La primauté du RGPD sur le régime des hébergeurs : analyse de l’arrêt Russmedia

Par un arrêt du 2 décembre 2025, la Cour de justice de l’Union européenne s’est prononcée sur la qualification, au regard du RGPD, de l’activité d’un exploitant de plateforme d’annonces en ligne et sur l’articulation entre les obligations issues du RGPD et le régime de responsabilité des prestataires intermédiaires prévu par la directive 2000/31/CE (Dir. e-commerce du Parl. UE et du Conseil du 8 juin 2000).

Cet arrêt illustre un phénomène largement décrit par la doctrine : la montée en puissance d’un régime de protection des données personnelles occupant une position quasi constitutionnelle au sein du droit de l’Union. Les solutions retenues par la Cour révèlent en effet une hiérarchie fonctionnelle entre les instruments européens, non explicitement prévue par les textes, mais dégagée à travers l’interprétation combinée du RGPD et des régimes sectoriels antérieurs, telle que la directive 2000/31/CE.

Saisie le 24 juillet 2023 d’une demande de décision préjudicielle par la Curtea de Apel București (Roumanie), la Cour de justice de l’Union européenne devait se prononcer sur :

  • la qualification de Russmedia au regard du RGPD ;
  • l’étendue des obligations du responsable du traitement (la plateforme était-elle tenue de vérifier l’identité des annonceurs  ? Devait-elle examiner le contenu des annonces avant leur publication  ? Était-elle obligée de mettre en place des mesures de sécurité pour prévenir la copie et la redistribution de ces annonces contenant des données personnelles ? ) ;
  • la possibilité de bénéficier de l’exonération de responsabilité prévue à l’article 14 de la directive 2000/31/CE.

L’arrêt rendu par la grande chambre de la Cour de justice présente un intérêt particulier quant à la place singulière qu’occupe le RGPD dans l’encadrement des activités des plateformes. D’une part, la Cour affirme implicitement une interprétation autonome du RGPD par rapport aux autres réglementations, notamment pour définir la notion de responsable du traitement et déterminer l’étendue des obligations dites « ex ante ». D’autre part, elle précise explicitement les règles d’articulation entre le RGPD et les instruments normatifs sectoriels.

La portée de cette solution apparaît plus nettement encore à la lumière des conclusions de l’avocat général Szpunar, présentées le 6 février 2025, qui proposaient une analyse sensiblement différente (Dalloz actualité, 11 févr. 2025, obs. M. Clément-Fontaine). La confrontation de ces deux raisonnements permet ainsi de dégager clairement les principaux points d’écart.

La construction jurisprudentielle d’un régime autonome du RGPD : définition du responsable et obligations ex ante

La qualification de l’exploitant de plateforme comme responsable du traitement au sens du RGPD 

La Cour de justice (arrêt, pts 57-63) mobilise sa jurisprudence extensive sur la notion de responsable de traitement dans son application de l’article 4, point 7, du RGPD en particulier avec son arrêt Fashion ID (CJUE 29 juill. 2019, aff. C-40/17, D. 2019. 1604 ; ibid. 2266, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; Dalloz IP/IT 2020. 126, obs. T. Douville ; Légipresse 2019. 448 et les obs. ; ibid. 613, obs. E. Drouard et J. Beaufour ; RTD eur. 2020. 319, obs. F. Benoît-Rohmer ) qui explicite l’existence possible d’une responsabilité conjointe ainsi que les arrêts Wirtschaftsakademie (CJUE 5 juin 2018, aff. C-210/16, Dalloz actualité, 25 juin 20218, obs. N. Nalepa ; D. 2018. 1208 ; ibid. 2270, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; ibid. 2019. 1016, obs. S. Clavel et F. Jault-Seseke ; ibid. 1673, obs. W. Maxwell et C. Zolynski ) et Nacionalinis visuomenės sveikatos centras (CJUE 5 déc. 2023, aff. C-683/21, D. 2023. 2193 ) par lesquels elle retient respectivement comme critère de qualification l’influence sur les moyens du traitement et la détermination des finalités.

Sur cette base, la Cour examine les éléments concrets fournis par la juridiction de renvoi à savoir que les conditions générales d’utilisation permettent à Russmedia de reproduire, modifier, distribuer et effacer les annonces ; de plus que la plateforme organise la présentation, le classement, la durée de publication, et rend les annonces accessibles dans un cadre commercial propre ; et qu’enfin ces opérations participent à la détermination des moyens essentiels et d’une partie des finalités du traitement (pts 67-73). Dès lors, elle en conclut que Russmedia est responsable du traitement, au sens du RGPD.

La Cour rappelle que la responsabilité conjointe ne suppose pas que chaque responsable ait accès aux données (pt 62 ; CJUE 29 juill. 2019, Fashion ID, aff. C-40/17, préc., pt 69) et qu’elle peut résulter de décisions convergentes, même sans détermination commune (pt 61 ; CJUE 5 déc. 2023, Nacionalinis visuomenės sveikatos centras, aff. C-683/ 21, préc., pt 43). En l’espèce, il a été constaté que l’utilisateur détermine la finalité du contenu de l’annonce alors que la plateforme détermine les conditions de sa publication et diffusion. Ces apports complémentaires suffisent à caractériser une responsabilité conjointe (pts 75 et 92-93).

La Cour est par conséquent demeurée sur la droite ligne de sa jurisprudence sans suivre les conclusions de l’avocat général plus enclin à limiter le rôle Russmedia qu’il avait choisi de qualifier de sous-traitant pour les données contenues dans les annonces. Selon l’analyse de l’avocat général, les conditions générales de Russmedia ne suffisaient pas à établir une influence sur les finalités. Aussi, selon lui, tandis que la plateforme se bornait à stocker les données, la finalité du traitement était exclusivement déterminée par l’utilisateur. Or, pour la Cour les moyens techniques mis en œuvre par Russmedia contredisent de telles conclusions.

La détermination des obligations du responsable : identification des données sensibles, vérification d’identité et mesures de sécurité

La Cour rappelle que les données relatives à la vie sexuelle constituent des données sensibles (RGPD, art. 9 ; CJUE 21 déc. 2023, Krankenversicherung Nordrhein, aff. C-667/21, D. 2024. 9 ; RTD civ. 2024. 367, obs. F. Marchadier ) et que cette qualification subsiste même lorsque les données sont inexactes ou mensongères (pts 51-54).

Elle en déduit qu’un responsable conjoint doit mettre en œuvre des mesures techniques et organisationnelles (RGPD, art. 24 et 25), permettant d’identifier en amont les annonces contenant potentiellement des données relevant de l’article 9 du RGPD (pt 97 ; v. J.-M. Pastor, Obligation de l’exploitant d’un site marchand à l’égard des données figurant dans ses annonces, AJDA 2025. 2177 ).

Par ailleurs, la Cour observe que l’article 9, § 2, a), du RGPD impose un consentement explicite pour publier des données sensibles ; ce consentement est réputé absent lorsqu’un tiers publie des données d’une autre personne (pt 99). Elle en déduit que la plateforme doit recueillir l’identité de l’annonceur, vérifier s’il correspond à la personne concernée ou s’il dispose d’un consentement explicite et refuser la publication en l’absence de démonstration du consentement (pts 100-106).

S’appuyant sur l’article 32 RGPD et sa jurisprudence (CJUE 14 déc. 2023, Natsionalna agentsia za prihodite, aff. C-340/21, D. 2023. 2241 ; Dalloz IP/IT 2024. 6, obs. G. Ingardia ; ibid. 103, obs. Margaux Redon-Magloire ; RTD civ. 2024. 367, obs. F. Marchadier ), la Cour indique que le responsable doit adopter des mesures destinées à prévenir une perte de contrôle sur les données, notamment lorsque les annonces peuvent être copiées et reproduites (pts 117-126)

Si la Cour appuie son raisonnement exclusivement sur le RGPD (art. 24, 25 et 32), au contraire, l’avocat général avait interprété les dispositions du RGPD à la lumière de l’article 15 de la directive e-commerce qui prohibe une surveillance généralisée à la charge des intermédiaires techniques. C’est pourquoi, il avait écarté l’obligation d’identification systématique des données sensibles, considérant qu’une telle obligation reviendrait à instaurer une surveillance généralisée, contraire à l’article 15 de la directive e-commerce et avait conclu que les mesures de prévention de la duplication techniquement étaient disproportionnées. Le signal de la Cour est par conséquent très clair : le régime du RGPD ne s’estompe pas au profit d’autres régimes.

L’affirmation d’une primauté fonctionnelle du RGPD sur les régulations sectorielles dans l’articulation des régimes européens

Cette décision est particulièrement intéressante quant à la lecture combinée de l’article 1, § 5, de la directive e-commerce et de l’article 2, § 4, du RGPD. L’avocat général concluait à la coexistence des deux régimes : l’exploitant pouvait, selon lui, se prévaloir de l’article 14 même en cas de traitement de données personnelles, dès lors que les conditions du régime d’hébergement étaient remplies. La Cour retient une analyse différente : dans les situations où s’appliquent les obligations du RGPD, l’exonération de la directive e-commerce ne joue pas.

À l’appui de sa décision, la Cour rappelle que la directive e-commerce n’est pas applicable aux questions relevant de la protection des données personnelles (Dir. e-commerce, art. 1, § 5, b) et que le RGPD s’applique « sans préjudice » de cette directive (RGPD, art. 2, § 4). C’est pourquoi, la Cour a déjà eu l’occasion d’affirmer que la directive e-commerce ne peut affecter les exigences du cadre de la protection des données personnelles (pts 129-135 ; CJUE 6 oct. 2020, La Quadrature du Net e.a., aff. C-511/18, C-512/18 et C-520/18, Dalloz actualité, 13 oct. 2020, obs. C. Crichton ; AJDA 2020. 1880 ; D. 2021. 406, et les obs. , note M. Lassalle ; ibid. 2020. 2262, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; ibid. 2022. 2002, obs. W. Maxwell et C. Zolynski ; AJ pénal 2020. 531 ; Dalloz IP/IT 2021. 46, obs. E. Daoud, I. Bello et O. Pecriaux ; Légipresse 2020. 671, étude W. Maxwell ; ibid. 2021. 240, étude N. Mallet-Poujol ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 181, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer ).

La présente affaire lui offre l’occasion de confirmer que le responsable la plateforme ne peut invoquer l’exonération de l’article 14 de la directive lorsque les obligations du RGPD sont en cause (pt 136). La Cour distingue ainsi clairement le régime de responsabilité pour les contenus illicites en tant que tels (directive e-commerce), des obligations propres au traitement des données personnelles (RGPD), qui ne peuvent être affectées par la directive.

Bien qu’aucune norme explicite ne subordonne, en principe, le régime des « intermédiaires techniques » à celui de la protection des données personnelles, l’interprétation retenue par la Cour aboutit à une structuration verticale : dès lors qu’un traitement de données personnelles est en cause, le RGPD prévaut, et les mécanismes sectoriels (en l’espèce, l’art. 14 de la dir. e-commerce) perdent tout effet utile dans la sphère qu’il couvre.

Cette hiérarchie résulte d’une articulation reposant principalement sur deux dispositions :
• l’article 1, § 5, b) de la directive 2000/31/CE, excluant les questions régies par la directive 95/46/CE puis par le RGPD ;
• l’article 2, § 4, du RGPD, selon lequel ce dernier s’applique « sans préjudice » des articles 12 à 15 de la directive e-commerce.

Interprétées conjointement, ces dispositions conduisent à ce que le RGPD délimite le champ d’intervention de la directive e-commerce, ce que la Cour confirme au § 136 de l’arrêt. Il en résulte un maillage normatif dissymétrique, où la réglementation générale (le RGPD) acquiert, de facto, une portée structurante sur les régimes plus anciens ou sectoriels.

Cette dynamique contraste avec l’objectif poursuivi par les règlements dits « Omnibus » pour harmoniser et clarifier le droit européen du numérique (tels que le Digital Services Act – DSA – et le Digital Markets Act – DMA). Ces règlements tendent à organiser un système horizontal, mieux coordonné, dans lequel chaque instrument occupe un domaine fonctionnel clairement délimité (contenus en ligne, pratiques commerciales, protection des données, concurrence). L’intention était précisément de réduire les zones de superposition et d’assurer une plus grande lisibilité pour les opérateurs économiques.

Or, la lisibilité recherchée par les règlements Omnibus n’efface pas entièrement les effets d’empiétements normatifs créés par la coexistence d’instruments généraux et sectoriels. L’arrêt contribue ainsi à une réflexion plus large sur la manière dont la Cour recompose, par l’interprétation, la structure interne du droit numérique de l’Union, en établissant des priorités fonctionnelles qui ne sont pas explicitement formulées par les textes.

 

CJUE, gr. ch., 2 déc. 2025, X c/ Russmedia Digital, aff. C-492/23

par Mélanie Clément-Fontaine, Professeure de droit privé, SAFIR, DANTE

© Lefebvre Dalloz