Publié le 27 décembre 2025 à 01:09:00. La Cour de justice de l’Union européenne (CJUE) a rendu un jugement important le 2 décembre 2025, élargissant la responsabilité des plateformes de mise en relation en ligne concernant le traitement des données personnelles, même celles gérées par des tiers. Cette décision pourrait entraîner des obligations accrues en matière de protection des données pour de nombreux opérateurs de marchés numériques.
- Les plateformes en ligne peuvent être considérées comme des responsables (co-) du traitement des données personnelles, même si ces données sont traitées par des utilisateurs tiers.
- Le simple fait d’agir comme un intermédiaire neutre ne suffit plus à exonérer les plateformes de leurs obligations au titre du Règlement général sur la protection des données (RGPD).
- La publication de données sensibles, comme des informations sur la vie sexuelle, exige un consentement explicite et une vigilance accrue.
L’affaire qui a conduit à cette décision concernait Russmedia, un marché en ligne roumain où une annonce contenait les photographies et le numéro de téléphone d’une femme, la présentant de manière diffamatoire comme proposant des services sexuels. Bien que l’annonce ait été rapidement supprimée, elle était apparue sur d’autres sites web, identifiant Russmedia comme source. La plaignante a intenté une action en justice pour préjudice moral, et la cour d’appel roumaine a sollicité l’avis de la CJUE sur la responsabilité de l’opérateur de la plateforme.
La CJUE a estimé que Russmedia, en se réservant le droit d’utiliser le contenu publié sur sa plateforme à ses propres fins (notamment à des fins marketing et de partage avec des tiers), exerçait une influence déterminante sur le traitement des données personnelles. Elle a donc conclu que Russmedia était un co-responsable du traitement, conjointement avec l’annonceur. L’anonymat de l’annonceur a également été pointé du doigt, car il empêchait la plateforme de respecter ses obligations de transparence.
Cette décision implique que les opérateurs de marchés en ligne ne peuvent plus se décharger de leurs responsabilités en se présentant comme de simples intermédiaires. Ils devront désormais mettre en œuvre des mesures techniques et organisationnelles appropriées pour contrôler le traitement des données personnelles, notamment avant la publication des annonces. Cela pourrait inclure l’identification des annonces contenant des catégories particulières de données (telles que celles relatives à la vie sexuelle, conformément à l’article 9 du RGPD), la vérification du consentement des personnes concernées et le refus de publication en l’absence de consentement valide.
La CJUE a également souligné la nécessité de mettre en place des mesures de sécurité pour atténuer les risques de copie et de republication illégales de données sensibles. Bien que la Cour n’ait pas précisé les mesures à prendre, elle a suggéré que les opérateurs de marché devraient envisager des garanties dès la conception de leurs plateformes.
Il est important de noter que l’arrêt de la CJUE est basé sur un cas spécifique, caractérisé par les droits étendus que s’était réservés Russmedia dans ses conditions générales. Les plateformes qui ne disposent pas de tels droits pourraient ne pas être considérées comme des co-responsables du traitement, à moins que d’autres facteurs ne soient présents, tels que la publication de données sensibles sans consentement ou la réapparition de ces données sur d’autres sites web. Les opérateurs de marchés en ligne sont donc invités à analyser attentivement les implications de cette décision et à adapter leurs pratiques en conséquence.
Pour aller plus loin
