CJUE | Arrêt du 18 décembre 2025 | C-422/24 | Storstockholms Lokaltrafik │ MOTIFS & DISPOSITIF

---

LA MOTIVATION DE L’AVOCATE GÉNÉRALE LAILA MEDINA

---

DÉLIMITATION DU CHAMP DE LA QUESTION

 

L’Avocate générale Laila Medina inaugure ses conclusions par une double délimitation dont la précision méthodologique conditionne l’ensemble du raisonnement ultérieur. Elle souligne d’emblée, au point 17, que le litige au principal concerne une société privée de transport public exerçant une activité commerciale et non une autorité compétente à des fins de prévention, de détection ou de poursuite des infractions pénales. En conséquence, « la directive 2016/680 ne s’applique pas en l’espèce et le droit applicable est le RGPD » (pt 17, renvoyant à CJUE, 21 juin 2022, Ligue des droits humains, C-817/19, EU:C:2022:491, points 67 et suiv.). Cette délimitation préalable est loin d’être formelle : elle écarte toute tentation d’importer les standards allégés applicables aux traitements répressifs dans un contexte purement civil.

La seconde délimitation, exposée au point 16, est d’ordre matériel : la question préjudicielle « ne porte pas sur la licéité du traitement effectué par SL au regard de l’article 6 du RGPD, mais uniquement sur l’obligation d’information incombant au responsable du traitement » en vertu des articles 13 et 14 du RGPD. Ce recentrage délibéré permet à l’Avocate générale de concentrer son analyse sur la distinction article 13/article 14, sans s’égarer dans la question — pourtant connexe — de la base juridique du traitement lui-même.

---

UNE DICHOTOMIE EXHAUSTIVE ET MUTUELLEMENT EXCLUSIVE

 

Le cœur de la démonstration de l’Avocate générale (points 19-41) repose sur une analyse structurelle des articles 13 et 14 du RGPD. Elle part d’un constat textuel : « le champ d’application matériel de l’article 14 du RGPD est défini de manière négative par rapport à l’article 13 de ce règlement » (pt 12, renvoyant à CJUE, 28 novembre 2024, Másdi, C-169/23, EU:C:2024:988, point 48). L’article 14, §1, vise en effet les situations dans lesquelles les données « n’ont pas été collectées auprès de la personne concernée », ce qui présuppose que l’article 13 couvre les cas inverses, c’est-à-dire les situations dans lesquelles les données ont été collectées auprès de la personne concernée. Ces deux dispositions sont mutuellement exclusives et exhaustives : toute situation de collecte de données à caractère personnel relève nécessairement de l’une ou de l’autre, sans zone grise ni régime mixte possible.

L’Avocate générale souligne en outre les conséquences pratiques importantes de cette distinction. L’article 13 exige que les informations soient fournies « au moment où les données en question sont obtenues » (art. 13, §1, RGPD), ne connaissant qu’une seule et unique exception : celle où la personne concernée dispose déjà des informations requises (art. 13, §4). L’article 14, à l’inverse, autorise un délai d’un mois maximum (art. 14, §3, sous a)), et ouvre plusieurs exceptions substantielles, parmi lesquelles la possibilité pour le responsable du traitement de se prévaloir de l’impossibilité ou des efforts disproportionnés qu’entraînerait la fourniture des informations (art. 14, §5, sous b)). Ces différences de régime ne sont pas neutres dans un contexte de surveillance mobile.

---

LA « SOURCE » DES DONNÉES, ET NON LA « PARTICIPATION ACTIVE » DE LA PERSONNE CONCERNÉE

 

L’apport doctrinal central des conclusions réside dans la formulation et la défense d’un critère univoque de délimitation entre les deux régimes : le critère de la source des données. L’Avocate générale expose ce critère aux points 19 à 32 de ses conclusions en articulant quatre méthodes d’interprétation convergentes.

Sur le plan littéral (pts 19-22), elle observe que la notion de données « collectées » au sens de l’article 13 n’implique aucune action de la part de la personne concernée. La « collecte » étant une forme de « traitement » au sens de l’article 4, point 2, du RGPD, elle désigne une opération accomplie par le responsable du traitement, non par la personne dont les données sont collectées. L’Avocate générale cite à l’appui Roßnagel (in Simitis/Hornung, Datenschutzrecht, Nomos, 2e éd., 2025, point 15, note 17 des conclusions) : la collecte « est une opération qui nécessite une action du responsable du traitement et non de la personne concernée ».

Sur le plan systémique (pts 23-32), elle s’appuie sur l’arrêt Másdi (C-169/23, EU:C:2024:988, point 29), qui définit les données « obtenues » au sens de l’article 14 comme celles que le responsable du traitement « collecte auprès d’une personne autre que la personne concernée ». Ce faisant, l’arrêt Másdi fournit la définition négative de l’article 14 : sont visées les données provenant de tiers (autres responsables du traitement, sources accessibles au public, registres publics, autres personnes concernées), à l’exclusion des données provenant directement de la personne concernée elle-même. L’article 14, §2, sous f), renforce encore ce raisonnement en imposant au responsable d’informer la personne concernée « de la source d’où proviennent les données » lorsqu’elles n’ont pas été collectées auprès d’elle — obligation qui serait dépourvue de sens si la personne concernée était elle-même la source. Le considérant 61 du RGPD corrobore enfin cette lecture en distinguant « les données à caractère personnel obtenues auprès de la personne concernée » de celles « obtenues d’une autre source ».

Sur le plan téléologique (pts 28 et 49-53), l’Avocate générale rappelle que le RGPD a pour objectif « de garantir un niveau élevé de protection des personnes physiques » (renvoyant à CJUE, 3 avril 2025, Ministerstvo zdravotnictví, C-710/23, EU:C:2025:231, point 29). Admettre que la collecte par observation directe relève de l’article 14 viderait de sa substance l’obligation d’information immédiate dans tous les contextes de surveillance passive, ouvrant la voie à une utilisation généralisée de l’exception d’efforts disproportionnés.

Sur le plan historique et comparatif (pts 54-58), l’Avocate générale démontre que la directive 95/46/CE, à ses articles 10 et 11, opérait déjà une distinction analogue entre collecte directe et collecte indirecte, quoique de manière moins explicite que le RGPD. La référence par la cour d’appel suédoise à l’arrêt Ryneš (C-212/13, EU:C:2014:2428) pour fonder l’inapplicabilité de l’article 13 est qualifiée par l’Avocate générale de non-pertinente : cet arrêt portait sur l’exception domestique de la directive 95/46, non sur les articles 10 et 11 relatifs aux obligations d’information, et les délais prévus par ces dispositions diffèrent de ceux du RGPD (pt 57). La mention de l’article 11 dans l’arrêt Ryneš avait été faite obiter dictum, sans qu’aucune question d’interprétation des obligations d’information ait été soumise à la Cour dans cette affaire.

---

D. L’APPLICATION DU CRITÈRE « SOURCE DES DONNÉES » AU CONTEXTE DES CAMÉRAS-PIÉTONS

 

L’Avocate générale tire les conclusions de ce raisonnement général pour l’appliquer au cas d’espèce. Aux points 33 à 40, elle constate que lors du contrôle des titres de transport par les agents de SL, les données d’image et de son captées par les caméras-piétons proviennent directement des passagers filmés. Il n’existe aucun intermédiaire entre les personnes concernées et le responsable du traitement : les passagers sont la source directe des données captées par les caméras-piétons.

Cette conclusion est confortée par les lignes directrices du Groupe de travail Article 29 sur la transparence (WP260 rev.01, 29 novembre 2017, approuvées par le CEPD le 25 mai 2018), dont le point 33 des conclusions cite l’extrait suivant :

« l’article 13 du RGPD s’applique soit lorsqu’une personne concernée fournit sciemment des données à caractère personnel au responsable du traitement des données, soit lorsque le responsable du traitement collecte les données auprès d’une personne concernée par observation. Parmi les exemples de collecte de données par observation qui y sont donnés figurent l’utilisation d’appareils de saisie automatique de données ou de logiciels de saisie de données, tels que des caméras. »

Cette confirmation par les lignes directrices du G29 est décisive : la collecte par observation — c’est-à-dire sans participation active de la personne concernée — relève expresément de l’article 13.

---

L’APPROCHE MULTI-NIVEAUX

 

L’Avocate générale prend soin, aux points 44 à 48, de dissiper l’objection pratique soulevée par SL, selon laquelle il serait impossible ou disproportionné d’informer individuellement chaque passager au moment précis de la captation. Elle démontre que cette objection est dépourvue de pertinence dès lors que l’article 12 du RGPD autorise le responsable du traitement à prendre « des mesures appropriées » pour délivrer l’information, et que les Lignes directrices 3/2019 du CEPD sur le traitement des données par des dispositifs vidéo (29 janvier 2020) décrivent une approche concrète à deux niveaux :

« Les informations de premier niveau se rapportent à “la manière dont le responsable du traitement s’adresse à la personne concernée en premier lieu”. Dans le cas de la vidéosurveillance, il s’agira normalement d’un panneau d’avertissement permettant à la personne concernée de savoir qu’elle entre dans une zone sous surveillance. Les informations de premier niveau doivent ensuite être complétées par les informations de deuxième niveau, de préférence en faisant référence à une source numérique (par exemple, un code QR ou une adresse de site Internet) » (point 25 des conclusions, citant CEPD, Lignes directrices 3/2019, point 113).

À ces deux niveaux s’ajoute la dimension des caméras-piétons spécifiquement. La Guidance irlandaise (Data Protection Commission, 10 janvier 2020, p. 3, citée au point 27 des conclusions) préconise des « signalisations visibles portées sur les vêtements ou les véhicules » et des « badges ». L’Orientierungshilfe de la Datenschutzkonferenz allemande (22 février 2019, p. 4, citée aux points 27 et 31) précise que « lorsque la caméra-piéton est activée, un signal optique doit être activé et les personnes portant les caméras-piéton doivent comporter des signes visibles ».

Conclusion préconisée par l’Avocate générale :

« L’article 13 du règlement général sur la protection des données doit être interprété en ce sens qu’il s’applique à la collecte de données à caractère personnel effectuée au moyen d’une caméra-piéton portée par des contrôleurs d’une société de transport public lors du contrôle des billets des voyageurs, au motif que ces voyageurs constituent la source directe des données ainsi collectées. »

---

LA MOTIVATION DE LA COUR DE JUSTICE

---

A. L’ADOPTION DU CRITÈRE DE LA « SOURCE DIRECTE »

 

La Cour de justice (huitième chambre), dans son arrêt du 18 décembre 2025, a suivi intégralement la solution préconisée par l’Avocate générale. Elle pose comme principe que la qualification d’une collecte de données au regard des articles 13 et 14 du RGPD dépend exclusivement du critère de la source des données : si la personne concernée est la source directe des données collectées, sans intermédiaire entre elle et le responsable du traitement, l’article 13 s’applique.

La Cour relève en particulier que le mécanisme de captation continue des caméras-piétons, combiné au dispositif de pré-enregistrement (pre-recording buffer), confère aux contrôleurs de SL la possibilité de conserver des données visuelles et sonores captées directement sur et autour des personnes contrôlées. Les passagers des transports publics contrôlés par les agents équipés de caméras-piétons constituent sans aucun doute la source directe de ces données : aucune entité tierce n’intervient entre eux et le responsable du traitement dans la chaîne de collecte.

---

B. L’INAPPLICABILITÉ DE L’EXCEPTION D’EFFORTS DISPROPORTIONNÉS

 

La Cour confirme que l’exception de l’article 14, §5, sous b), du RGPD — qui permet de ne pas fournir les informations lorsque cela « exigerait des efforts disproportionnés » — est structurellement inapplicable dans un contexte de collecte directe relevant de l’article 13. Cette exception n’existe tout simplement pas dans le régime de l’article 13, dont la seule dérogation admise est que la personne dispose déjà des informations. La Cour rejette ainsi l’argumentation de SL qui cherchait précisément à bénéficier de cette exception en qualifiant la collecte d’indirecte.

---

C. LA VALIDATION DE L’APPROCHE MULTI-NIVEAUX COMME MODALITÉ D’EXÉCUTION DE L’OBLIGATION

 

Tout en confirmant l’applicabilité de l’article 13, la Cour valide l’approche à plusieurs niveaux comme modalité d’exécution concrète de l’obligation d’information immédiate. Cette validation est conforme à l’article 12, §1, du RGPD, qui prévoit que le responsable du traitement prend « des mesures appropriées » pour fournir les informations visées aux articles 13 et 14. Dans le contexte des caméras-piétons, les mesures appropriées peuvent inclure une signalétique visible portée par l’agent, un voyant lumineux indiquant l’activation de la caméra, et un renvoi par code QR ou badge vers les informations complètes sur le traitement.

Dispositif de l’arrêt :

« L’article 13 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’il s’applique à la collecte de données à caractère personnel effectuée au moyen d’une caméra-piéton portée par des contrôleurs d’une société de transport public lors du contrôle des billets des voyageurs, au motif que ces voyageurs constituent la source directe des données ainsi collectées. »

---

CONTEXTUALISATION AU REGARD DES JURISPRUDENCES ANTÉRIEURES ET POSTÉRIEURES

L’arrêt C-422/24 s’inscrit dans une séquence jurisprudentielle dont la cohérence interne mérite d’être soulignée. L’arrêt Ryneš (C-212/13, EU:C:2014:2428), rendu en 2014 sous l’empire de la directive 95/46, avait étendu le champ d’application de la protection des données à la vidéosurveillance réalisée depuis un domicile privé, mais sans se prononcer sur les obligations d’information au titre des articles 10/11 de cette directive. L’arrêt Másdi (C-169/23, EU:C:2024:988), rendu en novembre 2024, avait posé la dichotomie articles 13/14 comme une distinction binaire et exhaustive fondée sur le critère de la source des données, ouvrant la voie à la solution retenue dans C-422/24. L’arrêt Meta Platforms Ireland (C-757/22, EU:C:2024:598) avait, en juillet 2024, rappelé la portée fondamentale du droit à l’information comme expression du principe de transparence. L’arrêt Ministerstvo zdravotnictví (C-710/23, EU:C:2025:231) avait en avril 2025 réaffirmé l’objectif cardinal de protection élevée des personnes physiques poursuivi par le RGPD.

L’arrêt C-422/24 synthétise et opérationnalise ces apports dans le domaine spécifique de la surveillance mobile portée par des opérateurs privés, et est lui-même susceptible de constituer la jurisprudence de référence pour toutes les affaires ultérieures portant sur la collecte de données par des dispositifs technologiques de captation directe — drones, lunettes connectées, systèmes biométriques embarqués — dans lesquelles la question de la nature directe ou indirecte de la collecte se posera inévitablement.

 
 
 

---

POINTS ESSENTIELS

---

L’affaire C-422/24, Integritetsskyddsmyndigheten c. AB Storstockholms Lokaltrafik, oppose l’autorité suédoise de protection des données (IMY) à une société de transport public de la région de Stockholm (SL) qui avait équipé ses contrôleurs de caméras-piétons fonctionnant en enregistrement continu avec mémoire circulaire et mécanisme de pré-enregistrement d’une minute, les contrôleurs étant instruits de conserver les données en cas d’émission d’une amende ou de menace;

L’autorité de contrôle avait sanctionné SL à hauteur de 4 millions de couronnes suédoises pour violation de l’article 13 du RGPD (obligation d’information au moment de la collecte directe), tandis que la cour d’appel administrative de Stockholm avait annulé cette sanction en estimant, sur le fondement d’une extrapolation erronée de l’arrêt Ryneš (C-212/13, EU:C:2014:2428, rendu sous l’empire de la directive 95/46), que la collecte par caméra relevait de l’article 14 du RGPD (collecte indirecte) autorisant un délai d’un mois et l’exception d’efforts disproportionnés.