Le 2 décembre 2025[1], la Cour de justice de l’Union Européenne (ci-après la « CJUE) est venue préciser l’étendue des obligations pesant sur l’exploitant d’un site de marketplace, au titre du RGPD, lequel « ne saurait échapper à sa responsabilité »[2] en se prévalantdes dispositions relatives à l’exonération de responsabilité des hébergeurs des articles 12 à 15 de la Directive n° 2000/31.
- Le contexte de l’affaire
Une personne physique (ci-après la « Requérante »), fit le constat que des photographies la représentant ainsi que son numéro de téléphone avaient été publiées par une tierce personne, sans son consentement, dans une annonce proposant des services sexuels sur le site internet www.publi24.ro, exploité par la société Roumaine Russmédia Digital (ci-après « Russmédia Digital »).
Bien que Russmédia Digital ait procédé au retrait de l’annonce sur son site internet, l’annonce litigieuse fut reprise et republiée sur d’autres sites internet.
Considérant avoir subi un préjudice moral en raison du traitement illicite de ses données personnelles ainsi qu’en raison de la violation de son droit à l’image, à l’honneur et à sa vie privée, la Requérante introduisit un recours devant le tribunal de première instance de Cluj-Napoca (Roumanie) qui condamna Russmédia Digital à lui verser des dommages et intérêts en réparation de son préjudice.
Russmédia Digital interjeta appel de cette décision auprès du Tribunal Specializat Cluj (Roumanie) qui fit droit à cet appel considérant que « le recours de la requérante au principal n’était pas fondé, puisque l’annonce en cause ne provenait pas de Russmedia qui ne fournissait qu’un service d’hébergement de cette annonce, sans implication active de Russmedia quant à son contenu. » et qu’un prestataire de services de la société de l’information n’était pas tenu de contrôler les informations qu’il transmet, ni de rechercher activement des données relatives à des activités ou à des informations apparemment illégales. » (§33).
La Cuerta de Apel Cluj (ci-après la « Juridiction de renvoi ») saisie par la Requérante donna raison à cette dernière, considérant que Russemedia Digital aurait dû avoir un rôle actif sur le contenu et la publication de telles annonces sur son site internet et qu’elle ne pouvait se prévaloir de l’exonération de responsabilité des prestations de services en ligne prévue la règlementation roumaine (loi n°365/2002).
C’est dans ce contexte que la Juridiction de renvoi décida de surseoir à statuer et de poser à la CJUE les questions préjudicielles suivantes :
- L’exploitant d’une place de marché en ligne est -il qualifié de co-responsable de traitement des données publiées sur sa place de marché via les utilisateurs annonceurs ? A-t-il méconnu les obligations qui lui incombent en vertu du RGPD, lorsqu’une annonce publiée par l’un de ses annonceurs sur sa place de marché en ligne contient des données à caractère personnel, notamment sensibles, sans le consentement de la personne concernée ?
- L’exploitant d’une place de marché en ligne peut-il se soustraire aux obligations du RGPD en excipant le régime d’exonération de responsabilité des hébergeurs au sens de la Directive « commerce électronique » ?
- Sur la méconnaissance des dispositions du RGPD
- Sur la qualification de données sensibles et l’exigence d’un consentement explicite de la personne concernée
La CJUE relève que, les données publiées sur le site internet de Russmedia Digital sont qualifiables de données personnelles sensibles au sens de l’article 9, paragraphe 1 du RGPD[3], bénéficiant d’un régime de protection renforcé, notamment lorsqu’elles touchent à la vie sexuelle ou à l’orientation sexuelle d’une personne.
Le traitement de ces données requiert de remplir une des conditions posées par l’article 9 du RGPD et notamment, le consentement explicite de la personne concernée (article 9 paragraphe 2, a)[4]).
La CJUE rappelle que le simple fait de « faire figurer, sur une page internet, des données à caractère personnel constitue un traitement, au sens de l’article 4, point 2, du RGPD »[5], un traitement dont le consentement fait en l’espèce défaut puisque la publication a été faite par un tiers sans le consentement de l’intéressée.
- La qualification de responsable de traitement de l’exploitant d’une place de marché en ligne et les obligations en découlant
La CJUE confirme, que Russmédia Digital, en tant qu’exploitant d’une place de marché en ligne, doit être qualifié de responsable de traitement dès lors qu’il détermine « les finalités et les moyens du traitement de données à caractère personnel. ».
Le fait que Russmédia Digital ne détermine pas elle-même le contenu des annonces est sans incidence. Pour établir cette qualification, la Cour retient le critère de l’influence exercé par l’exploitant sur les finalités et moyens du traitement des données personnelles. La CJUE considère que Russmédia Digital n’est pas un simple hébergeur passif mais exerce au contraire une influence déterminante dès lors qu’elle : « participe à la détermination des moyens essentiels de la publication des données à caractère personnel concernées, en influant ainsi de manière décisive sur la diffusion globale de ces dernières. »[6] (présentation, durée de diffusion des annonces, organisation du classement des annonces, …).
Dans ces conditions, la Cour considère que Russmedia Digital est responsable du traitement, conjointement avec l’annonceur concerné.
Compte tenu de cette qualification de responsable de traitement, la Cour de justice précise, que l’exploitant de place de marché en ligne doit[7] avant la publication des annonces :
- Identifier les annonces qui contiennent des données sensibles ;
- Vérifier si les données sensibles figurant au sein de l’annonce sont celles de l’utilisateur annonceur et à défaut refuser la publication de l’annonce en l’absence de consentement explicite de la personne concernée.
En outre, la CJUE rappelle qu’en vertu de l’article 32 du RGPD, l’exploitant de place de marché en ligne doit également empêcher les copies et publications illicites de contenus comprenant des données sensibles sur d’autres sites internet comme ce fut le cas en l’espèce à l’aide de « mesures de sécurité techniques et organisationnelles appropriées ».
- Sur la question de l’application du régime d’exonération de responsabilité des hébergeurs au sens de la directive 2001/31 (« commerce électronique »)
Enfin et pour répondre à la question de savoir si l’hébergeur peut exciper le régime d’exonération de responsabilité des hébergeurs (art. 14) de la Directive 2000/31[8] dite « directive sur le commerce électronique » pour s’exonérer de ses obligations au titre du RGPD.
La Cour rappelle ainsi que les questions liées aux données à caractère personnel doivent être apprécié au regard du RGPD[9], sans pour autant, porter préjudice aux dispositions de la directive 2000/31 sur la responsabilité des prestataires intermédiaires. Ainsi, ces deux régimes juridiques coexistent mais ne se chevauchent pas : la directive ne pouvant réduire la portée du RGPD.
Par cet arrêt, la CJUE consacre une approche proactive des exploitants de plateforme et leur envoie un signal clair : ils ne peuvent plus se retrancher derrière le statut d’hébergeur passif pour échapper aux obligations du RGPD. Ils doivent donc anticiper les risques, en identifiant les annonces contenant des données sensibles, en vérifiant l’identité des annonceurs et en refusant toute publication illicite. À cela s’ajoute une exigence forte en matière de sécurité, visant à limiter la dissémination incontrôlée des données personnelles.
Au-delà du cas d’espèce, la CJUE rappelle que la protection des droits fondamentaux, notamment la vie privée et la dignité humaine, prime sur la logique purement technique du commerce en ligne. Les plateformes deviennent des acteurs responsables, tenus de mettre en œuvre des mesures concrètes pour prévenir les abus. Ce jugement illustre la volonté de l’Union européenne de renforcer la confiance numérique et de garantir que l’innovation ne se fasse pas au détriment des libertés individuelles.
[1]https://infocuria.curia.europa.eu/tabs/document?source=document&text=&docid=306764&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=15646467
[2] Point 74 de la décision
[3] Article 9, paragraphe 1 RGPD : « Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits. »
[4] Article 9, paragraphe 2 RGPD : « a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée; »
[5] Point 54 de la décision ; arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601
[6] Point 72 de la décision
[7] Point 106 de la décision
[8] Article 14 Directive 2000/31 :
[9] Point 130 de la décision
