Dans son arrêt sur l'affaire Ryneš (C-212/13) rendu le 11 décembre 2014, la Cour de Justice de l'Union Européenne (CJUE) a confirmé que le fait de diriger une caméra de vidéosurveillance vers la voie publique pour surveiller les intrus susceptibles d'entrer chez soi enfreint la directive de 1995 sur la protection des données à caractère personnel, selon un communiqué diffusé par la CJUE.

Le contexte

L’arrêt concernait la condamnation par l’Office tchèque pour la protection des données d'un individu qui avait installé une caméra personnelle de vidéosurveillance et l’avait dirigé vers son portail, et par incidence vers la rue et le voisin d'en face. La vidéo avait permis l'identification et l'arrestation de deux agresseurs qui s'en étaient déjà pris plusieurs fois à son domicile. L’un des deux agresseurs avait alors contesté  la légalité du traitement des données enregistrées. L’autorité tchèque avait jugé que le propriétaire de la maison avait violé les règles en matière de protection des données à caractère personnel et lui a infligé une amende. Celui-ci a ensuite saisi la Cour suprême administrative tchèque qui a saisi la Cour de justice de l’UE.

Les arguments contradictoires de la CJUE

La CJUE constate que la directive sur la protection des données à caractère personnel ne permet, en principe, de traiter de telles données que si la personne concernée a donné son accord, mais qu’elle ne s’applique pas au traitement de données effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.

La Cour précise néanmoins qu’une vidéosurveillance qui s’étend à l’espace public et qui, de ce fait, est dirigée en dehors de la sphère privée de la personne traitant les données ne peut pas être considérée comme "une activité exclusivement personnelle ou domestique".

Néanmoins, la Cour avance que "la juridiction nationale doit, dans le même temps, prendre en compte que ses dispositions permettent d’apprécier "l’intérêt légitime du responsable du traitement à protéger ses biens, sa santé et sa vie ainsi que ceux de sa famille", en se référant à l’article 7 (f) de la directive. Elle estime que traitement de données à caractère personnel peut être effectué sans le consentement de la personne concernée, notamment "lorsqu’il est nécessaire à la réalisation de l’intérêt légitime du responsable du traitement" et qu’une personne ne doit pas être informée du traitement de ses données, si l’information de celle-ci se révèle impossible ou implique des efforts disproportionnés (en référence au 2e paragraphe de l’article 11 de la directive).

La Cour estime par ailleurs que les États membres peuvent limiter la portée des obligations et des droits prévus par la directive, lorsqu’une telle limitation est nécessaire pour sauvegarder la prévention, la recherche, la détection et la poursuite d’infractions pénales ou la protection des droits et libertés d’autrui (en référence à au premier paragraphe de l’article 13 de la directive).

La Cour rappelle également que  la notion de "données à caractère personnel" au sens de la directive englobe toute information concernant une personne physique identifiée ou identifiable, et juge en conséquence que  "l’image d’une personne enregistrée par une caméra constitue une donnée à caractère personnel, car elle permet d’identifier la personne concernée".