CJUE | ARRÊT DU 18 DÉCEMBRE 2025 | C-422/24 | STORSTOCKHOLMS LOKALTRAFIK │
CAMÉRAS-PIÉTONS: LA PERSONNE CONCERNÉE EST-ELLE SOURCE OU CIBLE DES DONNÉES QU’ELLE GÉNÈRE MALGRÉ ELLE ?
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I.
Le contexte suédois : une collecte technique au service d’un objectif de sécurité
La société AB Storstockholms Lokaltrafik (ci-après « SL »), opérateur de transport public dans la région de Stockholm, a équipé ses contrôleurs de caméras-piétons dans le cadre de leurs missions de contrôle des titres de transport. L’objectif déclaré de ce dispositif était double : d’une part, prévenir et documenter les menaces et violences dont pourraient être victimes les contrôleurs dans l’exercice de leurs fonctions ; d’autre part, garantir l’identification des voyageurs auxquels une amende était infligée pour défaut de titre de transport valide.
Le dispositif technique méritait d’être décrit dans le détail, car c’est précisément la nature de cette architecture qui a déterminé la qualification juridique retenue par la Cour. Les contrôleurs portaient les caméras pendant toute la durée de leur service. Les appareils enregistraient en continu des vidéos comprenant à la fois l’image et le son des personnes présentes dans leur environnement immédiat. Dotés d’une mémoire dite « circulaire », ces appareils effaçaient automatiquement les données au-delà d’un certain délai — initialement deux minutes, réduit à une minute en cours de procédure de contrôle. Les contrôleurs disposaient néanmoins de la faculté d’interrompre cet effacement automatique en actionnant un bouton, déclenchant également la conservation des données préalablement enregistrées grâce à la technique du pré-enregistrement. Leurs instructions leur imposaient d’activer cette conservation dans deux hypothèses précises : l’émission d’une amende et la survenance d’une menace.
Ce dispositif attira l’attention de l’Integritetsskyddsmyndigheten (ci-après « l’Autorité »), autorité suédoise chargée de la protection des données, qui, à l’issue de ses activités de contrôle, rendit en juin 2021 une décision constatant que SL avait, depuis décembre 2018, traité des données à caractère personnel en violation de plusieurs dispositions du RGPD. Parmi ces manquements figurait notamment l’absence de fourniture suffisante d’informations aux personnes concernées, en méconnaissance de l’article 13 du RGPD. Cette violation valut à SL une amende administrative d’un montant total de 16 millions de couronnes suédoises (SEK), dont 4 millions au titre spécifique du défaut d’information.
II.
Le cheminement judiciaire : une divergence d’interprétation exemplaire
SL contesta cette décision devant le Förvaltningsrätten i Stockholm (tribunal administratif de Stockholm), qui rejeta le recours en ce qui concernait l’amende pour défaut d’information. La société porta alors l’affaire devant le Kammarrätten i Stockholm (cour d’appel administrative de Stockholm), qui adopta une position radicalement différente et annula le jugement de première instance ainsi que la décision de contrôle pour la partie relative à l’amende en question.
La cour d’appel administrative fonda sa décision sur une interprétation particulière du droit applicable. S’appuyant sur l’arrêt rendu par la Cour de justice dans l’affaire Ryneš du 11 décembre 2014 (C-212/13, EU:C:2014:2428), concernant l’exploitation d’un système de caméra installé par une personne physique dans sa maison familiale, elle considéra que dans les situations de vidéosurveillance, l’obligation du responsable du traitement de fournir des informations suffisantes était fondée sur l’équivalent de l’article 14 du RGPD — et non sur l’article 13. Elle estima que le libellé de l’article 13 suggérait qu’une certaine forme de comportement délibéré de la personne concernée était nécessaire pour que les données soient considérées comme collectées « auprès d’elle ». Cette condition ne pouvant être remplie lors d’une collecte par caméra-piéton, l’article 13 ne trouvait pas à s’appliquer. L’Autorité ne pouvait donc pas sanctionner SL pour violation de cet article.
L’Autorité de protection des données forma un pourvoi devant le Högsta förvaltningsdomstolen (Cour suprême administrative de Suède), juridiction de renvoi, qui décida de surseoir à statuer et de saisir la Cour de justice d’une demande de décision préjudicielle, posant la question suivante : « Lequel des articles 13 et 14 du RGPD s’applique lorsque des données à caractère personnel sont collectées au moyen d’une caméra-piéton ? »
III.
Les thèses en présence : une tension entre source de la donnée et conscience de la collecte
Devant la juridiction de renvoi, les parties développèrent des argumentations structurées autour de deux conceptions radicalement opposées du critère de délimitation entre les articles 13 et 14 du RGPD.
La position de l’Autorité reposait sur une lecture littérale et téléologique de l’article 13. Selon elle, le libellé de cette disposition indique que c’est le responsable du traitement — et non la personne concernée — qui joue un rôle actif lors de la collecte. Le libellé n’exclut donc pas son applicabilité même si la personne concernée ne participe pas activement. L’Autorité observait par ailleurs qu’en matière de vidéosurveillance, les informations sont supposées être fournies avant le début du traitement, la personne concernée rendant possible la collecte en entrant sciemment dans la zone surveillée. Elle soulignait enfin que les lignes directrices du Comité européen de la protection des données (CEPD) sur la vidéosurveillance considèrent expressément que l’article 13 est applicable dans ce contexte.
La position de SL s’articulait autour de l’idée que le libellé de l’article 13 implique une nécessité de participation consciente de la personne concernée à la collecte de données, condition absente lors d’une captation par caméra-piéton. SL faisait valoir que la fourniture d’informations à plusieurs niveaux (layered approach) caractéristique de la surveillance par caméra s’accordait mieux avec l’économie générale de l’article 14 qu’avec celle de l’article 13. Elle invoquait également l’exception prévue à l’article 14, paragraphe 5, sous b), applicable lorsque la fourniture des informations se révèle impossible ou exigerait des efforts disproportionnés, estimant que cette exception devrait s’appliquer aux situations impliquant des caméras-piétons. Le gouvernement danois soutenait une position similaire, soulignant la difficulté pratique de fournir des informations individuelles avant que l’enregistrement ait lieu.
IV.
L’analyse de l’Avocate générale Laila Medina : la source de la donnée comme critère décisif
Dans ses conclusions présentées le 1er août 2025 (ECLI:EU:C:2025:623), l’Avocate générale Laila Medina commença par circonscrire précisément la portée de la question posée. Elle souligna que la demande portait exclusivement sur l’utilisation de caméras-piétons par une société de transport public, donc dans un contexte relevant du champ d’application du RGPD et non de la directive 2016/680 relative au traitement des données par les autorités répressives — distinction établie par référence à l’arrêt Ligue des droits humains (C-817/19, EU:C:2022:491). Elle précisa également que la Cour n’était interrogée que sur l’obligation d’information au titre des articles 13 et 14 du RGPD, et non sur la licéité du traitement au regard de l’article 6.
L’Avocate générale procéda ensuite à une analyse en trois temps — littérale, contextuelle et téléologique.
Sur le plan littéral, elle observa que le champ d’application matériel de l’article 14 est défini de manière négative par rapport à l’article 13, créant une dichotomie exhaustive : tous les cas où les données sont collectées auprès de la personne concernée relèvent de l’article 13 ; tous les cas où elles ne le sont pas relèvent de l’article 14. Ces dispositions s’excluent mutuellement, ne laissant aucune zone grise. Elle soulignait, en s’appuyant sur l’arrêt Mäsdi (C-169/23, EU:C:2024:988), que les données « obtenues » au sens de l’article 14 sont celles que le responsable du traitement collecte auprès d’une personne autre que la personne concernée. Le critère déterminant est donc la source des données — non la participation active ou la conscience de la collecte par la personne concernée.
Cette analyse littérale conduisait à une conclusion : la notion de données « collectées auprès de la personne concernée » au sens de l’article 13, paragraphe 1, du RGPD n’exige pas une action spécifique de la part de cette dernière. La collecte, en tant que forme de traitement définie à l’article 4, point 2, du RGPD, nécessite une action du responsable du traitement — non de la personne concernée. L’Avocate générale réfuta ainsi l’argument tiré de l’article 13, paragraphe 2, sous e), selon lequel cette disposition ne trouverait à s’appliquer que lorsque la personne est tenue de fournir des données : cette information relative à une éventuelle obligation de fourniture ne doit être communiquée « que si cela est requis dans le cas d’espèce » et ne saurait être interprétée comme exigeant en toutes circonstances une action particulière de la personne concernée.
L’Avocate générale s’appuya également sur l’article 14, paragraphe 2, sous f), du RGPD — qui impose au responsable d’informer la personne concernée de « la source d’où proviennent les données à caractère personnel » lorsque celles-ci n’ont pas été collectées auprès d’elle — pour confirmer que la source constitue bien le critère de délimitation. Le considérant 61 du RGPD corrobore cette lecture, en distinguant les données « collectées auprès de la personne concernée » des données « obtenues d’une autre source ».
Sur le plan contextuel, l’Avocate générale rappela que les obligations d’information des articles 13 et 14 du RGPD sont des expressions spécifiques du principe de transparence consacré à l’article 5, paragraphe 1, sous a), du RGPD, conformément à l’arrêt Meta Platforms Ireland (C-757/22, EU:C:2024:598). La délimitation du champ d’application en fonction de la source des données permet un traitement loyal et transparent : lorsque les données sont collectées directement auprès de la personne concernée, celle-ci doit recevoir des informations au moment même de la collecte ; lorsqu’elles ne le sont pas, le responsable du traitement dispose d’une marge de manœuvre temporelle plus souple précisément parce qu’il n’y a pas de contact direct avec la personne concernée.
Dans le cas de la collecte par caméra-piéton, la fourniture immédiate d’informations permet à la personne concernée de prendre connaissance de la collecte et d’exercer ses droits dès ce moment — voire avant, en décidant de ne pas entrer dans la zone surveillée. L’Avocate générale citait les lignes directrices 3/2019 du CEPD sur les dispositifs vidéo, qui recommandent une approche à plusieurs niveaux : un panneau d’avertissement en premier niveau, complété par une référence numérique (QR code, adresse internet) pour les informations de second niveau, ces deux niveaux devant être mis en œuvre simultanément dans le cadre de l’article 13. Le maintien de l’approche à plusieurs niveaux est donc parfaitement compatible avec l’article 13, contrairement à ce que soutenait SL.
L’Avocate générale réfuta l’argument de disproportion invoqué par SL au titre de l’article 14, paragraphe 5, sous b). En premier lieu, l’article 12 du RGPD impose que les mesures appropriées pour fournir des informations s’appliquent autant à l’article 13 qu’à l’article 14 : les mesures de modulation sont donc possibles dans les deux régimes. En second lieu, la collecte par caméra-piéton est « aussi intrusive que la vidéosurveillance et comporte des risques importants pour la vie privée » ; la complexité pratique ne saurait justifier une réduction du niveau de protection. En troisième lieu, si la distinction entre les champs d’application respectifs des articles 13 et 14 devait dépendre du fait que la personne concernée ait ou non effectivement connaissance de la collecte, cela « brouillerait les limites entre les deux dispositions et ferait dépendre leur application de circonstances aléatoires ».
Sur le plan téléologique, l’Avocate générale rappela que l’objectif de protection élevée des données à caractère personnel, affirmé par la Cour dans l’arrêt Ministerstvo zdravotnictví (C-710/23, EU:C:2025:231), impose une interprétation des obligations d’information permettant à la personne concernée d’exercer ses droits au plus tôt. Si l’article 13 ne s’appliquait pas à la collecte par observation directe, le responsable du traitement bénéficierait d’un délai d’un mois pour informer la personne concernée — délai incompatible avec l’effectivité du droit d’opposition et des autres droits reconnus par le RGPD, d’autant que dans ce contexte, la personne concernée s’éloigne immédiatement après la captation.
Enfin, l’Avocate générale examina et rejeta la pertinence de l’arrêt Ryneš pour la présente affaire. Elle observa que cet arrêt portait sur l’exception relative aux « activités exclusivement personnelles ou domestiques » prévue à la directive 95/46/CE — et non sur la détermination de la base juridique appropriée pour l’obligation d’information. La mention de l’article 11 de la directive (équivalent de l’article 14 du RGPD) dans ce contexte constituait un obiter dictum, dépourvu d’autorité de précédent pour la question ici posée. En outre, le délai de fourniture d’informations au titre de l’article 14 du RGPD diffère de celui prévu à l’article 11 de l’ancienne directive, et le législateur de l’Union a clarifié la distinction entre les deux régimes en faisant expressément référence à la source des données dans le considérant 61 du RGPD.
Sa conclusion était nette : « dans une situation dans laquelle des données à caractère personnel sont collectées au moyen de caméras-piétons portées par des contrôleurs travaillant pour une société de transport public, l’article 13 de ce règlement s’applique alors que l’article 14 dudit règlement ne s’applique pas. »
V.
L’arrêt du 18 décembre 2025 (ECLI:EU:C:2025:980) : la consécration du critère de la source
La Cour de justice, dans son arrêt rendu le 18 décembre 2025, confirma intégralement les conclusions de l’Avocate générale. Elle dit pour droit que les articles 13 et 14 du RGPD doivent être interprétés en ce sens que, dans une situation où des données à caractère personnel sont collectées au moyen de caméras-piétons portées par des contrôleurs travaillant pour une société de transport public, c’est l’article 13 qui s’applique — et non l’article 14.
La Cour confirma que le critère décisif est la source des données : si la personne concernée est la source directe, sans intermédiaire entre elle et le responsable du traitement, l’article 13 s’applique. Cette source peut être directe selon différentes modalités — fourniture volontaire, mais aussi collecte par observation, comme le confirment les lignes directrices WP260 rev.01 du Groupe de travail Article 29 sur la transparence. La collecte par caméra-piéton relève donc de la collecte directe auprès de la personne concernée, au sens de l’article 13, du seul fait de la présence physique de cette personne dans le champ de la caméra.
La Cour valida également l’approche à plusieurs niveaux d’information telle que préconisée par les lignes directrices 3/2019 du CEPD sur les dispositifs vidéo : cette approche n’est pas réservée à l’article 14, mais est pleinement compatible avec l’article 13 — le responsable du traitement devant prendre les mesures appropriées prévues à l’article 12 du RGPD pour fournir les informations d’une façon « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Concrètement, cela signifie que SL aurait dû, au minimum, apposer un panneau d’avertissement visible avant l’entrée dans la zone surveillée (premier niveau), renvoyant à une source numérique pour les informations complètes (second niveau).
VI.
La portée doctrinale : une clarification structurante du droit de l’information
L’arrêt Storstockholms Lokaltrafik constitue une décision d’une portée considérable pour l’ensemble du droit de la protection des données en Europe, à plusieurs égards.
En premier lieu, il tranche définitivement le débat sur la délimitation entre les articles 13 et 14 du RGPD dans le contexte de la collecte par observation. La question du critère pertinent — source de la donnée versus conscience ou participation active de la personne concernée — était disputée en doctrine et dans les pratiques nationales. La Cour clôt ce débat en posant le critère de la source comme seul critère pertinent, indépendant du comportement ou de la conscience de la personne concernée.
En second lieu, l’arrêt consacre le principe selon lequel la connaissance de la collecte n’est pas une condition préalable à l’application de l’article 13, mais la conséquence de l’obligation d’information imposée par cet article au responsable du traitement. Ce renversement logique est fondamental : c’est parce que l’article 13 s’applique que le responsable doit informer, et c’est par cet acte d’information que la personne concernée prend connaissance de la collecte — non l’inverse.
En troisième lieu, l’arrêt invalide l’usage de l’exception pour efforts disproportionnés de l’article 14, paragraphe 5, sous b), comme technique d’évitement de l’obligation d’information immédiate dans le contexte de la collecte par observation directe. Cette exception n’est disponible qu’en cas de collecte indirecte relevant de l’article 14. Les responsables de traitement ne peuvent donc pas invoquer la difficulté pratique de l’information individuelle pour se soustraire à l’obligation d’information immédiate — ils doivent adapter leurs modalités d’information (panneaux, badges, QR codes) et non réduire leurs obligations.
En quatrième lieu, l’arrêt s’inscrit dans une dynamique jurisprudentielle cohérente qui confirme et approfondit les solutions dégagées dans les arrêts Mäsdi (C-169/23) et Meta Platforms Ireland (C-757/22). L’arrêt Mäsdi avait posé la dichotomie collecte directe/indirecte comme critère de délimitation entre les articles 13 et 14 ; l’arrêt Storstockholms la concrétise dans un contexte technologique spécifique — la collecte par dispositif vidéo mobile — et en tire toutes les conséquences pratiques.
En cinquième lieu, l’arrêt dépasse la seule question des caméras-piétons pour embrasser l’ensemble des dispositifs de collecte par observation : caméras fixes, systèmes de vidéosurveillance, capteurs biométriques, trackers Wi-Fi, etc. Toute collecte directe par observation, sans intermédiaire entre la personne concernée et le responsable du traitement, relève de l’article 13 — avec toutes les conséquences que cela implique en termes de contenu de l’information, de temporalité et d’absence de possibilité d’invoquer l’exception pour efforts disproportionnés.
VII.
Les implications pratiques pour les responsables de traitement
L’arrêt Storstockholms Lokaltrafik implique une révision substantielle des pratiques de nombreux responsables de traitement en Europe, dans tous les secteurs mettant en œuvre des dispositifs de collecte par observation directe.
Pour les opérateurs de transport, l’arrêt clarifie que l’utilisation de caméras-piétons par le personnel de contrôle doit impérativement s’accompagner d’une information préalable des personnes concernées, fournie dès le début du traitement et non dans un délai différé. Cette information doit être conforme aux exigences de l’article 13 du RGPD et couvrir l’ensemble des éléments visés aux paragraphes 1 et 2 de cet article : identité et coordonnées du responsable du traitement, finalités et base juridique du traitement, durée de conservation, droits des personnes concernées, etc. L’approche à plusieurs niveaux reste admise, à condition que le premier niveau — généralement un panneau d’avertissement visible — fournisse les informations essentielles de manière concise et accessible, et que le second niveau (QR code, site internet) soit facilement accessible sous forme non numérique également.
Pour les employeurs déployant des caméras-piétons ou des dispositifs similaires pour leurs agents de sécurité, leurs employés de terrain ou leurs forces d’intervention, l’arrêt impose de reconsidérer les modalités d’information. Les pratiques actuelles qui consistent à se placer sous l’article 14 pour bénéficier du délai d’un mois et de l’exception pour efforts disproportionnés sont désormais incompatibles avec le RGPD.
Pour les délégués à la protection des données (DPO) et les responsables conformité, l’arrêt impose une revue systématique des registres de traitements pour identifier tous les traitements impliquant une collecte par observation directe et vérifier que les modalités d’information mises en place correspondent bien aux exigences de l’article 13 — contenu, délai, accessibilité.
Pour les avocats et conseils juridiques, l’arrêt fournit une base solide pour apprécier la conformité des dispositifs de surveillance et conseiller leurs clients sur les ajustements nécessaires. Il convient en particulier d’attirer l’attention sur le fait que les lignes directrices 3/2019 du CEPD sur les dispositifs vidéo, qui préconisaient déjà l’application de l’article 13 en matière de vidéosurveillance, se trouvent désormais consacrées par la jurisprudence de la Cour.
VIII.
L’articulation avec les lignes directrices du CEPD et du GT29
L’arrêt Storstockholms Lokaltrafik s’inscrit en cohérence parfaite avec les lignes directrices du Groupe de travail Article 29 sur la transparence (WP260 rev.01, 29 novembre 2017, approuvées par le CEPD le 25 mai 2018) et avec les lignes directrices 3/2019 du CEPD sur le traitement des données à caractère personnel par des dispositifs vidéo (29 janvier 2020).
Les lignes directrices WP260 prévoient expressivement que l’article 13 du RGPD s’applique « soit lorsqu’une personne concernée fournit sciemment des données à caractère personnel au responsable du traitement des données, soit lorsqu’un responsable du traitement collecte les données auprès d’une personne concernée par observation ». Parmi les exemples de collecte par observation figurent « l’utilisation d’appareils de saisie automatique de données ou de logiciels de saisie de données, tels que des caméras ».
Les lignes directrices 3/2019 du CEPD recommandent quant à elles une approche à plusieurs niveaux pour les dispositifs vidéo, compatible avec l’article 13 : un premier niveau d’information visible (panneau d’avertissement avant l’entrée dans la zone surveillée), renvoyant à un second niveau plus détaillé accessible par voie numérique ou non numérique. Cette approche garantit que la personne concernée dispose des informations essentielles dès qu’elle entre dans le champ de la caméra — condition posée par l’article 13, paragraphe 1, selon lequel les informations doivent être fournies « au moment où les données en question sont obtenues ».
L’arrêt constitue ainsi une validation jurisprudentielle de ces documents de soft law, leur conférant une autorité interprétative renforcée pour les autorités nationales de contrôle et les juridictions nationales.
IX.
Les références jurisprudentielles mobilisées
La constellation jurisprudentielle mobilisée dans cette affaire révèle la maturation progressive du droit des données personnelles dans l’Union européenne. Les arrêts de référence sont les suivants :
- CJUE, 11 décembre 2014, Ryneš, C-212/13, EU:C:2014:2428 : arrêt portant sur l’exception relative aux activités domestiques dans le cadre de la directive 95/46/CE, dont la portée sur la question de l’obligation d’information en matière de vidéosurveillance a été expressément écartée par la Cour.
- CJUE, 11 juillet 2024, Meta Platforms Ireland – Action représentative, C-757/22, EU:C:2024:598 : arrêt fondateur sur le droit à l’information comme expression du principe de transparence des articles 12 à 14 du RGPD.
- CJUE, 28 novembre 2024, Mäsdi, C-169/23, EU:C:2024:988 : arrêt établissant la dichotomie directe/indirecte et définissant les données « obtenues » au sens de l’article 14 comme celles collectées auprès d’une personne autre que la personne concernée.
- CJUE, 21 juin 2022, Ligue des droits humains, C-817/19, EU:C:2022:491 : arrêt délimitant les champs d’application respectifs du RGPD et de la directive 2016/680.
- CJUE, 3 avril 2025, Ministerstvo zdravotnictví, C-710/23, EU:C:2025:231 : arrêt rappelant l’objectif de protection élevée des données à caractère personnel poursuivi par le RGPD.
- CJUE, 7 novembre 2013, IPI, C-473/12, EU:C:2013:715 : arrêt précisant la distinction entre collecte directe et indirecte sous la directive 95/46.
Les autorités nationales de protection des données dont les positions étaient également citées comprennent la Data Protection Commission irlandaise (Guidance on the use of body worn cameras, 10 janvier 2020) et la Datenschutzkonferenz allemande (Orientierungshilfe zum Einsatz von Bodycams durch private Sicherheitsunternehmen, 22 février 2019), toutes deux favorables à l’application des obligations d’information immédiates dans le contexte des caméras-piétons.
X.
Le régime de l’article 13 appliqué aux caméras-piétons : contenu et modalités
L’application de l’article 13 du RGPD à la collecte de données par caméras-piétons emporte des conséquences précises sur le contenu et les modalités de l’information à fournir.
Sur le contenu, le responsable du traitement doit communiquer, au moment où les données sont obtenues, l’ensemble des informations visées aux paragraphes 1 et 2 de l’article 13 : identité et coordonnées du responsable du traitement et, le cas échéant, du DPO ; finalités du traitement et base juridique (par exemple, l’intérêt légitime au titre de l’article 6, paragraphe 1, sous f) ; durée de conservation ou critères permettant de la déterminer ; droits des personnes concernées (accès, rectification, effacement, opposition, portabilité) ; droit d’introduire une réclamation auprès d’une autorité de contrôle ; informations relatives à l’intérêt légitime poursuivi si le traitement est fondé sur l’article 6, paragraphe 1, sous f).
Sur les modalités, l’article 12 impose que ces informations soient fournies d’une façon « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Dans le contexte spécifique des caméras-piétons, l’approche à plusieurs niveaux recommandée par le CEPD permet de satisfaire à cette exigence : un panneau visible avant l’entrée dans la zone surveillée (ou, dans le cas d’une caméra mobile, sur l’uniforme ou le badge du contrôleur), renvoyant à une source numérique (QR code) ou papier pour les informations complètes. La Data Protection Commission irlandaise et la Datenschutzkonferenz allemande ont détaillé des modalités pratiques spécifiques aux caméras-piétons : voyant lumineux activé lors de l’enregistrement, marquages sur l’uniforme, badges visibles.
Sur les exceptions, la seule exception applicable à l’article 13 est celle prévue au paragraphe 4 : lorsque la personne concernée dispose déjà de ces informations. Dans un contexte de transport public, cette exception ne trouvera à s’appliquer que de manière très marginale, par exemple lorsque la même personne est contrôlée à plusieurs reprises et a déjà reçu une information complète lors d’une interaction précédente.
XI.
Perspectives : vers une jurisprudence unifiée sur la collecte par observation
L’arrêt Storstockholms Lokaltrafik amorce la constitution d’un corpus jurisprudentiel unifié sur la collecte de données par observation directe, qui dépassera rapidement le seul cadre des caméras-piétons dans les transports publics.
L’essor des technologies de captation embarquée — caméras portables dans les secteurs de la sécurité, des soins à domicile, de l’inspection industrielle, mais aussi systèmes de reconnaissance faciale, capteurs biométriques dans les espaces publics, dispositifs de traçage Wi-Fi ou Bluetooth — soulève des questions d’application identiques. La solution posée par la Cour dans l’affaire Storstockholms — critère de la source, applicabilité de l’article 13 dès lors que la personne concernée constitue directement la source des données, indépendamment de toute participation active — vaut pour l’ensemble de ces technologies.
La Cour jette ainsi les bases d’une obligation d’information proactive et immédiate dans l’environnement numérique et physique contemporain, où la collecte de données par observation est omniprésente et échappe fréquemment à la conscience des personnes concernées. Cette orientation est cohérente avec la conception du RGPD comme instrument de rétablissement d’un équilibre informationnel entre les responsables de traitement et les personnes physiques, dans un contexte où la captation technique des données est devenue quasi-invisible.
L’enjeu pratique est considérable : des millions de dispositifs de collecte par observation sont déployés en Europe dans les transports, les commerces, les espaces publics, les lieux de travail. L’arrêt Storstockholms rappelle que chacun de ces dispositifs, lorsqu’il collecte directement des données auprès de personnes physiques, engage les obligations d’information immédiates de l’article 13 — avec toutes les conséquences en termes de sanctions administratives en cas de non-conformité, comme l’illustre l’amende infligée à SL par l’autorité suédoise de protection des données.
POINTS ESSENTIELS
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats