CJUE | ARRÊT DU 2 DÉCEMBRE 2025 | C-492/23 | RUSSMEDIA DIGITAL ET INFORM MEDIA PRESS │
PROTECTION DES DONNÉES : L’EXPLOITANT D’UN SITE DE MARCHÉ EN LIGNE EST RESPONSABLE DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL CONTENUES DANS LES ANNONCES PUBLIÉES SUR SA PLATEFORME
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I.
Genèse contentieuse et renvoi préjudiciel
L’arrêt rendu par la grande chambre de la Cour de justice de l’Union européenne le 2 décembre 2025 dans l’affaire C-492/23, X contre Russmedia Digital SRL et Inform Media Press SRL (ECLI:EU:C:2025:935), constitue l’une des décisions les plus structurantes de la jurisprudence récente en matière de protection des données personnelles dans l’environnement numérique. Il a pour objet une demande de décision préjudicielle introduite par la Curtea de Apel Cluj (cour d’appel de Cluj, Roumanie) par décision du 15 juin 2023, parvenue à la Cour le 3 août 2023, portant sur l’interprétation des articles 12 à 15 de la directive 2000/31/CE sur le commerce électronique, ainsi que de plusieurs dispositions fondamentales du RGPD — notamment l’article 2, paragraphe 4, l’article 4, points 7 et 11, l’article 5, paragraphes 1, sous b) et f), et paragraphe 2, l’article 6, paragraphe 1, sous a), les articles 7, 9, 24, 25 et 32 du règlement 2016/679.
L’affaire trouve sa source dans un incident survenu le 1er août 2018 sur la plateforme Publi24.ro, place de marché en ligne exploitée par Russmedia Digital SRL. Une tierce personne, non identifiée, avait publié sur ce site une annonce mensongère et préjudiciable présentant une personne physique, désignée X, comme offrant des services sexuels. L’annonce contenait des photographies de X extraites sans son consentement de ses réseaux sociaux, ainsi que son numéro de téléphone. Russmedia Digital avait retiré l’annonce de sa plateforme moins d’une heure après avoir reçu la demande de X en ce sens. Toutefois, cette annonce avait entre-temps été copiée à l’identique sur d’autres sites Internet à contenu publicitaire, avec indication de la source d’origine, et elle y est restée accessible.
Saisie par X, la Judecătoria Cluj-Napoca (tribunal de première instance de Cluj-Napoca) avait condamné Russmedia Digital et Inform Media Press SRL à lui verser des dommages et intérêts en réparation du préjudice moral subi du fait de l’atteinte portée à son droit à l’image, à l’honneur et à la réputation, ainsi que de la violation de son droit au respect de la vie privée et du traitement illicite de ses données à caractère personnel. En appel, le Tribunalul Specializat Cluj (tribunal spécialisé de Cluj) avait infirmé ce jugement, considérant que Russmedia fournissait uniquement un service d’hébergement de l’annonce, sans implication active quant à son contenu, et qu’elle pouvait donc bénéficier d’une exonération de responsabilité prévue par la réglementation nationale sur le commerce électronique. Saisie du pourvoi formé par X, la Curtea de Apel Cluj a décidé de surseoir à statuer et d’interroger la Cour de justice.
Structure des questions préjudicielles
La juridiction de renvoi a soumis à la Cour quatre questions préjudicielles, portant respectivement : en premier lieu, sur la possibilité pour l’exploitant d’une place de marché en ligne, en tant que responsable du traitement des données personnelles qu’elle contient, de se prévaloir des exonérations de responsabilité prévues par les articles 12 à 15 de la directive 2000/31/CE ; en deuxième et troisième lieu, sur la détermination des obligations du responsable du traitement en ce qui concerne l’identification des annonces contenant des données sensibles et la vérification de l’identité de l’utilisateur annonceur avant publication ; en quatrième lieu, sur la portée de l’obligation de sécurité pesant sur le responsable du traitement face au risque de copie et de diffusion non autorisée des annonces sur d’autres sites Internet.
II.
La qualification de responsable du traitement de l’exploitant d’une place de marché en ligne
La Cour commence par trancher une question préalable d’une importance théorique et pratique considérable : celle de la qualification juridique de l’exploitant d’une place de marché en ligne au regard de la définition du responsable du traitement posée à l’article 4, point 7, du RGPD.
Rappelant la conception large et téléologiquement orientée de cette notion dans sa jurisprudence antérieure — notamment les arrêts Google Spain (C-131/12), Fashion ID (C-40/17) et Wirtschaftsakademie Schleswig-Holstein (C-210/16) — la Cour affirme qu’une personne peut être qualifiée de responsable du traitement dès lors qu’elle influence ce traitement pour des finalités qui lui sont propres, sans qu’il soit nécessaire qu’elle ait déterminé l’intégralité du contenu des données traitées. Cette inflexion téléologique permet d’appréhender des formes de responsabilité diffuses, caractéristiques des architectures plateformisées où les opérateurs techniques exercent une emprise fonctionnelle sur les flux de données sans en être les auteurs matériels.
En l’espèce, la Cour relève que Russmedia se réserve, dans ses conditions générales d’utilisation, le droit d’utiliser, de distribuer, de transmettre, de reproduire, de modifier, de traduire, de céder à des partenaires et d’effacer les contenus publiés, à tout moment et sans avoir besoin d’une raison valable pour le faire. En publiant des données à caractère personnel contenues dans les annonces à des fins commerciales ou publicitaires qui vont au-delà de la simple prestation de service fournie à l’utilisateur annonceur, Russmedia influence ce traitement pour des finalités qui lui sont propres. La Cour en conclut que la circonstance que Russmedia n’ait pas participé à la détermination de la finalité mensongère et préjudiciable visée par l’utilisateur annonceur est sans incidence sur sa qualification de responsable du traitement, dès lors qu’en permettant que des annonces soient placées de manière anonyme sur sa plateforme, elle a facilité la publication de données à caractère personnel sans le consentement de la personne concernée.
La Cour précise également que, en fixant les paramètres de diffusion des annonces susceptibles de contenir des données à caractère personnel — tels que la présentation, la durée de diffusion, les rubriques structurant les informations publiées ou le classement déterminant les modalités de diffusion —, l’exploitant d’une place de marché en ligne participe à la détermination des moyens essentiels de la publication de ces données, influant ainsi de manière décisive sur leur diffusion globale. Cette approche est conforme à l’objectif du RGPD d’assurer une protection efficace et complète des personnes concernées par une définition large de la notion de responsable du traitement.
III.
La responsabilité conjointe et le principe de responsabilité (accountability)
Ayant qualifié Russmedia de responsable du traitement, la Cour procède à l’examen de ses obligations au titre du RGPD en s’appuyant sur le principe de responsabilité (accountability) consacré à l’article 5, paragraphe 2, et développé aux articles 24 à 26 du règlement.
La Cour souligne que l’exploitant de la place de marché et l’utilisateur annonceur doivent être considérés comme des responsables conjoints au sens de l’article 26 du RGPD. Cette qualification emporte des conséquences juridiques déterminantes : chacun des responsables conjoints est tenu, de manière indépendante, de démontrer que le traitement des données à caractère personnel contenues dans les annonces est effectué conformément au RGPD. En particulier, ils doivent être en mesure d’établir, d’une part, que les données traitées sont publiées de manière licite — ce qui implique, pour les données sensibles, l’existence du consentement explicite de la personne concernée conformément à l’article 9, paragraphe 2, sous a), — et, d’autre part, que ces données sont exactes conformément à l’article 5, paragraphe 1, sous d).
L’article 26 impose par ailleurs aux responsables conjoints de définir de manière transparente leurs obligations respectives afin d’assurer le respect des exigences prévues par le règlement. Cette obligation de transparence des responsabilités conjointes s’avérerait impossible à satisfaire si l’un des responsables du traitement pouvait demeurer anonyme vis-à-vis de l’autre — ce qui conduit directement à la conclusion selon laquelle l’exploitant d’une place de marché en ligne est tenu de recueillir et de vérifier l’identité de l’utilisateur annonceur.
La Cour rappelle à cet égard que le principe de responsabilité va au-delà de la seule obligation de conformité matérielle : le responsable du traitement doit être en mesure de démontrer cette conformité. Cette exigence probatoire structure l’ensemble des obligations actives que la Cour déduit des articles 24 et 25 du RGPD : mise en œuvre de mesures techniques et organisationnelles appropriées dès la conception du service (privacy by design) et par défaut (privacy by default), permettant d’identifier les annonces contenant des données sensibles, de vérifier l’identité de l’annonceur et de refuser la publication d’annonces illicites.
IV.
Le régime des données sensibles et l’exigence du consentement explicite
La qualification des données contenues dans l’annonce litigieuse — photographies de la requérante au principal présentée comme offrant des services sexuels — au titre de données sensibles visées à l’article 9, paragraphe 1, du RGPD constitue le cœur juridique de l’affaire. La protection renforcée que le RGPD confère à ces catégories particulières de données — relatives à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, aux données génétiques, aux données biométriques, aux données de santé, à la vie sexuelle ou à l’orientation sexuelle — tient au fait que leur traitement est susceptible de constituer une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données personnelles, garantis par les articles 7 et 8 de la Charte.
La Cour affirme avec force que, lorsqu’une annonce contient des données sensibles, leur publication est, par principe, interdite en vertu de l’article 9, paragraphe 1, sauf si l’une des exceptions limitativement prévues à l’article 9, paragraphe 2, est satisfaite. Dans ce contexte, la mise en ligne par la personne concernée elle-même d’une annonce contenant ses propres données sensibles peut, selon la Cour, constituer un consentement explicite au sens de l’article 9, paragraphe 2, sous a). En revanche, lorsque la publication est effectuée par une tierce personne sans le consentement de la personne concernée, ce consentement fait manifestement défaut, et l’exploitant de la plateforme ne peut pas publier l’annonce sans violer l’interdiction posée à l’article 9, paragraphe 1.
Cette analyse conduit la Cour à dégager une chaîne d’obligations articulées en trois temps :
Premièrement, l’exploitant doit identifier, avant publication, les annonces qui contiennent des données sensibles au sens de l’article 9, paragraphe 1. Cette obligation d’identification préalable est une obligation de résultat (fondée sur le principe de accountability), qui implique la mise en œuvre de systèmes de détection automatisée ou de processus de contrôle appropriés.
Deuxièmement, une fois les données sensibles identifiées, l’exploitant doit vérifier si l’utilisateur annonceur est bien la personne dont les données figurent dans l’annonce. Cette vérification présuppose de recueillir l’identité de l’annonceur — ce qui exclut irrémédiablement la pratique des annonces anonymes pour les contenus comportant des données sensibles. La Cour précise que l’obligation de recueillir et de vérifier l’identité de l’annonceur est également fondée sur l’article 26 du RGPD (obligation de transparence des responsabilités conjointes) et sur le risque d’usurpation d’identité visé au considérant 75 du RGPD.
Troisièmement, si l’utilisateur annonceur n’est pas la personne dont les données sensibles figurent dans l’annonce — ou s’il ne peut pas démontrer que cette personne a donné son consentement explicite ou que l’une des autres exceptions de l’article 9, paragraphe 2, sous b) à j), est remplie —, l’exploitant doit refuser la publication de l’annonce, en mettant en œuvre les mesures techniques et organisationnelles appropriées à cet effet.
Ces obligations actives, que la Cour fait dériver directement de l’article 5, paragraphe 2, et des articles 24 à 26 du RGPD, représentent une transformation radicale du modèle économique des plateformes d’annonces en ligne : elles ne peuvent plus se borner à un rôle passif d’hébergeur, mais sont tenues d’exercer un contrôle proactif sur les contenus comportant des données sensibles.
V.
L’obligation de sécurité face au risque de dissémination des données
La quatrième question préjudicielle porte sur la portée de l’obligation de sécurité pesant sur l’exploitant de la place de marché en ligne, au titre de l’article 32 du RGPD, face au risque de copie et de publication illicite des annonces sur d’autres sites Internet.
La Cour rappelle d’abord les termes de l’article 32, paragraphe 1, selon lequel le responsable du traitement est tenu de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Elle précise, en référence à l’arrêt Natsionalna agentsia za prihodite (C-340/21, EU:C:2023:986), que le caractère approprié de ces mesures doit être évalué de manière concrète, en tenant compte de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du degré de probabilité et de gravité des risques pour les droits et libertés de la personne concernée.
