Décision à titre préju­di­ciel de la Cour de Justice de l’Union euro­péenne du 2 décembre 2025, affaire C‑492/​23

La procé­dure en Roumanie 

Le 1er août 2018, une personne tierce non iden­ti­fiée publie sur la place de marché du site roumain Russmedia Digital une annonce présen­tant une femme comme offrant des services sexuels. L’annonce comporte des photos de cette dernière, utili­sées sans son consen­te­ment, ainsi que son numéro de télé­phone. Malgré la suppres­sion de l’annonce par Russmedia, elle réap­pa­raît à l’identique sur d’autres sites web avec l’indication de la source d’origine.

La personne lésée intente une action contre la société déten­trice du site devant le tribu­nal de première instance de Cluj-Napoca. La juri­dic­tion condamne Russmedia à verser des dommages et inté­rêts pour le préju­dice moral causé par l’atteinte au droit à l’image, à l’honneur et à la répu­ta­tion, ainsi que par la viola­tion du droit au respect de la vie privée et le trai­te­ment illé­gal de ses données à carac­tère personnel.

Russmedia forme appel devant le tribu­nal spécia­lisé de Cluj. Le tribu­nal retient que l’exonération de respon­sa­bi­lité de la loi roumaine n°365/2002 sur le commerce élec­tro­nique s’applique. Dès lors, l’entreprise n’est pas tenue de contrô­ler les infor­ma­tions qu’on lui trans­met, ni de recher­cher acti­ve­ment des données rela­tives à des acti­vi­tés ou des infor­ma­tions appa­rem­ment illégales.

La personne lésée fait recours par devant la Cour d’appel de Cluj, esti­mant que le tribu­nal précé­dent n’a pas analysé d’autres chefs de respon­sa­bi­lité pour Russmedia tirés d’autres sources régle­men­taires, soit notam­ment du RGPD.

La Cour d’appel constate que la CJUE n’a pas encore eu l’occasion d’examiner une situa­tion dans laquelle le contenu de l’annonce posté était mani­fes­te­ment illé­gal et profon­dé­ment préju­di­ciable pour la personne concernée.

La Cour décide de surseoir à statuer et formule des ques­tions préju­di­cielles à la CJUE, afin de déter­mi­ner si :

• Le RGPD et la direc­tive 2000/​31 exigent la mise en place de mesures de sécu­rité pour empê­cher la copie et la redis­tri­bu­tion des annonces publiées ;
• Le RGPD et la direc­tive 2000/​31 imposent une véri­fi­ca­tion préa­lable du contenu des annonces pour détec­ter et suppri­mer celles qui sont illi­cites ou atten­ta­toires à la vie privée ;
• Le RGPD et la direc­tive 2000/​31 obligent le pres­ta­taire à véri­fier l’identité entre l’auteur d’une annonce et le titu­laire des données person­nelles avant la publi­ca­tion ; et
• L’exonération de respon­sa­bi­lité tirée des articles 12 à 14 de la direc­tive 2000/​31 s’applique à un héber­geur qui affirme d’un rôle pure­ment tech­nique tout en se réser­vant dans ses condi­tions d’utilisation le droit d’exploiter et de suppri­mer les conte­nus sans néces­sité de présen­ter un motif.

Des données person­nelles sensibles et de la quali­fi­ca­tion de respon­sable du traitement 

Les données de la personne lésée consti­tuent des données à carac­tère person­nel sensibles dans la mesure où il s’agit de données rela­tives à la vie sexuelle ou l’orientation sexuelle d’une personne physique (art. 9 para. 1 RGPD). La juris­pru­dence de la Cour précise qu’une protec­tion accrue doit être accor­dée aux données sensibles (Arrêt du 21 décembre 2023, C‑667/​21). La Cour estime que la néces­sité d’ac­cor­der une protec­tion accrue aux données sensibles implique que les données menson­gères doivent égale­ment être consi­dé­rées comme sensibles.

La Cour retient égale­ment que l’opération visant à faire figu­rer des données à carac­tère person­nel sur une page Internet consti­tue un trai­te­ment au sens de l’art. 4 para. 2 RGPD.

Puisque Russmedia conteste sa qualité de respon­sable du trai­te­ment, la Cour se penche sur la question.

D’abord, l’existence d’une respon­sa­bi­lité conjointe ne présup­pose pas que chacun des respon­sables ait eu accès aux données à carac­tère person­nel concer­nées (Arrêt du 5 décembre 2023, C‑683/​21 et voir swiss​pri​vacy​.law/​3​22/).

La CJUE a eu l’occasion de juger que parti­cipe à la déter­mi­na­tion des moyens de trai­te­ments la personne physique ou morale qui influe de manière déter­mi­nante sur la collecte et la trans­mis­sion des données à carac­tère person­nel (Arrêt du 5 juin 2018, C‑210/​16). Ensuite, l’existence d’une respon­sa­bi­lité conjointe ne se traduit pas néces­sai­re­ment par une respon­sa­bi­lité équi­va­lente des diffé­rents acteurs. Le niveau de respon­sa­bi­lité de chaque acteur doit être évalué en tenant compte de toutes les circons­tances perti­nentes du cas d’espèce (Arrêt du 10 juillet 2018, C‑25/​17).

Partant, même si Russmedia n’a pas déter­miné le contenu de l’annonce postée, l’analyse de ses condi­tions géné­rales permet déjà de consta­ter que la société influe de manière déter­mi­nante sur le trai­te­ment des données person­nelles. La société est donc quali­fiée de respon­sable (conjointe) du traitement.

Des mesures tech­niques qui doivent être prises par le respon­sable du traitement

La Cour rappelle que le RGPD a notam­ment pour objet de garan­tir un niveau élevé de protec­tion des liber­tés et des droits fonda­men­taux des personnes physiques à l’égard du trai­te­ment des données à carac­tère person­nel. Comme le reflète l’art. 5 para. 1 RGPD, les données à carac­tère person­nelle doivent être exactes et, si néces­saire, tenues à jour. Ainsi, toutes les mesures raison­nables doivent être prises afin que les données person­nelles inexactes soient corri­gées ou effa­cées. Pour ce qui est des données person­nelles à carac­tère sensible, leur trai­te­ment est en prin­cipe inter­dit sans consen­te­ment de la personne visée (art. 9 para. 1 RGPD).

En l’occurrence, le respon­sable du trai­te­ment a charge de démon­trer qu’il respecte les prin­cipes énon­cés à l’art. 5 para. 1 RGPD. Il doit notam­ment mettre en œuvre des mesures tech­niques et orga­ni­sa­tion­nelles appro­priées pour s’assurer que le trai­te­ment a été effec­tué confor­mé­ment au RGPD (art. 24 RGPD). Le respon­sable du trai­te­ment doit égale­ment adop­ter des mesures appro­priées visant à préve­nir les viola­tions éven­tuelles du RGPD (art. 5 para. 2 RGPD cum art. 24 RGPD). Le respon­sable du trai­te­ment doit donc déter­mi­ner quelles sont les mesures tech­niques et orga­ni­sa­tion­nelles appro­priées en tenant compte de la nature, de la portée, du contexte et des fina­li­tés du trai­te­ment en ques­tion ainsi que du degré de proba­bi­lité et de gravité des risques pour les droits et liber­tés de la personne concer­née (Arrêt du 21 décembre 2023, C‑667/​21).

La Cour estime que la mise en ligne d’une annonce repré­sente un risque signi­fi­ca­tif pour les droits et liber­tés de la personne concer­née, car les données sont en prin­cipe acces­sibles à tout utili­sa­teur d’Internet et peuvent être copiées et repro­duites sur d’autres sites. De plus, le trai­te­ment de données sensibles peut consti­tuer une ingé­rence parti­cu­liè­re­ment grave dans les droits fonda­men­taux de la personne concer­née. Cette proba­bi­lité est d’au­tant plus impor­tante lorsque l’utilisateur anonyme n’est pas la personne concer­née et que le marché en ligne lui permet de rester anonyme.

Partant, Russmedia devait mettre en œuvre les mesures tech­niques et orga­ni­sa­tion­nelles appro­priées pour iden­ti­fier les annonces conte­nant des données sensibles avant leur publi­ca­tion et véri­fier si leur contenu est compa­tible avec le RGPD.

De l’obligation de véri­fi­ca­tion de l’identité de l’utilisateur

La publi­ca­tion de données sensibles par une personne tierce est inter­dite si le titu­laire des données person­nelles n’a pas donné son consen­te­ment expli­cite au trai­te­ment (art. 9 para. 1 et para. 2 let. a RGPD). En cas de publi­ca­tion par une personne tierce, cette dernière doit démon­trer qu’elle a obtenu le consen­te­ment du titu­laire des données person­nelles. En effet, l’art. 13 para. 1 let. a et art. 14 para. 1 let. a RGPD prévoient que les respon­sables du trai­te­ment doivent four­nir les iden­ti­tés et coor­don­nées de la personne visée par le trai­te­ment. L’art. 26 RGPD impose aux respon­sables conjoints de défi­nir de manière trans­pa­rente leurs obli­ga­tions respec­tives afin d’assurer le respect du règlement.

La Cour relève à juste titre que les respon­sables du trai­te­ment conjoints ne peuvent pas respec­ter leurs obli­ga­tions s’ils ignorent l’identité de leur co-responsable.

Partant, le respon­sable du trai­te­ment doit être en mesure de s’assurer que les données sensibles conte­nues dans les annonces sont trai­tées confor­mé­ment aux exigences du RGPD. Il doit aussi véri­fier l’identité de l’utilisateur annon­ceur avant publi­ca­tion, notam­ment afin de véri­fier si l’utilisateur annon­ceur est bien la personne visée par l’annonce.

De plus, la Cour estime que le respon­sable du trai­te­ment doit refu­ser la publi­ca­tion d’une annonce dans laquelle figurent des données sensibles d’une tierce personne, si l’uti­li­sa­teur annon­ceur ne parvient pas à démon­trer de manière vrai­sem­blable qu’il a obtenu le consen­te­ment de cette dernière.

Des mesures de sécu­rité de nature à empê­cher et limi­ter la redis­tri­bu­tion d’annonces en viola­tion du RGPD

La Cour relève que les condi­tions géné­rales de la place de marché en ligne de Russmedia lui permettent de trans­mettre les conte­nus des annonces publiées à des parte­naires. Ainsi, si la société a trans­mis les conte­nus de manière volon­taire, elle doit se confor­mer à l’en­semble des obli­ga­tions décou­lant du RGPD.

Dans l’hypothèse où les conte­nus n’auraient pas été trans­mis par Russmedia, la Cour renvoie à l’art. 32 para. 1 RGPD qui prévoit que, compte tenu de l’état des connais­sances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des fina­li­tés du trai­te­ment ainsi que des risques, dont le degré de proba­bi­lité et de gravité varie, pour les droits et liber­tés des personnes physiques, le respon­sable du trai­te­ment et le sous-trai­tant mettent en œuvre les mesures tech­niques et orga­ni­sa­tion­nelles appro­priées afin de garan­tir un niveau de sécu­rité adapté au risque. Le respon­sable du trai­te­ment doit notam­ment tenir compte des risques que présente le trai­te­ment, soit notam­ment de la divul­ga­tion non auto­ri­sée des données à carac­tère person­nelle de manière acci­den­telle ou illi­cite (art. 32 para. 2 RGPD). Les mesures de sécu­rité doivent être prises en déter­mi­nant le risque concret que consti­tue le trai­te­ment concerné. La Cour relève que la seule dissé­mi­na­tion des données en ligne ne suffit pas pour déter­mi­ner que les éven­tuelles mesures prises n’étaient pas appro­priées (cf. Arrêt du 14 décembre 2023, C‑340/​21 et voir aussi swiss​pri​vacy​.law/​2​30/).

Partant, Russmedia était tenue de mettre en œuvre des mesures tech­niques et orga­ni­sa­tion­nelles appro­priées afin d’empêcher que des annonces publiées conte­nant des données sensibles soient répli­quées sur d’autres sites Internet.

De la direc­tive 2000/​31

La direc­tive « commerce élec­tro­nique » 2000/​31 prévoit des règles liées aux services en ligne et fixe notam­ment un régime de respon­sa­bi­li­tés des pres­ta­taires intermédiaires.

Afin de savoir si l’exonération de respon­sa­bi­lité prévue à l’art. 14 para. 1 de la direc­tive 2000/​31 s’applique dans le cas d’espèce, la Cour fait réfé­rence à sa juris­pru­dence qui indique que les ques­tions liées à la protec­tion de la confi­den­tia­lité des commu­ni­ca­tions et des données à carac­tère person­nelles doivent être appré­ciées au regard du RGPD. En ce sens, la protec­tion assu­rée par la direc­tive 2000/​31 ne peut pas porter atteinte aux exigences décou­lant du RGPD (Arrêt du 6 octobre 2020, C‑511/​18).

Partant, Russmedia ne peut pas se préva­loir de l’exonération prévue par l’art. 14 para. 1 de la direc­tive 2000/​31.

Droit suisse

En droit suisse, l’art. 32 al. 2 LPD renvoie aux actions en protec­tion de la person­na­li­tés (art. 28, 28a, 28g et 28l CC) ce qui permet à la personne lésée de requérir :

• L’interdiction d’un trai­te­ment déter­miné de données personnelles,
• L’interdiction d’une commu­ni­ca­tion déter­mi­née de données person­nelles à des tiers et
• L’effacement ou la destruc­tion de données personnelles.

De plus, la personne concer­née peut deman­der que la recti­fi­ca­tion, l’effacement des données, l’interdiction du trai­te­ment ou de la commu­ni­ca­tion à un tiers, la mention du carac­tère liti­gieux ou le juge­ment soient commu­ni­qués à des tiers ou publiés (art. 32 al. 4 LPD).

Pour deman­der une répa­ra­tion sous la forme de dommages-inté­rêts, la personne lésée devra en plus prou­ver la faute du respon­sable du trai­te­ment (cf. art. 41 CO, pour une analyse plus détaillée de la juris­pru­dence, voir : https://​www​.vischer​.com/​d​e​/​i​n​s​i​g​h​t​s​/​e​u​g​h​-​u​r​t​e​i​l​-​r​u​s​s​m​e​d​i​a​-​d​a​s​-​e​n​d​e​-​d​e​s​-​h​a​f​t​u​n​g​s​p​r​i​v​i​l​e​g​s​-​f​u​e​r​-​h​o​s​t​i​n​g​-​p​r​o​v​i​der).

Note

La CJUE précise de manière bien­ve­nue que les images menson­gères peuvent égale­ment consi­dé­rées comme des données à carac­tère person­nel sensibles. Cette inter­pré­ta­tion étend le champ d’application du RGPD aux repré­sen­ta­tions géné­rées ou modi­fiées par intel­li­gence arti­fi­cielle, offrant une protec­tion renfor­cée pour les victimes de photo­gra­phies et vidéos truquées.