CJUE | ARRÊT DU 2 DÉCEMBRE 2025 | C-492/23 | RUSSMEDIA DIGITAL ET INFORM MEDIA PRESS │
DONNÉES SENSIBLES PUBLIÉES SANS VOTRE CONSENTEMENT SUR UNE PLATEFORME D’ANNONCES
LA CJUE CONSACRE VOTRE DROIT À UNE PROTECTION EFFECTIVE ET L’OBLIGATION DE L’EXPLOITANT DE L’ANTICIPER.
PROTECTION DES DONNÉES : L’EXPLOITANT D’UN SITE DE MARCHÉ EN LIGNE EST RESPONSABLE DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL CONTENUES DANS LES ANNONCES PUBLIÉES SUR SA PLATEFORME
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
PORTÉE EN DROIT DE LA PROTECTION DES DONNÉES PERSONNELLES
A. LA CONSÉCRATION D’UN CRITÈRE FONCTIONNEL ET EXTENSIF DE LA NOTION DE RESPONSABLE DU TRAITEMENT POUR LES PLATEFORMES NUMÉRIQUES
L’arrêt Russmedia Digital marque une étape décisive dans la définition de la notion de responsable du traitement appliquée aux plateformes numériques hébergeant des contenus générés par des tiers. La grande chambre de la Cour de justice confirme et consolide le critère fonctionnel inauguré par les arrêts Wirtschaftsakademie et Fashion ID : est responsable du traitement tout opérateur qui, d’une part, publie des données à caractère personnel à des fins commerciales ou publicitaires qui lui sont propres, et, d’autre part, exerce une influence déterminante sur les paramètres de diffusion des données en ligne.
Ce critère est indépendant de la maîtrise du contenu des données traitées. Il en résulte que toute plateforme qui se réserve contractuellement des droits d’exploitation sur les contenus publiés par ses utilisateurs — fût-ce pour des raisons de gestion technique — sera en principe qualifiée de responsable du traitement pour les données à caractère personnel contenues dans ces contenus. Cette solution est susceptible d’affecter un vaste spectre d’opérateurs : plateformes de petites annonces, réseaux sociaux, places de marché B2C et C2C, sites de rencontres, plateformes collaboratives.
B. L’ÉMERGENCE D’UNE OBLIGATION POSITIVE DE CONTRÔLE PRÉALABLE DES CONTENUS SENSIBLES
L’arrêt innove en consacrant une obligation positive de contrôle préalable, à la charge de l’exploitant de la place de marché, portant sur l’identification des annonces contenant des données sensibles et la vérification de l’identité des utilisateurs annonceurs. Cette obligation positive est construite à partir du principe de responsabilité (art. 5 § 2 RGPD), du principe de privacy by design (art. 25 RGPD) et de l’obligation de sécurité (art. 32 RGPD).
Cette solution représente une rupture significative par rapport à la logique d’absence d’obligation générale de surveillance consacrée par la directive 2000/31/CE. Elle impose aux exploitants de plateformes de mettre en place des systèmes de modération ex ante des contenus susceptibles de contenir des données sensibles, ce qui soulève des questions techniques et opérationnelles majeures sur la détection automatisée de telles données dans des textes libres.
C. LA SÉCURISATION DES DONNÉES FACE AU RISQUE DE DISSÉMINATION
La Cour innove également en consacrant une obligation de sécurité spécifique contre la dissémination des données sensibles publiées sur la plateforme vers des tiers sites. En liant cette obligation à la préservation de l’effectivité du droit à l’effacement (art. 17 RGPD), la Cour reconnaît implicitement qu’un droit à l’effacement qui ne peut pas être exercé efficacement en raison de la dissémination des données est vidé de sa substance. Cette approche est cohérente avec la jurisprudence Google — Déréférencement (C-460/20) sur l’ineffectivité du droit à l’effacement face à la diffusion agrégée en ligne.
PORTÉE EN DROIT DU COMMERCE ÉLECTRONIQUE
A. LA PRIMAUTÉ ABSOLUE DU RGPD SUR LA DIRECTIVE E-COMMERCE POUR LES QUESTIONS DE DONNÉES PERSONNELLES
L’arrêt Russmedia Digital tranche définitivement le conflit normatif entre le RGPD et la directive 2000/31/CE en matière de données à caractère personnel : les exonérations de responsabilité prévues aux articles 12 à 15 de la directive e-commerce ne sauraient interférer avec les obligations imposées par le RGPD aux responsables du traitement. Cette solution repose sur l’article 1er, §5, sous b), de la directive 2000/31, qui exclut expressément les questions relatives à la protection des données du champ d’application des régimes d’exonération de responsabilité.
Cette primauté du RGPD met fin à une stratégie contentieuse récurrente consistant, pour les exploitants de plateformes, à opposer leur qualité d’hébergeur au titre de la directive e-commerce pour se soustraire aux obligations du RGPD. Cette stratégie n’est désormais plus opérante pour les violations des obligations découlant du RGPD.
B. LA PRÉSERVATION DU BÉNÉFICE DE L’EXONÉRATION POUR LES QUESTIONS NON RELATIVES AUX DONNÉES PERSONNELLES
La Cour prend soin de préciser que la qualité de responsable du traitement au sens du RGPD n’emporte pas, de manière automatique, la perte du bénéfice des exonérations de responsabilité de la directive e-commerce pour les questions autres que la protection des données. Cette précision préserve une certaine cohérence du régime de responsabilité des hébergeurs en dehors du champ du RGPD (responsabilité pour contenu illicite non lié aux données personnelles, contrefaçon, etc.).
PORTÉE AU REGARD DU DROIT FONDAMENTAL À LA PROTECTION DES DONNÉES (ART. 8 DE LA CHARTE)
L’arrêt Russmedia Digital s’inscrit dans une jurisprudence constante de la Cour qui interprète de manière large et protectrice les notions du RGPD (responsable du traitement, traitement de données sensibles) à la lumière de l’article 8 de la Charte des droits fondamentaux de l’Union européenne, qui garantit le droit à la protection des données à caractère personnel, et de l’article 7, qui garantit le droit au respect de la vie privée.
La Cour souligne que les risques pour les droits et libertés des personnes concernées sont particulièrement graves lorsque des données sensibles sont publiées de manière anonyme sur une place de marché en ligne, en raison de l’accessibilité universelle des données ainsi rendues publiques et du risque irréversible de dissémination. Cette prise en compte des risques spécifiques liés au contexte numérique — notamment la viralité et la permanence des données publiées en ligne — illustre la volonté de la Cour d’adapter le droit de la protection des données aux réalités de l’environnement numérique.
PORTÉE POUR LES OPÉRATEURS CONCERNÉS
A. IMPACT SUR LES PLATEFORMES DE PETITES ANNONCES ET PLACES DE MARCHÉ
L’arrêt affecte directement tous les exploitants de plateformes de petites annonces (services immobiliers, emploi, rencontres, etc.) et de places de marché (e-commerce C2C) qui permettent à des utilisateurs tiers de publier des annonces pouvant contenir des données à caractère personnel, et qui se réservent contractuellement des droits d’exploitation sur ces contenus. Ces opérateurs devront procéder à une révision complète de leurs conditions générales, de leurs processus de publication et de leurs mesures de sécurité.
B. IMPACT SUR LES RÉSEAUX SOCIAUX ET PLATEFORMES COLLABORATIVES
La solution de l’arrêt est susceptible d’être étendue aux réseaux sociaux et aux plateformes collaboratives dans la mesure où ceux-ci remplissent les critères de qualification de responsable du traitement dégagés par la Cour : exploitation commerciale des données publiées par les utilisateurs, influence sur les paramètres de diffusion. La question se pose en particulier pour les plateformes qui monétisent les données comportementales de leurs utilisateurs.
C. IMPACT SUR LA CONFORMITÉ RGPD DES EXPLOITANTS
Sur le plan de la conformité, l’arrêt Russmedia Digital impose aux exploitants de plateformes une refonte substantielle de leur programme de conformité RGPD, avec notamment :
—-La mise en place de systèmes de détection et de filtrage des données sensibles dans les contenus générés par les utilisateurs ;
—-La révision des politiques de publication anonyme pour les catégories d’annonces à risque élevé ;
—-Le renforcement des mesures de sécurité anti-dissémination ;
—-La formalisation d’accords de responsabilité conjointe avec les utilisateurs annonceurs.
PORTÉE AU REGARD DE L’ARTICULATION AVEC LE DIGITAL SERVICES ACT (DSA)
Il convient de relever que l’arrêt Russmedia Digital a été rendu dans le contexte de l’entrée en vigueur du Règlement (UE) 2022/2065 sur les services numériques (Digital Services Act — DSA), qui remplace en grande partie la directive 2000/31/CE pour les plateformes de grande taille. Le DSA impose lui-même des obligations de modération des contenus illicites et de gestion des risques systémiques aux plateformes en ligne, qui se superposent et s’articulent avec les obligations découlant du RGPD telles qu’interprétées par la Cour.
L’arrêt Russmedia Digital renforce ainsi la cohérence de l’approche européenne en matière de responsabilité des plateformes numériques, en affirmant que l’exploitant d’une telle plateforme assume, à la fois au titre du RGPD et, selon le cas, du DSA, des obligations positives de contrôle des contenus susceptibles de porter atteinte aux droits fondamentaux des personnes concernées.
POINTS ESSENTIELS
Par son arrêt du 2 décembre 2025 rendu en grande chambre, la Cour de justice de l’Union européenne, saisie à titre préjudiciel par la Curtea de Apel Cluj (cour d’appel de Cluj, Roumanie) dans un litige opposant une personne physique (X) à la société Russmedia Digital SRL, exploitante du site de petites annonces publi24.ro sur lequel une tierce personne non identifiée avait publié de manière anonyme, en août 2018, une annonce mensongère et préjudiciable présentant X comme offrant des services sexuels avec ses photos et son numéro de téléphone utilisés sans son consentement — annonce rapidement retirée par Russmedia mais ayant été reprise sur de nombreux autres sites.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats