CJUE : Les plateformes de petites annonces sont responsables des données personnelles publiées par les utilisateurs. L'affaire a commencé en Roumanie.
Bruxelles, 2 décembre 2025 La Cour de Justice de l'Union Européenne a établi que les opérateurs des plateformes d'annonces sont responsables de la protection des données personnelles publiées dans les annonces téléchargées par les utilisateurs, étant considérés comme des « opérateurs de données » au sens du RGPD. L'arrêt oblige les marketplaces à adopter des mesures proactives de vérification de l'identité de la personne concernée et de confirmation du consentement explicite, ainsi qu'à empêcher la republication non autorisée des annonces sur d'autres sites. La décision a une pertinence majeure pour le marché en Roumanie, puisque l'affaire a commencé par la publication d'une annonce fausse sur une plateforme roumaine.
En bref
La CJUE établit que les plateformes d'annonces sont des « opérateurs de données » au sens du RGPD et portent une responsabilité directe.
Les plateformes doivent vérifier l'identité et le consentement de la personne concernée avant la publication de l'annonce.
L'affaire provient de Roumanie, où les données d'une femme ont été utilisées dans une annonce fausse et redistribuées sur d'autres sites.
L'affaire a été portée devant la CJUE après qu'une femme de Roumanie a découvert que ses photographies et son numéro de téléphone avaient été utilisés dans une annonce publiée sur une plateforme en ligne d'annonces, sans son accord. L'annonce a ensuite été copiée automatiquement et redistribuée sur d'autres sites, amplifiant le préjudice. Bien qu'elle ait gagné en première instance, la cour d'appel a soulevé des questions concernant la responsabilité de l'opérateur de la plateforme et a renvoyé l'affaire pour clarification à la Cour de Justice.
La Cour a décidé qu'un marketplace qui permet aux utilisateurs de publier des annonces traite activement les données personnelles incluses dans ces annonces. Par conséquent, la plateforme ne peut pas être considérée comme un simple intermédiaire technique et ne peut pas se prévaloir du régime « safe harbour » de la Directive sur le commerce électronique. Selon la CJUE, l'opérateur des annonces a l'obligation d'analyser si les données incluses sont celles de la personne qui publie l'annonce, si la personne concernée a donné son consentement et si les informations ne relèvent pas de la catégorie des données sensibles protégées par l'article 9 du RGPD.
L'arrêt introduit également une obligation supplémentaire : les plateformes doivent mettre en œuvre des mesures techniques pour prévenir la copie et la redistribution non autorisée des annonces – un aspect ayant un impact majeur en Roumanie, où de nombreux sites d'annonces sont inclus dans des réseaux automatiques d'agrégation.
La décision de la CJUE a des implications directes pour toutes les plateformes roumaines d'annonces, en particulier celles qui permettent la publication de contenu généré par les utilisateurs de manière non filtrée. Les opérateurs devront revoir et mettre à jour leurs procédures internes, vérifier l'identité des utilisateurs dans des situations à haut risque, assurer la traçabilité du consentement et mettre en œuvre des barrières techniques anti-scraping. Pour les utilisateurs, l'arrêt offre un cadre clair de protection lorsque leurs données sont utilisées abusivement dans des annonces fausses.
L'arrêt de la CJUE devient obligatoire pour les tribunaux en Roumanie et dans tous les États membres de l'UE. Le dossier retourne maintenant au tribunal roumain pour un jugement sur le fond, conformément à l'interprétation juridique établie par la Cour.
