autorités de contrôle indépendantes (§§ 42 à 47 du KDG, §§ 39 à 42 du DSG-EKD), dotées de pouvoirs d’enquête, de traitement des réclamations et de sanction. Ces autorités confessionnelles remplacent les autorités régionales allemandes (Landesdatenschutzbehörden) pour les traitements internes aux Églises — paroisses, écoles confessionnelles, hôpitaux et œuvres caritatives rattachées.

L’application en France : une disposition théorique

En France, l’articulation est radicalement différente, pour une raison de fond : la loi de séparation des Églises et de l’État du 9 décembre 1905 et le principe de laïcité interdisent toute reconnaissance d’un régime juridique cultuel autonome de cette nature. Aucune église ou association cultuelle française n’appliquait, au 24 mai 2016, un « ensemble complet de règles » de protection des données validé par l’État au sens de l’Art. 91. La condition d’antériorité n’est donc pas remplie, et la France n’a institué aucune autorité de contrôle religieuse spécifique.

Conséquence pratique : toutes les organisations religieuses françaises relèvent du droit commun du RGPD et de la compétence de la CNIL. Diocèses, associations cultuelles (loi 1905), associations confessionnelles (loi 1901), fédérations, lieux de culte et œuvres caritatives appliquent le règlement sans aménagement, sous le seul contrôle de la CNIL. Le guide RGPD pour les associations détaille les obligations applicables à ces structures.

La spécificité française se situe ailleurs : l’appartenance religieuse étant une donnée sensible au sens de l’Art. 9(1) RGPD, son traitement par une organisation religieuse repose sur la base de l’Art. 9(2)(d) — traitement effectué dans le cadre des activités légitimes d’un organisme à finalité religieuse, portant sur ses seuls membres ou anciens membres, sans communication des données hors de l’organisme sans le consentement des personnes. C’est cette base, et non l’Art. 91, qui sécurise concrètement le fichier des fidèles, le registre des baptêmes ou les listes de donateurs.

La jurisprudence : l’arrêt Jehovan todistajat

L’arrêt CJUE C-25/17 Jehovan todistajat du 10 juillet 2018 est la décision de référence pour les communautés religieuses. La Cour y a jugé qu’une communauté religieuse est responsable conjoint de traitement, avec ses membres prédicateurs, des données collectées lors du démarchage de porte-à-porte — y compris les notes manuscrites. L’enseignement est clair : l’appartenance à la sphère religieuse n’exonère pas du RGPD. La communauté doit respecter l’ensemble des obligations, dont la tenue d’un registre des activités de traitement de l’Art. 30 et, le cas échéant, la désignation d’un délégué à la protection des données.

Plan opérationnel pour une organisation religieuse française

Sur la base de mon accompagnement de structures confessionnelles, voici les cinq chantiers prioritaires d’une mise en conformité.

Chantier 1 — Cartographie des traitements. Recenser le fichier des fidèles, les registres sacramentels (baptêmes, mariages, obsèques), les listes de donateurs et de bénévoles, la gestion des écoles et œuvres caritatives. Formaliser le tout dans un registre Art. 30.

Chantier 2 — Base légale des données sensibles. Documenter pour chaque traitement de données révélant l’appartenance religieuse la base de l’Art. 9(2)(d), et le recueil du consentement explicite dès qu’une donnée sort de l’organisme (annuaire diffusé, partenariat, communication externe).

Chantier 3 — Droits des personnes. Organiser le traitement des demandes d’accès, de rectification et d’effacement. La question de la « sortie » des registres sacramentels est sensible : la CNIL admet l’annotation plutôt que l’effacement pur lorsqu’un intérêt légitime documentaire le justifie, en articulation avec l’Art. 77 sur la réclamation auprès de la CNIL.

Chantier 4 — DPO et gouvernance. Évaluer l’obligation de désigner un délégué : une grande structure confessionnelle traitant à grande échelle des données sensibles entre dans le champ de l’Art. 37(1)©. Beaucoup de diocèses et fédérations mutualisent un DPO.

Chantier 5 — Sécurité et sous-traitance. Sécuriser les outils de gestion paroissiale (souvent des SaaS) au titre de l’Art. 32 et encadrer chaque prestataire par un contrat conforme à l’Art. 28.

Ce qu’il faut retenir

  • L’Art. 91 RGPD autorise les églises et associations religieuses à conserver un corpus complet de règles de protection des données préexistant au 24 mai 2016, à condition de le mettre en conformité avec le règlement.
  • L’Art. 91(2) permet une autorité de contrôle religieuse spécifique, indépendante et conforme au chapitre VI — substituée à la CNIL pour les traitements internes.
  • L’Allemagne est le seul grand exemple : KDG (catholique) et DSG-EKD (protestante) disposent de leurs propres autorités confessionnelles.
  • En France, faute de corpus antérieur et en raison de la laïcité, la disposition reste théorique : toutes les organisations religieuses relèvent du droit commun et de la CNIL.
  • L’appartenance religieuse est une donnée sensible (Art. 9) ; sa base légale réelle en France est l’Art. 9(2)(d), pas l’Art. 91.

FAQ

Une paroisse ou un diocèse français a-t-il sa propre autorité de protection des données ?

Non. La France n’a institué aucune autorité de contrôle religieuse au titre de l’Art. 91(2) RGPD. Toutes les structures confessionnelles françaises — diocèses, paroisses, associations cultuelles et confessionnelles — relèvent de la compétence de la CNIL au titre de l’Art. 51 RGPD et appliquent le droit commun du règlement.

Sur quelle base une église peut-elle gérer le fichier de ses fidèles ?

Sur la base de l’Art. 9(2)(d) RGPD : le traitement de données révélant les convictions religieuses est autorisé lorsqu’il est effectué dans le cadre des activités légitimes d’un organisme à finalité religieuse, qu’il porte sur ses seuls membres ou anciens membres et que les données ne sont pas communiquées hors de l’organisme sans le consentement des personnes concernées. C’est l’Art. 9, et non l’Art. 91, qui fonde concrètement ce traitement.

L’Art. 91 dispense-t-il les organisations religieuses du RGPD ?

Non. La clause de maintien impose expressément une mise en conformité avec le règlement : mêmes droits des personnes, mêmes obligations de sécurité, même niveau de protection. L’arrêt CJUE C-25/17 Jehovan todistajat du 10 juillet 2018 a confirmé qu’une communauté religieuse est pleinement soumise au RGPD, y compris comme responsable conjoint de traitement.

Pourquoi l’Allemagne a-t-elle des autorités religieuses et pas la France ?

Parce que les Églises allemandes bénéficient d’un droit constitutionnel d’auto-administration et appliquaient déjà avant 2016 des corpus complets (KDG, DSG-EKD) reconnus par l’État. La France, régie par la loi de séparation de 1905 et le principe de laïcité, n’a jamais reconnu de régime cultuel autonome de cette nature ; la condition d’antériorité de l’Art. 91(1) n’y est donc pas remplie.


Cet article fait partie de la série « RGPD article par article » qui décrypte chaque disposition du règlement en pratique. Pour recevoir nos analyses de conformité chaque semaine, abonnez-vous à notre newsletter.