Peut-on soutenir que des données issues d’une caméra-piéton, d’un dispositif de vidéosurveillance ou d’un système de captation audio seraient collectées « indirectement », au motif que la personne concernée ne les fournit pas activement ?
C’est précisément l’argument avancé par un responsable de traitement pour tenter d’alléger ses obligations d’information. La Cour de justice de l’Union européenne, par un arrêt du 18 décembre 2025 (aff. C-422/24, AB Storstockholms Lokaltrafik), y oppose une clarification structurante de la frontière entre les articles 13 et 14 du RGPD.
🔎 Le vrai critère : la source des données, non le comportement de la personne
Le RGPD organise deux régimes distincts d’information selon l’origine des données personnelles :
1️ Collecte auprès de la personne concernée (article 13 RGPD)
Ce régime s’applique dès lors que le responsable de traitement obtient les données directement à partir de la personne elle-même : image, voix, caractéristiques physiques, comportements observables. Peu importe que la personne agisse volontairement ou qu’elle soit simplement observée.
2️ Collecte indirecte (article 14 RGPD)
Ce régime vise les hypothèses dans lesquelles les données proviennent d’une source tierce : registre public, partenaire contractuel, base de données préexistante. Il autorise, sous conditions strictes, un décalage de l’information.
La CJUE tranche sans ambiguïté : le critère déterminant n’est pas l’activité ou la passivité de la personne concernée, mais la source mobilisée par le responsable de traitement. Lorsqu’un dispositif capte des données directement à partir de l’individu, il ne s’agit jamais d’une collecte indirecte.
⚖️ Une lecture cohérente avec le principe de transparence
La Cour ancre son raisonnement dans le principe fondamental de transparence, consacré par le RGPD. Admettre que la captation visuelle ou sonore relève de l’article 14 reviendrait à permettre une information différée, voire inexistante, alors même que la personne est la source immédiate des données.
Une telle interprétation créerait un angle mort incompatible avec l’objectif de protection effective des droits des personnes, en particulier dans des contextes de surveillance ou de contrôle.
🧩 La souplesse opérationnelle admise par la Cour
La décision ne méconnaît pas les contraintes pratiques. La CJUE valide une information structurée en deux niveaux lorsque la collecte est directe :
• un premier niveau, immédiatement accessible, délivrant les informations essentielles ;
• un second niveau, plus détaillé, aisément accessible par un autre canal.
Cette approche permet de concilier exigence juridique et réalité opérationnelle, sans jamais remettre en cause l’applicabilité de l’article 13.
📌 L’enseignement clé pour les responsables de traitement
Dès lors que les données sont captées directement depuis la personne par observation, enregistrement ou analyse la collecte est directe. Vidéosurveillance, caméras mobiles, dispositifs biométriques ou capteurs intelligents relèvent de ce régime, indépendamment du degré d’intervention de l’individu.
La qualification ne dépend pas de la perception intuitive de la collecte, mais du choix technique et organisationnel opéré par le responsable de traitement.
Conclusion
Cet arrêt met un terme aux tentatives de requalification opportuniste fondées sur la prétendue passivité des personnes concernées. En droit de la protection des données, observer, c’est collecter et collecter directement.
Pour les directions juridiques et les DPO, le message est clair : la conformité ne se joue pas au stade de la communication de crise, mais au moment de la conception du dispositif. Une qualification erronée de la source fragilise l’ensemble de l’architecture juridique du traitement.
Source : https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:62024CJ0422
