RGPD et plateformes : 5 erreurs qui vous rendent coresponsable du traitement

La CJUE a rendu un arrêt le 2 décembre 2025 mettant fin à l'immunité de l'hébergeur technique.

12/3/20254 min read

Longtemps, une marketplace a pu se considérer comme un simple intermédiaire technique, une plateforme passive connectant vendeurs et acheteurs sans réelle responsabilité sur les contenus publiés. Cette vision est désormais révolue. Un arrêt de la Cour de Justice de l'Union Européenne (CJUE) du 2 décembre 2025 (affaire C-492/23) vient de bouleverser radicalement cette perception, imposant des obligations d'une ampleur inédite. Cet article décrypte les points les plus surprenants et impactants de cette décision que toutes les plateformes doivent connaître.

Point 1 : Vos Conditions Générales d'Utilisation (CGU) peuvent vous rendre co-responsable

Le statut d'une plateforme n'est pas automatique et peut basculer de "simple hébergeur" à "co-responsable du traitement" simplement à cause de la rédaction de ses CGU. Dans l'affaire jugée, l'exploitant du site d'annonces, Russmedia, s'était arrogé dans ses conditions générales le droit d'utiliser et de modifier les contenus publiés par ses utilisateurs.

La Cour a cité un passage clé des CGU pour justifier sa décision :

Russmedia conserve le droit d'utiliser les contenus […], y compris de les copier, de les distribuer, de les transmettre, de les publier, de les reproduire, de les modifier, de les traduire, de les céder à des partenaires et de les effacer à tout moment.

De telles clauses démontrent, selon la Cour, que la marketplace détermine ses propres finalités et moyens pour le traitement des données. Une clause, souvent perçue comme un simple boilerplate juridique, devient ainsi le point de bascule qui fait peser sur la plateforme l'intégralité des obligations du responsable de traitement.

Point 2 : Une information totalement fausse est quand même une "donnée sensible"

C'est peut-être l'apport le plus déroutant de l'arrêt, qui répond à une question juridique lourde de conséquences : une information entièrement fausse peut-elle constituer une donnée sensible ? Le litige portait sur une annonce mensongère qui usurpait l'identité d'une personne pour lui attribuer des activités sexuelles. La défense aurait pu arguer que des informations inventées ne constituent pas de véritables données personnelles.

La CJUE a balayé cet argument. Elle estime que même si ces informations sont "mensongères et préjudiciables", elles sont bien des données sensibles relatives à la "vie sexuelle" au sens de l'article 9 du RGPD. La logique de la Cour est claire : la protection repose sur la nature de l'information et le risque qu'elle représente pour la victime, et non sur sa véracité. Cette position vise à protéger les individus contre les risques d'atteinte grave, même lorsque celles-ci reposent sur des calomnies.

Point 3 : Le contrôle préalable des annonces est désormais une obligation

L'arrêt impose aux marketplaces un contrôle renforcé avant toute publication d'une annonce susceptible de contenir des données sensibles. Fini le modèle de modération a posteriori : les plateformes doivent désormais mettre en place un processus de vérification en amont.

La CJUE détaille quatre vérifications obligatoires :

  1. Identifier les données sensibles : La plateforme doit être capable de détecter si une annonce contient des données relevant de l'article 9 du RGPD (origine ethnique, opinions politiques, vie sexuelle, etc.).

  2. Vérifier l'identité de l'annonceur : Elle doit authentifier l'identité de l'utilisateur qui cherche à publier l'annonce.

  3. Vérifier la correspondance : Elle doit s'assurer que la personne qui publie l'annonce est bien la personne concernée par les données sensibles qu'elle contient.

  4. Refuser la publication ou obtenir un consentement explicite : Si l'annonceur n'est pas la personne concernée, la publication doit être refusée, sauf si un consentement explicite peut être prouvé.

Fait majeur, la Cour précise que cette obligation de contrôle spécifique prévaut sur le principe de non-obligation générale de surveillance issu de la directive e-commerce.

Point 4 : L'immunité de l'hébergeur ne protège plus face au RGPD

Les plateformes ne peuvent plus se retrancher derrière leur statut d'hébergeur, prévu par la directive e-commerce de 2000, pour échapper à leurs obligations en matière de protection des données. La Cour a été catégorique sur ce point : les protections accordées aux intermédiaires techniques ne limitent en rien la portée du RGPD.

En cas de conflit, la CJUE établit une hiérarchie claire : le régime de protection des données personnelles l'emporte sur les exonérations de responsabilité prévues pour les simples intermédiaires techniques.

Point 5 : Des mesures techniques anti-copie sont maintenant exigées

Pour répondre au problème de la "dissémination incontrôlable" qui a amplifié le préjudice de la victime, la Cour impose des obligations de sécurité proactives. Au-delà du contrôle préalable, l'arrêt impose également aux plateformes une obligation de sécurité renforcée, en application de l'article 32 du RGPD. Concrètement, elles doivent mettre en œuvre des mesures techniques pour "empêcher la copie et la republication illicite des annonces contenant des données sensibles".

La Cour cite des exemples précis de protections à envisager :

  • Blocage de la fonction "copier-coller" sur les annonces

  • Restriction du téléchargement des contenus (images, textes)

  • Mise en place de protections techniques anti-scraping (contre l'aspiration automatisée de données)

Bien que la mise en œuvre de ces mesures représente un défi technique et financier considérable, la Cour précise que leur caractère "approprié" sera évalué au cas par cas par les juges nationaux, en fonction du risque.

Conclusion : Un changement de paradigme pour le monde numérique

Cet arrêt marque la fin du modèle de l'hébergement passif pour les plateformes traitant des contenus potentiellement sensibles. Il impose une approche de contrôle pré-publication qui transforme en profondeur le rôle et les responsabilités des marketplaces.

En faisant primer le RGPD de manière absolue, la CJUE place les plateformes face à un paradoxe juridique : elles doivent opérer un contrôle spécifique et approfondi tout en restant soumises à l'interdiction de surveillance générale des contenus, un pilier de la directive e-commerce. Les plateformes sont désormais face à un défi monumental : repenser leur architecture juridique et technique pour intégrer ces obligations contraignantes.

Votre avis : cet arrêt est-il applicable en pratique ou crée-t-il des obligations impossibles à respecter ?