Données personnelles : l’arrêt du 2 décembre 2025 applicable à tous les contenus des usagers des plateformes

Actualités, Données personnelles, , , , , , , , , , , , ,
CJUE C-492/23 : Responsabilité des plateformes de petites annonces en ligne au titre du RGPD

CJUE, Grande chambre, 2 décembre 2025 (C-492/23) : Responsabilité des plateformes de petites annonces en ligne au titre du RGPD

Hiérarchisation des textes : RGPD, DSA, Directive commerce électronique et surtout la généralisation de la solution qui s'étend à tous ceux qui ouvrent des espaces de communication ou publications aux utilisateurs. Ce premier regard sur cet arrêt est long, mais cette décision le mérite d'autant qu'elle va à l'encontre des conclusions de l'avocat général plus favorables aux plateformes.

Les faits

Une personne a vu publiée sur la plateforme roumaine de petites annonces (exploitée par Russmedia Digital) une annonce frauduleuse la présentant comme offrant des services sexuels. L'annonce contenait ses photographies et son numéro de téléphone personnel, utilisés sans consentement. Bien que la plateforme ait retiré l'annonce moins d'une heure après notification, celle-ci avait déjà été copiée et diffusée sur d'autres sites internet.

En première instance, la victime a obtenu des dommages-intérêts.

En appel, cette décision a été annulée, le tribunal ayant considéré que Russmedia bénéficiait de l'exonération de responsabilité prévue pour les hébergeurs passifs par la directive e-commerce (2000/31/CE, articles 12-15).

Questions préjudicielles posées à la CJUE

La Cour d'appel de Cluj a interrogé la Cour de justice sur :

  • 1. L'applicabilité de l'exonération de responsabilité des hébergeurs à une plateforme conservant des droits étendus sur les contenus publiés ;
  • 2. L'obligation pour la plateforme de vérifier l'identité de l'annonceur avant publication d'annonces contenant des données sensibles ;
  • 3. L'obligation de contrôler le contenu des annonces pour détecter les traitements illicites ;
  • 4. L'obligation de mettre en œuvre des mesures de sécurité pour empêcher la copie et la rediffusion des annonces contenant des données sensibles.

Les conclusions de l'Avocat général Szpunar (6 février 2025)

Position radicalement différente de l'arrêt final

L'Avocat général Maciej Szpunar avait proposé une approche beaucoup plus favorable aux plateformes, reposant sur trois piliers :

1. Qualification de sous-traitant (et non de responsable du traitement)

L'Avocat général estimait que Russmedia devait être qualifiée de sous-traitant pour les données contenues dans les annonces, et non de responsable du traitement. Selon lui, la plateforme ne détermine pas « pour des fins qui lui sont propres » les finalités et moyens du traitement de ces données. Ce sont les utilisateurs-annonceurs qui sont les véritables responsables du traitement.

« L'exploitant d'une place de marché en ligne, tel que Russmedia, ne semble pas exercer une influence, à des fins qui lui sont propres, sur la détermination de la finalité et des moyens du traitement des données à caractère personnel éventuellement contenues dans les annonces postées. » (point 99)

2. Pas d'obligation de contrôle préalable du contenu

En tant que sous-traitant, Russmedia n'aurait aucune obligation de :

  • Vérifier le contenu des annonces avant publication
  • Contrôler la licéité du traitement des données sensibles
  • Mettre en œuvre des mesures techniques pour empêcher la copie/rediffusion
« Dans le cas où […] Russmedia était effectivement un sous-traitant, il ne lui incombait pas de vérifier si le traitement était autorisé et licite. » (point 121)

3. Applicabilité de l'exonération de la directive e-commerce

L'Avocat général confirmait que Russmedia pouvait bénéficier de l'exonération de responsabilité de l'article 14 de la directive e-commerce, y compris pour les violations du RGPD, tant qu'elle agit comme hébergeur neutre.

4. Seule obligation : vérification d'identité lors de l'inscription

La seule obligation de Russmedia serait de vérifier l'identité des utilisateurs lors de leur inscription sur la plateforme (en tant que responsable du traitement des données d'inscription), afin de prévenir l'usurpation d'identité.

« En revanche […] il agit en qualité de responsable du traitement en ce qui concerne les données à caractère personnel des utilisateurs annonceurs enregistrés sur son site Internet. Dans ce cadre, il est tenu de vérifier l'identité de ces utilisateurs annonceurs. » (point 137)

Réponses de la Cour : un rejet complet de l'approche de l'Avocat général

La CJUE a adopté une position radicalement opposée, marquant un tournant majeur dans la responsabilité des plateformes numériques :

1. Statut de responsable du traitement et obligations proactives (art. 5, §2 et art. 24-26 RGPD)

Rejet de la qualification de sous-traitant : Contrairement à l'Avocat général, la Cour juge que l'exploitant d'une plateforme de petites annonces est responsable du traitement (et non sous-traitant) des données personnelles contenues dans les annonces publiées.

La Cour fonde cette qualification sur plusieurs éléments factuels :

  • Russmedia détermine les paramètres de diffusion des annonces (présentation, durée, classification, rubriques)
  • Elle exploite commercialement les données pour ses propres finalités
  • Ses conditions générales lui réservent des droits étendus (distribution, transmission, reproduction, modification des contenus)
  • Elle permet la publication anonyme, facilitant ainsi les abus

Obligations proactives : À ce titre, elle doit, avant toute publication :

  • Identifier les annonces contenant des données sensibles (art. 9, §1 RGPD : origine raciale/ethnique, opinions politiques, données de santé, vie sexuelle, etc.)
  • Vérifier l'identité de l'utilisateur postant l'annonce pour s'assurer qu'il est bien la personne concernée par ces données sensibles
  • En cas de divergence, refuser la publication, sauf si l'annonceur démontre que la personne concernée a donné son consentement explicite au traitement de ses données sensibles

2. Obligation de sécurité renforcée (art. 32 RGPD)

Rejet de l'absence d'obligation anti-copie : Contrairement à l'Avocat général, la Cour impose à la plateforme de mettre en œuvre des mesures techniques et organisationnelles appropriées pour empêcher que les annonces contenant des données sensibles soient copiées et republiées illicitement sur d'autres sites internet.

3. Impossibilité de se prévaloir de l'exonération de responsabilité de la directive e-commerce

Rejet total de l'exonération : Point crucial et en opposition frontale avec l'Avocat général, l'exploitant ne peut pas invoquer les articles 12 à 15 de la directive e-commerce (régime d'exonération des hébergeurs passifs) pour échapper à ses obligations au titre du RGPD.

L'article 2, §4 du RGPD prévoit expressément que le règlement s'applique "sans préjudice" de la directive e-commerce, ce qui signifie que les deux régimes coexistent sans que l'un puisse dispenser des obligations de l'autre.

Tableau comparatif : Avocat général vs. Cour de justice

Question Avocat général Szpunar Cour de justice Divergence
Qualification juridique Sous-traitant (pour données dans annonces) Responsable du traitement Opposé
Coresponsabilité art. 26 Non applicable Coresponsable avec utilisateur annonceur Opposé
Vérification identité Uniquement lors inscription Avant chaque publication d'annonce sensible Opposé
Contrôle contenu préalable Aucune obligation Obligation d'identifier données sensibles Opposé
Mesures anti-copie Aucune obligation spécifique Obligation art. 32 RGPD Opposé
Exonération e-commerce Applicable aux violations RGPD Inapplicable aux violations RGPD Opposé
Surveillance générale Interdite (art. 15 directive) Obligation ciblée sur données sensibles Nuancé

Conséquences pratiques de cette décision

Cet arrêt emporte des conséquences importantes pour Toutes les entreprises mettant à dispositions des espaces de publications pour les tiers :

1. Fin du statut d'hébergeur passif pour les places de marché

Les plateformes ne peuvent plus se contenter d'un rôle purement technique. Elles deviennent des gardiens actifs des données personnelles publiées via leurs services.

2. Obligations de contrôle préalable

Les exploitants doivent mettre en place :

  • Des systèmes de détection automatisée des données sensibles (IA, filtres sémantiques)
  • Des procédures de vérification d'identité des annonceurs (KYC - Know Your Customer)
  • Des mécanismes de contrôle du consentement de la personne concernée

3. Responsabilité étendue pour la diffusion secondaire

L'obligation de sécurité s'étend à la prévention de la copie et rediffusion des contenus illicites sur d'autres plateformes, impliquant potentiellement :

  • Technologies de watermarking (filigrane numérique)
  • Digital Rights Management (DRM)
  • Content Security Policy (CSP) headers
  • Systèmes de détection du scraping (web crawling malveillant)

4. Coûts de mise en conformité

Cette jurisprudence impose des investissements substantiels en :

  • Technologies de reconnaissance et filtrage de contenu
  • Systèmes de vérification d'identité renforcée
  • Procédures de validation manuelle pour les contenus sensibles
  • Mesures de protection contre le scraping et la copie
  • Formation des équipes de modération

5. Impact sur le modèle économique

Les petites plateformes pourraient être contraintes de :

  • Abandonner la publication gratuite d'annonces
  • Restreindre les catégories d'annonces acceptées
  • Augmenter significativement leurs tarifs pour financer la conformité
  • Externaliser la modération à des prestataires spécialisés

6. Risque juridique accru

Les plateformes s'exposent désormais à :

  • Des actions en dommages-intérêts au titre de l'art. 82 RGPD
  • Des sanctions administratives des autorités de protection des données (jusqu'à 4% du CA mondial)
  • Une responsabilité solidaire avec les utilisateurs annonceurs (coresponsables du traitement, art. 26 RGPD)

7. Portée au-delà des places de marché

Bien que l'arrêt concerne une plateforme de petites annonces, ses principes s'appliquent potentiellement à tous les services permettant la publication de contenus par les utilisateurs :

  • Réseaux sociaux
  • Forums de discussion
  • Sites d'avis et de notation
  • Plateformes collaboratives
  • Marketplaces e-commerce
  • Sites de rencontres

Zones grises et limites pratiques de l'arrêt

Malgré sa portée considérable, cet arrêt soulève de nombreuses questions non résolues et crée des zones d'incertitude juridique pour les opérateurs :

1. Absence de standards techniques précis

Problème : La Cour impose des obligations de moyens (« mesures techniques et organisationnelles appropriées ») sans définir de seuil de conformité objectif.

Questions sans réponse :

  • Quel taux de détection des données sensibles est jugé « approprié » ? 80% ? 95% ? 99% ?
  • Quelles technologies sont considérées comme « état de l'art » ? IA générative ? Machine learning supervisé ?
  • Quelle marge d'erreur est acceptable (faux positifs vs. faux négatifs) ?
  • Les filtres automatiques suffisent-ils ou faut-il une modération humaine systématique ?

Risque : Chaque autorité nationale de protection des données pourrait interpréter différemment ces standards, créant une fragmentation du marché unique.

2. Proportionnalité et charge disproportionnée pour les PME

Problème : L'arrêt ne fait aucune distinction selon la taille ou les ressources de la plateforme. Faut-il se replonger dans les textes applicables pour trouver le critère discriminant ?

Impasses pratiques :

  • Une startup avec 2 employés est-elle soumise aux mêmes obligations qu'un géant du numérique ?
  • Comment une petite plateforme peut-elle financer des systèmes d'IA coûtant des centaines de milliers d'euros ?
  • La proportionnalité prévue par l'art. 24 RGPD (« compte tenu de la nature, de la portée, du contexte et des finalités du traitement ») est-elle suffisamment prise en compte ?

Risque : Barrière à l'entrée insurmontable pour les nouveaux acteurs, renforçant les positions dominantes des GAFAM.

3. Définition floue des « données sensibles »

Problème : L'art. 9 RGPD liste des catégories de données sensibles, mais leur détection automatisée est problématique.

Cas limites :

  • Une photo d'une personne en tenue de sport révèle-t-elle des « données concernant la santé » ?
  • Une référence à « services de bien-être » cache-t-elle une offre de services sexuels ?
  • Un prénom à consonance étrangère révèle-t-il l'« origine ethnique » ?
  • Comment détecter les « convictions religieuses » sans analyse sémantique invasive ?

Risque : Sur-blocage préventif (blocage d'annonces légitimes par précaution) ou sous-détection (annonces illicites passant entre les mailles du filet).

4. Vérification d'identité : quel niveau de KYC ?

Problème : La Cour impose de vérifier que l'annonceur est « la personne dont les données figurent dans l'annonce », mais ne précise aucune modalité.

Questions opérationnelles :

  • Faut-il exiger une pièce d'identité officielle (passeport, carte d'identité) ?
  • Une vérification par SMS au numéro figurant dans l'annonce suffit-elle ?
  • Faut-il un système de reconnaissance faciale comparant la photo d'identité et les photos de l'annonce ?
  • Comment vérifier l'identité pour des annonces commerciales (entreprises, associations) ?

Risque :

  • KYC insuffisant → responsabilité engagée
  • KYC excessif → friction utilisateur, abandon de la plateforme, violation du principe de minimisation (art. 5.1.c RGPD)

5. Mesures anti-copie : mission impossible ?

Problème : L'obligation d'empêcher la copie et la rediffusion sur d'autres sites tiers est-elle techniquement réaliste ?

Limites techniques :

  • Toute information affichée à l'écran peut être capturée (screenshot, OCR, copier-coller)
  • Les DRM et watermarks sont contournables
  • La plateforme n'a aucun contrôle sur les sites tiers qui republieraient le contenu
  • Le web scraping par des robots est difficile à bloquer totalement (CAPTCHA, rate limiting, mais jamais 100% efficace)

Paradoxe : L'art. 17.2 RGPD impose au responsable du traitement qui a « rendu publiques » des données de « prendre des mesures raisonnables » pour informer les tiers, mais la Cour semble exiger davantage qu'une simple notification.

Risque : Responsabilité de la plateforme pour des actions de tiers sur lesquelles elle n'a aucune prise.

6. Tension avec l'interdiction de surveillance générale

Problème majeur : Contradiction apparente entre deux régimes juridiques :

D'un côté :

  • Art. 15 directive e-commerce (repris à l'art. 8 DSA) : « Les États membres ne doivent pas imposer aux prestataires […] une obligation générale de surveiller les informations qu'ils transmettent ou stockent »

De l'autre :

  • CJUE C-492/23 : La plateforme doit identifier avant publication toutes les annonces contenant des données sensibles

Comment concilier ?

La Cour affirme que l'interdiction de surveillance générale « ne s'applique pas aux obligations du responsable du traitement sous le RGPD », mais cette distinction est conceptuellement fragile :

  • Scanner automatiquement 100% des contenus = surveillance générale ?
  • Ou s'agit-il d'une surveillance « ciblée » sur les données sensibles, donc permise ?

Risque : Les plateformes sont prises en étau entre :

  • Obligation de filtrer (RGPD) sous peine de sanctions
  • Interdiction de filtrer (DSA) sous peine de sanctions

7. Rédaction des CGU : illusion de la solution contractuelle

Problème : Certains praticiens pourraient croire qu'il suffit de modifier les conditions générales pour échapper à la qualification de responsable du traitement.

Avertissement de la Cour : « En toute hypothèse, tout responsable du traitement est tenu, seul ou conjointement, de se conformer à l'ensemble des obligations qui découlent du RGPD ». (point 111)

Critères factuels prépondérants :

  • Design de la plateforme (algorithmes de classement, mise en avant)
  • Exploitation commerciale réelle des données
  • Contrôle éditorial exercé en pratique
  • Possibilité de publication anonyme

Risque : Faux sentiment de sécurité juridique en modifiant seulement les CGU, alors que la qualification dépend de l'analyse factuelle du modèle d'affaires.

8. Accord de coresponsabilité (art. 26 RGPD) : comment l'imposer ?

Problème : Si la plateforme et l'utilisateur sont coresponsables, l'art. 26 RGPD impose de conclure un accord définissant les obligations respectives.

Questions pratiques :

  • Comment imposer contractuellement un tel accord à des millions d'utilisateurs occasionnels ?
  • Faut-il un accord individualisé pour chaque annonce ?
  • Les CGU peuvent-elles tenir lieu d'accord art. 26 ?
  • Comment informer la personne concernée (dont les données figurent dans l'annonce) de l'identité des coresponsables et de leurs obligations respectives ?

Risque : Complexité administrative ingérable pour les plateformes à fort volume.

9. Incertitude sur le champ d'application matériel

Problème : L'arrêt concerne des données sensibles (services sexuels) publiées sans consentement. Quelle est sa portée exacte ?

Hypothèses incertaines :

Cas Arrêt applicable ? Incertitude
Annonce avec données ordinaires (nom, email) A discuter Probabilité moyenne
Annonce commerciale d'entreprise (SIRET, adresse) A discuter Probabilité faible
Photo de profil utilisateur (non sensible) A discuter Probabilité faible
Forum de discussion politique (opinions = données sensibles) A discuter Forte incertitude
Réseau social avec partage de photos personnelles A discuter Forte incertitude

Risque : Extension jurisprudentielle progressive à tous les contenus générés par les utilisateurs, transformant radicalement le modèle économique d'internet.

10. Conflit entre RGPD et liberté d'expression

Problème : L'obligation de filtrage préalable peut entrer en conflit avec la liberté d'expression (art. 11 Charte UE).

Cas sensibles :

  • Forums politiques : bloquer toute mention d'opinion politique ?
  • Témoignages de santé : censurer tout partage d'expérience médicale ?
  • Débats religieux : interdire toute référence aux convictions ?

Paradoxe : Le RGPD lui-même reconnaît que « le droit à la protection des données n'est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux » (considérant 4).

Risque : Censure préventive excessive de contenus légitimes par crainte de sanctions RGPD.

RECOMMANDATIONS POUR LES OPERATEURS : LA LISTE SERA LONGUE !!!!

Conclusion : Un nouvel équilibre à trouver

L'arrêt Russmedia (C-492/23) marque la fin de l'âge d'or de l'irresponsabilité des plateformes numériques. En rejetant frontalement l'approche de l'Avocat général, la Cour de justice impose une révolution pour tous les acteurs de l'internet ( et nous ne parlons pas encore ici des éditeurs d'IA) :

Du modèle passif au modèle proactif : Les plateformes ne peuvent plus se cacher derrière leur neutralité technique. Elles doivent anticiper, détecter et prévenir les traitements illicites de données sensibles.

Du safe harbor au full accountability : L'exonération de responsabilité de la directive e-commerce ne protège plus contre les violations du RGPD. Les deux régimes coexistent sans s'exclure mutuellement.

Des zones grises persistantes : Malgré sa portée, l'arrêt laisse de nombreuses questions sans réponse :

  • Standards techniques précis
  • Proportionnalité pour les PME
  • Conciliation avec l'interdiction de surveillance générale
  • Faisabilité des mesures anti-copie
  • Champ d'application exact

Cet arrêt crée de nouvelles opportunités contentieuses pour les victimes de publication illicite de données sensibles, qui peuvent désormais assigner directement la plateforme (et pas seulement l'auteur anonyme) sur le fondement de l'art. 82 RGPD.