La publication de données à caractère personnel sur une place de marché en ligne comporte des risques significatifs pour les droits et libertés de la personne concernée, dès lors qu’elle rend ces données en principe accessibles à tout utilisateur d’Internet. Ces risques sont d’autant plus sérieux lorsqu’il s’agit de données sensibles, dont la nature justifie une protection renforcée. De plus, une fois publiées, ces données peuvent être copiées et reproduites sur d’autres sites Internet, rendant difficile, voire impossible, l’effacement effectif garanti par l’article 17 du RGPD — le droit à l’effacement étant ainsi vidé de son effet utile par la dissémination préalable des données.
La Cour en tire une conséquence particulièrement importante : dès lors que l’exploitant sait ou devrait savoir que des annonces contenant des données sensibles sont susceptibles d’être publiées sur sa plateforme, il est dans l’obligation, dès la conception de son service, de mettre en œuvre les mesures techniques et organisationnelles appropriées pour identifier de telles annonces avant leur publication et pour vérifier si les données sensibles qu’elles contiennent sont publiées dans le respect du RGPD. À ce titre, il doit envisager notamment toutes les mesures techniques disponibles en l’état des connaissances susceptibles de bloquer la copie et la reproduction du contenu en ligne.
La Cour précise néanmoins — dans une formulation importante pour l’équilibre du régime de responsabilité — que les articles 24 et 32 du RGPD ne sauraient être compris en ce sens qu’une dissémination illicite de données à caractère personnel initialement publiées en ligne suffit à conclure que les mesures adoptées par le responsable du traitement n’étaient pas appropriées, sans même permettre à ce dernier d’apporter la preuve contraire. La responsabilité n’est donc pas automatique : le responsable du traitement conserve la possibilité de renverser cette présomption en démontrant que les mesures prises étaient effectivement appropriées au regard du risque existant.
VI.
L’articulation RGPD / directive commerce électronique : l’irrecevabilité du bouclier du prestataire intermédiaire
La première question préjudicielle — traitée en dernier lieu dans la logique de la Cour — porte sur la question de savoir si l’exploitant d’une place de marché en ligne, en tant que responsable du traitement au sens du RGPD, peut invoquer, pour s’exonérer des obligations qui lui incombent en vertu du RGPD, les dispositions des articles 12 à 15 de la directive 2000/31/CE relatives à la responsabilité des prestataires intermédiaires (simple transport, caching, hébergement).
La Cour répond par la négative, avec une clarté absolue, en opérant une articulation rigoureuse entre les deux instruments du droit de l’Union.
D’une part, l’article 1er, paragraphe 5, sous b), de la directive 2000/31/CE dispose expressément que cette directive n’est pas applicable aux questions relatives aux services de la société de l’information couvertes par les directives 95/46 et 97/66 — désormais remplacées respectivement par le RGPD et la directive 2002/58/CE. La Cour avait déjà jugé que la protection que vise à assurer la directive 2000/31/CE ne peut, en tout état de cause, pas porter atteinte aux exigences résultant du RGPD (arrêt La Quadrature du Net, C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 200). Il s’ensuit que les questions liées à la protection des données à caractère personnel doivent être appréciées à l’aune du seul RGPD.
D’autre part, l’article 2, paragraphe 4, du RGPD prévoit que le règlement « s’applique sans préjudice de la directive 2000/31/CE, et notamment de ses articles 12 à 15 ». La Cour interprète cette disposition en ce sens que le fait qu’un opérateur soit titulaire d’obligations prévues par le RGPD n’exclut pas automatiquement qu’il puisse se prévaloir des articles 12 à 15 de la directive 2000/31/CE pour des questions autres que celles relatives à la protection des données à caractère personnel. En revanche, une lecture conjointe de l’article 1er, paragraphe 5, sous b), de la directive 2000/31/CE et de l’article 2, paragraphe 4, du RGPD conduit à la conclusion que les dispositions de cette directive ne sauraient interférer avec le régime du RGPD.
En particulier, l’éventuel bénéfice de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31/CE — dont l’exploitant d’une place de marché en ligne pourrait se prévaloir quant aux informations hébergées sur son site Internet — ne saurait interférer avec le régime du RGPD qui s’applique à un tel exploitant comme à tout autre opérateur relevant du champ d’application de ce règlement. De même, l’obligation pour l’exploitant de se conformer aux exigences découlant du RGPD ne saurait être qualifiée d’obligation générale en matière de surveillance au sens de l’article 15 de la directive 2000/31/CE.
Ce faisant, la Cour tranche définitivement une controverse doctrinale et jurisprudentielle relative à l’articulation entre le droit des données personnelles et la directive commerce électronique : le statut de prestataire intermédiaire ne constitue pas un bouclier permettant de s’affranchir des obligations découlant de la qualité de responsable du traitement.
VII.
Le dispositif de l’arrêt
Point 1 : L’article 5, paragraphe 2, ainsi que les articles 24 à 26 du RGPD doivent être interprétés en ce sens que l’exploitant d’une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, est tenu, avant la publication des annonces et au moyen de mesures techniques et organisationnelles appropriées, d’identifier les annonces qui contiennent des données sensibles au sens de l’article 9, paragraphe 1, du RGPD, de vérifier si l’utilisateur annonceur s’apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce et, si tel n’est pas le cas, de refuser la publication de celle-ci, à moins que cet utilisateur annonceur ne puisse démontrer que la personne concernée a donné son consentement explicite ou que l’une des autres exceptions de l’article 9, paragraphe 2, sous b) à j), est remplie.
Point 2 : L’article 32 du RGPD doit être interprété en ce sens que l’exploitant d’une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d’empêcher que des annonces y étant publiées et contenant des données sensibles soient copiées et illicitement publiées sur d’autres sites Internet.
Point 3 : L’article 1er, paragraphe 5, sous b), de la directive 2000/31/CE et l’article 2, paragraphe 4, du RGPD doivent être interprétés en ce sens que l’exploitant d’une place de marché en ligne, en tant que responsable du traitement au sens de l’article 4, point 7, du RGPD, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, ne peut pas se prévaloir, à l’égard d’une violation des obligations découlant de l’article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement, des articles 12 à 15 de la directive 2000/31/CE, relatifs à la responsabilité des prestataires intermédiaires.
VIII.
Apport doctrinal et portée systémique de l’arrêt
L’arrêt C-492/23 s’inscrit dans la lignée des grandes décisions de la Cour relatives à la notion de responsable du traitement — de Google Spain à Fashion ID en passant par Wirtschaftsakademie Schleswig-Holstein — tout en apportant une contribution originale sur plusieurs plans.
Sur la notion de responsable du traitement, la Cour confirme et approfondit la conception fonctionnelle et téléologique de cette notion, en l’étendant aux opérateurs de plateformes qui exercent une emprise sur la diffusion des données sans en être les auteurs directs. La référence explicite aux paramètres de diffusion (présentation, durée, rubriques, classement) comme éléments de détermination des moyens essentiels du traitement est particulièrement significative : elle permet de capturer la responsabilité des architectures algorithmiques de distribution de contenu.
Sur la responsabilité conjointe, la Cour précise que la responsabilité conjointe au sens de l’article 26 implique des obligations actives et distinctes pour chaque co-responsable, y compris l’obligation de vérifier l’identité de l’autre co-responsable. Cette précision est inédite dans la jurisprudence de la Cour.
Sur la protection des données sensibles, la Cour consacre une obligation de contrôle pré-publication pour les annonces contenant des données sensibles, dérogeant ainsi au principe général de prohibition de la surveillance générale des contenus hérité de la directive commerce électronique. Cette obligation est justifiée par la gravité particulière du risque lié aux données sensibles et par l’exigence d’un consentement explicite.
Sur l’articulation RGPD/directive commerce électronique, l’arrêt établit une primauté fonctionnelle du RGPD sur la directive 2000/31/CE pour les questions relatives à la protection des données personnelles, tout en préservant l’application de la directive pour les questions non couvertes par le RGPD. Cette articulation, fondée sur une lecture conjointe de l’article 1er, paragraphe 5, sous b), de la directive et de l’article 2, paragraphe 4, du RGPD, est d’une portée considérable pour les opérateurs du numérique.
Sur la sécurité du traitement, la Cour précise que l’obligation de sécurité de l’article 32 inclut des mesures anti-copie et anti-dissémination, et qu’elle s’apprécie dès la conception du service. Cette précision est directement applicable aux plateformes UGC (user-generated content) et aux marketplaces de toute nature.
POINTS ESSENTIELS
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats