CJUE | ARRÊT DU 2 DÉCEMBRE 2025 | C-492/23 | RUSSMEDIA DIGITAL ET INFORM MEDIA PRESS │
DONNÉES SENSIBLES PUBLIÉES SANS VOTRE CONSENTEMENT SUR UNE PLATEFORME D’ANNONCES
LA CJUE CONSACRE VOTRE DROIT À UNE PROTECTION EFFECTIVE ET L’OBLIGATION DE L’EXPLOITANT DE L’ANTICIPER.
PROTECTION DES DONNÉES : L’EXPLOITANT D’UN SITE DE MARCHÉ EN LIGNE EST RESPONSABLE DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL CONTENUES DANS LES ANNONCES PUBLIÉES SUR SA PLATEFORME
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
MOTIVATION DE LA COUR
LA QUALIFICATION DE RESPONSABLE DU TRAITEMENT (§§ 48-75)
À titre liminaire, avant de répondre aux questions préjudicielles, la Cour estime nécessaire d’apporter des clarifications sur les notions de « responsable du traitement » et de « responsables conjoints » au sens des articles 4, point 7, et 26 du RGPD, dans la mesure où les questions posées par la juridiction de renvoi sont fondées sur la prémisse que Russmedia a la qualité de responsable du traitement — prémisse que la Cour valide et consolide.
Sur la définition large du responsable du traitement : L’article 4, point 7, du RGPD définit de manière large la notion de responsable du traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel » (§ 56-57). L’objectif de cette définition large consiste à assurer « une protection efficace des libertés et des droits fondamentaux des personnes physiques ainsi qu’un niveau élevé de protection du droit de toute personne à la protection des données à caractère personnel la concernant » (§ 57, citant Nacionalinis visuomenės sveikatos centras, C-683/21, point 29).
Sur l’application à Russmedia : La Cour identifie les deux fondements de la qualité de responsable du traitement de Russmedia :
—-Détermination des finalités : Russmedia publie des données à caractère personnel à des fins commerciales ou publicitaires qui lui sont propres et qui vont au-delà de la simple prestation de service fournie à l’utilisateur annonceur (§ 66-68). Elle se réserve contractuellement le droit d’utiliser, distribuer, reproduire, modifier, céder et effacer les contenus publiés, y compris les données à caractère personnel, « à tout moment et sans avoir besoin d’une raison valable pour le faire » (§ 67).
—-Détermination des moyens : En fixant les paramètres de diffusion des annonces susceptibles de contenir des données à caractère personnel en fonction des destinataires visés, en déterminant la présentation et la durée de cette diffusion, les rubriques structurant les informations publiées et en organisant le classement, Russmedia « participe à la détermination des moyens essentiels de la publication des données à caractère personnel concernées, en influant ainsi de manière décisive sur leur diffusion globale » (§ 72).
Sur l’irresponsabilité du contenu de l’annonce : La Cour rejette toute tentative de Russmedia de se soustraire à sa qualité de responsable du traitement au motif qu’elle n’a pas déterminé le contenu de l’annonce litigieuse : « En effet, toute autre interprétation serait de nature porter atteinte à l’objectif du RGPD, qui est d’assurer une protection efficace et complète des personnes concernées, par une définition large de la notion de “responsable de traitement” » (§ 75).
Sur la responsabilité conjointe : La Cour confirme que Russmedia et l’utilisateur annonceur sont des responsables conjoints au sens de l’article 26 du RGPD (§ 63). Elle précise que la coresponsabilité ne suppose pas l’accès aux mêmes données par chaque responsable, ni une responsabilité équivalente, dès lors que « ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés » (§ 63-64).
B. SUR LES OBLIGATIONS DE L’EXPLOITANT D’UNE PLACE DE MARCHÉ (§§ 77-126)
1. IDENTIFICATION PRÉALABLE DES ANNONCES CONTENANT DES DONNÉES SENSIBLES (§§ 82-100)
La Cour analyse si l’exploitant est tenu, avant publication, d’identifier les annonces contenant des données sensibles au sens de l’article 9, §1, du RGPD. Elle rappelle préalablement que les données relatives à la vie sexuelle constituent des données sensibles au sens de cette disposition et que la définition large de telles données couvre également celles dévoilant indirectement, par déduction ou recoupement, des informations de cette nature (§ 52-53, citant Commission/Pologne, C-204/21, point 344).
Au fond, la Cour rappelle les obligations générales de responsabilité et de conformité qui incombent au responsable du traitement en vertu des articles 5, §2, 24 et 25 du RGPD (§ 86-89). L’article 24 exige que le responsable du traitement « mette en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que ledit traitement a été effectué conformément à ce règlement » (§ 87). La Cour souligne que :
—-La publication de données à caractère personnel sur une place de marché en ligne comporte des risques significatifs pour les droits et libertés de la personne concernée, dès lors qu’elle rend ces données accessibles à tout utilisateur d’Internet (§ 93).
—-Ces risques sont d’autant plus sérieux lorsqu’il s’agit de données sensibles et lorsque l’annonceur peut publier de manière anonyme (§ 95-96).
—-Le degré de probabilité d’une violation est très élevé lorsque l’utilisateur annonceur n’est pas la personne concernée et lorsque la plateforme permet l’anonymat (§ 96).
Partant, l’exploitant est tenu, « dès la conception de son service », de mettre en œuvre les mesures techniques et organisationnelles appropriées pour identifier de telles annonces avant leur publication et pour vérifier si les données sensibles qu’elles contiennent sont publiées dans le respect du RGPD (§ 100).
2. VÉRIFICATION PRÉALABLE DE L’IDENTITÉ DE L’UTILISATEUR ANNONCEUR (§§ 101-105)
La Cour analyse ensuite si l’exploitant est tenu de vérifier l’identité de l’utilisateur annonceur avant la publication d’une annonce contenant des données sensibles.
Elle rappelle que le traitement de données sensibles n’est licite qu’avec le consentement explicite de la personne concernée (art. 9, § 2, sous a)) et précise qu’un tel consentement fait défaut lorsque la publication est effectuée par un tiers, sans l’accord de la personne concernée. En conséquence :
« L’exploitant d’une place de marché en ligne est donc tenu de vérifier, avant la publication d’une telle annonce, si l’utilisateur annonceur est la personne dont les données figurent dans l’annonce, ce qui présuppose de recueillir son identité. » (§ 105)
La Cour justifie cette obligation par la nécessité de limiter le risque d’un traitement illicite et de « lutter contre l’usage déloyal d’une telle place de marché en ligne, en limitant le sentiment d’impunité et en incitant ainsi les utilisateurs annonceurs à se conformer aux exigences du RGPD » (§ 105).
3. REFUS DE PUBLICATION DES ANNONCES ILLICITES (§ 106)
L’exploitant doit refuser la publication d’une annonce contenant des données sensibles lorsque, après vérification, l’utilisateur annonceur n’est pas la personne dont les données sensibles figurent dans l’annonce et qu’il ne peut pas démontrer que la personne concernée a donné son consentement explicite à la publication ou que l’une des autres exceptions à l’interdiction du traitement de ces données (art. 9, sous b) à j)) est remplie.
4. MESURES DE SÉCURITÉ CONTRE LA DISSÉMINATION (§§ 118-126)
Au titre de l’article 32 du RGPD, la Cour précise l’obligation de sécurité du responsable du traitement face au risque de dissémination des données sur d’autres sites. Elle souligne que :
—-Une fois qu’une annonce est en ligne et accessible globalement, la dissémination des données comporte « notamment, le risque d’une perte de contrôle des données à caractère personnel concernées qui, lorsqu’il advient, prive de tout effet utile les droits et garanties prévus par le RGPD au bénéfice de la personne concernée, au premier chef desquels figure le droit à l’effacement » (§ 118).
—-L’exploitant est donc tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d’empêcher que des annonces contenant des données sensibles soient copiées et illicitement publiées sur d’autres sites Internet (§ 126).
C. SUR L’ARTICULATION ENTRE LE RGPD ET LA DIRECTIVE SUR LE COMMERCE ÉLECTRONIQUE (§§ 127-136)
La Cour clôt son raisonnement en se prononçant sur l’impossibilité, pour un exploitant de place de marché en ligne responsable du traitement, de se prévaloir des articles 12 à 15 de la directive 2000/31/CE pour s’exonérer de ses obligations découlant du RGPD.
Elle fonde ce raisonnement sur deux bases :
1. L’article 1er, §5, sous b), de la directive 2000/31 dispose que les questions relatives à la protection des données à caractère personnel doivent être appréciées à l’aune du RGPD, et que cette directive ne peut, en tout état de cause, pas porter atteinte aux exigences résultant de ce règlement. L’éventuel bénéfice de l’exonération de responsabilité prévue à l’article 14, §1, de la directive 2000/31 « ne saurait interférer avec le régime du RGPD » (§ 132).
2. L’article 2, §4, du RGPD dispose que le RGPD s’applique sans préjudice de la directive sur le commerce électronique. La Cour précise que le fait qu’un opérateur soit titulaire d’obligations prévues par le RGPD « n’exclut pas automatiquement qu’il puisse se prévaloir des articles 12 à 15 de la directive sur le commerce électronique pour des questions autres que celles relatives à la protection des données à caractère personnel » (§ 135). Ce point limite soigneusement la portée de l’exclusion.
EU:C:2025:68)
POSITION DIVERGENTE SUR LA QUALIFICATION DE L’EXPLOITANT
L’Avocat général Szpunar propose une lecture plus nuancée de la situation de Russmedia au regard du RGPD, distinguant deux catégories de données traitées sur la plateforme :
Pour les données contenues dans les annonces des utilisateurs : l’Avocat général qualifie Russmedia de sous-traitant au sens du RGPD, estimant que son rôle est essentiellement technique pour l’hébergement et la diffusion des contenus générés par des tiers. Il en déduit que Russmedia n’est pas obligée de contrôler systématiquement le contenu des annonces avant leur publication, mais qu’elle doit adopter des mesures organisationnelles et techniques pour protéger ces données.
Pour les données des utilisateurs annonceurs enregistrés sur la place de marché : l’Avocat général considère que Russmedia agit en qualité de responsable du traitement et doit, à ce titre, vérifier l’identité des utilisateurs annonceurs.
POSITION CONCORDANTE SUR LA DIRECTIVE E-COMMERCE
Sur l’articulation avec la directive 2000/31, l’Avocat général confirme que Russmedia peut bénéficier de l’exonération de responsabilité prévue à l’article 14, §1, de cette directive en ce qui concerne le contenu des annonces publiées, à condition que son rôle reste neutre et purement technique. Cette protection ne s’applique pas en cas d’intervention active dans la gestion, la modification ou la promotion des contenus.
DISPOSITIF DE L’ARRÊT ET DES CONCLUSIONS DE L’AVOCAT GÉNÉRAL
DISPOSITIF DE L’ARRÊT (2 DÉCEMBRE 2025)
Point 1 du dispositif :
L’article 4, point 7, du règlement (UE) 2016/679 […] doit être interprété en ce sens que l’exploitant d’une place de marché en ligne, qui publie des annonces sur sa place de marché en ligne à des fins commerciales ou publicitaires qui lui sont propres, participe à la détermination des finalités et des moyens du traitement des données à caractère personnel contenues dans ces annonces, de sorte qu’il doit être qualifié de responsable du traitement de ces données, conjointement avec l’utilisateur annonceur.
Les articles 5, §2, et 24 à 26 de ce règlement doivent être interprétés en ce sens que cet exploitant, en tant que responsable du traitement, conjointement avec l’utilisateur annonceur, des données à caractère personnel contenues dans les annonces publiées sur sa place de marché en ligne, est tenu, avant la publication de ces annonces, d’identifier celles qui contiennent des données sensibles, au sens de l’article 9, §1, dudit règlement, de vérifier si l’utilisateur annonceur s’apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce et, si tel n’est pas le cas, de refuser la publication de celle-ci en l’absence d’un consentement explicite ou d’une autre exception prévus à l’article 9, §2, du même règlement.
Point 2 du dispositif :
L’article 4, point 7, l’article 5, §2, et l’article 32 du règlement 2016/679 doivent être interprétés en ce sens que cet exploitant est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d’empêcher que des annonces contenant des données sensibles, publiées sur sa place de marché en ligne, soient copiées et illicitement publiées sur d’autres sites Internet.
Point 3 du dispositif :
L’article 1er, §5, sous b), de la directive 2000/31/CE […] et l’article 2, §4, du règlement 2016/679 doivent être interprétés en ce sens que l’exploitant d’une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans les annonces publiées sur sa place de marché en ligne, ne peut pas se prévaloir, à l’égard d’une violation des obligations lui incombant en vertu du règlement 2016/679, des articles 12 à 15 de la directive 2000/31.
DISPOSITIF DES CONCLUSIONS DE L’AVOCAT GÉNÉRAL (6 FÉVRIER 2025)
L’Avocat général Szpunar a proposé à la Cour de répondre aux questions préjudicielles en qualifiant Russmedia de sous-traitant pour les données contenues dans les annonces, tout en maintenant sa qualité de responsable du traitement pour les données des utilisateurs annonceurs enregistrés. Il a conclu que l’exploitant pouvait bénéficier de l’exonération de responsabilité de la directive 2000/31 pour les contenus hébergés, sous réserve de neutralité de son rôle, mais devait adopter des mesures techniques et organisationnelles appropriées pour la protection des données.
POINTS ESSENTIELS
Par son arrêt du 2 décembre 2025 rendu en grande chambre, la Cour de justice de l’Union européenne, saisie à titre préjudiciel par la Curtea de Apel Cluj (cour d’appel de Cluj, Roumanie) dans un litige opposant une personne physique (X) à la société Russmedia Digital SRL, exploitante du site de petites annonces publi24.ro sur lequel une tierce personne non identifiée avait publié de manière anonyme, en août 2018, une annonce mensongère et préjudiciable présentant X comme offrant des services sexuels avec ses photos et son numéro de téléphone utilisés sans son consentement — annonce rapidement retirée par Russmedia mais ayant été reprise sur de nombreux autres sites.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats