CJUE, gr. ch., 2 décembre 2025, n° C-492/23

Arrêt

1  La demande de décision préjudicielle porte sur l’interprétation des articles 12 à 15 de la directive 2000/31/CE du Parlement européen et du Conseil, du 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique ») (JO 2000, L 178, p. 1), ainsi que de l’article 2, paragraphe 4, de l’article 4, points 7 et 11, de l’article 5, paragraphe 1, sous b) et f), de l’article 6, paragraphe 1, sous a), et des articles 7, 24 et 25 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2  Cette demande a été présentée dans le cadre d’un litige opposant une personne physique, X, à Russmedia Digital SRL et à Inform Media Press SRL (ci-après, ensemble, « Russmedia ») au sujet d’une action en réparation du préjudice moral subi par la requérante au principal en raison du traitement illicite de ses données à caractère personnel ainsi que de la violation de son droit à l’image, à l’honneur et à la vie privée.

 Le cadre juridique

 Le droit de l’Union

 La directive 2000/31

3  Aux termes des considérants 14, 42, 46 et 52 de la directive 2000/31 :

« (14)  La protection des personnes physiques à l’égard du traitement des données à caractère personnel est uniquement régie par la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données [(JO 1995, L 281, p. 31)], et par la directive 97/66/CE du Parlement européen et du Conseil, du 15 décembre 1997, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications [(JO 1998, L 24, p. 1)], qui sont pleinement applicables aux services de la société de l’information. [...] La mise en œuvre et l’application de la présente directive devraient être conformes aux principes relatifs à la protection des données à caractère personnel, notamment pour ce qui est des communications commerciales non sollicitées et de la responsabilité des intermédiaires. La présente directive ne peut pas empêcher l’utilisation anonyme de réseaux ouverts tels qu’Internet.

[...]

(42)  Les dérogations en matière de responsabilité prévues par la présente directive ne couvrent que les cas où l’activité du prestataire de services dans le cadre de la société de l’information est limitée au processus technique d’exploitation et de fourniture d’un accès à un réseau de communication sur lequel les informations fournies par des tiers sont transmises ou stockées temporairement, dans le seul but d’améliorer l’efficacité de la transmission. Cette activité revêt un caractère purement technique, automatique et passif, qui implique que le prestataire de services de la société de l’information n’a pas la connaissance ni le contrôle des informations transmises ou stockées.

[...]

(46)  Afin de bénéficier d’une limitation de responsabilité, le prestataire d’un service de la société de l’information consistant dans le stockage d’informations doit, dès qu’il prend effectivement connaissance ou conscience du caractère illicite des activités, agir promptement pour retirer les informations concernées ou rendre l’accès à celles-ci impossible. Il y a lieu de procéder à leur retrait ou de rendre leur accès impossible dans le respect du principe de la liberté d’expression et des procédures établies à cet effet au niveau national. La présente directive n’affecte pas la possibilité qu’ont les États membres de définir des exigences spécifiques auxquelles il doit être satisfait promptement avant de retirer des informations ou d’en rendre l’accès impossible.

[...]

(52)  [...] Les dommages qui peuvent se produire dans le cadre des services de la société de l’information se caractérisent à la fois par leur rapidité et leur étendue géographique. En raison de cette spécificité et de la nécessité de veiller à ce que les autorités nationales ne mettent pas en cause la confiance qu’elles doivent s’accorder mutuellement, la présente directive invite les États membres à faire en sorte que les recours juridictionnels appropriés soient disponibles. [...] »

4  L’article 1^er de la directive 2000/31, intitulé « Objectif et champ d’application », dispose :

« 1.  La présente directive a pour objectif de contribuer au bon fonctionnement du marché intérieur en assurant la libre circulation des services de la société de l’information entre les États membres.

[...]

5.  La présente directive n’est pas applicable :

[...]

b)  aux questions relatives aux services de la société de l’information couvertes par les directives [95/46] et [97/66] ;

[...] »

5  La section 4 du chapitre II de la directive 2000/31, intitulée « Responsabilité des prestataires intermédiaires », comprenait, dans la version applicable au litige au principal, les articles 12 à 15 de cette directive. Les articles 12 et 13 de celle-ci concernaient, conformément à leurs intitulés respectifs, le « [s]imple transport (“Mere conduit”) » et la « [f]orme de stockage dite “caching” ».

6  L’article 14 de ladite directive, intitulé « Hébergement », prévoyait :

« 1.  Les États membres veillent à ce que, en cas de fourniture d’un service de la société de l’information consistant à stocker des informations fournies par un destinataire du service, le prestataire ne soit pas responsable des informations stockées à la demande d’un destinataire du service à condition que :

a)  le prestataire n’ait pas effectivement connaissance de l’activité ou de l’information illicites et, en ce qui concerne une demande en dommages et intérêts, n’ait pas connaissance de faits ou de circonstances selon lesquels l’activité ou l’information illicite est apparente

ou

b)  le prestataire, dès le moment où il a de telles connaissances, agisse promptement pour retirer les informations ou rendre l’accès à celles-ci impossible.

2.  Le paragraphe 1 ne s’applique pas lorsque le destinataire du service agit sous l’autorité ou le contrôle du prestataire.

3.  Le présent article n’affecte pas la possibilité, pour une juridiction ou une autorité administrative, conformément aux systèmes juridiques des États membres, d’exiger du prestataire qu’il mette un terme à une violation ou qu’il prévienne une violation et n’affecte pas non plus la possibilité, pour les États membres, d’instaurer des procédures régissant le retrait de ces informations ou les actions pour en rendre l’accès impossible. »

7  L’article 15 de la même directive, intitulé « Absence d’obligation générale en matière de surveillance », prévoyait, à ses paragraphes 1 et 2 :

« 1.  Les États membres ne doivent pas imposer aux prestataires, pour la fourniture des services visée aux articles 12, 13 et 14, une obligation générale de surveiller les informations qu’ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites.

2.  Les États membres peuvent instaurer, pour les prestataires de services de la société de l’information, l’obligation d’informer promptement les autorités publiques compétentes d’activités illicites alléguées qu’exerceraient les destinataires de leurs services ou d’informations illicites alléguées que ces derniers fourniraient ou de communiquer aux autorités compétentes, à leur demande, les informations permettant d’identifier les destinataires de leurs services avec lesquels ils ont conclu un accord d’hébergement. »

 Le RGPD

8  Aux termes des considérants 4, 10, 39, 51, 74, 75, 78 et 85 du RGPD :

« (4)  Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la [charte des droits fondamentaux de l’Union européenne (ci-après la “Charte”)], consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique.

[...]

(10)  Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]

[...]

(39)  Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement. [...]

[...]

(51)  Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. [...] De telles données à caractère personnel ne devraient pas faire l’objet d’un traitement, à moins que celui-ci ne soit autorisé dans des cas spécifiques prévus par le présent règlement [...] Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de certaines associations ou fondations ayant pour objet de permettre l’exercice des libertés fondamentales.

[...]

(74)  Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

(75)  Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier : lorsque le traitement peut donner lieu [...] à un vol ou une usurpation d’identité, [...] à une atteinte à la réputation [...] lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel ; [...]

[...]

(78)  La protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel exige l’adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. Afin d’être en mesure de démontrer qu’il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. [...]

[...]

(85)  Une violation de données à caractère personnel risque, si l’on n’intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu’une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, [...] une atteinte à la réputation [...] »

9  L’article 1^er de ce règlement, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :

« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

10  L’article 2 dudit règlement, intitulé « Champ d’application matériel », prévoit, à son paragraphe 4 :

« Le présent règlement s’applique sans préjudice de la directive [2000/31], et notamment de ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires. »

11  L’article 4 du même règlement, intitulé « Définitions », se lit comme suit :

« Aux fins du présent règlement, on entend par :

1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

[...]

7)  “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ;

[...]

11)  “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ;

[...] »

12  Le chapitre II du RGPD, intitulé « Principes », comporte notamment les articles 5 à 9 de celui-ci.

13  L’article 5 de ce règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :

« 1.  Les données à caractère personnel doivent être :

a)  traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

b)  collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités [...] (limitation des finalités) ;

[...]

d)  exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;

[...]

f)  traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;

2.  Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

14  L’article 6 dudit règlement, intitulé « Licéité du traitement », dispose, à son paragraphe 1, premier alinéa :

« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a)  la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; 

b)  le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c)  le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

d)  le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

e)  le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f)  le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. »

15  L’article 7 du même règlement, intitulé « Conditions applicables au consentement », dispose, à son paragraphe 1 :

« Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. »

16  L’article 9 du RGPD, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », dispose :

« 1.  Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

2.  Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :

a)  la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée ;

[...] »

17  L’article 13 de ce règlement, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1, sous a) :

« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

a)  l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ».

18  L’article 14 dudit règlement, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1, sous a) :

« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :

a)  l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ».

19  Figurant au chapitre III du même règlement, intitulé « Droits de la personne concernée », l’article 17 de celui-ci, lui-même intitulé « Droit à l’effacement (“droit à l’oubli”) », prévoit, à ses paragraphes 1 et 2 :

« 1.  La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

[...]

d)  les données à caractère personnel ont fait l’objet d’un traitement illicite ;

[...]

2.  Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci. »

20  Le chapitre IV du RGPD, intitulé « Responsable du traitement et sous-traitant », comporte, sous une section 1, elle-même intitulée « Obligations générales », notamment, les articles 24 à 26 de celui-ci.

21  L’article 24 de ce règlement, intitulé « Responsabilité du responsable du traitement », prévoit, à son paragraphe 1 :

« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »

22  L’article 25 dudit règlement, intitulé « Protection des données dès la conception et protection des données par défaut », prévoit, à ses paragraphes 1 et 2 :

« 1.  Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2.  Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. »

23  L’article 26 du même règlement, intitulé « Responsables conjoints du traitement », dispose, à son paragraphe 1 :

« Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord. »

24  Aux termes de l’article 32 du RGPD, intitulé « Sécurité du traitement » :

« 1.  Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a)  la pseudonymisation et le chiffrement des données à caractère personnel ;

b)  des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c)  des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d)  une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2.  Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

3.  L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4.  Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre. »

25  L’article 82 de ce règlement, intitulé « Droit à réparation et responsabilité », prévoit, à ses paragraphes 1 à 3 :

« 1.  Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

2.  Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

3.  Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable. »

26  L’article 94 du même règlement dispose :

« 1.  La directive [95/46] est abrogée avec effet au 25 mai 2018.

2.  Les références faites à la directive abrogée s’entendent comme faites au présent règlement. [...] »

 Le droit roumain

27  L’article 11 de la Legea nr. 365/2002 privind comerțul electronic (loi n^o 365/2002 sur le commerce électronique), du 7 juin 2002 (Monitorul Oficial al României, partie I, n^o 483 du 5 juillet 2002), telle que modifiée par la Legea nr. 121/2006 pentru modificarea și completarea Legii nr. 365/2002 privind comerțul electronic (loi n^o 121/2006 modifiant et complétant la loi n^o 365/2002 sur le commerce électronique), du 4 mai 2006 (Monitorul Oficial al României, partie I, n^o 403 du 10 mai 2006) (ci-après la « loi n^o 365/2002 »), prévoit :

« 1.  Les prestataires de services sont soumis aux dispositions légales en matière de responsabilité civile, pénale et pour infraction administrative, sauf disposition contraire de la présente loi.

2.  Les prestataires de services sont responsables des informations fournies par eux-mêmes ou pour leur compte.

3.  Les prestataires de services ne sont pas responsables des informations transmises, stockées ou auxquelles ils donnent accès dans les conditions prévues aux articles 12 à 15. »

28  L’article 14 de la loi n^o 365/2002, intitulé « Conservation permanente des informations, hébergement », dispose :

« 1.  Lorsqu’un service de la société de l’information consiste à stocker des informations fournies par un destinataire de ce service, le prestataire dudit service n’est pas responsable des informations stockées à la demande d’un destinataire si l’une ou l’autre des conditions suivantes est remplie :

a)  le prestataire de services n’a pas connaissance de l’illégalité de l’activité ou de l’information stockée et, en ce qui concerne une demande de dommages et intérêts, n’a pas connaissance de faits ou de circonstances dont il résulterait que l’activité ou l’information en question pourrait porter atteinte aux droits d’un tiers ;

b)  s’il a connaissance de l’illégalité de l’activité ou de l’information concernée ou de faits ou de circonstances dont il résulterait que l’activité ou l’information en question pourrait porter atteinte aux droits d’un tiers, le prestataire de services agit promptement pour la supprimer ou pour en bloquer l’accès.

2.  Le paragraphe 1 ne s’applique pas lorsque le destinataire agit sous l’autorité ou le contrôle du prestataire de services.

3.  Les dispositions du présent article ne portent pas atteinte à la possibilité, pour une autorité judiciaire ou administrative, d’exiger du prestataire de services qu’il cesse ou prévienne la violation des données, ni à la possibilité d’établir des procédures gouvernementales visant à limiter ou à interrompre l’accès aux informations. »

29  Les Normele metodologice pentru aplicarea Legii nr. 365/2002 privind comerţul electronic (modalités d’application de la loi n^o 365/2002 sur le commerce électronique), approuvées par la Hotărârea Guvernului nr. 1.308 privind aprobarea Normelor metodologice pentru aplicarea Legii nr. 365/2002 privind comerţul electronic (décision gouvernementale n^o 1.308 portant approbation des modalités d’application de la loi n^o 365/2002 sur le commerce électronique), du 20 novembre 2002 (Monitorul Oficial al României, partie I, n^o 877 du 5 décembre 2002), prévoient, à leur article 11, paragraphe 1 :

« Les prestataires de services de la société de l’information qui fournissent les services visés aux articles 12 à 15 de la loi [n^o 365/2002] ne sont pas tenus de contrôler les informations qu’ils transmettent ou stockent ni de rechercher activement des données relatives à des activités ou informations apparemment illégales dans le domaine des services de la société de l’information qu’ils fournissent. »

 Le litige au principal et les questions préjudicielles

30  Russmedia Digital, société de droit roumain, est propriétaire du site Internet www.publi24.ro, une place de marché en ligne sur laquelle des annonces publicitaires concernant notamment la vente de biens ou la fourniture de services en Roumanie peuvent être publiées gratuitement ou contre rémunération.

31  La requérante au principal fait valoir que, le 1^er août 2018, une tierce personne non identifiée a publié sur ce site Internet une annonce mensongère et préjudiciable la présentant comme offrant des services sexuels. L’annonce contenait notamment des photos de la requérante au principal, utilisées sans son consentement, ainsi que son numéro de téléphone. Cette annonce a par la suite été reprise à l’identique sur d’autres sites Internet à contenu publicitaire, où elle a été mise en ligne, avec l’indication de la source d’origine. Contactée par la requérante au principal, Russmedia Digital a retiré ladite annonce de son site Internet moins d’une heure après la réception de la demande. La même annonce resterait néanmoins disponible sur d’autres sites Internet l’ayant reprise.

32  Estimant que l’annonce en cause au principal violait ses droits à l’image, à l’honneur et à la réputation, ainsi qu’à la vie privée, de même que les règles relatives au traitement des données à caractère personnel, la requérante au principal a introduit un recours contre Russmedia devant la Judecătoria Cluj-Napoca (tribunal de première instance de Cluj-Napoca, Roumanie). Cette juridiction a condamné Russmedia à lui verser des dommages et intérêts d’un montant de 7 000 euros au titre du préjudice moral causé par l’atteinte au droit à l’image, à l’honneur et à la réputation ainsi que par la violation du droit au respect de sa vie privée et le traitement illégal de ses données à caractère personnel.

33  Russmedia a interjeté appel de ce jugement. Le Tribunalul Specializat Cluj (tribunal spécialisé de Cluj, Roumanie) a fait droit à cet appel, jugeant que le recours de la requérante au principal n’était pas fondé, puisque l’annonce en cause au principal ne provenait pas de Russmedia qui ne fournissait qu’un service d’hébergement de cette annonce, sans implication active de Russmedia quant à son contenu. Partant, l’exonération de responsabilité, prévue à l’article 14, paragraphe 1, sous b), de la loi n^o 365/2002, lui serait applicable. S’agissant du traitement des données à caractère personnel, cette juridiction a considéré qu’un prestataire de services de la société de l’information n’était pas tenu de contrôler les informations qu’il transmet, ni de rechercher activement des données relatives à des activités ou à des informations apparemment illégales. À cet égard, elle a jugé qu’il ne pouvait être reproché à Russmedia de ne pas avoir pris de mesures pour empêcher la diffusion en ligne de l’annonce diffamatoire en cause au principal, étant donné qu’elle avait rapidement supprimé cette annonce à la demande de la requérante au principal.

34  Cette dernière a formé un pourvoi contre ce jugement devant la Curtea de Apel Cluj (cour d’appel de Cluj, Roumanie), estimant que le Tribunalul Specializat Cluj (tribunal spécialisé de Cluj) s’était fondé sur une interprétation erronée de la loi n^o 365/2002. La requérante au principal fait valoir notamment que, cette loi n’étant pas une loi spéciale par rapport au RGPD, ce tribunal aurait dû examiner l’applicabilité de ce règlement en l’occurrence. En outre, Russmedia ne se limiterait pas à fournir à ses clients un dispositif technique spécifique d’accès au serveur d’hébergement. Elle jouerait également un rôle de gestion, en intervenant au niveau du contenu, en vue d’une bonne gestion de l’information. Cette société, en tant qu’exploitant du site Internet en cause au principal, stockerait et traiterait le contenu de l’information. Le stockage des données ainsi que leur mise à la disposition du public sous une certaine forme impliqueraient une analyse des données et des informations contenues dans les annonces. Ces éléments démontreraient une implication directe de Russmedia dans la gestion et la diffusion du contenu des annonces. Par conséquent, les dispositions de l’article 14 de la loi n^o 365/2002 ne seraient pas applicables.

35  Par ailleurs, la requérante au principal fait valoir que l’exonération de responsabilité d’un tel prestataire ne s’applique pas si la responsabilité est établie en vertu d’autres actes réglementaires, tels que le RGPD. Russmedia aurait publié les données à caractère personnel de la requérante au principal sans son consentement et permettrait, par le fonctionnement de son site Internet, à quiconque de poster n’importe quel type d’annonces, notamment des annonces qui ne garantiraient pas la sécurité des données à caractère personnel, rendant impossible l’effacement définitif des données publiées en ligne.

36  Russmedia soutient, pour sa part, que la solution adoptée par le Tribunalul Specializat Cluj (tribunal spécialisé de Cluj) est correcte. La requérante au principal n’aurait pas démontré en quoi le RGPD constituait une règle spéciale qui empêche l’application des dispositions pertinentes de la loi n^o 365/2002.

37  La Curtea de Apel Cluj (cour d’appel de Cluj), qui est la juridiction de renvoi et qui statue dans la présente affaire en tant que juridiction de pourvoi dont la décision est définitive, estime nécessaire de déterminer, notamment, les limites de l’exonération de responsabilité d’un prestataire de services de la société de l’information, tel que Russmedia, en vertu de la directive 2000/31.

38  Se référant à la jurisprudence pertinente de la Cour, la juridiction de renvoi constate que, si, conformément à cette jurisprudence, il n’existe pas d’obligation pour les exploitants de places de marché en ligne de procéder à une vérification préalable des informations ou annonces postées par les utilisateurs annonceurs, il n’en demeure pas moins que l’exonération de la responsabilité de ces exploitants est conditionnée. Ainsi, conformément à l’arrêt du 12 juillet 2011, L’Oréal e.a. (C‑324/09, EU:C:2011:474), un exploitant de services en ligne ne saurait se prévaloir de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31 s’il a eu connaissance de faits ou de circonstances sur la base desquels un opérateur économique diligent aurait dû constater l’illicéité des offres à la vente concernées et, dans l’hypothèse d’une telle connaissance, s’il n’a pas promptement agi conformément à l’article 14, paragraphe 1, sous b), de cette directive. De même, il ressortirait de l’arrêt du 11 septembre 2014, Papasavvas (C‑291/13, EU:C:2014:2209), que les limitations de responsabilité civile énoncées aux articles 12 à 14 de la directive 2000/31 ne visent pas le cas d’une société qui dispose d’un site Internet sur lequel est publiée la version électronique d’un journal, dès lors que cette société, qui est rémunérée par les publicités commerciales diffusées sur ce site Internet, a connaissance des informations publiées et exerce un contrôle sur celles-ci.

39  La juridiction de renvoi souligne, toutefois, que ladite jurisprudence ne fait référence qu’à des offres postées sur un site Internet dont le caractère illégal résulte d’une analyse de faits et de circonstances expressément communiqués au responsable du traitement après la publication de l’annonce concernée. Ainsi, la Cour n’aurait pas encore eu l’occasion d’examiner une situation, comme celle au principal, dans laquelle le contenu de l’annonce publiée était manifestement illégal et profondément préjudiciable pour la personne concernée.

40  La juridiction de renvoi s’interroge, dans ce contexte, sur la nécessité qu’une plateforme reçoive une notification pour être dans l’obligation d’effacer un contenu manifestement illicite et gravement préjudiciable. En l’occurrence, l’annonce en cause au principal aurait été publiée sans vérification de l’identité de l’utilisateur annonceur et manifestement sans que le consentement de la requérante au principal ait été recueilli.

41  Au demeurant, bien que l’annonce en cause au principal ait été effacée du site Internet d’origine à la suite d’une notification de la requérante au principal, le contenu de cette annonce, y compris les coordonnées et les photographies de celle-ci, aurait été entièrement repris sur de nombreux autres sites Internet, avec l’indication de la source d’origine. Le préjudice subi par la requérante au principal serait donc devenu permanent et se produirait encore actuellement. La juridiction de renvoi souligne à cet égard que les services sexuels prétendument proposés peuvent être associés à des infractions graves, punies par le Codul penal (code pénal), telles que le proxénétisme et la traite des êtres humains.

42  La juridiction de renvoi précise que, conformément aux conditions générales d’utilisation de la place de marché en ligne exploitée par Russmedia, sans prétendre à un droit de propriété sur les contenus des annonces publiées, cette société se réserve toutefois le droit d’utiliser ces contenus, y compris de les copier, de les distribuer, de les transmettre, de les publier, de les reproduire, de les modifier, de les traduire, de les céder à des partenaires et de les effacer à tout moment, même sans avoir de raison valable à cet effet.

43  Dans ces conditions, la Curtea de Apel Cluj (cour d’appel de Cluj) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)  Les articles 12 à 14 de la directive [2000/31] s’appliquent-ils également à un prestataire de services [de la société de] l’information de type “hébergement” qui met à la disposition des utilisateurs un site Internet sur lequel des annonces peuvent être postées gratuitement ou contre rémunération, qui affirme que son rôle dans la publication des annonces des utilisateurs est purement technique (mise à disposition de la plateforme), mais qui, dans les termes et conditions d’utilisation de ce site, indique que, s’il ne prétend pas à un droit de propriété sur les matériels fournis ou postés, téléchargés ou envoyés, il conserve toutefois le droit d’utiliser les matériels, y compris de les copier, de les distribuer, de les transmettre, de les publier, de les reproduire, de les modifier, de les traduire, de les céder à des partenaires et de les effacer à tout moment, sans même avoir besoin d’une raison pour le faire ?

2)  L’article 2, paragraphe 4, l’article 4, points 7 et 11, l’article 5, paragraphe 1, sous f), l’article 6, paragraphe 1, sous a), et les articles 7, 24 et 25 du [RGPD] ainsi que l’article 15 de la directive 2000/31 doivent-ils être interprétés en ce sens qu’un tel prestataire de services [de la société] de l’information de type “hébergement”, qui est responsable du traitement de données à caractère personnel, est tenu de vérifier, avant la publication d’une annonce, s’il y a identité entre la personne qui poste cette annonce et le titulaire des données à caractère personnel sur lesquelles porte ladite annonce ?

3)  L’article 2, paragraphe 4, l’article 4, points 7 et 11, l’article 5, paragraphe 1, sous f), l’article 6, paragraphe 1, sous a), et les articles 7, 24 et 25 du [RGPD] ainsi que l’article 15 de la directive 2000/31 doivent-ils être interprétés en ce sens qu’un tel prestataire de services de [la société de] l’information de type “hébergement”, qui est responsable du traitement de données à caractère personnel, est tenu de vérifier préalablement le contenu des annonces envoyées par des utilisateurs afin de supprimer celles qui ont un éventuel caractère illicite ou qui peuvent porter atteinte à la vie privée et familiale d’une personne ?

4)  L’article 5, paragraphe 1, sous b) et f), et les articles 24 et 25 du [RGPD] ainsi que l’article 15 de la directive 2000/31 doivent-ils être interprétés en ce sens qu’un tel prestataire de services de [la société de] l’information de type “hébergement”, qui est responsable du traitement de données à caractère personnel, est tenu de mettre en œuvre des mesures de sécurité de nature à empêcher ou à limiter la copie et la redistribution du contenu des annonces publiées par son intermédiaire ? »

 Sur les questions préjudicielles

44  Selon une jurisprudence constante, dans le cadre de la coopération entre les juridictions nationales et la Cour instituée à l’article 267 TFUE, il appartient à celle-ci de donner au juge national une réponse utile qui lui permette de trancher le litige dont il est saisi. Dans cette optique, il incombe, le cas échéant, à la Cour de reformuler les questions qui lui sont soumises. Il lui appartient, à cet égard, d’extraire de l’ensemble des éléments fournis par la juridiction nationale, et notamment de la motivation de la décision de renvoi, les éléments de droit de l’Union qui appellent une interprétation compte tenu de l’objet du litige [voir, en ce sens, arrêts du 29 novembre 1978, Redmond, 83/78, EU:C:1978:214, point 26 ; du 28 novembre 2000, Roquette Frères, C‑88/99, EU:C:2000:652, point 18, et du 30 avril 2024, M. N. (EncroChat), C‑670/22, EU:C:2024:372, point 78].

45  Les questions de la juridiction de renvoi visent, ensemble, à déterminer, d’une part, si l’exploitant d’une place de marché en ligne, tel que Russmedia, qui permet à ses utilisateurs de placer de manière anonyme des annonces sur sa place de marché en ligne gratuitement ou contre rémunération, a méconnu les obligations qui lui incombent en vertu du RGPD, lorsqu’une annonce publiée sur sa place de marché en ligne contient des données à caractère personnel, notamment sensibles, en violation de ce règlement, et, d’autre part, si les articles 12 à 15 de la directive 2000/31 relatifs à la responsabilité des prestataires intermédiaires sont applicables à un tel exploitant.

46  Afin de donner une réponse utile à ces interrogations, il convient d’examiner, dans un premier temps, les deuxième à quatrième questions, qui visent à déterminer quelles sont les obligations qui incombent, en vertu du RGPD, à l’exploitant d’une place de marché en ligne dans une situation telle que celle en cause au principal, en reformulant ces questions de telle manière qu’elles portent uniquement sur l’interprétation de ce règlement. Dans un second temps, sera examiné le point de savoir si un tel exploitant peut se prévaloir des articles 12 à 15 de la directive 2000/31, qui fait, en substance, l’objet de la première question.

 Sur les deuxième à quatrième questions, relatives à l’interprétation du RGPD

 Observations liminaires

47  À titre liminaire, il convient de relever, en premier lieu, qu’il résulte de la demande de décision préjudicielle que l’annonce en cause présentait la requérante au principal comme offrant des services sexuels et que cette annonce contenait notamment des photos de celle-ci, utilisées sans son consentement, ainsi que son numéro de téléphone.

48  Or, il est constant que de telles informations constituent des données à caractère personnel, au sens de l’article 4, point 1, du RGPD, qui définit comme telles « toute information se rapportant à une personne physique identifiée ou identifiable », en précisant qu’« est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

49  En effet, selon une jurisprudence constante, l’emploi de l’expression « toute information » dans la définition de la notion de « données à caractère personnel », figurant à l’article 4, point 1, du RGPD, reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause. Une information concerne une personne physique identifiée ou identifiable lorsque, en raison de son contenu, de sa finalité ou de son effet, elle est liée à une personne identifiable [arrêt du 3 avril 2025, Ministerstvo zdravotnictví (Données relatives au représentant d’une personne morale), C‑710/23, EU:C:2025:231, point 21 et jurisprudence citée].

50  En outre, parmi ces données à caractère personnel, l’article 9, paragraphe 1, du RGPD prévoit un régime de protection spécial pour des catégories particulières de données, parmi lesquelles figurent celles concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

51  La Cour a précisé que la finalité de l’article 9, paragraphe 1, de ce règlement consiste à assurer une protection accrue contre des traitements qui, en raison de la sensibilité particulière des données en faisant l’objet, sont susceptibles de constituer une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis aux articles 7 et 8 de la Charte (arrêt du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 41 et jurisprudence citée).

52  Or, une telle protection accrue appelle nécessairement une définition large de telles « données sensibles ». Ainsi, la Cour a jugé que l’article 9, paragraphe 1, du RGPD s’applique à des traitements portant non seulement sur les données intrinsèquement sensibles auxquelles a trait cette disposition, mais également sur des données dévoilant indirectement, au terme d’une opération intellectuelle de déduction ou de recoupement, des informations de cette nature [arrêt du 5 juin 2023, Commission/Pologne (Indépendance et vie privée des juges), C‑204/21, EU:C:2023:442, point 344 ainsi que jurisprudence citée].

53  Dans le cadre de cette définition large, le caractère mensonger et préjudiciable de données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ne saurait être de nature à ôter à de telles données leur qualification de « données sensibles », au sens de l’article 9, paragraphe 1, du RGPD.

54  En deuxième lieu, il importe de constater que le traitement en cause au principal consiste en la publication de cette annonce et, partant, de ces données sur la place de marché en ligne de Russmedia. En effet, l’opération consistant à faire figurer, sur une page Internet, des données à caractère personnel constitue un traitement, au sens de l’article 4, point 2, du RGPD (arrêt du 1^er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, point 65 et jurisprudence citée).

55  En troisième lieu, il convient de relever que les deuxième à quatrième questions font référence au fait que l’exploitant de la place de marché en ligne en cause au principal est responsable du traitement de données à caractère personnel. Or, il apparaît que les données à caractère personnel, dont la publication fait l’objet du litige au principal, ont été insérées dans l’annonce en question par un utilisateur annonceur anonyme, sans que cet exploitant ait exercé une influence concrète sur le contenu de cette annonce et sans que celui-ci ait été conscient de sa nature mensongère et préjudiciable. Dans ces conditions, il y a lieu d’apporter des clarifications sur les notions de « responsable du traitement » et de « responsables conjoints », au sens, respectivement, de l’article 4, point 7, du RGPD et de l’article 26 de celui-ci.

56  L’article 4, point 7, du RGPD définit de manière large la notion de « responsable du traitement » comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.

57  L’objectif de cette définition large consiste, en conformité avec celui du RGPD, à assurer une protection efficace des libertés et des droits fondamentaux des personnes physiques ainsi qu’un niveau élevé de protection du droit de toute personne à la protection des données à caractère personnel la concernant (arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, point 29 et jurisprudence citée).

58  Ainsi, toute personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement de telles données et participe de ce fait à la détermination des finalités et des moyens de ce traitement peut être considérée comme étant responsable dudit traitement (arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, point 30 et jurisprudence citée).

59  En outre, dès lors que, ainsi que le prévoit expressément l’article 4, point 7, du RGPD, la notion de « responsable du traitement » vise l’organisme qui, « seul ou conjointement avec d’autres », détermine les finalités et les moyens du traitement de données à caractère personnel, cette notion ne renvoie pas nécessairement à un organisme unique et peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux étant alors soumis aux dispositions applicables en matière de protection des données (voir, en ce sens, arrêt du 29 juillet 2019, Fashion ID, C‑40/17, EU:C:2019:629, point 67 et jurisprudence citée).

60  L’article 26 du RGPD, qui s’inscrit dans le cadre de la définition de « responsable du traitement », figurant à l’article 4, point 7, de ce règlement, prévoit, en substance, que, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils doivent être qualifiés de « responsables conjoints » de ce traitement.

61  Une telle responsabilité conjointe ne requiert pas nécessairement l’existence de décisions communes quant à la détermination des finalités et des moyens du traitement des données à caractère personnel concernées. En effet, la Cour a jugé que la participation à la détermination de ces finalités et de ces moyens peut prendre différentes formes, cette participation pouvant résulter tant d’une décision commune prise ensemble par deux entités ou plus que de décisions convergentes qui se complètent de telle sorte que chacune d’elles ait un effet concret sur la détermination desdites finalités et desdits moyens (voir, en ce sens, arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, point 43).

62  À cet égard, la responsabilité conjointe de plusieurs acteurs pour un même traitement, en vertu de l’article 4, point 7, du RGPD, ne présuppose pas que chacun d’eux ait accès aux données à caractère personnel concernées (arrêts du 29 juillet 2019, Fashion ID, C‑40/17, EU:C:2019:629, point 69 et jurisprudence citée, ainsi que du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, point 42).

63  Dans cette même perspective, la Cour a précisé que l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce (voir, en ce sens, arrêts du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 66 et jurisprudence citée, ainsi que du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, point 42).

64  En l’occurrence, il est constant que l’utilisateur annonceur, qui a placé l’annonce mensongère et préjudiciable contenant des données à caractère personnel de la requérante au principal sur la place de marché en ligne exploitée par Russmedia, doit être regardé comme ayant déterminé, à titre principal, les finalités et les moyens du traitement de ces données et relève, partant, de la notion de « responsable du traitement », au sens de l’article 4, point 7, du RGPD.

65  Cela étant, il est établi que cette annonce n’a été publiée sur Internet et ainsi rendue accessible aux utilisateurs d’Internet que grâce à la place de marché en ligne exploitée par Russmedia.

66  Or, s’il ressort de la jurisprudence citée au point 58 du présent arrêt qu’une personne ne peut être qualifiée de « responsable du traitement » de données à caractère personnel que si elle influe sur ce traitement à des fins qui lui sont propres, il convient toutefois de constater que tel peut notamment être le cas lorsque l’exploitant d’une place de marché en ligne publie des données à caractère personnel concernées à des fins commerciales ou publicitaires qui vont au-delà de la simple prestation de service qu’il fournit à l’utilisateur annonceur.

67  En l’occurrence, il ressort de la décision de renvoi que Russmedia publie des annonces sur sa place de marché en ligne à des fins commerciales qui lui sont propres. À cet égard, les conditions générales d’utilisation de cette place de marché ménagent une grande liberté à Russmedia pour exploiter les informations publiées sur ladite place de marché. En particulier, Russmedia se réserve, selon les indications de la juridiction de renvoi, le droit d’utiliser les contenus publiés, de les distribuer, de les transmettre, de les reproduire, de les modifier, de les traduire, de les céder à des partenaires et de les effacer à tout moment et sans avoir besoin d’une « raison valable » pour le faire. Russmedia ne publie donc les données à caractère personnel contenues dans les annonces pas ou pas uniquement pour le compte des utilisateurs annonceurs, mais traite et peut valoriser ces données à des fins publicitaires et commerciales qui lui sont propres.

68  Il y a ainsi lieu de considérer que Russmedia a influé, à des fins qui lui sont propres, sur la publication sur Internet des données à caractère personnel de la requérante au principal, participant de ce fait à la détermination des finalités de cette publication et donc du traitement en cause.

69  Cette constatation n’est pas remise en cause par le fait que Russmedia n’a manifestement pas participé à la détermination de la finalité mensongère et préjudiciable visée par l’utilisateur annonceur par le biais de la publication de l’annonce en cause au principal. En effet, Russmedia a participé à la détermination de la finalité du traitement consistant à rendre accessibles aux utilisateurs d’Internet les données à caractère personnel contenues dans l’annonce en cause au principal afin de valoriser ces publications. Par ailleurs, en permettant que des annonces soient placées de manière anonyme sur sa place de marché en ligne, Russmedia a facilité la publication de telles données sans le consentement de la personne concernée.

70  En outre, en ayant mis à la disposition de l’utilisateur annonceur sa place de marché en ligne qui a servi à la publication de l’annonce en cause au principal, Russmedia a participé à la détermination des moyens de cette publication.

71  En effet, la Cour a déjà, en substance, jugé que participe à la détermination des moyens d’un traitement la personne physique ou morale qui influe de manière déterminante sur la collecte et la transmission de données à caractère personnel, ou encore celle qui influe, par son action de paramétrage, en fonction de ses objectifs de gestion ou de promotion de ses activités, sur le traitement de telles données (voir, en ce sens, arrêts du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, point 36, et du 29 juillet 2019, Fashion ID, C‑40/17, EU:C:2019:629, point 78). Il en est de même, s’agissant d’un moteur de recherche, lorsque son activité joue un rôle décisif dans la diffusion globale de données à caractère personnel en ce que cette activité rend celles-ci accessibles publiquement en ligne de manière organisée et agrégée [voir, en ce sens, arrêt du 8 décembre 2022, Google (Déréférencement d’un contenu prétendument inexact), C‑460/20, EU:C:2022:962, point 50 et jurisprudence citée].

72  Il convient dès lors de constater que, lorsque l’exploitant d’une place de marché en ligne tel que Russmedia fixe les paramètres de diffusion des annonces susceptibles de contenir des données à caractère personnel en fonction des destinataires visés, détermine la présentation, la durée de cette diffusion ou les rubriques structurant les informations publiées ou encore organise le classement qui déterminera les modalités d’une telle diffusion, il participe à la détermination des moyens essentiels de la publication des données à caractère personnel concernées, en influant ainsi de manière décisive sur la diffusion globale de ces dernières.

73  À cet égard, le contenu des conditions générales d’utilisation de la place de marché en ligne considérée peut fournir des indices démontrant que l’exploitant de cette place de marché influe de façon déterminante sur le traitement de données à caractère personnel considéré et détermine ainsi les moyens de ce traitement. Il semble en aller ainsi des conditions générales d’utilisation de la place de marché en ligne de Russmedia, dans lesquelles cette société se réserve notamment le droit de distribuer, de transmettre, de publier, d’effacer ou encore de reproduire les informations contenues dans les annonces, y compris les données à caractère personnel qu’elles contiennent.

74  En tout état de cause, l’exploitant d’une place de marché en ligne ne saurait échapper à sa responsabilité, en tant que responsable du traitement de données à caractère personnel, au motif qu’il n’a pas lui-même déterminé le contenu de l’annonce en cause publiée sur cette place de marché. En effet, il serait contraire non seulement au libellé clair, mais également à l’objectif de l’article 4, point 7, du RGPD, consistant à assurer, par une définition large de la notion de « responsable du traitement », une protection efficace et complète des personnes concernées, d’exclure de cette définition un tel exploitant en raison de ce seul motif.

75  Partant, il convient de constater que c’est à bon droit que la juridiction de renvoi a fondé ses deuxième à quatrième questions sur la prémisse que, dans une situation telle que celle en cause au principal, l’exploitant de la place de marché en ligne est responsable du traitement des données à caractère personnel contenues dans une annonce publiée sur cette place de marché en ligne, au sens de l’article 4, point 7, du RGPD.

76  C’est à la lumière de l’ensemble des observations liminaires qui précèdent qu’il y a lieu de répondre à ces questions.

 Sur les deuxième et troisième questions

77  Par ses deuxième et troisième questions, qu’il y a lieu d’examiner ensemble, la juridiction de renvoi demande, en substance, si l’article 5, paragraphe 2, ainsi que les articles 24 à 26 du RGPD doivent être interprétés en ce sens que l’exploitant d’une place de marché en ligne, en tant que responsable du traitement, au sens de l’article 4, point 7, du RGPD, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, est tenu, avant la publication des annonces, d’identifier celles qui contiennent des données sensibles, au sens de l’article 9, paragraphe 1, du RGPD, de vérifier si l’utilisateur annonceur s’apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce et, si tel n’est pas le cas, de refuser la publication de celle-ci en l’absence d’un consentement explicite de la personne concernée, dans la mesure où une telle publication serait susceptible d’entraîner une violation grave des droits de cette personne au respect de la vie privée et à la protection de ses données à caractère personnel, garantis aux articles 7 et 8 de la Charte.

78  Aux termes de l’article 1^er, paragraphe 2, du RGPD, lu à la lumière des considérants 4 et 10 de celui-ci, ce règlement a notamment pour objet de garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel, ce droit étant également reconnu à l’article 8 de la Charte et étroitement lié au droit au respect de la vie privée, consacré à l’article 7 de celle-ci (voir, en ce sens, arrêt du 1^er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, point 61 et jurisprudence citée).

79  À cette fin, premièrement, le chapitre II du RGPD énonce les principes régissant le traitement des données à caractère personnel que le responsable du traitement doit respecter. En particulier, tout traitement de données à caractère personnel doit être conforme aux principes relatifs au traitement des données et aux conditions de licéité du traitement énumérés aux articles 5 et 6 de ce règlement (voir, en ce sens, arrêt du 1^er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, point 62 et jurisprudence citée).

80  Conformément à l’article 5, paragraphe 1, sous a), du RGPD, les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. L’article 5, paragraphe 1, sous d), de ce règlement ajoute que les données à caractère personnel traitées doivent être exactes et, si nécessaire, tenues à jour. Ainsi, toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder. L’article 5, paragraphe 1, sous f), dudit règlement dispose que les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée de ces données, y compris la protection contre le traitement non autorisé ou illicite.

81  S’agissant des conditions de licéité du traitement, ainsi que la Cour l’a jugé, l’article 6, paragraphe 1, premier alinéa, du RGPD prévoit une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme étant licite. Un traitement doit ainsi relever de l’un des cas prévus à cette disposition (voir, en ce sens, arrêt du 9 janvier 2025, Mousse, C‑394/23, EU:C:2025:2, point 25 et jurisprudence citée).

82  En particulier, aux termes de l’article 6, paragraphe 1, premier alinéa, sous a), du RGPD, le traitement de données à caractère personnel est licite si, et dans la mesure où, la personne concernée y a consenti pour une ou plusieurs finalités spécifiques. L’article 7, paragraphe 1, de ce règlement précise que, dans ce cas de figure, le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. En l’absence d’un tel consentement, ou lorsque ce consentement n’a pas été donné de manière libre, spécifique, éclairée et univoque, au sens de l’article 4, point 11, dudit règlement, un tel traitement peut néanmoins être justifié lorsqu’il répond à l’une des exigences de nécessité mentionnées à l’article 6, paragraphe 1, premier alinéa, sous b) à f), du même règlement (arrêt du 9 janvier 2025, Mousse, C‑394/23, EU:C:2025:2, point 26 et jurisprudence citée).

83  À ces principes et conditions s’ajoutent des exigences particulières pour les données sensibles telles que définies à l’article 9, paragraphe 1, du RGPD et dont le traitement est, en principe, interdit (voir, en ce sens, arrêt du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 73).

84  Il ne peut être dérogé à cette interdiction que si l’une des exceptions prévues à l’article 9, paragraphe 2, sous a) à j), de ce règlement est remplie. Parmi ces exceptions, qui doivent être interprétées strictement, l’article 9, paragraphe 2, sous a), dudit règlement prévoit que l’interdiction du traitement des données sensibles ne s’applique pas si la personne concernée a donné son consentement explicite au traitement de ses données à caractère personnel sensibles pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que cette interdiction ne peut pas être levée par la personne concernée.

85  Deuxièmement, le chapitre IV du RGPD précise la portée des obligations qui pèsent sur le responsable du traitement de données à caractère personnel, en application du principe de responsabilité énoncé à l’article 5, paragraphe 2, du RGPD.

86  Aux termes de cette disposition, le responsable du traitement est responsable du respect du paragraphe 1 de cet article et doit être en mesure de démontrer qu’il respecte chacun des principes énoncés à ce paragraphe 1, une telle preuve étant ainsi mise à sa charge [arrêt du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire), C‑60/22, EU:C:2023:373, point 53 et jurisprudence citée].

