CJUE | Arrêt du 18 décembre 2025 | C-422/24 | Storstockholms Lokaltrafik │ CONSEILS

---

PREMIÈRE PARTIE — CONSEILS AUX RESPONSABLES DE TRAITEMENT

---

I. L’AUDIT IMMÉDIAT DES DISPOSITIFS DE CAMÉRAS-PIÉTONS DÉPLOYÉS

 

L’arrêt C-422/24 impose aux responsables du traitement qui déploient ou envisagent de déployer des caméras-piétons — qu’il s’agisse d’opérateurs de transport public, d’entreprises de sécurité privée, de gestionnaires de centres commerciaux, d’organisateurs d’événements ou de tout autre opérateur privé — de procéder sans délai à un audit complet de leur dispositif afin d’évaluer leur conformité au regard de l’article 13 du RGPD tel qu’interprété par la Cour.

Cet audit doit porter sur cinq axes principaux. En premier lieu, il convient d’identifier l’ensemble des traitements de données réalisés par le biais des caméras-piétons et de vérifier que le registre des activités de traitement (article 30 du RGPD) qualifie explicitement ces traitements comme des collectes directes relevant de l’article 13 du RGPD, et non comme des collectes indirectes relevant de l’article 14. Cette requalification est désormais imposée par la jurisprudence et toute qualification inverse expose le responsable du traitement à un risque de sanction administrative.

En deuxième lieu, il importe de vérifier que les modalités d’information actuellement en place satisfont à l’exigence d’immédiateté de l’article 13, §1, du RGPD : les informations doivent être fournies « au moment où les données en question sont obtenues ». Il ne suffit donc pas d’avoir publié une politique de confidentialité sur un site internet ou de l’avoir intégrée dans les conditions générales d’utilisation ou dans les affichages statiques des locaux. Ces canaux, utiles pour les informations de deuxième niveau, ne peuvent remplacer une information de premier niveau délivrée au moment même de l’activation de la caméra.

En troisième lieu, les responsables du traitement doivent réviser leurs DPIA (Data Protection Impact Assessments) réalisés pour les traitements impliquant des caméras-piétons (la DPIA est obligatoire pour ce type de traitement en vertu de l’article 35 du RGPD et des listes établies par les autorités nationales de contrôle, eu égard à la surveillance systématique d’espaces accessibles au public). La DPIA doit intégrer l’analyse des risques liés à l’absence d’information immédiate, les mesures correctives retenues (approche multi-niveaux) et l’évaluation de leur efficacité.

---

II. LA MISE EN PLACE DE L’APPROCHE MULTI-NIVEAUX D’INFORMATION

 

L’approche à plusieurs niveaux d’information validée par la Cour dans la ligne des Lignes directrices 3/2019 du CEPD sur les dispositifs vidéo (pt 113) constitue le principal outil pratique de mise en conformité. Elle se décompose comme suit.

Le premier niveau doit être immédiatement visible par toute personne susceptible d’entrer dans le champ de captation de la caméra. Pour les caméras-piétons portées par des agents de contrôle mobiles, les solutions validées par les référentiels nationaux et européens incluent :

—-Un voyant lumineux ou signal optique (LED visible) s’activant dès que la caméra commence à enregistrer (préconisé par le Datenschutzkonferenz allemand, Orientierungshilfe du 22 février 2019, cité au point 31 des conclusions) ;
—-Un badge ou insigne distinctif porté sur l’uniforme de l’agent, mentionnant de manière lisible l’existence du traitement et renvoyant vers une source d’information complémentaire (préconisé par la Data Protection Commission irlandaise, Guidance du 10 janvier 2020, citée au point 27 des conclusions) ;
—-Des marquages visibles sur la caméra elle-même identifiant le responsable du traitement ;
—-Le cas échéant, une annonce verbale préalable à l’activation en cas d’incident documenté.

Le deuxième niveau doit permettre à la personne concernée d’accéder à l’ensemble des informations requises par l’article 13, paragraphes 1 et 2, du RGPD. Ce second niveau peut être délivré via :

—-Un code QR imprimé sur le badge ou la tenue de l’agent, renvoyant vers une page web dédiée au traitement ;
—-Une URL lisible sur le badge ou l’insigne ;
—-Un numéro de téléphone ou une adresse de courriel permettant d’obtenir les informations complètes ;
—-Une version imprimée disponible sur demande dans les espaces d’accueil de l’opérateur.

Les informations de second niveau doivent couvrir l’ensemble des éléments requis par l’article 13 du RGPD : identité et coordonnées du responsable du traitement, coordonnées du DPO le cas échéant, finalités et base juridique du traitement, destinataires des données, durée de conservation, droits des personnes concernées (accès, rectification, effacement, limitation, opposition), droit d’introduire une réclamation auprès de l’autorité de contrôle.

---

III. LA RÉVISION DES DURÉES DE CONSERVATION ET DES POLITIQUES DE GESTION DES DONNÉES

 

L’arrêt invite indirectement les responsables du traitement à réexaminer les durées de conservation des données captées par les caméras-piétons à la lumière du principe de minimisation des données (article 5, §1, sous c), du RGPD). Le dispositif de SL prévoyait une mémoire circulaire avec effacement automatique au bout d’une minute — durée déjà réduite sous la pression de l’autorité de contrôle lors de la procédure administrative. Les responsables du traitement doivent s’assurer que les données capturées mais non conservées (effacement automatique) sont effectivement effacées sans possibilité de récupération, et que les données conservées (suite à activation manuelle du bouton) ne le sont que pour une durée strictement nécessaire aux finalités déclarées.

Il importe en outre de formaliser par une procédure interne les conditions d’activation de la fonction de conservation (ou d’interruption de l’effacement automatique), en s’assurant que les agents ne peuvent conserver les données que dans les cas expressément autorisés par la politique interne de l’opérateur et conformes aux finalités déclarées du traitement.

---

IV. LA FORMATION DES AGENTS ET LA GOUVERNANCE INTERNE

 

La conformité avec l’article 13 du RGPD n’est pas seulement affaire de dispositifs techniques ; elle implique une gouvernance humaine rigoureuse. Les agents équipés de caméras-piétons doivent faire l’objet d’une formation spécifique portant sur :

—-Les obligations d’information pesant sur le responsable du traitement au titre de l’article 13 du RGPD et leur traduction pratique dans leur activité quotidienne ;
—-Les modalités d’activation et de désactivation de la caméra ;
—-Les conditions strictement définies dans lesquelles ils peuvent interrompre l’effacement automatique et conserver les données ;
—-La procédure à suivre lorsqu’une personne concernée exerce ses droits sur le terrain (droit d’accès, droit à l’effacement, droit à la limitation).

Le DPO de l’opérateur doit être associé à toutes les étapes de la mise en conformité : conception du dispositif, rédaction des politiques d’information, réalisation de la DPIA, formation des agents, et suivi des réclamations et plaintes liées aux traitements opérés par caméras-piétons.

---

V. LA DOCUMENTATION ET LA RESPONSABILITÉ (ACCOUNTABILITY)

 

Conformément au principe d’accountability consacré à l’article 5, §2, du RGPD, le responsable du traitement doit être en mesure de démontrer à tout moment sa conformité avec les exigences de l’article 13 du RGPD. Cette démonstration passe par la constitution d’un dossier documentaire comprenant :

—-Le registre des activités de traitement qualifiant le traitement par caméras-piétons comme collecte directe relevant de l’article 13 ;
—-La DPIA et ses mises à jour ;
—-Les procédures internes régissant l’usage des caméras-piétons ;
—-Les supports d’information de premier et deuxième niveau (photographies des badges, captures du code QR et de la page web de destination) ;
—-Les attestations de formation des agents ;
—-Les échanges avec l’autorité de contrôle nationale, le cas échéant.

L’absence ou l’insuffisance de cette documentation pourrait, en cas de contrôle, être interprétée comme un indice supplémentaire de manquement au RGPD, susceptible d’aggraver les sanctions éventuelles.

---

DEUXIÈME PARTIE — CONSEILS AUX PERSONNES CONCERNÉES

---

I. CONNAÎTRE SES DROITS FACE AUX CAMÉRAS-PIÉTONS

 

Toute personne physique susceptible d’être filmée par un agent équipé d’une caméra-piéton dans le cadre de ses déplacements en transports publics, d’un contrôle de sécurité dans un espace accessible au public, ou de toute autre situation impliquant des agents privés équipés de dispositifs de captation portable, est une personne concernée au sens de l’article 4, point 1, du RGPD. À ce titre, elle bénéficie de l’ensemble des droits reconnus par le règlement et, en premier lieu, du droit à l’information consacré par l’article 13 dont la Cour vient de clarifier la portée.

---

COMMENT LE FAIRE RESPECTER

 

L’arrêt C-422/24 confirme que la personne filmée est en droit d’exiger d’être informée au moment même de la captation de ses données. En pratique, l’agent équipé de la caméra-piéton doit porter une signalétique visible (badge, insigne, voyant) permettant à la personne concernée d’identifier immédiatement l’existence du traitement et d’accéder aux informations complémentaires.

Si une personne constate qu’elle est filmée par un agent équipé d’une caméra-piéton sans qu’aucune information visible ne lui soit délivrée — absence de badge identifiant le traitement, absence de voyant lumineux, absence de toute signalétique — elle est fondée à :

—-Solliciter immédiatement de l’agent ou de son supérieur l’identité du responsable du traitement et les modalités d’accès aux informations complètes sur le traitement ;
—-Consigner par écrit les circonstances du manquement (date, lieu, description du dispositif, absence de signalétique) et, si possible, en conserver une preuve photographique ou vidéo ;
—-Exercer son droit d’accès (article 15 du RGPD) auprès du responsable du traitement identifié, afin d’obtenir la confirmation de l’existence du traitement, la nature des données collectées la concernant, les finalités du traitement, les destinataires et la durée de conservation.

---

III. LE DROIT D’INTRODUIRE UNE RÉCLAMATION AUPRÈS DE L’AUTORITÉ DE CONTRÔLE

 

Si le responsable du traitement ne répond pas à la demande d’accès dans le délai d’un mois prévu par l’article 12, §3, du RGPD, ou si la personne concernée estime que ses données ont été collectées et traitées en violation de l’article 13 du RGPD (absence d’information au moment de la captation), elle dispose du droit d’introduire une réclamation auprès de l’autorité nationale de contrôle compétente (article 77 du RGPD). En France, cette autorité est la Commission nationale de l’informatique et des libertés (CNIL). La réclamation peut être déposée en ligne sur le site de la CNIL et doit décrire précisément les faits, les données concernées, le responsable du traitement identifié (ou à identifier), et les droits dont la personne entend faire valoir le non-respect.

---

IV. LE DROIT À RÉPARATION DU PRÉJUDICE SUBI

 

Si la violation de l’article 13 du RGPD a causé à la personne concernée un dommage matériel ou moral, elle peut exercer une action en réparation sur le fondement de l’article 82 du RGPD devant les juridictions civiles nationales compétentes. Il convient de rappeler que la jurisprudence de la Cour (CJUE, 4 mai 2023, Österreichische Post, C-300/21 ; CJUE, 11 avril 2024, juris, C-741/21) a précisé que tout dommage moral, y compris la perte du contrôle sur ses propres données personnelles, peut en principe ouvrir droit à réparation dès lors qu’il est réel et certain, sans qu’il soit nécessaire d’établir un préjudice d’une gravité particulière.

---

 
 
 

---

POINTS ESSENTIELS

---

L’affaire C-422/24, Integritetsskyddsmyndigheten c. AB Storstockholms Lokaltrafik, oppose l’autorité suédoise de protection des données (IMY) à une société de transport public de la région de Stockholm (SL) qui avait équipé ses contrôleurs de caméras-piétons fonctionnant en enregistrement continu avec mémoire circulaire et mécanisme de pré-enregistrement d’une minute, les contrôleurs étant instruits de conserver les données en cas d’émission d’une amende ou de menace;

L’autorité de contrôle avait sanctionné SL à hauteur de 4 millions de couronnes suédoises pour violation de l’article 13 du RGPD (obligation d’information au moment de la collecte directe), tandis que la cour d’appel administrative de Stockholm avait annulé cette sanction en estimant, sur le fondement d’une extrapolation erronée de l’arrêt Ryneš (C-212/13, EU:C:2014:2428, rendu sous l’empire de la directive 95/46), que la collecte par caméra relevait de l’article 14 du RGPD (collecte indirecte) autorisant un délai d’un mois et l’exception d’efforts disproportionnés.