Une plateforme de petites annonces peut-elle se réfugier derrière le régime “hébergeur” pour échapper à ses obligations RGPD ? Dans un arrêt très remarqué du 2 décembre 2025 (CJUE, grande chambre, aff. C-492/23, X c/ Russmedia Digital), la Cour répond clairement : non. Elle qualifie l’exploitant de la plateforme de responsable du traitement des données personnelles figurant dans les annonces et lui impose des obligations renforcées, y compris avant publication, notamment lorsqu’il s’agit de données sensibles.
1. Une “simple annonce” peut déclencher de lourdes obligations RGPD
L’affaire part d’un scénario malheureusement classique : une annonce publiée sur une plateforme de marché en ligne présente une personne comme offrant des services sexuels, avec photos et numéro de téléphone récupérés sur les réseaux sociaux, sans consentement. La plateforme retire rapidement l’annonce… mais celle-ci est déjà copiée et rediffusée ailleurs.
Derrière ce fait divers numérique se cache une question centrale pour de nombreuses entreprises : qui porte la responsabilité RGPD quand des utilisateurs publient eux-mêmes du contenu (petites annonces, commentaires, profils, avis, offres de services…) contenant des données personnelles — parfois très sensibles ?
Jusqu’ici, beaucoup d’acteurs du web raisonnaient avec le réflexe “hébergeur” : si je stocke un contenu mis en ligne par un tiers et que je le retire dès signalement, je bénéficie d’une exonération de responsabilité au titre de la directive e-commerce (et de ses transpositions nationales). L’arrêt Russmedia rappelle que, sur le terrain du RGPD, la logique est différente — et souvent plus exigeante.
2. Russmedia “responsable du traitement” : la CJUE élargit la focale des plateformes
La CJUE juge que l’exploitant d’une place de marché en ligne comme Russmedia est responsable du traitement pour les données personnelles contenues dans les annonces publiées sur sa plateforme. Son argument clé est simple : même si l’annonce est rédigée par un utilisateur, elle n’est rendue accessible au public sur Internet que grâce à la plateforme.
Concrètement, cela signifie qu’une plateforme ne peut plus se présenter comme un acteur passif dès lors qu’elle :
- met à disposition l’architecture de publication,
- organise l’affichage (présentation, classement, durée de mise en ligne),
- permet la diffusion au public dans un cadre économique et technique qu’elle maîtrise.
Dans l’écosystème RGPD, le “responsable du traitement” n’est pas seulement celui qui écrit le contenu : c’est aussi celui qui détermine des finalités et des moyens du traitement (au moins en partie). D’où une conséquence très pratique : les obligations RGPD ne s’arrêtent pas au service client “après signalement”.
À noter : l’avocat général Szpunar proposait une lecture plus favorable aux plateformes, en considérant notamment que, pour les données contenues dans les annonces, l’exploitant pouvait être vu comme sous-traitant et qu’il ne devait pas contrôler systématiquement le contenu avant publication. La CJUE ne suit pas cette approche dans son arrêt.
3. Des obligations “ex ante” : identifier, vérifier, refuser… avant de publier
C’est l’un des apports les plus opérationnels de l’arrêt Russmedia : la Cour impose des mesures avant publication, notamment lorsque l’annonce comporte des données sensibles (par exemple relatives à la vie sexuelle).
a. Identifier les annonces à risque (données sensibles)
La CJUE indique que l’exploitant doit mettre en place des mesures techniques et organisationnelles appropriées pour identifier, avant publication, les annonces contenant des données sensibles.
En pratique, cela pousse les plateformes à prévoir :
- des mécanismes de détection (mots-clés, catégories, signalements renforcés, contrôles ciblés),
- une modération “prioritaire” sur certains types d’annonces,
- des garde-fous dès l’interface de dépôt (avertissements, champs bloquants, etc.).
b. Vérifier l’identité et/ou le consentement explicite
Si une annonce contient des données sensibles, la Cour exige de vérifier que l’annonceur est la personne concernée, ou qu’il dispose du consentement explicite de cette personne (ou qu’une autre exception RGPD s’applique). À défaut, la plateforme doit refuser la publication.
Traduction business : sur certains contenus, l’anonymat total et l’absence de vérification peuvent devenir intenables. Cela n’implique pas nécessairement une vérification d’identité pour tout, tout le temps, mais impose au minimum une stratégie crédible de vérification ciblée sur les zones à haut risque.
c. Mettre en place des mesures anti-copie / anti-rediffusion
Autre point marquant : la Cour vise expressément la nécessité de “s’efforcer d’empêcher” que des annonces sensibles soient copiées et publiées illicitement sur d’autres sites, via des mesures de sécurité adaptées.
curia.europa.eu
Selon la configuration, cela peut passer par :
- limitations techniques (anti-scraping, protections d’accès, restrictions API),
- filigranes, restrictions d’affichage d’images,
- mesures organisationnelles (surveillance, réaction accélérée, traçabilité).
4. “Je suis hébergeur” ne suffit plus : la primauté fonctionnelle du RGPD
La conclusion la plus structurante est celle-ci : l’exploitant ne peut pas échapper à ses obligations RGPD en invoquant l’exonération de responsabilité de la directive e-commerce (notamment l’article 14 sur l’hébergement). Autrement dit, même si une plateforme se reconnaît des réflexes “notice & takedown”, cela ne neutralise pas les exigences propres au traitement de données personnelles.
Pour les opérateurs, l’enjeu est stratégique : il faut cesser d’opposer “contenu illicite” (logique e-commerce/DSA) et “données personnelles” (logique RGPD), car les deux peuvent coexister, mais le RGPD impose ses propres obligations, parfois plus en amont.
Checklist de conformité (spécial plateformes d’annonces et UGC)
À la lumière de Russmedia, beaucoup d’acteurs ont intérêt à réévaluer rapidement :
- la qualification RGPD (responsable / coresponsable sur certaines opérations),
- les parcours de dépôt d’annonce (prévention des données sensibles),
- les mécanismes de détection et de modération ciblée,
- les dispositifs de vérification (identité/consentement) sur catégories à risque,
- les mesures anti-copie et anti-scraping,
- la documentation (analyse de risques, “privacy by design”, procédures internes).
L’arrêt Russmedia envoie un message clair : ouvrir un espace de publication aux utilisateurs, c’est aussi assumer une part de responsabilité sur la manière dont les données personnelles y circulent — et pas seulement “quand il est trop tard”.
***
Pour toute demande de conseil juridique, n’hésitez pas à nous contacter. Vous pouvez dès à présent demander un devis gratuit ici.
