- La CJUE considère les exploitants de plateformes et les utilisateurs qui publient des annonces comme des responsables conjoints au sens de l’article 26 du RGPD en cas de publication de données particulièrement sensibles.
- Les plateformes doivent prendre les mesures techniques et organisationnelles appropriées pour identifier les annonces sensibles avant leur publication.
- Les opérateurs sont tenus de vérifier l’identité de l’utilisateur qui passe l’annonce et de refuser la publication sans consentement prouvé.
Sur le site Jugement C‑492/23 du 2 décembre 2025 dans l’affaire Russmedia la CJCE s’est prononcée sur la la responsabilité des fournisseurs de plateformes en ligne en matière de protection des données ont été exprimés. Le jugement a notamment été approuvé par Sarah Bischof (Vischer) discutée.
Le contexte était une annonce fictive sur une place de marché en ligne du groupe Russmedia, publiée par une personne inconnue et dans laquelle la plaignante était présentée comme offrant des services sexuels.
Catégories particulières de données personnelles
Tout d’abord, ces informations constituent des catégories particulières de données personnelles Les données personnelles constituent une violation de la vie privée au sens de l’article 9 du RGPD, même si elles sont inventées de toutes pièces :
Dans le cadre de cette interprétation large de la notion, les données relatives à la vie sexuelle ou à l’orientation sexuelle d’une personne physique ne peuvent perdre leur qualification de „données sensibles“ au sens de l’article 9, paragraphe 1, du RGPD au motif qu’elles sont, par nature, fausses et préjudiciables.
Responsabilité partagée entre l’opérateur de la plateforme et l’utilisateur
L’utilisateur décide du courrier et est un responsable
La responsabilité du traitement des données par la publication (c’est-à-dire le post sur la plate-forme) incombe en premier lieu à l’utilisateur :
En l’espèce, il est établi que l’utilisateur annonceur, qui a utilisé la publicité trompeuse, dommageable et l’annonce contenant des données à caractère personnel de la requérante au principal sur le marché en ligne exploité par Russmedia, doit être considéré comme celui qui décide des finalités et des moyens du traitement de ces données. a décidé principalement, L’article 4, point 7, du RGPD prévoit que le responsable du traitement est une personne physique ou morale, et qu’il relève donc de la notion de „responsable du traitement“ au sens de l’article 4, point 7, du RGPD.
L’opérateur de la plate-forme est également responsable, indépendamment du contenu du message.
Cependant l’exploitant de la plate-forme est également un responsable, Le traitement des données à caractère personnel est effectué par le responsable du traitement, parce que ou dans la mesure où il exerce une influence sur le traitement dans son propre intérêt :
Il y a donc lieu de considérer que Russmedia a influencé, dans son propre intérêt, la publication sur Internet des données à caractère personnel de la requérante au principal et a ainsi participé à la détermination des finalités de cette publication et, partant, des finalités du traitement en cause. (point 68)
[…]S’il résulte de la jurisprudence citée au point 58 du présent arrêt qu’une personne ne peut être qualifiée de „responsable“ du traitement de données à caractère personnel que si elle influence ce traitement dans son propre intérêt, force est de constater que tel peut être le cas, entre autres, lorsque l’exploitant d’une place de marché en ligne publie des données à caractère personnel pertinentes à des fins commerciales ou publicitaires qui vont au-delà de la simple fourniture d’un service qu’il fournit à l’utilisateur annonceur.
C’était le cas ici, car (paraphrase) Russmedia n’était ni un simple auxiliaire de l’utilisateur ni un simple fournisseur d’infrastructure lors de la publication de l’annonce, mais lors du traitement de l’annonce avait une certaine participation aux décisions pour ses propres intérêts, en fin de compte commerciaux – les conditions générales de Russmedia, entre autres, étaient pertinentes :
[…] À cet égard, les conditions générales d’utilisation de cette place de marché accordent à Russmedia une grande liberté pour utiliser les informations publiées sur cette place de marché. En particulier, selon les indications de la juridiction de renvoi, Russmedia se réserve le droit, d’utiliser, de diffuser, de transmettre, de reproduire, de modifier, de traduire, de communiquer à des partenaires et de supprimer à tout moment tout contenu publié, sans qu’aucune „raison valable“ ne soit requise à cet égard. Russmedia ne publie donc pas les données à caractère personnel contenues dans les annonces ou ne les publie pas uniquement à l’intention des utilisateurs annonceurs, mais traite ces données et peut en tirer profit à ses propres fins publicitaires et dans son propre intérêt commercial.
Peu importe que Russmedia, contrairement à l’utilisateur n’avait pas l’intention de nuire – Ce n’était pas ou pas seulement ce motif supplémentaire qui était pertinent, mais uniquement le fait que Russmedia voulait publier l’annonce dans son propre intérêt, ce qui suffisait pour la codétermination du but :
Cette constatation n’est pas remise en cause par le fait qu’il apparaît que la finalité trompeuse et préjudiciable poursuivie par l’utilisateur annonceur en publiant l’annonce en cause au principal a été déterminée sans la participation de Russmedia. La Commission a participé à la détermination de la finalité du traitement, qui consistait à fournir aux internautes les données à caractère personnel contenues dans l’annonce en cause au principal. de rendre accessible, Afin de tirer profit de ces publications, Russmedia a en effet a participé. De plus, Russmedia a réussi à facilite le fait que ces données ont été publiées sans le consentement de la personne concernée, L’entreprise a également contribué à l’amélioration de la qualité de vie des consommateurs en leur permettant de placer anonymement des annonces sur sa place de marché en ligne.
[…] En outre, en mettant à la disposition de l’utilisateur annonceur sa place de marché en ligne, qui a servi à la publication de l’annonce en cause au principal, Russmedia a participé à la Définition des moyens participé à cette publication.
Utilisateur et exploitant en tant que responsables conjoints
La CJCE en conclut que les deux – utilisateurs et opérateurs de plateformes – doivent responsables communs sont
En ce qui concerne, premièrement, la question de savoir si l’exploitant d’une place de marché en ligne doit identifier les annonces contenant des données sensibles au sens de l’article 9, paragraphe 1, du RGPD avant de les publier, il convient de noter que, comme il ressort des points 64 et 75 du présent arrêt, cet exploitant et l’utilisateur ayant placé une telle annonce sur ce marché en ligne doivent être considérés comme responsables communs au sens de l’article 26 du RGPD, Les annonces sont publiées sur le site web de l’Union européenne, à condition que l’annonce en question y soit publiée.
Obligations de contrôle des données sensibles
Conformément à la classification en tant que responsables conjoints, les exploitants et les utilisateurs doivent remplir les obligations des responsables en matière de protection des données, en particulier la garantie démontrable de la protection des données. Légalité. De même, les deux doivent Exactitude des données traitées.
La question est donc de savoir quel Mesures et – parce que le litige concernait la responsabilité de l’exploitant de la plate-forme – ce que celui-ci doit faire concrètement. La CJCE décrit tout d’abord cela de manière vague et dans un langage difficilement lisible, même pour la CJCE :
Afin de déterminer quelles sont spécifiquement les mesures techniques et organisationnelles appropriées que l’exploitant d’une place de marché en ligne doit prendre en tant que responsable conjoint du traitement des données à caractère personnel […Il convient de noter qu’il ressort de ces dispositions que le caractère approprié de ces mesures doit être apprécié concrètement, en tenant compte de la nature, de la portée, des circonstances et des finalités du traitement en question, ainsi que des différents degrés de probabilité et de gravité des risques pour les droits et libertés de la personne concernée, qui lui sont propres […].
En l’espèce, il fallait tenir compte du fait que l’annonce litigieuse contenait des données sensibles (informations sur la vie sexuelle). Le RGPD interdisant en principe le traitement de telles données, la CJUE considère que les exploitants de plateformes (dans la mesure où ils sont coresponsables) ont les obligations suivantes :
Identification des annonces sensibles avant leur publication
Si un opérateur doit s’attendre à ce que des annonces données personnelles sensibles (ce qui doit être évalué au cas par cas et ne s’applique pas nécessairement à un marché de petites annonces), il doit prendre des mesures pour identifier les annonces avec de telles données:
Étant donné que l’exploitant d’une place de marché en ligne telle que celle en cause au principal sait ou devrait savoir que des annonces contenant des données sensibles au sens de l’article 9, paragraphe 1, du RGPD peuvent généralement être publiées par des utilisateurs annonceurs sur sa place de marché en ligne, cet exploitant est donc tenu, en tant que responsable, de prendre, dès la conception de son service, les mesures techniques et organisationnelles appropriées afin d’identifier de telles annonces avant leur publication. (point 97)
Vérification de l’identité de l’utilisateur qui passe l’annonce
En outre, l’exploitant de la plate-forme doit vérifier si les données personnelles sensibles contenues dans une annonce sont conformes à la loi. concernent l’utilisateur lui-même ou un tiers:
Afin de pouvoir s’assurer et démontrer que les exigences prévues à l’article 9, paragraphe 2, sous a), du RGPD sont remplies, l’exploitant de la place de marché doit donc vérifier, avant de publier une telle annonce, que l’utilisateur annonceur qui est sur le point de placer cette annonce est bien la personne dont les données sensibles sont contenues dans cette annonce, ce qui suppose que l’identité de cet utilisateur annonceur soit recueillie. (point 99)
Refus de publication sans consentement :
Si l’utilisateur qui passe l’annonce n’est pas la personne concernée et qu’aucun consentement explicite ne peut être prouvé, l’annonce ne doit pas être publiée.
Mesures contre la prolifération
Les exploitants de plateformes doivent également Mesures de protection contre la copie d’annonces :
À cette fin, l’exploitant de cette place de marché en ligne doit mettre en œuvre des mesures techniques qui, dans la mesure où cela est techniquement possible et économiquement supportable, peuvent empêcher ou au moins rendre plus difficile la copie des annonces et leur publication sur d’autres sites. (point 112)
Toutefois, le fait qu’une annonce ait été reproduite sur d’autres sites ne signifie pas que les mesures anti-copie ont été négligées.
Pas de privilège de responsabilité en cas d’infraction au RGPD
Face à cette vaste responsabilité, on peut se demander si l’exploitant n’a pas été informé de l’existence d’une telle responsabilité. Exonération de responsabilité en vertu de la Directive sur le commerce électronique devrait bénéficier. Les articles 12 à 15 de la directive accordent des exonérations de responsabilité aux exploitants de plateformes et autres intermédiaires : En cas de simple transmission (art. 12) et de mise en cache (art. 13), il n’y a pas de responsabilité dans la mesure où le fournisseur reste passif et ne modifie pas les contenus ; en cas d’hébergement (art. 14), un privilège s’applique tant que le fournisseur n’a pas connaissance de contenus illicites ou les supprime immédiatement s’il en a connaissance (notification et retrait). L’art. 15 exclut en outre les obligations générales de surveillance.
Mais cela ne sert à rien contre les violations du RGPD :
La directive 2000/31 s’applique, en vertu de son article 1er , paragraphe 5, sous b), à l’ensemble des contrats de travail conclus entre un employeur et un salarié. ne s’applique pas aux questions relatives à la protection des données. En outre, l’article 2, paragraphe 4 du RGPD confirme que les privilèges en matière de responsabilité prévus aux articles 12 à 15 de cette directive ne limitent pas l’application du RGPD.
Le site Loi sur les services numériques La DSA reprend presque mot pour mot les privilèges de la directive sur le commerce électronique, mais les complète par le „privilège du bon samaritain“ de l’article 7, selon lequel les enquêtes volontaires sur les contenus illicites n’entraînent pas la perte du privilège. Le RGPD prévaut également sur la DSA ou n’est pas affecté. L’article 2, paragraphe 4, point g) de la DSA précise que la DSA n’affecte pas les dispositions du RGPD et, selon l’article 2, paragraphe 4, alinéa 2 de la DSA, les privilèges prévus aux articles 4 à 6 de la DSA ne limitent pas l’application du RGPD.
Conséquences
Il n’est pas surprenant que la CJCE y voie une responsabilité commune. Russmedia va toutefois plus loin en établissant des obligations de contrôle concrètes pour l’exploitant qui n’est que secondairement coresponsable. Cela peut avoir un impact considérable sur les exploitants de plateformes en ligne avec des contenus générés par les utilisateurs. Les exploitants devront faire face à des mesures telles que :
- Systèmes de reconnaissance pour les annonces contenant des données sensibles (santé, orientation sexuelle, opinions politiques, etc.)
- Vérification de l’identité des utilisateurs de l’annonce avant l’activation du contenu correspondant
- précautions techniques contre la copie et le scraping d’annonces
Des adaptations contractuelles peuvent également s’imposer, par exemple :
- Examen des conditions générales de vente afin de déterminer si les droits d’utilisation sont trop étendus et pourraient donner lieu à une coresponsabilité, sans qu’ils soient compensés par un avantage commercial correspondant.
- Accords de contrôleur conjoint avec les utilisateurs
En Suisse
La Suisse ne connaît pas de privilège de responsabilité pour les fournisseurs d’hébergement. La responsabilité est régie par les art. 41 ss. CO, art. 28 ss. CC et selon la LPD. Les droits à la suppression existent indépendamment de la faute contre toute personne qui participe à une atteinte à la personnalité. Les dommages et intérêts présupposent une faute.
Le site Avant-projet de LCom n’y change rien. Elle s’inspire de la DSA, mais se limite aux très grandes plateformes de communication et aux moteurs de recherche et réglemente en premier lieu les procédures de notification, les obligations de transparence et les droits des utilisateurs en cas de suppression de contenu. Elle ne prévoit pas de privilèges en matière de responsabilité.