CJUE | ARRÊT DU 2 DÉCEMBRE 2025 | C-492/23 | RUSSMEDIA DIGITAL ET INFORM MEDIA PRESS │
DONNÉES SENSIBLES PUBLIÉES SANS VOTRE CONSENTEMENT SUR UNE PLATEFORME D’ANNONCES
LA CJUE CONSACRE VOTRE DROIT À UNE PROTECTION EFFECTIVE ET L’OBLIGATION DE L’EXPLOITANT DE L’ANTICIPER.
PROTECTION DES DONNÉES : L’EXPLOITANT D’UN SITE DE MARCHÉ EN LIGNE EST RESPONSABLE DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL CONTENUES DANS LES ANNONCES PUBLIÉES SUR SA PLATEFORME
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
PORTÉE ET ENJEUX DE L’ARRÊT
L’arrêt Russmedia Digital rendu par la grande chambre de la Cour de justice de l’Union européenne le 2 décembre 2025 constitue une décision fondatrice dans l’articulation entre le régime de responsabilité du RGPD et celui de la directive sur le commerce électronique 2000/31/CE. Pour la première fois, la Cour tranche de manière définitive la question de savoir si l’exploitant d’une place de marché en ligne — qui héberge des annonces générées par des tiers — peut se prévaloir des exonérations de responsabilité prévues par la directive « e-commerce » pour échapper aux obligations que lui impose le RGPD en tant que responsable du traitement des données à caractère personnel figurant dans ces annonces.
La réponse de la Cour est sans ambiguïté : l’exploitant d’une place de marché en ligne qui publie des données à caractère personnel contenues dans des annonces sur sa plateforme est responsable du traitement de ces données au sens de l’article 4, point 7, du RGPD, et ne peut, à ce titre, se prévaloir des articles 12 à 15 de la directive 2000/31 pour s’exonérer des obligations découlant du RGPD. La Cour consacre ainsi une conception extensive et fonctionnelle de la notion de « responsable du traitement », fidèle à l’objectif de protection effective des droits fondamentaux des personnes concernées.
UNE ANALYSE FONCTIONNELLE ET TÉLÉOLOGIQUE
A. LE CRITÈRE DE L’INFLUENCE DÉTERMINANTE SUR LE TRAITEMENT
La Cour fonde la qualification de Russmedia en tant que responsable du traitement sur une analyse conjointe des finalités et des moyens du traitement, conformément à l’article 4, point 7, du RGPD. Elle rappelle que
« toute personne physique ou morale qui influe, des fins qui lui sont propres, sur le traitement de telles données et participe de ce fait à la détermination des finalités et des moyens de ce traitement peut être considérée comme étant responsable dudit traitement » (§ 58).
Ce raisonnement s’inscrit dans le prolongement de la jurisprudence Wirtschaftsakademie Schleswig-Holstein (C-210/16), Fashion ID (C-40/17) et Google — Déréférencement d’un contenu prétendument inexact (C-460/20), qui avaient progressivement élargi la notion de responsable conjoint aux acteurs exerçant une influence sur la diffusion de données, même sans en maîtriser intégralement le contenu.
En l’espèce, la Cour identifie deux vecteurs d’influence déterminante de Russmedia sur le traitement :
1. La détermination des finalités : Russmedia publie les annonces « des fins commerciales ou publicitaires qui vont au-delà de la simple prestation de service » fournie à l’utilisateur annonceur (§ 66-67). Ses conditions générales d’utilisation lui réservent expressément le droit d’utiliser, distribuer, transmettre, reproduire, modifier, traduire, céder à des partenaires et effacer les contenus publiés « à tout moment et sans avoir besoin d’une raison valable pour le faire » (§ 67). Russmedia ne traite donc pas les données « pas ou pas uniquement pour le compte des utilisateurs annonceurs », mais les valorise à ses propres fins publicitaires et commerciales (§ 67-68).
2. La détermination des moyens : En fixant les paramètres de diffusion des annonces, en déterminant leur présentation, leur durée de diffusion, les rubriques structurant les informations publiées et en organisant le classement des annonces, Russmedia « participe à la détermination des moyens essentiels de la publication des données à caractère personnel concernées, en influant ainsi de manière décisive sur leur diffusion globale » (§ 72).
B. L’IRRÉDUCTIBILITÉ DE LA RESPONSABILITÉ AU CONTENU DE L’ANNONCE
La Cour rejette fermement l’argument selon lequel l’exploitant d’une place de marché en ligne pourrait échapper à sa qualification de responsable du traitement au motif qu’il n’a pas lui-même déterminé le contenu de l’annonce litigieuse. Elle précise qu’une telle interprétation serait contraire
« non seulement au libellé clair, mais également à l’objectif de l’article 4, point 7, du RGPD, consistant à assurer, par une définition large de la notion de “responsable du traitement”, une protection efficace et complète des personnes concernées » (§ 75).
Cette position est d’une importance capitale pour tous les opérateurs numériques qui hébergent des contenus générés par des tiers tout en conservant des droits d’exploitation étendus sur ces contenus.
LA RESPONSABILITÉ CONJOINTE ET LA GRADATION DES OBLIGATIONS
La Cour confirme que Russmedia et l’utilisateur annonceur doivent être considérés comme des responsables conjoints au sens de l’article 26 du RGPD (§ 63). Elle rappelle toutefois que la coresponsabilité n’implique pas une responsabilité équivalente : « ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés » (§ 63, citant Jehovan todistajat, C-25/17, et Nacionalinis visuomenės sveikatos centras, C-683/21).
L’utilisateur annonceur reste le responsable « à titre principal » des finalités et moyens du traitement (§ 64), tandis que Russmedia, en tant que responsable conjoint, supporte un ensemble d’obligations spécifiques liées à la nature de sa plateforme et aux risques que celle-ci génère.
LES OBLIGATIONS CONCRÈTES DU RESPONSABLE CONJOINT EXPLOITANT UNE PLACE DE MARCHÉ
La Cour dérive de la qualité de responsable conjoint de Russmedia un ensemble d’obligations opérationnelles précises, qu’elle construit à partir des articles 5, §2, 24, 25 et 32 du RGPD :
A. L’IDENTIFICATION PRÉALABLE DES ANNONCES CONTENANT DES DONNÉES SENSIBLES
L’exploitant « sait ou devrait savoir que, d’une manière générale, des annonces contenant des données sensibles sont susceptibles d’y être publiées » (§ 98-99). Il est dès lors tenu, dès la conception de son service (privacy by design, art. 25 RGPD), de mettre en œuvre des mesures techniques et organisationnelles pour identifier de telles annonces avant leur publication (§ 100).
B. LA VÉRIFICATION PRÉALABLE DE L’IDENTITÉ DE L’UTILISATEUR ANNONCEUR
Lorsqu’une annonce contient des données sensibles, le consentement explicite de la personne concernée est requis par l’article 9, paragraphes 1 et 2, sous a), du RGPD. Or, ce consentement fait défaut lorsque la publication est réalisée par un tiers, sans l’accord de la personne concernée. L’exploitant est donc
« tenu de vérifier, avant la publication d’une telle annonce, si l’utilisateur annonceur est la personne dont les données figurent dans l’annonce, ce qui présuppose de recueillir son identité » (§ 105).
La Cour précise que l’anonymat accordé aux utilisateurs annonceurs sur une place de marché en ligne augmente significativement le degré de probabilité d’une violation des droits des personnes concernées (§ 97).
C. LE REFUS DE PUBLICATION EN CAS D’ABSENCE DE CONSENTEMENT DÉMONTRABLE
L’exploitant doit refuser la publication d’une annonce contenant des données sensibles « s’il s’avère, après vérification de l’identité de l’utilisateur annonceur, que ce dernier n’est pas la personne dont les données sensibles figurent dans l’annonce et qu’il ne peut pas démontrer suffisance de droit que la personne concernée a donné son consentement explicite » (§ 106).
D. LES MESURES DE SÉCURITÉ CONTRE LA DISSÉMINATION
Au titre de l’article 32 du RGPD, la Cour impose à l’exploitant de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour empêcher que des annonces contenant des données sensibles soient copiées et illicitement publiées sur d’autres sites Internet (§ 118-126). La dissémination des données, en ce qu’elle prive de tout effet utile le droit à l’effacement prévu à l’article 17 du RGPD, est identifiée comme un risque spécifique que le responsable du traitement doit prévenir dès la mise en ligne de l’annonce.
LA PRIMAUTÉ DU RGPD
A. L’EXCLUSION DE L’EXONÉRATION DE RESPONSABILITÉ POUR LES QUESTIONS DE PROTECTION DES DONNÉES
La Cour tranche le conflit normatif de manière claire : l’article 1er, §5, sous b), de la directive 2000/31 dispose expressément que les questions relatives à la protection des données à caractère personnel doivent être appréciées à l’aune du RGPD. L’éventuel bénéfice de l’exonération de responsabilité prévue à l’article 14, §1, de la directive e-commerce ne saurait « interférer avec le régime du RGPD qui s’applique à un tel exploitant comme à tout autre opérateur relevant du champ d’application de ce règlement » (§ 132).
L’obligation de mettre en œuvre les mesures de privacy by design et privacy by default, de vérifier l’identité des annonceurs et de refuser les publications illicites ne constitue pas une « obligation générale en matière de surveillance » au sens de l’article 15 de la directive 2000/31, et ne peut donc être neutralisée par cet article (§ 133).
B. LA PRÉSERVATION DU BÉNÉFICE DE L’EXONÉRATION POUR LES QUESTIONS NON RELATIVES À LA PROTECTION DES DONNÉES
La Cour prend soin de réserver l’applicabilité des articles 12 à 15 de la directive 2000/31 pour les questions autres que celles relatives à la protection des données, conformément à l’article 2, §4, du RGPD (§ 135). Cette précision est importante : la qualité de responsable du traitement au sens du RGPD ne prive pas, de manière automatique, l’exploitant du bénéfice des exonérations de responsabilité prévues par la directive e-commerce pour d’autres types de responsabilité (par exemple, la responsabilité en matière de droit d’auteur ou de responsabilité civile extracontractuelle non liée aux données personnelles).
DIVERGENCE ET CONVERGENCE AVEC LES CONCLUSIONS DE L’AVOCAT GÉNÉRAL SZPUNAR
Les conclusions de l’Avocat général Maciej Szpunar, déposées le 6 février 2025 (ECLI:EU:C:2025:68), se distinguent significativement de l’arrêt de la Cour sur un point fondamental. L’Avocat général avait proposé de qualifier Russmedia de sous-traitant pour les données contenues dans les annonces publiées par les utilisateurs, tout en la qualifiant de responsable du traitement pour les données des utilisateurs annonceurs enregistrés sur la plateforme. La Cour rejette cette dichotomie et adopte une solution unitaire : Russmedia est responsable du traitement de l’ensemble des données à caractère personnel contenues dans les annonces publiées sur sa place de marché.
Cette divergence est symptomatique d’une tension doctrinale profonde sur la question de savoir si les plateformes qui hébergent des contenus générés par des tiers et qui exercent un contrôle éditorial limité sur ces contenus peuvent être qualifiées de sous-traitants au sens du RGPD. La Cour tranche en faveur d’une conception strictement fonctionnelle, centrée sur l’influence exercée sur les finalités et les moyens du traitement, plutôt que sur la maîtrise du contenu de l’information traitée.
APPRÉCIATION CRITIQUE
L’arrêt Russmedia Digital est à la fois cohérent avec la jurisprudence antérieure de la Cour et porteur d’implications pratiques considérables pour l’ensemble des opérateurs de places de marché en ligne, plateformes de petites annonces et réseaux sociaux. Sa cohérence tient à ce qu’il prolonge logiquement la définition large et fonctionnelle du responsable du traitement inaugurée par les arrêts Wirtschaftsakademie, Fashion ID et Google — Déréférencement. Ses implications pratiques tiennent à l’étendue des obligations positives qu’il impose désormais aux exploitants de plateformes : identifier les annonces contenant des données sensibles avant publication, vérifier l’identité des annonceurs, refuser les publications illicites et mettre en place des mesures techniques anti-dissémination.
Ces obligations soulèvent des questions d’applicabilité technique qui méritent d’être soulignées. La détection automatique de données sensibles au sein d’annonces librement rédigées par des utilisateurs suppose le recours à des outils d’analyse de contenu — outils qui sont eux-mêmes susceptibles de constituer des traitements de données à caractère personnel soumis au RGPD. La Cour ne traite pas de cette tension, laissant aux exploitants le soin de déterminer les mesures techniques concrètes à mettre en œuvre dans le cadre du principe de privacy by design.
Par ailleurs, l’arrêt ne se prononce pas sur le régime de responsabilité civil applicable à Russmedia au titre du droit national roumain, ni sur la question de la répartition interne de la responsabilité entre responsables conjoints, qui est renvoyée à la juridiction de renvoi. Ce point est susceptible de donner lieu à de nouvelles questions préjudicielles.
POINTS ESSENTIELS
Par son arrêt du 2 décembre 2025 rendu en grande chambre, la Cour de justice de l’Union européenne, saisie à titre préjudiciel par la Curtea de Apel Cluj (cour d’appel de Cluj, Roumanie) dans un litige opposant une personne physique (X) à la société Russmedia Digital SRL, exploitante du site de petites annonces publi24.ro sur lequel une tierce personne non identifiée avait publié de manière anonyme, en août 2018, une annonce mensongère et préjudiciable présentant X comme offrant des services sexuels avec ses photos et son numéro de téléphone utilisés sans son consentement — annonce rapidement retirée par Russmedia mais ayant été reprise sur de nombreux autres sites.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats