CJUE | ARRÊT DU 2 DÉCEMBRE 2025 | C-492/23 | RUSSMEDIA DIGITAL ET INFORM MEDIA PRESS │
PROTECTION DES DONNÉES : L’EXPLOITANT D’UN SITE DE MARCHÉ EN LIGNE EST RESPONSABLE DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL CONTENUES DANS LES ANNONCES PUBLIÉES SUR SA PLATEFORME
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I.
L’arrêt rendu le 2 décembre 2025 par la grande chambre de la Cour de justice (ECLI:EU:C:2025:935) dans l’affaire C-492/23 X contre Russmedia Digital SRL et Inform Media Press SRL marque un tournant décisif dans l’articulation entre le droit des données personnelles et le régime de responsabilité des prestataires intermédiaires en ligne. À la suite d’une demande de décision préjudicielle de la cour d’appel de Cluj (Roumanie), la Cour, statuant en grande chambre, tranche avec clarté et fermeté les questions soulevées par la publication non consentie, sur une place de marché en ligne, d’une annonce mensongère contenant des données à caractère personnel sensibles d’une personne physique.
Les faits à l’origine de l’affaire sont éloquents dans leur gravité : le 1er août 2018, une tierce personne non identifiée a publié sur Publi24.ro — place de marché en ligne exploitée par Russmedia Digital SRL — une annonce présentant une personne physique, X, comme offrant des services sexuels, en utilisant ses photographies et son numéro de téléphone extraits de ses réseaux sociaux sans son consentement. Russmedia a retiré l’annonce moins d’une heure après la demande de X, mais l’annonce avait entre-temps été copiée sur d’autres sites Internet, où elle est restée accessible. La juridiction roumaine de première instance avait condamné Russmedia à indemniser X. La juridiction d’appel spécialisée avait infirmé cette décision en faisant valoir le statut de simple hébergeur de Russmedia, avant que la cour d’appel de Cluj ne saisisse la Cour de justice.
II.
L’exploitant d’une place de marché en ligne est responsable du traitement
La question initiale — et la plus fondamentale — était de savoir si Russmedia pouvait être qualifiée de responsable du traitement au sens de l’article 4, point 7, du RGPD. La Cour répond par l’affirmative, avec une motivation rigoureuse. Elle rappelle qu’une personne est responsable du traitement dès lors qu’elle influence ce traitement pour des finalités qui lui sont propres, même si elle n’en a pas déterminé le contenu spécifique.
En l’espèce, Russmedia se réserve contractuellement le droit de distribuer, transmettre, reproduire, modifier et céder à des partenaires les contenus publiés sur sa plateforme, y compris les données personnelles qu’ils contiennent. Elle publie donc ces données non pas seulement pour le compte des annonceurs, mais pour des finalités commerciales et publicitaires qui lui sont propres. De plus, en fixant les paramètres de diffusion (présentation, durée, rubriques, classement), elle participe à la détermination des moyens essentiels du traitement. La circonstance qu’elle n’ait pas participé à la finalité mensongère de l’annonce est sans incidence sur cette qualification, car en permettant le dépôt anonyme d’annonces, elle a facilité la publication des données sans consentement.
III.
La responsabilité conjointe et les obligations d’accountability
Une fois Russmedia qualifiée de responsable du traitement, la Cour précise qu’elle est co-responsable conjointement avec l’utilisateur annonceur au sens de l’article 26 du RGPD. Cette co-responsabilité emporte des obligations actives d’accountability (article 5, paragraphe 2) : chaque responsable conjoint doit être en mesure de démontrer que le traitement est conforme au RGPD.
En pratique, ces obligations se traduisent par une chaîne de diligences préalables à toute publication d’annonce contenant des données sensibles :
Premièrement, l’exploitant doit identifier les annonces contenant des données sensibles avant leur publication, en mettant en œuvre les mesures techniques et organisationnelles appropriées (articles 24 et 25 du RGPD — privacy by design).
Deuxièmement, l’exploitant doit vérifier l’identité de l’utilisateur annonceur et s’assurer qu’il est bien la personne dont les données sensibles figurent dans l’annonce. Cette obligation exclut le dépôt anonyme d’annonces contenant de telles données.
Troisièmement, si l’annonceur n’est pas la personne concernée et ne peut pas démontrer le consentement explicite de cette dernière ni aucune autre exception de l’article 9, paragraphe 2, l’exploitant doit refuser la publication de l’annonce.
IV.
L’obligation de sécurité : prévenir la dissémination des données sensibles
La Cour consacre par ailleurs une obligation de sécurité proactive au titre de l’article 32 du RGPD : l’exploitant d’une place de marché en ligne est tenu de mettre en œuvre des mesures techniques et organisationnelles appropriées pour empêcher la copie et la diffusion sur d’autres sites Internet des annonces contenant des données sensibles.
La Cour souligne que, une fois publiées en ligne, les données sensibles peuvent être copiées et reproduites sur d’autres sites, rendant ainsi impossible — ou très difficile — l’exercice effectif du droit à l’effacement (article 17 du RGPD). Cette perte de contrôle sur les données, qui prive de tout effet utile les droits et garanties du RGPD, est un risque que le responsable du traitement doit anticiper dès la conception de son service. À ce titre, il doit envisager toutes les mesures techniques disponibles pour bloquer la copie et la reproduction des contenus en ligne.
La Cour précise toutefois que la seule survenance d’une dissémination illicite ne suffit pas à conclure automatiquement que les mesures prises n’étaient pas appropriées : le responsable du traitement conserve la possibilité de prouver le caractère adapté des mesures mises en place.
V.
L’impossibilité d’invoquer le « bouclier » du prestataire intermédiaire
La question la plus attendue par les acteurs de l’économie numérique était de savoir si l’exploitant d’une place de marché en ligne pouvait se prévaloir, face à une violation de ses obligations au titre du RGPD, des exonérations de responsabilité prévues par les articles 12 à 15 de la directive 2000/31/CE sur le commerce électronique (responsabilité des hébergeurs, des transporteurs, des caches).
La Cour répond sans ambiguïté par la négative : l’article 1er, paragraphe 5, sous b), de la directive 2000/31/CE précise expressément que cette directive ne s’applique pas aux questions relatives à la protection des données à caractère personnel. Une lecture conjointe de cette disposition et de l’article 2, paragraphe 4, du RGPD conduit à la conclusion que les règles de la directive commerce électronique ne sauraient interférer avec le régime du RGPD. L’exploitant qui viole ses obligations en tant que responsable du traitement ne peut pas se réfugier derrière son statut de prestataire intermédiaire pour s’y soustraire.
DIRECTION GÉNÉRALE — DIRECTION DES SYSTÈMES D’INFORMATION
Cet arrêt impose une révision immédiate des architectures de toute plateforme permettant la publication d’annonces ou de contenus générés par des utilisateurs. L’anonymat des annonceurs publiant des données sensibles est désormais incompatible avec le RGPD. Des systèmes de vérification d’identité préalable à la publication, des mécanismes de détection automatisée des données sensibles, et des dispositifs anti-copie techniques doivent être mis en œuvre dès la conception des services concernés, conformément aux principes de privacy by design et par défaut.
DIRECTION JURIDIQUE — DIRECTION COMPLIANCE
La qualification de responsable conjoint du traitement emporte une responsabilité indépendante de chaque opérateur de la chaîne de traitement, y compris l’exploitant de la plateforme, même lorsqu’il n’a pas déterminé le contenu des données traitées. Il convient de revoir l’ensemble des contrats avec les annonceurs et utilisateurs pour y intégrer les obligations de transparence imposées par l’article 26 du RGPD, et de s’assurer que la politique de modération des contenus intègre les nouvelles exigences relatives aux données sensibles.
POINTS ESSENTIELS
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats