CJUE | Arrêt du 18 décembre 2025 | C-422/24 | Storstockholms Lokaltrafik │ PORTEE DE L'AFFAIRE

---

LA CONSOLIDATION DU CRITÈRE « SOURCE DES DONNÉES »

L’arrêt C-422/24 délivre une norme d’interprétation claire et généralisable pour l’ensemble des situations de collecte de données par captation directe. En consacrant le critère de la « source des données » comme critère unique et exclusif de démarcation entre les articles 13 et 14 du RGPD, la Cour met un terme définitif à toute tentative d’introduire une condition supplémentaire — participation active, comportement délibéré, consentement implicite — dans la définition de la collecte directe. Ce faisant, elle clarifie le droit applicable pour une gamme potentiellement très large de technologies de captation : caméras de vidéosurveillance fixes, caméras-piétons mobiles, drones, systèmes de reconnaissance biométrique, capteurs embarqués dans les véhicules connectés, lunettes de réalité augmentée portées par des agents commerciaux, outils de scraping automatique de données publiées sur des réseaux sociaux.

La portée du critère est technologiquement neutre : il ne dépend pas de la nature particulière du vecteur de captation, mais de la structure de la relation entre la personne concernée et le responsable du traitement. Dès lors qu’aucun intermédiaire ne s’interpose entre la source des données — la personne concernée elle-même — et le responsable du traitement qui les collecte, l’article 13 s’applique avec toutes ses conséquences : obligation d’information au moment même de la collecte et exclusion de l’exception d’efforts disproportionnés.

---

PORTÉE SUR LES OBLIGATIONS D’INFORMATION DANS LES CONTEXTES DE SURVEILLANCE MOBILE

---

A. LA FIN DE L’EXCEPTION PRATIQUE IMPLICITE

 

Avant l’arrêt C-422/24, une incertitude existait quant à l’applicabilité de l’article 13 dans les contextes de surveillance mobile : certains opérateurs pouvaient légitimement se demander si la nature passive de la captation — sans que la personne filmée ait accompli le moindre acte positif de communication — permettait de se prévaloir du régime plus souple de l’article 14. L’arrêt dissipe cette incertitude de manière définitive. Il n’existe pas d’exception implicite au régime de l’article 13 pour les collectes par observation directe. Tout responsable du traitement déployant des caméras-piétons, des systèmes de reconnaissance faciale, des drones de surveillance ou des robots mobiles capables de collecter des données d’image, de son ou biométriques directement sur des personnes physiques est soumis à l’obligation d’information immédiate de l’article 13.

---

B. L’OBLIGATION DE CONCEVOIR DES MODALITÉS D’INFORMATION ADAPTÉES (PRIVACY BY DESIGN)

 

La validation par la Cour de l’approche à plusieurs niveaux, dans la ligne des Lignes directrices 3/2019 du CEPD sur les dispositifs vidéo, a des conséquences importantes sur la conception des systèmes de surveillance mobile. Tout responsable du traitement doit intégrer dès la phase de conception du dispositif les modalités d’information de premier niveau : voyant lumineux visible indiquant l’activation de la caméra, signalétique portée sur la tenue ou le véhicule de l’agent, renvoi par code QR vers les informations complètes. Cette exigence de privacy by design (article 25 du RGPD) se concrétise ici dans une obligation de conception intégrée des modalités d’information : un opérateur qui déploie des caméras-piétons sans avoir conçu et mis en œuvre des modalités visibles et immédiates d’information des personnes filmées viole l’article 13, §1, du RGPD, sans pouvoir invoquer l’impossibilité ou la disproportion des efforts.

---

IMPACT SUR LES OPÉRATEURS DE TRANSPORT PUBLIC ET DE SÉCURITÉ PRIVÉE

---

A. LE SECTEUR DU TRANSPORT PUBLIC

 

L’affaire trouve son origine dans le secteur du transport public où l’usage des caméras-piétons par des agents de contrôle et de sécurité est en pleine expansion dans l’ensemble de l’Union européenne. L’arrêt impose à tous les opérateurs de transport public qui ont équipé ou envisagent d’équiper leurs agents de caméras-piétons de procéder à une mise en conformité complète au regard de l’article 13 du RGPD, impliquant notamment :

—-La révision des politiques d’information pour s’assurer qu’elles sont délivrées au moment de la captation et non a posteriori ;
—-La mise en place de signalétiques visibles adaptées (voyant, badge, texte sur l’uniforme) ;
—-La mise à jour des registres des activités de traitement en qualifiant explicitement le traitement comme collecte directe relevant de l’article 13 ;
—-L’intégration des modalités d’information dans les formations des agents de contrôle ;
—-La vérification que les DPIA (Data Protection Impact Assessments) en vigueur intègrent le régime de l’article 13.

---

B. LE SECTEUR DE LA SÉCURITÉ PRIVÉE

 

L’arrêt est tout aussi pertinent pour les entreprises de sécurité privée qui déploient des agents équipés de caméras-piétons dans des centres commerciaux, des sites industriels, des événements publics ou privés, ou des espaces de loisirs. Dans tous ces contextes, les personnes filmées sont la source directe des données, et l’article 13 du RGPD s’applique. La référence à l’Orientierungshilfe du Datenschutzkonferenz allemand sur l’usage des bodycams par les entreprises privées de sécurité confirme que cette portée sectorielle était expressément envisagée par les autorités de protection des données nationales.

---

PORTÉE PROCÉDURALE ET SANCTIONNATOIRE

---

A. LA CONFIRMATION DU POUVOIR DE SANCTION DES AUTORITÉS DE CONTRÔLE

 

L’arrêt valide la compétence des autorités nationales de protection des données pour infliger des amendes administratives à des responsables du traitement qui ont violé l’article 13 du RGPD en ne délivrant pas les informations requises dans le contexte de la collecte par caméras-piétons. En l’espèce, l’amende de 4 millions de couronnes suédoises (sur un total de 16 millions) infligée à SL par l’IMY pour violation de l’article 13 est implicitement confirmée dans son principe par l’arrêt qui valide la qualification retenue par l’autorité de contrôle.

---

B. L’INAPPLICABILITÉ DE L’EXCEPTION D’EFFORTS DISPROPORTIONNÉS COMME PROTECTION CONTRE L’ÉLUSION DE L’OBLIGATION

 

Un point particulièrement important de la portée sanctionnatoire de l’arrêt tient à l’impossibilité d’invoquer l’exception d’efforts disproportionnés de l’article 14, §5, sous b), du RGPD dans un contexte de collecte directe. Cette exception, qui existait dans les régimes anciens sous la directive 95/46 et subsiste dans le RGPD pour les seules collectes indirectes, constitue l’une des voies d’évitement les plus fréquemment empruntées par les responsables du traitement dans les contextes de vidéosurveillance. L’arrêt C-422/24 ferme cette voie de manière définitive pour toute collecte directe par observation, ce qui renforce considérablement l’effectivité des contrôles et des sanctions par les autorités nationales compétentes.

---

PORTÉE SUR LES DROITS DES PERSONNES CONCERNÉES

L’arrêt renforce substantiellement la position des personnes concernées dans tous les contextes de surveillance mobile par des opérateurs privés. En exigeant que l’information soit délivrée au moment de la captation, et non dans le délai d’un mois autorisé par l’article 14, l’arrêt garantit que les personnes filmées disposent immédiatement des éléments essentiels leur permettant d’exercer leurs autres droits : droit d’accès (art. 15), droit à la limitation du traitement (art. 18), voire droit d’opposition (art. 21). L’obligation d’information immédiate n’est donc pas une fin en soi ; elle est la condition préalable à l’exercice effectif de l’ensemble des droits reconnus aux personnes concernées par le RGPD.

Cette portée est d’autant plus significative dans le contexte des caméras-piétons que les données captées peuvent comprendre des données sensibles au sens de l’article 9 du RGPD (données biométriques permettant l’identification, données relatives à la santé visibles sur les personnes filmées), dont le traitement est soumis à des exigences renforcées. L’arrêt ne se prononce pas sur l’article 9, mais le principe d’information immédiate qu’il consacre constitue un socle indispensable à la protection effective des personnes lorsque des données sensibles sont susceptibles d’être captées.

---

PORTÉE À L’ÉGARD DES TECHNOLOGIES ÉMERGENTES

---

A. L’IA ACT ET LES SYSTÈMES DE SURVEILLANCE EN TEMPS RÉEL

 

L’arrêt C-422/24 présente une résonance particulière au regard du règlement (UE) 2024/1689 sur l’intelligence artificielle (IA Act), entré en vigueur le 1er août 2024. L’IA Act soumet à des exigences strictes, voire à une interdiction en principe, les systèmes d’identification biométrique à distance en temps réel dans les espaces accessibles au public. Les caméras-piétons dotées de capacités de reconnaissance faciale ou d’analyse comportementale basée sur l’IA constitueraient à la fois un traitement soumis à l’article 13 du RGPD au sens de l’arrêt C-422/24, et un système potentiellement interdit ou strictement réglementé par l’IA Act. L’arrêt fournit ainsi la base RGPD sur laquelle devra s’articuler la conformité avec l’IA Act pour ces systèmes hybrides.

---

VERS UNE JURISPRUDENCE CONVERGENTE

 

Au-delà des caméras-piétons, la solution de l’arrêt C-422/24 contribue à l’émergence d’une jurisprudence convergente de la Cour sur la surveillance dans les espaces accessibles au public. Combiné à l’arrêt Ryneš (qui avait étendu la protection à la vidéosurveillance résidentielle débordant dans la voie publique), à l’arrêt Másdi (qui avait posé la dichotomie art. 13/14), et aux arrêts en matière de données de localisation et de surveillance des communications électroniques, l’arrêt C-422/24 confirme que la présence physique d’une personne dans un espace public ne réduit pas ses droits au titre du RGPD lorsque ses données à caractère personnel sont collectées directement par un opérateur privé.

---

AVANT ET APRÈS C-422/24

L’arrêt C-422/24 prend place dans une évolution cohérente de la jurisprudence de la Cour sur la protection des données dans les contextes de surveillance technologique :

Avant C-422/24 :
—-Ryneš (C-212/13, 2014) : extension de la protection aux caméras résidentielles capturant la voie publique, sous la directive 95/46 ;
—-Ligue des droits humains (C-817/19, 2022) : délimitation précise des champs RGPD et directive 2016/680 pour les traitements de données dans le secteur aérien et répressif ;
—-Másdi (C-169/23, novembre 2024) : cristallisation du critère « source des données » pour la distinction articles 13/14 ;
—-Meta Platforms Ireland (C-757/22, juillet 2024) : ancrage du droit à l’information dans le principe fondamental de transparence.

Après C-422/24 : L’arrêt est susceptible d’irriguer les développements jurisprudentiels à venir sur :
—-La collecte de données par des systèmes biométriques embarqués dans des espaces publics ou semi-publics ;
—-Les obligations d’information dans le cadre de l’utilisation de drones de surveillance par des opérateurs privés ;
—-La qualification des traitements opérés par des robots mobiles collectant des données sensorielles sur des personnes physiques dans des environnements de travail ou de consommation ;
—-L’articulation entre les obligations de l’IA Act et le RGPD pour les systèmes de surveillance à composante algorithmique déployés dans les espaces accessibles au public.

---

 
 
 

---

POINTS ESSENTIELS

---

L’affaire C-422/24, Integritetsskyddsmyndigheten c. AB Storstockholms Lokaltrafik, oppose l’autorité suédoise de protection des données (IMY) à une société de transport public de la région de Stockholm (SL) qui avait équipé ses contrôleurs de caméras-piétons fonctionnant en enregistrement continu avec mémoire circulaire et mécanisme de pré-enregistrement d’une minute, les contrôleurs étant instruits de conserver les données en cas d’émission d’une amende ou de menace;

L’autorité de contrôle avait sanctionné SL à hauteur de 4 millions de couronnes suédoises pour violation de l’article 13 du RGPD (obligation d’information au moment de la collecte directe), tandis que la cour d’appel administrative de Stockholm avait annulé cette sanction en estimant, sur le fondement d’une extrapolation erronée de l’arrêt Ryneš (C-212/13, EU:C:2014:2428, rendu sous l’empire de la directive 95/46), que la collecte par caméra relevait de l’article 14 du RGPD (collecte indirecte) autorisant un délai d’un mois et l’exception d’efforts disproportionnés.