La Cour de justice de l’Union européenne a rendu, le 2 décembre 2025, une décision majeure en matière de protection des données personnelles appliquée aux plateformes d’annonces en ligne. Elle y consacre une interprétation extensive de la notion de responsable de traitement au sens du RGPD et précise, en conséquence, les obligations de diligence et de contrôle préalables qui pèsent sur ces opérateurs lorsqu’est susceptible d’être publiée une annonce contenant des données sensibles, en particulier à caractère sexuel. Cette décision constitue un jalon décisif dans la régulation des espaces numériques permettant la diffusion de contenus générés par des utilisateurs.
Une plateforme roumaine exploitée par Russmedia permettait à des utilisateurs anonymes de publier des annonces en ligne. L’une d’elles prétendait faussement que la demanderesse offrait des services sexuels et comportait des données personnelles sensibles, dont des photographies et son numéro de téléphone.
L’intéressée demandait réparation sur la base du RGPD, estimant que l’opérateur avait non seulement permis la publication mais aussi stocké, organisé, analysé et diffusé ces données, ce qui démontrerait son implication directe dans leur traitement.
La juridiction de renvoi interrogeait la CJUE sur deux questions essentielles :
La Cour rappelle que le responsable de traitement est celui qui détermine les finalités et les moyens du traitement. Or, même si l’annonce a été créée par un utilisateur, la plateforme détermine les modalités essentielles de la publication, dès lors qu’elle :
Ainsi, la Cour conclut que le contrôle sur les moyens de diffusion suffit à qualifier l’opérateur de responsable, même en l’absence de participation à la rédaction du contenu.
L’annonce litigieuse contenait des données relevant de l’article 9, §1 du RGPD (vie sexuelle). La Cour juge que la plateforme devait anticiper la possibilité de telles publications et mettre en place un filtrage et des mesures techniques préalables, en particulier lorsque des données sexuelles ou sensibles sont susceptibles d’être publiées sur le service.
Cette obligation découle notamment de l’article 25 du RGPD (« protection dès la conception et par défaut ») ainsi que des principes de prévention des atteintes graves à la dignité, à la réputation et à la vie privée. La CJUE impose donc, pour les données sensibles, un contrôle ex ante obligatoire, écartant toute logique de simple retrait après signalement.
La Cour écarte l’invocation de l’article 14 de la Directive 2000/31/CE au motif que le régime d’exemption des hébergeurs ne s’applique pas lorsqu’un opérateur est qualifié de responsable de traitement. Le RGPD dispose, à cet égard, d’une primauté normative.
Cette analyse repose sur la primauté des droits fondamentaux, l’objectif de lutter contre l’impunité des publications anonymes et la nécessité de prévenir l’exposition non consentie de données sensibles.
Conclusion : vers une responsabilité proactive renforcée pour les plateformes d’annonces
Cet arrêt impose aux plateformes d’annonces en ligne une responsabilité proactive, fondée sur la prévention technique et organisationnelle, avant toute mise en ligne de contenus susceptibles d’inclure des données sensibles. Il ouvre la voie à une obligation de contrôle préalable généralisée pour les espaces numériques accueillant des contenus générés par les utilisateurs.
