Dans un arrêt du 2 décembre 2025, la Cour de justice de l'Union européenne condamne un éditeur de place de marché pour traitement illicite de données sensibles publiées dans une annonce d'un utilisateur. La CJUE juge que l'éditeur est responsable du traitement des annonces publiées sur sa plateforme et doit vérifier, avant publication, si celles-ci contiennent des données sensibles et si leur traitement respecte le RGPD.



Bien que les faits soient antérieurs au DSA, le raisonnement retenu est applicable aujourd'hui.

Faits

Un éditeur de place de marché en ligne permet à des utilisateurs de publier des annonces de vente de biens ou de services, notamment en Roumanie.

Un utilisateur anonyme met en ligne une annonce proposant des services sexuels présentés comme étant offerts par une tierce personne. L'annonce contient des photos de cette personne ainsi que ses coordonnées.

La personne visée signale l'annonce à la plateforme. Celle-ci retire le contenu rapidement.

Cependant, entre-temps, l'annonce a été reprise et copiée sur d'autres sites Internet, hors du contrôle de l'opérateur de la place de marché. Les données restent ainsi accessibles en ligne malgré le retrait sur la plateforme d'origine.

L'opérateur d'une place de marché est responsable de traitement des annonces publiées sur son interface

La CJUE confirme une analyse déjà esquissée par le Comité Européen de Protection des Données dans ses lignes directrices sur l'interaction entre le DSA et le RGPD : un opérateur de plateforme agit en principe comme responsable du traitement des données à caractère personnel traitées sur son service.



Plusieurs éléments justifient cette qualification pour la CJUE :

L'annonce n'est accessible en ligne qu'en raison du service fourni par la plateforme.

L'éditeur poursuit une finalité propre, notamment commerciale et publicitaire, et ne se limite pas à une prestation technique.

Il détermine des moyens essentiels : présentation, durée de mise en ligne, rubriques, classement, modalités de diffusion.

Ainsi, l'opérateur et l'annonceur sont responsables conjoints du traitement effectué sur les annonces.

Une obligation de contrôle a priori du respect du RGPD dans le contenu des annonces

En tant que responsable du traitement, l'opérateur doit respecter les obligations des articles 24 et 25 RGPD : il doit identifier les risques potentiels d'un traitement de données et implémenter les mesures et garanties appropriées au risque identifié. Cette obligation intervient en amont du traitement, « dès la conception » de son service.

La Cour souligne que la mise en ligne d'informations personnelles sur une plateforme crée un risque élevé, car ces données peuvent être copiées et diffusées sans contrôle sur d'autres sites et accessibles potentiellement à tout utilisateur d'internet. La personne concernée peut donc subir une perte d'anonymité majeure et perdre le contrôle sur l'utilisation de ses données, lui causant un préjudice notamment lorsque les données en question sont des données sensibles.

La CJUE indique donc que l'opérateur doit en amont :

Détecter si une annonce contient des données sensibles.

si une annonce contient des données sensibles. Vérifier si ces données concernent l'annonceur ou si celui-ci dispose d'une dérogation, notamment un consentement explicite de la personne concernée.

si ces données concernent l'annonceur ou si celui-ci dispose d'une dérogation, de la personne concernée. Refuser la publication si ces conditions ne sont pas réunies.

Au titre de ses obligations de sécurité, l'opérateur doit aussi mettre en place des mesures visant à limiter la copie et la reproduction illicite des annonces contenant des données sensibles.

Le régime de responsabilité allégé des fournisseurs de services intermédiaires ne s'applique pas aux violations du RGPD

La CJUE rappelle que la directive e-commerce, et désormais le DSA, prévoit une exonération de responsabilité pour les fournisseurs de services intermédiaires : absence d'obligation générale de surveillance et obligation de retrait prompt du contenu illicite dès sa prise de connaissance.

Mais l'article 1er de la directive e-commerce exclut de son champ les questions relatives à la protection des données qui sont soumises au régime de responsabilité du RGPD.

En conséquence, un opérateur ne peut pas invoquer le régime d'exonération pour se soustraire à ses obligations en tant que responsable du traitement. Les deux régimes coexistent, mais leurs responsabilités restent indépendantes.

En pratique

Si cette décision, reste cohérente sur le plan juridique, elle crée toutefois une zone d'incertitude pour les opérateurs de plateformes.

Cette décision pourrait constituer une nouvelle entaille à l'absence de surveillance généralisée comme l'a fait la directive droit d'auteur à l'encontre des plateformes de partage de contenus pour les contenus téléversés par leurs utilisateurs.

Plusieurs difficultés pratiques se dessinent toutefois :

Le contenu des annonces est librement déterminé par les utilisateurs ;

La notion de données à caractère personnel et de données sensibles est large, ce qui rend leur détection difficile, d'autant que la mise en place de mécanismes de filtrage larges pourrait entrainer de nombreux refus de publication non justifiés ;

Les systèmes de filtrage automatisés peuvent entrainer des « prises de décision automatisée » au sens de l'article 22 RGPD entrainant des coûts humains et organisationnels pour les opérateurs concernés.

La décision impose donc aux plateformes un régime de responsabilité à plusieurs niveaux qu'il faudra maitriser selon la nature des contenus publiés.

