CJUE | ARRÊT DU 2 DÉCEMBRE 2025 | C-492/23 | RUSSMEDIA DIGITAL ET INFORM MEDIA PRESS │
DONNÉES SENSIBLES PUBLIÉES SANS VOTRE CONSENTEMENT SUR UNE PLATEFORME D’ANNONCES
LA CJUE CONSACRE VOTRE DROIT À UNE PROTECTION EFFECTIVE ET L’OBLIGATION DE L’EXPLOITANT DE L’ANTICIPER.
PROTECTION DES DONNÉES : L’EXPLOITANT D’UN SITE DE MARCHÉ EN LIGNE EST RESPONSABLE DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL CONTENUES DANS LES ANNONCES PUBLIÉES SUR SA PLATEFORME
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
CONSEILS AUX RESPONSABLES DE TRAITEMENT EXPLOITANT UNE PLACE DE MARCHÉ EN LIGNE
L’arrêt Russmedia Digital établit un cadre d’obligations positives précis et contraignant pour tout opérateur exploitant une plateforme en ligne sur laquelle des utilisateurs tiers peuvent publier des annonces, petites annonces, offres ou contenus susceptibles de contenir des données à caractère personnel — et a fortiori des données sensibles au sens de l’article 9 du RGPD.
A. AUDIT PRÉALABLE ET REQUALIFICATION JURIDIQUE DE L’ACTIVITÉ
Tout exploitant d’une place de marché en ligne, d’une plateforme de petites annonces ou d’un service d’hébergement de contenus générés par des tiers doit procéder, sans délai, à une revue complète de ses conditions générales d’utilisation (CGU) et de sa politique de protection des données à la lumière de l’arrêt Russmedia Digital.
En particulier, toute clause contractuelle réservant à l’exploitant un droit d’utiliser, de reproduire, de distribuer, de modifier, de céder ou d’effacer les contenus publiés par les utilisateurs emporte ipso facto qualification du responsable du traitement au sens de l’article 4, point 7, du RGPD pour les données à caractère personnel contenues dans ces contenus. L’exploitant ne peut plus se prévaloir d’une qualité de simple hébergeur neutre ou de sous-traitant pour échapper aux obligations du RGPD.
Il convient donc de procéder à :
—-L’identification de toutes les catégories de données à caractère personnel susceptibles d’être contenues dans les annonces publiées par les utilisateurs, en accordant une attention particulière aux données sensibles (données relatives à la vie sexuelle, à l’orientation sexuelle, à la santé, aux convictions religieuses, aux opinions politiques, à l’origine raciale ou ethnique) ;
—-La mise à jour du registre des activités de traitement (art. 30 RGPD) pour inclure expressément les traitements portant sur les données à caractère personnel contenues dans les annonces publiées par les utilisateurs, en précisant les finalités commerciales et publicitaires propres à l’exploitant ;
—-La mise à jour de l’analyse d’impact relative à la protection des données (AIPD) (art. 35 RGPD), en intégrant les risques spécifiques liés à la publication anonyme d’annonces contenant des données sensibles et à la dissémination de ces données sur des tiers sites.
B. MISE EN ŒUVRE DES MESURES DE PRIVACY BY DESIGN ET PRIVACY BY DEFAULT
L’arrêt Russmedia Digital impose expressément à l’exploitant de mettre en œuvre des mesures techniques et organisationnelles appropriées dès la conception de son service (art. 25 RGPD — privacy by design). Les mesures suivantes doivent être déployées sans délai :
1. Détection et filtrage des annonces contenant des données sensibles :
L’exploitant est tenu d’identifier, avant publication, les annonces susceptibles de contenir des données sensibles. Cette obligation peut être satisfaite par :
—-La mise en place de systèmes d’analyse automatisée du contenu des annonces (filtres de contenu, intelligence artificielle de classification) capables de détecter les données sensibles, notamment les données relatives à la vie sexuelle, à la santé ou à l’orientation sexuelle ;
—-La définition de catégories d’annonces présentant un risque élevé de contenir des données sensibles (par exemple, les rubriques « rencontres », « escort », « santé », « bien-être ») et l’application d’un régime de vérification renforcée à ces catégories ;
—-L’obligation, pour l’utilisateur annonceur, de déclarer expressément si son annonce contient des données à caractère personnel concernant des tiers.
