Arrêt de la CJUE, Integritetsskyddsmyndigheten c. AB Storstockholms Lokaltrafik, C‑422/​24, du 18 décembre 2025  

Faits 

Une entre­prise suédoise exploite des services de trans­ports publics à Stockholm. Afin de préve­nir les menaces et de prou­ver les violences exer­cées à l’encontre de ses contrô­leurs, elle équipe ces derniers de camé­ras-piétons (body­cams) pour filmer les passa­gers ne dispo­sant pas de billet valide et se voyant infli­ger une amende. Selon l’arrêt, ces camé­ras servent égale­ment à « s’assurer de l’identité des passa­gers amen­dés ». 

Il ressort d’un contrôle effec­tué par l’autorité de protec­tion des données suédoise (Integritetsskyddsmyndigheten ; ci-après : l’Autorité), que lesdites camé­ras filment en continu durant toute la durée du service des contrô­leurs, captant ainsi le son et l’image.  

Ces camé­ras disposent d’une mémoire dite « circu­laire ». Après l’écoulement d’une à deux minutes, un nettoyage auto­ma­tique de l’ensemble du contenu enre­gis­tré inter­vient. En appuyant sur un bouton, les contrô­leurs peuvent cepen­dant inter­rompre le nettoyage auto­ma­tique et veiller à ce que les données enre­gis­trées ne soient pas effa­cées, notam­ment lorsqu’une amende est infli­gée ou en cas de menace. Dans ce cas, les données sont conser­vées, y compris celles enre­gis­trées durant la minute précé­dant l’activation du bouton grâce à une fonc­tion de pré-enre­gis­tre­ment. 

À l’issue de ce contrôle, l’Autorité a consi­déré que l’entreprise avait traité, entre décembre 2018 et juin 2021, des données person­nelles en utili­sant des camé­ras-piétons dans le cadre du contrôle des billets, et ce, en viola­tion de plusieurs dispo­si­tions du RGPD. En parti­cu­lier, l’entreprise avait fourni insuf­fi­sam­ment d’informations aux personnes concer­nées en viola­tion de l’art. 13 RGPD. Pour cela, une sanc­tion admi­nis­tra­tive pécu­niaire lui a notam­ment été infli­gée. 

Après épui­se­ment des voies de droit natio­nales, la cour admi­nis­tra­tive suprême de Suède était appe­lée à statuer, notam­ment sur la ques­tion de savoir lequel des articles 13 et 14 RGPD est appli­cable en matière de collecte de données par une caméra-piéton.  

Selon cette instance, la réponse à cette ques­tion est impor­tante pour déter­mi­ner quelles sont les infor­ma­tions à four­nir à la personne concer­née, à quel moment naît l’obligation d’information et quelles sont les excep­tions à cette obli­ga­tion.  

La cour suédoise décide alors de surseoir à statuer et de soumettre cette ques­tion préju­di­cielle à la Cour de justice de l’Union euro­péenne (ci-après : la Cour). 

Droit 

Afin de répondre à cette ques­tion, la Cour procède à une analyse en trois temps : litté­rale, systé­ma­tique puis téléo­lo­gique.  

Dans un premier temps, la Cour rappelle que le champ d’application maté­riel de l’art. 14 RGPD est défini de manière néga­tive par rapport à l’art. 13. Ainsi, l’art. 13 RGPD porte sur les infor­ma­tions à four­nir lorsque des données à carac­tère person­nel sont collec­tées auprès de la personne concer­née, tandis que l’article 14 concerne celles qui doivent l’être lorsque les données à carac­tère person­nel n’ont pas été collec­tées auprès de la personne concer­née (arrêt du 28 novembre 2024, Másdi, C‑169/​23, point 48). 

Reprenant les conclu­sions de l’avocate géné­rale, la Cour consi­dère que la notion de données « collec­tées » auprès de la personne concer­née au sens de l’art. 13 par. 1 RGPD  

« exige une action spéci­fique non pas de la part de cette dernière, mais unique­ment de la part du respon­sable du trai­te­ment, si bien que le degré d’activité de la personne concer­née est indif­fé­rent pour déli­mi­ter le champ d’application de cette dispo­si­tion par rapport à celui de l’article 14 de ce règle­ment. » (point 33) 

Cette consi­dé­ra­tion est égale­ment présente dans les lignes direc­trices sur la trans­pa­rence du Groupe Article 29, point 26. Il en ressort que l’art. 13 RGPD s’applique, soit lorsque la personne concer­née four­nit sciem­ment des données à carac­tère person­nel au respon­sable du trai­te­ment, soit lorsque celui-ci collecte les données auprès de cette personne par obser­va­tion, notam­ment au moyen de camé­ras. 

Dès lors, il ressort de l’interprétation litté­rale que seule la source des données person­nelles collec­tées consti­tue le critère perti­nent aux fins de la déli­mi­ta­tion des champs d’application respec­tifs des articles 13 et 14 RGPD. En effet, aux termes de l’art. 14 par. 2 let. f RGPD, lorsque les données n’ont pas été collec­tées auprès de la personne concer­née, le respon­sable du trai­te­ment doit infor­mer celle-ci de la source d’où proviennent les données à carac­tère person­nel. 

Dans un second temps, la Cour corro­bore cette conclu­sion par le contexte dans lequel s’inscrivent ces dispo­si­tions. 

Elle rappelle que, confor­mé­ment à l’art. 5 RGPD et à sa juris­pru­dence, un trai­te­ment de données à carac­tère person­nel doit notam­ment satis­faire à des exigences concrètes en matière de trans­pa­rence à l’égard de la personne concer­née (arrêt du 11 juillet 2024, Meta Platforms Ireland (Action repré­sen­ta­tive), C‑757/​22, point 53).  

Ainsi, en impo­sant que les infor­ma­tions qu’il énumère soient commu­ni­quées à la personne concer­née dès leur collecte, l’art. 13 RGPD donne une concré­ti­sa­tion parti­cu­lière au droit de celle-ci à l’information. 

En revanche, l’art. 14 RGPD a, quant à lui, été adopté pour répondre aux situa­tions dans lesquelles le respon­sable du trai­te­ment n’est pas en contact direct avec la personne concer­née, mais collecte les données à carac­tère person­nel à partir d’une autre source, de sorte que la commu­ni­ca­tion des infor­ma­tions que vise cette dispo­si­tion au moment où celles-ci sont obte­nues est, en pratique, rendue diffi­cile, voire impos­sible. Le carac­tère indi­rect d’une telle collecte justi­fie ainsi que cette dernière dispo­si­tion prévoit la possi­bi­lité de diffé­rer la réali­sa­tion de l’obligation d’information qui incombe à ce respon­sable. 

Finalement, la CJUE s’intéresse à la ratio legis du RGPD et plus préci­sé­ment à celle des art. 13 et 14 RGPD.  

L’objectif pour­suivi consiste notam­ment à garan­tir un niveau élevé de protec­tion des liber­tés et des droits fonda­men­taux des personnes physiques et, plus parti­cu­liè­re­ment, de leur droit à la protec­tion des données person­nelles consa­cré à l’art. 16 TFUE et garanti en tant que droit fonda­men­tal dans la charte des droits fonda­men­taux de l’UE (arrêt du 27 février 2025, Dun & Bradstreet Austria e.a., C‑203/​22, point 51 et juris­pru­dence citée). 

Or, s’il était admis que l’art. 14 RGPD s’applique dans le cas de la collecte de données à carac­tère person­nel au moyen d’une caméra-piéton, la personne concer­née ne rece­vrait aucune infor­ma­tion au stade de cette collecte, alors même qu’elle se trouve être la source de ces données, ce qui permet­trait au respon­sable du trai­te­ment de ne pas four­nir immé­dia­te­ment d’informations à ladite personne.  

Partant, une telle inter­pré­ta­tion compor­te­rait le risque de faire échap­per la collecte des données à carac­tère person­nel à la connais­sance de la personne concer­née et de donner lieu à des pratiques de surveillance dissi­mu­lées. Une telle consé­quence serait incom­pa­tible avec la ratio legis du RGPD. 

Toutefois, comme le relève la Cour et le Comité euro­péen de la protec­tion des données, cet objec­tif ne s’oppose pas à ce que les obli­ga­tions d’informations de l’art. 13 RGPD soient mises en œuvre dans le cadre d’une approche à plusieurs niveaux.  

Par consé­quent, l’analyse téléo­lo­gique permet égale­ment de conclure que dans une situa­tion dans laquelle des données à carac­tère person­nel sont collec­tées au moyen de camé­ras-piétons portées par des contrô­leurs dans les trans­ports publics, l’information de ces personnes est régie par l’art. 13 RGPD et non par son art. 14. 

Appréciation 

Par cet arrêt, la CJUE lève le voile sur une incer­ti­tude de longue date concer­nant les obli­ga­tions de trans­pa­rence issues du RGPD en matière de body­cams. Désormais, le respon­sable du trai­te­ment est tenu de remplir ses obli­ga­tions au moment de la collecte soit immé­dia­te­ment lorsque la personne concer­née est filmée.  

La Cour recom­mande une approche à plusieurs niveaux. Les infor­ma­tions les plus impor­tantes peuvent être indi­quées dans le cadre d’un premier niveau à la personne concer­née, comme sur un panneau d’avertissement. Les autres infor­ma­tions obli­ga­toires peuvent être four­nies dans un deuxième niveau de manière appro­priée, complète et acces­sible.  

A titre d’exemple, l’on pour­rait imagi­ner au premier niveau une illus­tra­tion d’une caméra avec la mention de la vidéo pour signi­fier à la personne qu’elle fait l’objet d’un trai­te­ment de données et la four­ni­ture dans un deuxième niveau d’un QR-code renvoyant aux infor­ma­tions obli­ga­toires. 

A notre avis, il aurait été oppor­tun de s’intéresser à la propor­tion­na­lité d’une telle utili­sa­tion par des contrô­leurs de trans­ports publics afin de préve­nir les menaces et violences qu’ils subissent en service, ainsi que d’identifier les personnes amen­dées.  

En effet, il est notoire que ces personnes puissent être sujettes à des usages véhé­ments. Les mesures misent en place, en parti­cu­lier la brève durée de conser­va­tion, permettent de tendre à l’objectif de mini­mi­sa­tion des données. Cependant, compte tenu du fait que l’utilisation de camé­ras-piétons a débuté en 2018, une nouvelle pesée des inté­rêts en présence devrait être effec­tuée pour déter­mi­ner si l’objectif de protec­tion des contrô­leurs est effec­ti­ve­ment et statis­ti­que­ment atteint.  

Et en Suisse ? 

De manière simi­laire à l’art. 13 RGPD, l’art. 19 al. 2 LPD dispose que  

« Lors de la collecte, [le respon­sable du trai­te­ment] commu­nique à la personne concer­née les infor­ma­tions néces­saires pour qu’elle puisse faire valoir ses droits selon la présente loi et pour que la trans­pa­rence des trai­te­ments soit garan­tie. » 

Ainsi, l’information doit se faire au plus tard dès que le respon­sable du trai­te­ment obtient des données person­nelles sur la personne concer­née. Par consé­quent, l’utilisation de camé­ras-piétons en Suisse devrait aussi s’accompagner d’une infor­ma­tion aux personnes concer­nées au moment où elles sont filmées.  

Une telle pratique permet­trait égale­ment de rendre le trai­te­ment recon­nais­sable pour la personne concer­née et aurait poten­tiel­le­ment un impact signi­fi­ca­tif sur les diffé­rentes juris­pru­dences en matière d’exploitabilité de preuves en lien avec des body­cams et autres appa­reils (pour appro­fon­dir cette ques­tion cf. https://​swiss​pri​vacy​.law/​41/ et https://​swiss​pri​vacy​.law/​1​74/).