CJUE | Arrêt du 2 décembre 2025 | C-492/23 | Russmedia Digital et Inform Media Press │ C-492-23-ESSENTIELS

1. L’exploitant d’une place de marché en ligne est responsable du traitement des données personnelles contenues dans les annonces publiées sur sa plateforme

La Cour juge que Russmedia Digital, exploitante de la place de marché Publi24.ro, doit être qualifiée de responsable du traitement au sens de l’article 4, point 7, du RGPD. En se réservant contractuellement le droit de distribuer, reproduire et céder à des partenaires les contenus publiés, et en déterminant les paramètres essentiels de leur diffusion (présentation, classement, durée), la plateforme influence le traitement des données pour des finalités commerciales qui lui sont propres — indépendamment du fait qu’elle n’a pas déterminé le contenu spécifique de l’annonce litigieuse.

2. L’exploitant est co-responsable conjoint avec l’utilisateur annonceur et doit, à ce titre, vérifier l’identité de l’annonceur avant publication d’une annonce contenant des données sensibles

Qualifié de responsable conjoint au sens de l’article 26 du RGPD, l’exploitant est tenu, au titre du principe de responsabilité (article 5, paragraphe 2) et des articles 24 et 25 du RGPD, d’identifier les annonces contenant des données sensibles (article 9, paragraphe 1), de vérifier si l’annonceur est bien la personne dont les données figurent dans l’annonce, et de refuser la publication dans le cas contraire — à moins que le consentement explicite de la personne concernée ou une autre exception de l’article 9, paragraphe 2, ne soit établi(e). Cette obligation exclut le dépôt anonyme d’annonces comportant des données sensibles.

3. L’obligation de sécurité (article 32 RGPD) impose des mesures anti-copie et anti-dissémination dès la conception du service

L’exploitant est tenu de mettre en œuvre des mesures techniques et organisationnelles appropriées pour empêcher la copie et la publication illicite d’annonces contenant des données sensibles sur d’autres sites Internet. Cette obligation de sécurité, qui doit être satisfaite dès la conception du service (privacy by design), vise à prévenir la perte de contrôle des données qui viderait de son effet utile le droit à l’effacement (article 17 RGPD). La seule survenance d’une dissémination illicite ne suffit cependant pas à établir automatiquement la responsabilité du gestionnaire : celui-ci peut apporter la preuve contraire du caractère approprié des mesures déployées.

4. L’exploitant d’une place de marché en ligne ne peut pas se prévaloir des exonérations de responsabilité de la directive commerce électronique pour s’affranchir de ses obligations au titre du RGPD

La Cour tranche une controverse majeure : l’article 1er, paragraphe 5, sous b), de la directive 2000/31/CE exclut expressément son application aux questions de protection des données personnelles. Lorsqu’un exploitant de plateforme est qualifié de responsable du traitement et viole ses obligations au titre du RGPD, il ne peut pas invoquer les régimes d’exonération de responsabilité des articles 12 à 15 de la directive (hébergeur, transporteur, cache) pour faire obstacle à l’application du RGPD. Le statut de prestataire intermédiaire ne constitue pas un bouclier contre les obligations découlant de la qualité de responsable du traitement.

5. Impact opérationnel immédiat pour toute plateforme permettant la publication de contenus générés par des utilisateurs

L’arrêt oblige toutes les plateformes d’annonces ou de contenus UGC à réviser intégralement leur architecture de publication pour les contenus comportant des données sensibles : suppression de l’anonymat des annonceurs, mise en place de mécanismes de détection automatisée des données sensibles, implémentation de systèmes de vérification d’identité préalable à toute publication, déploiement de dispositifs anti-copie techniques. Ces mesures doivent être intégrées dès la conception des services (privacy by design et par défaut), et non pas a posteriori.

POINTS ESSENTIELS

RENVOI PRÉJUDICIEL – PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL – RÈGLEMENT (UE) 2016/679 – ARTICLE 4, POINT 7 – NOTION DE “RESPONSABLE DU TRAITEMENT” – RESPONSABILITÉ DE L’EXPLOITANT D’UNE PLACE DE MARCHÉ EN LIGNE POUR LA PUBLICATION DES DONNÉES À CARACTÈRE PERSONNEL CONTENUES DANS DES ANNONCES PLACÉES SUR SA PLACE DE MARCHÉ EN LIGNE PAR DES UTILISATEURS ANNONCEURS – ARTICLE 5, PARAGRAPHE 2 – PRINCIPE DE RESPONSABILITÉ – ARTICLE 26 – RESPONSABILITÉ CONJOINTE AVEC CES UTILISATEURS ANNONCEURS – ARTICLE 9, PARAGRAPHE 1, ET PARAGRAPHE 2, SOUS A) – ANNONCES CONTENANT DES DONNÉES SENSIBLES – LICÉITÉ DU TRAITEMENT – CONSENTEMENT – ARTICLES 24, 25 ET 32 – OBLIGATIONS DU RESPONSABLE DU TRAITEMENT – IDENTIFICATION PRÉALABLE DES ANNONCES CONTENANT DE TELLES DONNÉES – VÉRIFICATION PRÉALABLE DE L’IDENTITÉ DE L’UTILISATEUR ANNONCEUR – REFUS DE LA PUBLICATION D’ANNONCES ILLICITES – MESURES DE SÉCURITÉ DE NATURE À EMPÊCHER LA COPIE DES ANNONCES ET LEUR PUBLICATION SUR D’AUTRES SITES INTERNET – COMMERCE ÉLECTRONIQUE – DIRECTIVE 2000/31/CE – ARTICLES 12 À 15 – POSSIBILITÉ POUR UN TEL EXPLOITANT DE SE PRÉVALOIR, À L’ÉGARD D’UNE VIOLATION DE CES OBLIGATIONS, DE L’EXONÉRATION DE RESPONSABILITÉ D’UN PRESTATAIRE INTERMÉDIAIRE DE SERVICES DE LA SOCIÉTÉ DE L’INFORMATION