2. Vérification préalable de l’identité de l’utilisateur annonceur :
L’exploitant est tenu de vérifier l’identité de l’utilisateur annonceur avant la publication de toute annonce contenant des données sensibles. Cette obligation implique de mettre fin à la publication anonyme pour les annonces contenant des données sensibles et de déployer un processus de vérification de l’identité de l’annonceur. Les modalités pratiques peuvent inclure :
—-La vérification par pièce d’identité (KYC — Know Your Customer) pour les annonces dans les rubriques à risque élevé ;
—-La confirmation par adresse électronique ou numéro de téléphone vérifiés comme condition préalable à la publication ;
—-Le recours à des solutions d’authentification fortes (eIDAS, France Identité, etc.).
3. Refus de publication des annonces illicites :
L’exploitant doit mettre en place un processus de refus automatique ou manuel de la publication d’une annonce contenant des données sensibles lorsque l’utilisateur annonceur n’est manifestement pas la personne dont les données figurent dans l’annonce et qu’aucun consentement explicite ni aucune des exceptions prévues à l’article 9, §2, sous b) à j), du RGPD ne peut être établi.
4. Mesures de sécurité anti-dissémination :
L’exploitant est tenu de mettre en œuvre des mesures techniques appropriées pour empêcher la copie des annonces contenant des données sensibles et leur publication sur d’autres sites Internet (art. 32 RGPD). Ces mesures peuvent inclure :
—-La mise en place de protections techniques contre le scraping (limitation des accès par API, CAPTCHAs, watermarking des contenus) ;
—-L’intégration de clauses contractuelles interdisant la réutilisation des contenus à des fins de publication sur d’autres sites ;
—-La mise en place de mécanismes de surveillance et de détection de la réutilisation illicite des contenus sur des tiers sites.
C. GOUVERNANCE DE LA RESPONSABILITÉ CONJOINTE (ARTICLE 26 RGPD)
La Cour confirmant la responsabilité conjointe de l’exploitant et de l’utilisateur annonceur, il est impératif de formaliser cette coresponsabilité par un accord de responsabilité conjointe conforme à l’article 26 du RGPD. Cet accord doit notamment préciser :
—-La répartition des obligations respectives entre l’exploitant et l’utilisateur annonceur en matière de protection des données ;
—-Les modalités de l’exercice des droits des personnes concernées (point de contact, délais de traitement) ;
—-Les mécanismes d’information des personnes concernées, en application des articles 13 et 14 du RGPD.
En pratique, ces dispositions peuvent être intégrées dans les CGU de la plateforme, dès lors que les obligations imposées à l’utilisateur annonceur sont transparentes et clairement communiquées.
D. COMMUNICATION ET TRANSPARENCE À L’ÉGARD DES PERSONNES CONCERNÉES
L’exploitant est tenu, en application des articles 13 et 14 du RGPD, d’informer les personnes concernées dont les données sont susceptibles d’être publiées sur sa plateforme par des tiers. En pratique, cette obligation soulève une difficulté importante : l’exploitant peut ne pas avoir accès aux coordonnées de la personne concernée avant la publication de l’annonce, précisément parce que celle-ci a été publiée à son insu. Il convient donc de prévoir :
—-Un mécanisme de signalement facilement accessible permettant aux personnes concernées de notifier à l’exploitant la publication non autorisée de leurs données ;
—-Un processus de traitement accéléré des demandes de retrait avec confirmation de prise en charge dans un délai très bref (idéalement inférieur à 24 heures) ;
—-Des mesures correctives post-publication pour limiter la dissémination des données déjà publiées.
CONSEILS AUX PERSONNES CONCERNÉES VICTIMES DE PUBLICATIONS NON AUTORISÉES DE LEURS DONNÉES
A. QUALIFICATION DES FAITS ET FONDEMENTS JURIDIQUES
Les personnes physiques dont les données à caractère personnel, notamment sensibles, ont été publiées sans leur consentement sur une place de marché en ligne disposent d’un arsenal juridique consolidé par l’arrêt Russmedia Digital. Il convient en particulier de caractériser :
—-Une violation de l’article 9 du RGPD : traitement de données sensibles sans consentement explicite de la personne concernée ;
—-Une violation de l’article 5 du RGPD (licéité, loyauté, transparence ; exactitude ; limitation des finalités) ;
—-Une violation des articles 24 et 25 du RGPD : défaut de mesures techniques et organisationnelles appropriées de la part du responsable du traitement ;
—-Une violation de l’article 32 du RGPD : défaut de mesures de sécurité appropriées, notamment en l’absence de protection contre la dissémination des données sur d’autres sites.
B. VOIES DE RECOURS IMMÉDIATES
1. Demande de retrait immédiat auprès de l’exploitant de la plateforme :
La personne concernée doit adresser une demande de retrait immédiat de l’annonce à l’exploitant, en qualité de responsable du traitement, sur le fondement du droit à l’effacement prévu à l’article 17 du RGPD. L’arrêt Russmedia Digital confirme que l’exploitant ne peut pas opposer à cette demande l’exonération de responsabilité de la directive e-commerce pour les questions relatives à la protection des données.
2. Signalement et réclamation auprès de l’autorité de contrôle nationale :
La personne concernée peut déposer une réclamation auprès de l’autorité de contrôle nationale compétente (en France, la CNIL) sur le fondement de l’article 77 du RGPD. L’arrêt Russmedia Digital fournit des arguments solides à l’appui de cette réclamation, en particulier pour documenter les manquements de l’exploitant à ses obligations d’identification préalable des annonces contenant des données sensibles et de vérification de l’identité des annonceurs.
3. Action en responsabilité civile pour dommages-intérêts :
La personne concernée peut exercer une action en responsabilité civile contre l’exploitant de la place de marché sur le fondement de l’article 82 du RGPD, pour obtenir réparation du préjudice moral subi du fait de la violation de ses droits. La preuve du dommage moral résultant de la publication de données sensibles relatives à sa vie sexuelle, à son image ou à sa réputation est en principe aisée à rapporter.
4. Mesures d’urgence judiciaires :
Dans les cas les plus graves, la personne concernée peut solliciter en référé une ordonnance de retrait d’urgence des données publiées, assortie d’une astreinte, sur le fondement du trouble manifestement illicite causé par la publication sans consentement de données sensibles.
C. STRATÉGIE FACE À LA DISSÉMINATION DES DONNÉES
L’arrêt Russmedia Digital souligne le risque particulier de dissémination irréversible des données une fois publiées en ligne. Face à ce risque, la personne concernée doit :
—-Documenter immédiatement et exhaustivement les publications litigieuses (captures d’écran horodatées, URL, sites réutilisant l’annonce) afin de constituer un dossier probatoire solide ;
—-Adresser des demandes de retrait simultanées à tous les sites ayant repris l’annonce, en se fondant sur le droit à l’effacement de l’article 17 du RGPD et, le cas échéant, sur le droit au déréférencement auprès des moteurs de recherche ;
—-Alerter son conseil dès la constatation de la publication, afin que celui-ci puisse évaluer l’opportunité et l’urgence des voies de recours disponibles et prendre des mesures conservatoires.
POINTS ESSENTIELS
Par son arrêt du 2 décembre 2025 rendu en grande chambre, la Cour de justice de l’Union européenne, saisie à titre préjudiciel par la Curtea de Apel Cluj (cour d’appel de Cluj, Roumanie) dans un litige opposant une personne physique (X) à la société Russmedia Digital SRL, exploitante du site de petites annonces publi24.ro sur lequel une tierce personne non identifiée avait publié de manière anonyme, en août 2018, une annonce mensongère et préjudiciable présentant X comme offrant des services sexuels avec ses photos et son numéro de téléphone utilisés sans son consentement — annonce rapidement retirée par Russmedia mais ayant été reprise sur de nombreux autres sites.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats