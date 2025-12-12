- within Privacy topic(s)
Dans un arrêt du 2 décembre 2025, la Cour de
justice de l'Union européenne condamne un
éditeur de place de marché pour traitement illicite
de données sensibles publiées dans une annonce
d'un utilisateur. La CJUE juge que l'éditeur est
responsable du traitement des annonces publiées sur sa
plateforme et doit vérifier, avant publication, si celles-ci
contiennent des données sensibles et si leur traitement
respecte le RGPD.
Bien que les faits soient antérieurs au DSA, le raisonnement retenu est applicable aujourd'hui.
Faits
Un éditeur de place de marché en ligne permet
à des utilisateurs de publier des annonces de vente de biens
ou de services, notamment en Roumanie.
Un utilisateur anonyme met en ligne une annonce proposant des services sexuels présentés comme étant offerts par une tierce personne. L'annonce contient des photos de cette personne ainsi que ses coordonnées.
La personne visée signale l'annonce à la plateforme. Celle-ci retire le contenu rapidement.
Cependant, entre-temps, l'annonce a été reprise et copiée sur d'autres sites Internet, hors du contrôle de l'opérateur de la place de marché. Les données restent ainsi accessibles en ligne malgré le retrait sur la plateforme d'origine.
L'opérateur d'une place de marché est responsable de traitement des annonces publiées sur son interface
La CJUE confirme une analyse déjà esquissée
par le Comité Européen de Protection des
Données dans ses lignes directrices sur l'interaction
entre le DSA et le RGPD : un opérateur de plateforme agit en
principe comme responsable du traitement des données
à caractère personnel traitées sur son
service.
Plusieurs éléments justifient cette qualification pour la CJUE :
- L'annonce n'est accessible en ligne qu'en raison du service fourni par la plateforme.
- L'éditeur poursuit une finalité propre, notamment commerciale et publicitaire, et ne se limite pas à une prestation technique.
- Il détermine des moyens essentiels : présentation, durée de mise en ligne, rubriques, classement, modalités de diffusion.
Ainsi, l'opérateur et l'annonceur sont responsables conjoints du traitement effectué sur les annonces.
Une obligation de contrôle a priori du respect du RGPD dans le contenu des annonces
En tant que responsable du traitement, l'opérateur
doit respecter les obligations des articles 24 et 25 RGPD : il doit
identifier les risques potentiels d'un traitement de
données et implémenter les mesures et garanties
appropriées au risque identifié. Cette obligation
intervient en amont du traitement, « dès la
conception » de son service.
La Cour souligne que la mise en ligne d'informations personnelles sur une plateforme crée un risque élevé, car ces données peuvent être copiées et diffusées sans contrôle sur d'autres sites et accessibles potentiellement à tout utilisateur d'internet. La personne concernée peut donc subir une perte d'anonymité majeure et perdre le contrôle sur l'utilisation de ses données, lui causant un préjudice notamment lorsque les données en question sont des données sensibles.
La CJUE indique donc que l'opérateur doit en amont :
- Détecter si une annonce contient des données sensibles.
- Vérifier si ces données concernent l'annonceur ou si celui-ci dispose d'une dérogation, notamment un consentement explicite de la personne concernée.
- Refuser la publication si ces conditions ne sont pas réunies.
Au titre de ses obligations de sécurité, l'opérateur doit aussi mettre en place des mesures visant à limiter la copie et la reproduction illicite des annonces contenant des données sensibles.
Le régime de responsabilité allégé des fournisseurs de services intermédiaires ne s'applique pas aux violations du RGPD
La CJUE rappelle que la directive e-commerce, et
désormais le DSA, prévoit une exonération de
responsabilité pour les fournisseurs de services
intermédiaires : absence d'obligation
générale de surveillance et obligation de retrait
prompt du contenu illicite dès sa prise de
connaissance.
Mais l'article 1er de la directive e-commerce exclut de son champ les questions relatives à la protection des données qui sont soumises au régime de responsabilité du RGPD.
En conséquence, un opérateur ne peut pas invoquer le régime d'exonération pour se soustraire à ses obligations en tant que responsable du traitement. Les deux régimes coexistent, mais leurs responsabilités restent indépendantes.
En pratique
Si cette décision, reste cohérente sur le plan
juridique, elle crée toutefois une zone d'incertitude
pour les opérateurs de plateformes.
Cette décision pourrait constituer une nouvelle entaille à l'absence de surveillance généralisée comme l'a fait la directive droit d'auteur à l'encontre des plateformes de partage de contenus pour les contenus téléversés par leurs utilisateurs.
Plusieurs difficultés pratiques se dessinent toutefois :
- Le contenu des annonces est librement déterminé par les utilisateurs ;
- La notion de données à caractère personnel et de données sensibles est large, ce qui rend leur détection difficile, d'autant que la mise en place de mécanismes de filtrage larges pourrait entrainer de nombreux refus de publication non justifiés ;
- Les systèmes de filtrage automatisés peuvent entrainer des « prises de décision automatisée » au sens de l'article 22 RGPD entrainant des coûts humains et organisationnels pour les opérateurs concernés.
La décision impose donc aux plateformes un régime de responsabilité à plusieurs niveaux qu'il faudra maitriser selon la nature des contenus publiés.
