L’affaire opposait une victime de revenge porn[1] à l’exploitant de la plateforme roumaine Publi24.r Russmedia Digital. Saisie après une divergence d’interprétation entre les juridictions nationales, la CJUE est venue clarifier le statut de responsable de traitement d’un site de petites annonces et redéfinir la frontière entre le régime protecteur posé par le RGPD et la responsabilité allégée des hébergeurs issue de la directive e-commerce de 2000[2].
Plateformes en ligne et RGPD : la qualification de responsable de traitement confirmée par la CJUE
Dans cet arrêt, il a alors été confirmé que l’exploitant d’une place de marché pouvait être considéré comme responsable de traitement dès lors que ce dernier déterminait les moyens et les finalités de la publication des annonces, même dans l’hypothèse où l’utilisateur était le rédacteur du contenu.
Cette qualification entraîne ainsi l’application du RGPD, au-delà du seul régime des hébergeurs techniques.
En effet, dès lors que des données sensibles, telles que celles liées à la sexualité, sont en jeu, la plateforme doit nécessairement répondre à la double exigence posée par les articles 6 et 9 du RGPD :
- La justification de la licéité du traitement, et
- Le respect de l’interdiction de principe des données sensibles, sauf consentement explicite ou exception strictement encadrée.
La Cour rappelle avec fermeté que le principe de responsabilité[3] s’applique dès la conception du service. L’exploitant doit donc être en mesure de démontrer, ex ante, que le traitement est licite et sécurisé, en tenant compte du risque que les données sensibles puissent être copiées, reproduites et diffusées de manière massive.
Données sensibles et revenge porn : l’obligation de vérification d’identité imposée aux plateformes
L’enseignement de l’arrêt réside dans l’obligation, imposée à l’exploitant, de recueillir et vérifier l’identité de l’utilisateur publiant une annonce contenant des données sensibles.
Pour la CJUE, la publication d’une annonce sexuelle ne vaut consentement explicite que si la personne concernée est elle-même à l’origine de la publication. La Cour indique que dès qu’une personne publie une annonce concernant une personne tierce, aucune présomption de consentement n’est possible.
Ainsi, la plateforme doit :
- Recueillir l’identité de l’annonceur ;
- Vérifier que cette identité correspond à la personne visée dans l’annonce ;
- Refuser la mise en ligne si les identités ne concordent pas ou si aucun consentement explicite n’est démontré.
La Cour écarte ainsi expressément un système déclaratif. En effet, l’exploitant doit nécessairement procéder à une vérification effective, dans le cadre du respect du RGPD et de la prévention des violations particulièrement graves associées aux données sexuelles en ligne. Une obligation de mise en place de mesures techniques empêchant ou limitant la copie et la redistribution des annonces sensibles[4] est ainsi imposée par le RGPD. La Cour vient d’ailleurs rappeler que la vérification effective n’est pas une obligation de résultat mais bien d’une exigence d’adaptation du niveau de sécurité au risque réel.
RGPD vs directive e-commerce : la fin de la neutralité passive des hébergeurs
L’arrêt consacre que le régime d’exonération de la directive e‑commerce ne peut remettre en cause les obligations découlant du RGPD.
De manière théorique, un hébergeur peut encore se prévaloir de l’article 15 de la directive e-commerce[5]. Néanmoins, dans la pratique, dès que l’hébergeur est qualifié de responsable de traitement, l’exploitant devra adopter une attitude proactive, notamment en :
- Prévenant des violations ;
- Vérifiant des contenus sensibles ;
- Refusant de publier des annonces en cas de risque ou d’incertitude.
Cette approche marque une rupture avec la vision traditionnelle de l’hébergeur neutre et passif. Le RGPD impose ainsi un contrôle préalable, incompatible avec la logique de l’absence de surveillance du régime posé par la directive e-commerce, en son article 15.
En consacrant l’obligation de vérifier l’identité de l’annonceur pour toute publication impliquant des données sensibles, la CJUE impose aux plateformes une vigilance accrue et un rôle de contrôle préalable inédit. Cette décision vient alors redessiner le paysage juridique des places de marché et invite à repenser l’équilibre entre innovation, fluidité des services en ligne et protection des personnes. Celle-ci annonce aussi un mouvement de convergence du droit relatif aux données personnelles, de la responsabilité des intermédiaires et du Digital Services Act, vers un modèle d’intermédiation responsable. L’enjeu principal sera désormais de déterminer jusqu’où peut — et doit — aller ce contrôle proactif, sans transformer les plateformes en acteurs éditoriaux à part entière.
***
Le cabinet HAAS Avocats est spécialisé depuis trois décennies en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de l’IP/IT. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Phénomène qui désigne le fait de rendre publique, sans le consentement de la victime, des images ou propos à caractère érotique échangés dans un cadre privé.
[2] Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique »)
[3] Article 5.2 du RGPD
[4] Article 32 RGPD
[5] Ces articles permettent aux intermédiaires techniques d’être dispensés d’une obligation générale en matière de surveillance