87  Ce principe de responsabilité est concrétisé, notamment, à l’article 24 du RGPD (voir, en ce sens, arrêt du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, point 43 et jurisprudence citée). Celui-ci exige que, compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable de ce traitement mette en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que ledit traitement a été effectué conformément à ce règlement.

88  Ainsi, l’article 5, paragraphe 2, et l’article 24 du RGPD imposent des obligations générales de responsabilité et de conformité au responsable du traitement de données à caractère personnel. Elles exigent de ce responsable qu’il adopte des mesures appropriées visant à prévenir les violations éventuelles des règles prévues par le RGPD pour assurer le droit à la protection des données [voir, en ce sens, arrêt du 27 octobre 2022, Proximus (Annuaires électroniques publics), C‑129/21, EU:C:2022:833, point 81].

89  Dans cette perspective, l’article 25, paragraphe 1, du RGPD impose au responsable du traitement de mettre en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences de ce règlement et de protéger les droits de la personne concernée. En outre, cet article 25, paragraphe 2, relatif à la protection des données par défaut, prévoit notamment que les mesures techniques et organisationnelles appropriées que le responsable du traitement doit mettre en œuvre à cet effet, garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.

90  Lorsque les données à caractère personnel qui sont traitées sont des données sensibles, au sens de l’article 9, paragraphe 1, du RGPD, le responsable du traitement doit notamment, afin de déterminer quelles sont les mesures appropriées, au sens des articles 24 et 25 de ce règlement, tenir compte du fait qu’une violation des principes énoncés au chapitre II dudit règlement s’agissant du traitement de telles données peut constituer une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel garantis aux articles 7 et 8 de la Charte.

91  C’est au regard de l’ensemble de ces précisions qu’il convient d’examiner les deuxième et troisième questions, telles que reformulées au point 77 du présent arrêt.

92  S’agissant, en premier lieu, de la question de savoir si l’exploitant d’une place de marché en ligne doit identifier les annonces qui contiennent des données sensibles, au sens de l’article 9, paragraphe 1, du RGPD, avant de procéder à leur publication, il y a lieu de rappeler, ainsi qu’il ressort des points 64 et 75 du présent arrêt, que cet exploitant et l’utilisateur annonceur qui a placé une telle annonce sur cette place de marché en ligne doivent être considérés comme des responsables conjoints, au sens de l’article 26 de ce règlement, lorsque l’annonce concernée y est publiée.

93  Il s’ensuit que tant cet exploitant que cet utilisateur annonceur sont tenus de veiller au respect des obligations découlant de l’article 5, paragraphe 2, ainsi que des articles 24 et 25 du RGPD. En particulier, ils doivent être en mesure de démontrer que les données à caractère personnel contenues dans l’annonce concernée sont publiées de manière licite, c’est-à-dire que la personne concernée a consenti à une telle publication, sauf à pouvoir se prévaloir d’une autre condition prévue à l’article 6, paragraphe 1, du RGPD. Lorsque les données à caractère personnel concernées sont des données sensibles, au sens de l’article 9, paragraphe 1, du RGPD, le consentement à une telle publication doit être, ainsi qu’il ressort du point 84 du présent arrêt, explicite. De même, selon le principe d’exactitude énoncé à l’article 5, paragraphe 1, sous d), du RGPD, les responsables du traitement doivent être en mesure de démontrer que les données à caractère personnel concernées sont exactes.

94  Afin de déterminer quelles sont spécifiquement les mesures techniques et organisationnelles appropriées que l’exploitant d’une place de marché en ligne, en tant que responsable conjoint du traitement de données à caractère personnel, est tenu de mettre en œuvre, en application des articles 24 et 25 du RGPD, pour s’assurer et être en mesure de démontrer que la publication de données sensibles contenues dans une annonce serait effectuée conformément à ce règlement, il importe de relever qu’il ressort de ces dispositions que le caractère approprié de telles mesures doit être évalué de manière concrète, en tenant compte de la nature, de la portée, du contexte et des finalités du traitement en question ainsi que du degré de probabilité et de gravité des risques pour les droits et libertés de la personne concernée qui lui sont propres (voir, en ce sens, arrêt du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 96).

95  À cet égard, il y a lieu de relever que la publication de données à caractère personnel sur une place de marché en ligne comporte des risques significatifs pour les droits et libertés de la personne concernée, dès lors qu’elle rend ces données en principe accessibles à tout utilisateur d’Internet. En outre, une fois publiées sur une place de marché en ligne, lesdites données peuvent être copiées et reproduites sur d’autres sites Internet, de sorte qu’il peut s’avérer difficile, voire impossible, pour la personne concernée d’obtenir leur effacement effectif d’Internet.

96  Les risques liés à une telle publication sont d’autant plus sérieux lorsqu’il s’agit de données sensibles, au sens de l’article 9, paragraphe 1, du RGPD. Ainsi que l’énonce expressément le considérant 51 du RGPD, les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et ces droits (voir, en ce sens, arrêt du 4 octobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, point 75). Le traitement de telles données peut, ainsi qu’il est relevé au point 90 du présent arrêt, constituer une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel garantis aux articles 7 et 8 de la Charte. En outre, le degré de probabilité d’une violation de ces droits par la publication d’une annonce contenant des données sensibles est très élevé lorsque l’utilisateur annonceur n’est pas lui-même la personne concernée et lorsque la place de marché en ligne permet de placer de telles annonces de manière anonyme.

97  Partant, dans la mesure où l’exploitant d’une place de marché en ligne, telle que celle en cause au principal, sait ou devrait savoir que, d’une manière générale, des annonces contenant des données sensibles, au sens de l’article 9, paragraphe 1, du RGPD, sont susceptibles d’être publiées par des utilisateurs annonceurs sur sa place de marché en ligne, cet exploitant, en tant que responsable de ce traitement, est dans l’obligation, dès la conception de son service, de mettre en œuvre les mesures techniques et organisationnelles appropriées pour identifier de telles annonces avant leur publication et être ainsi en mesure de vérifier si les données sensibles qu’elles contiennent sont publiées dans le respect des principes énoncés au chapitre II de ce règlement. En effet, ainsi qu’il résulte notamment de l’article 25, paragraphe 1, dudit règlement, l’obligation de mettre en œuvre de telles mesures lui incombe non seulement au moment du traitement, mais déjà au moment de la détermination des moyens du traitement et donc avant même que des données sensibles ne soient publiées sur sa place de marché en ligne en violation de ces principes, cette obligation visant précisément à prévenir de telles violations.

98  S’agissant, en deuxième lieu, de la question de savoir si l’exploitant d’une place de marché en ligne, en tant que responsable du traitement des données sensibles contenues dans les annonces publiées sur son site Internet, conjointement avec l’utilisateur annonceur, doit vérifier l’identité de cet utilisateur annonceur avant la publication, il convient de rappeler qu’il découle d’une lecture combinée de l’article 9, paragraphe 1, et paragraphe 2, sous a), du RGPD que la publication de telles données est interdite, à moins que la personne concernée n’ait donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché en ligne ou que l’une des autres exceptions prévues à cet article 9, paragraphe 2, sous b) à j), ne soit remplie, ce qui ne semble toutefois pas être le cas en l’occurrence.

99  À ce titre, si le fait pour une personne concernée de placer une annonce contenant ses données sensibles sur une place de marché en ligne peut constituer un consentement explicite, au sens de l’article 9, paragraphe 2, sous a), du RGPD, un tel consentement fait défaut lorsque cette annonce est placée par une personne tierce, à moins que celle-ci ne puisse démontrer que la personne concernée a donné son consentement explicite à la publication de ladite annonce sur la place de marché en ligne en question. Partant, afin de pouvoir s’assurer, et être en mesure de démontrer que les exigences prévues à l’article 9, paragraphe 2, sous a), du RGPD sont respectées, l’exploitant de celle-ci est tenu de vérifier, avant la publication d’une telle annonce, si l’utilisateur annonceur s’apprêtant à placer celle-ci est la personne dont les données sensibles figurent dans cette annonce, ce qui présuppose de recueillir l’identité de cet annonceur utilisateur.

100  En outre, il ressort de l’article 13, paragraphe 1, sous a), et de l’article 14, paragraphe 1, sous a), du RGPD que les responsables du traitement de données à caractère personnel doivent fournir, en toute hypothèse, leurs identités et leurs coordonnées à la personne concernée.

101  Enfin, il y a lieu d’observer que l’article 26 du RGPD fait obligation aux responsables conjoints d’un même traitement de données à caractère personnel de définir de manière transparente leurs obligations respectives afin d’assurer le respect des exigences prévues par ce règlement. Or, une telle obligation s’avèrerait impossible si l’un des responsables de ce traitement pouvait demeurer anonyme vis-à-vis de l’autre.

102  Il découle ainsi de ce qui précède que l’exploitant d’une place de marché en ligne, en tant que responsable de la publication des données sensibles contenues dans une annonce publiée sur sa place de marché en ligne, conjointement avec l’utilisateur annonceur, a l’obligation de recueillir l’identité de cet utilisateur annonceur et de vérifier si celui-ci est la personne dont les données sensibles figurent dans cette annonce.

103  À cet égard, ainsi que l’a fait observer, en substance, M. l’avocat général au point 132 de ses conclusions, il ressort du considérant 75 du RGPD que, notamment en cas d’une usurpation d’identité, le traitement des données à caractère personnel peut entraîner des risques pour les droits et libertés des personnes concernées qui pourraient, de ce fait, être empêchées d’exercer un contrôle sur leurs données à caractère personnel. En effet, en général, une identité est usurpée dans le but de réaliser des actions frauduleuses, au détriment de la personne concernée ou de tiers.

104  Dans ces conditions et compte tenu également des considérations figurant aux points 95 et 96 du présent arrêt, afin d’être en mesure de s’assurer et de démontrer que les données sensibles contenues dans des annonces sont traitées conformément aux exigences du RGPD, l’exploitant d’une place de marché en ligne doit prévoir, en application des articles 24 et 25 de ce règlement, des mesures techniques et organisationnelles appropriées lui permettant non seulement de recueillir, mais également de vérifier l’identité de l’utilisateur annonceur avant la publication de ces annonces, et ce notamment afin de pouvoir déterminer si celui-ci est la personne dont les données sensibles figurent dans lesdites annonces. De telles mesures doivent notamment permettre, ainsi que l’a relevé M. l’avocat général au point 134 de ses conclusions, de limiter le risque d’un traitement illicite des données à caractère personnel des personnes concernées et de lutter contre l’usage déloyal d’une telle place de marché en ligne, en limitant le sentiment d’impunité et en incitant ainsi les utilisateurs annonceurs à se conformer aux exigences du RGPD lorsqu’ils publient des annonces contenant des données à caractère personnel.

105  Enfin, en ce qui concerne, en troisième lieu, le point de savoir si l’exploitant d’une place de marché en ligne doit refuser la publication d’une annonce contenant des données sensibles lorsqu’il s’avère – après une telle vérification de l’identité de l’utilisateur annonceur s’apprêtant à placer cette annonce – que celui-ci n’est pas la personne dont les données sensibles figurent dans ladite annonce, il convient de constater qu’il résulte des points 98 et 99 du présent arrêt que, dans une telle hypothèse, il ne peut être exclu que cette publication intervienne en violation de l’interdiction de traitement de telles données, prévue à l’article 9, paragraphe 1, du RGPD. Partant, à moins que cet utilisateur annonceur ne puisse démontrer à suffisance de droit que la personne concernée a donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché en ligne, au sens de cet article 9, paragraphe 2, sous a), ou que l’une des autres exceptions prévues audit article 9, paragraphe 2, sous b) à j), est remplie, l’exploitant de cette place de marché en ligne doit refuser la publication de l’annonce en question, ce qu’il doit assurer en mettant en œuvre des mesures techniques et organisationnelles appropriées.

106  Eu égard à l’ensemble des motifs qui précèdent, il convient de répondre aux deuxième et troisième questions que l’article 5, paragraphe 2, ainsi que les articles 24 à 26 du RGPD doivent être interprétés en ce sens que l’exploitant d’une place de marché en ligne, en tant que responsable du traitement, au sens de l’article 4, point 7, du RGPD, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, est tenu, avant la publication des annonces et au moyen de mesures techniques et organisationnelles appropriées,

–  d’identifier les annonces qui contiennent des données sensibles, au sens de l’article 9, paragraphe 1, du RGPD,

–  de vérifier si l’utilisateur annonceur s’apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce et, si tel n’est pas le cas,

–  de refuser la publication de celle-ci, à moins que cet utilisateur annonceur ne puisse démontrer que la personne concernée a donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché en ligne, au sens de cet article 9, paragraphe 2, sous a), ou que l’une des autres exceptions prévues audit article 9, paragraphe 2, sous b) à j), est remplie.

 Sur la quatrième question

107  La quatrième question porte, en substance, sur le point de savoir si un exploitant d’une place de marché en ligne, en tant que responsable du traitement, est tenu de mettre en œuvre des mesures de sécurité de nature à empêcher ou à limiter la copie et la redistribution des annonces contenant des données sensibles qui ont été publiées sur sa place de marché en ligne.

108  En l’occurrence, il ressort de la demande de décision préjudicielle que, d’une part, l’annonce mensongère et préjudiciable en cause au principal a été reprise sur d’autres sites Internet à contenu publicitaire, qui l’ont publiée en indiquant la source d’origine et, d’autre part, dans les conditions générales d’utilisation de sa place de marché en ligne, Russmedia se réserve notamment le droit de transmettre les contenus des annonces qui y sont publiées et de céder ceux-ci à des partenaires. À cet égard, la juridiction de renvoi ne précise pas si Russmedia a volontairement transféré vers ces autres sites Internet cette annonce ou a, à tout le moins permis, par le biais de contrats, ces publications, ou bien si, au contraire, lesdites publications résultent de copies de l’annonce d’origine non autorisées par Russmedia.

109  Si le premier volet de cette alternative était avéré, cette transmission constituerait un nouveau traitement de données à caractère personnel dont Russmedia serait responsable, au sens de l’article 4, point 7, du RGPD. Ce traitement devrait être distingué de la publication par l’utilisateur annonceur de l’annonce mensongère et préjudiciable en cause au principal sur sa place de marché en ligne.

110  En effet, il y a lieu de distinguer entre les différents traitements de données à caractère personnel relevant d’une même chaîne d’opérations afin de tenir compte de la nécessité d’apprécier individuellement, pour chaque personne susceptible d’être qualifiée de responsable du traitement de données à caractère personnel, le niveau de responsabilité qui peut lui être imputé. Cela tient au fait que, pour pouvoir être considérée comme étant responsable conjoint du traitement, une personne physique ou morale doit répondre de manière indépendante à la définition de « responsable du traitement », donnée à l’article 4, point 7, du RGPD (arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, point 41 et jurisprudence citée).

111  Il s’ensuit que, si une transmission ultérieure des données à caractère personnel est opérée dans le cadre de contrats de diffusion entre l’exploitant de la place de marché en ligne, sur laquelle ont été initialement publiées les données à caractère personnel considérées, et des exploitants d’autres sites Internet, ce premier exploitant est, en principe, le seul responsable du traitement que constitue cette transmission. En toute hypothèse, tout responsable du traitement est tenu, seul ou conjointement, de se conformer à l’ensemble des obligations qui découlent du RGPD.

112  Ces précisions apportées, il convient de comprendre la quatrième question en ce sens qu’elle vise une hypothèse dans laquelle Russmedia n’a pas transféré vers d’autres sites Internet à contenu publicitaire l’annonce mensongère et préjudiciable en cause au principal et n’a donc pas autorisé ces publications subséquentes.

113  De plus, il convient également d’observer que cette question porte, en substance, sur la portée de l’obligation de sécurité que doit respecter un responsable du traitement de données à caractère personnel. Or, l’article 32 du RGPD a spécifiquement pour objet la sécurité du traitement. Il concrétise et précise un aspect spécifique des exigences énoncées à l’article 24 de ce règlement, lequel définit de manière générale, avec l’article 5, paragraphe 2, dudit règlement, la responsabilité du responsable du traitement.

114  Dans ces conditions, il y a lieu de considérer que, par sa quatrième question, la juridiction de renvoi demande, en substance, si l’article 32 du RGPD doit être interprété en ce sens que l’exploitant d’une place de marché en ligne, en tant que responsable du traitement, au sens de l’article 4, point 7, de ce règlement, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, est tenu de mettre en œuvre des mesures de sécurité de nature à empêcher que des annonces y étant publiées et contenant des données sensibles, au sens de l’article 9, paragraphe 1, dudit règlement, soient copiées et illicitement publiées sur d’autres sites Internet.

115  L’article 32, paragraphe 1, du RGPD prévoit que, compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

116  L’article 32, paragraphe 2, de ce règlement prévoit que, lors de l’évaluation du niveau de sécurité approprié, il doit être tenu compte, en particulier, des risques que présente le traitement résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée des données à caractère personnel ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

117  La Cour a jugé que la référence, figurant à l’article 32, paragraphes 1 et 2, du RGPD, à « un niveau de sécurité adapté au risque » et à un « niveau de sécurité approprié » témoigne de ce que ce règlement instaure un régime de gestion des risques et qu’il ne prétend nullement éliminer les risques de violations des données à caractère personnel (arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 29).

118  Ainsi, il ressort du libellé de l’article 32 du RGPD, lu en combinaison avec l’article 24 de ce règlement, que cet article 32 se limite à imposer au responsable du traitement d’adopter des mesures techniques et organisationnelles destinées à éviter, dans toute la mesure du possible, toute violation de données à caractère personnel. Le caractère approprié de telles mesures doit être évalué de manière concrète, en examinant si ces mesures ont été mises en œuvre par ce responsable en tenant compte des différents critères visés à ces articles et des besoins de protection des données spécifiquement inhérents au traitement concerné ainsi qu’aux risques induits par ce dernier (voir, en ce sens, arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 30).

119  À cet égard, afin de déterminer le risque concret que constitue le traitement concerné, il convient de tenir compte de l’éventuel caractère sensible des données à caractère personnel traitées. En effet, comme cela est rappelé aux points 51 et 90 du présent arrêt, la protection accrue, prévue à l’article 9, paragraphe 1, du RGPD pour certaines catégories de données, en raison de leur sensibilité particulière, tient au fait que le traitement de telles données est susceptible de constituer une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis aux articles 7 et 8 de la Charte (voir, en ce sens, arrêt du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 41 et jurisprudence citée).

120  Cela étant, une fois qu’une annonce contenant des données à caractère personnel est en ligne et qu’elle est ainsi déjà accessible globalement, la dissémination de ces données comporte, notamment, le risque d’une perte de contrôle des données à caractère personnel concernées qui, lorsqu’il advient, prive de tout effet utile les droits et garanties prévues par le RGPD au bénéfice de la personne concernée, au premier chef desquels figure le droit à l’effacement prévu à l’article 17 de ce règlement.

121  Aussi, lorsque des données sensibles font l’objet d’une publication en ligne, le responsable du traitement est tenu, en vertu de l’article 32 du RGPD, de prendre toutes les mesures techniques et organisationnelles pour assurer un niveau de sécurité susceptible de prévenir efficacement la survenue d’une perte de contrôle de ces données.

122  À ce titre, le responsable du traitement doit envisager notamment toutes les mesures techniques disponibles en l’état des connaissances techniques susceptibles de bloquer la copie et la reproduction du contenu en ligne.

123  Néanmoins, il convient encore de préciser que les articles 24 et 32 du RGPD ne sauraient être compris en ce sens qu’une dissémination illicite de données à caractère personnel initialement publiées en ligne suffit pour conclure que les mesures adoptées par le responsable du traitement concerné n’étaient pas appropriées, au sens de ces dispositions, sans même permettre à ce dernier d’apporter la preuve contraire (arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 31).

124  En l’occurrence, il ressort de la décision de renvoi que, en dépit de l’effacement de l’annonce mensongère et préjudiciable en cause au principal sur la place de marché en ligne de Russmedia, cette annonce est toujours accessible en ligne sur d’autres sites Internet sans que la requérante au principal puisse, semble-t-il, obtenir son effacement.

125  Or, il apparaît que cette perte de contrôle trouve son origine dans la publication initiale illicite de l’annonce mensongère et préjudiciable en cause au principal, en violation des exigences prévues par le RGPD. En tout état de cause, Russmedia était tenue de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque en vertu de l’article 32 du RGPD et de bloquer autant que possible toute copie de cette annonce. Il appartiendra à la juridiction de renvoi de vérifier si tel était le cas.

126  Eu égard à l’ensemble des motifs qui précèdent, il convient de répondre à la quatrième question que l’article 32 du RGPD doit être interprété en ce sens que l’exploitant d’une place de marché en ligne, en tant que responsable du traitement, au sens de l’article 4, point 7, de ce règlement, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d’empêcher que des annonces y étant publiées et contenant des données sensibles, au sens de l’article 9, paragraphe 1, dudit règlement, soient copiées et illicitement publiées sur d’autres sites Internet.

 Sur la première question, relative à l’interprétation de la directive 2000/31

127  Ainsi qu’il est relevé aux points 45 et 46 du présent arrêt, la juridiction de renvoi cherche encore à savoir si l’exploitant d’une place de marché en ligne, en tant que responsable du traitement, au sens de l’article 4, point 7, du RGPD, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, peut se prévaloir, à l’égard d’une violation des obligations découlant de l’article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement et constatées aux points 106 et 126 du présent arrêt, des articles 12 à 15 de la directive 2000/31, relatifs à la responsabilité des prestataires intermédiaires.

128  Se pose dès lors la question de l’articulation de ces deux instruments du droit de l’Union. En particulier, il convient de déterminer si les articles 12 à 15 de la directive 2000/31 sont susceptibles d’interférer avec le régime de responsabilité prévu par le RGPD.

129  À cet égard, il convient de relever, d’une part, que l’article 1^er, paragraphe 5, sous b), de la directive 2000/31 précise que cette directive n’est pas applicable aux questions relatives aux services de la société de l’information couvertes par les directives 95/46 et 97/66.

130  Cette disposition a été interprétée par la Cour en ce sens que les questions liées à la protection de la confidentialité des communications et des données à caractère personnel doivent être appréciées au regard du RGPD et de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), ceux-ci ayant remplacé, respectivement, la directive 95/46 et la directive 97/66, étant précisé que la protection que vise à assurer la directive 2000/31 ne peut, en tout état de cause, pas porter atteinte aux exigences résultant du RGPD et de la directive 2002/58 (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 200 ainsi que jurisprudence citée).

131  Il en découle, en particulier, que l’éventuel bénéfice de l’exonération prévue à l’article 14, paragraphe 1, de la directive 2000/31, dont l’exploitant d’une place de marché en ligne pourrait se prévaloir quant aux informations hébergées sur son site Internet, ne saurait interférer avec le régime du RGPD qui s’applique à un tel exploitant comme à tout autre opérateur qui relève du champ d’application de ce règlement.

132  Il en va de même de l’article 15 de la directive 2000/31, en vertu duquel les États membres ne peuvent pas imposer aux prestataires, pour la fourniture des services visés notamment à l’article 14 de ladite directive, une obligation générale en matière de surveillance. Par ailleurs, l’obligation pour l’exploitant d’une place de marché en ligne de se conformer aux exigences découlant du RGPD ne saurait, en tout état de cause, être qualifiée comme une telle obligation générale en matière de surveillance.

133  D’autre part, l’article 2, paragraphe 4, du RGPD prévoit que ce règlement s’applique sans préjudice de la directive 2000/31, et ce notamment des articles 12 à 15 de celle-ci, relatifs à la responsabilité des prestataires de services intermédiaires.

134  Cet article 2, paragraphe 4, doit s’entendre en ce sens que le fait qu’un opérateur soit le titulaire d’obligations prévues par le RGPD n’exclut pas automatiquement que cet opérateur puisse se prévaloir des articles 12 à 15 de la directive 2000/31 pour des questions autres que celles relatives à la protection des données à caractère personnel.

135  Il découle ainsi d’une lecture conjointe de l’article 1^er, paragraphe 5, sous b), de la directive 2000/31 et de l’article 2, paragraphe 4, du RGPD que les dispositions de cette directive, notamment les articles 12 à 15 de celle-ci, ne sauraient interférer avec le régime de ce règlement.

136  Eu égard à l’ensemble des motifs qui précèdent, il convient de répondre à la première question que l’article 1^er, paragraphe 5, sous b) de la directive 2000/31 et l’article 2, paragraphe 4, du RGPD doivent être interprétés en ce sens que l’exploitant d’une place de marché en ligne, en tant que responsable du traitement, au sens de l’article 4, point 7, du RGPD, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, ne peut pas se prévaloir, à l’égard d’une violation des obligations découlant de l’article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement, des articles 12 à 15 de cette directive, relatifs à la responsabilité des prestataires intermédiaires.

 Sur les dépens

137  La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (grande chambre) dit pour droit :

1)  L’article 5, paragraphe 2, ainsi que les articles 24 à 26 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que :

l’exploitant d’une place de marché en ligne, en tant que responsable du traitement, au sens de l’article 4, point 7, de ce règlement, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, est tenu, avant la publication des annonces et au moyen de mesures techniques et organisationnelles appropriées,

–  d’identifier les annonces qui contiennent des données sensibles, au sens de l’article 9, paragraphe 1, dudit règlement,

–  de vérifier si l’utilisateur annonceur s’apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce et, si tel n’est pas le cas,

–  de refuser la publication de celle-ci, à moins que cet utilisateur annonceur ne puisse démontrer que la personne concernée a donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché en ligne, au sens de cet article 9, paragraphe 2, sous a), ou que l’une des autres exceptions prévues audit article 9, paragraphe 2, sous b) à j), est remplie.

2)  L’article 32 du règlement 2016/679

doit être interprété en ce sens que :

l’exploitant d’une place de marché en ligne, en tant que responsable du traitement, au sens de l’article 4, point 7, de ce règlement, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d’empêcher que des annonces y étant publiées et contenant des données sensibles, au sens de l’article 9, paragraphe 1, dudit règlement, soient copiées et illicitement publiées sur d’autres sites Internet.

3)  L’article 1^er, paragraphe 5, sous b), de la directive 2000/31/CE du Parlement européen et du Conseil, du 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique »), et l’article 2, paragraphe 4, du règlement 2016/679,

doivent être interprétés en ce sens que :

l’exploitant d’une place de marché en ligne, en tant que responsable du traitement, au sens de l’article 4, point 7, du règlement 2016/679, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, ne peut pas se prévaloir, à l’égard d’une violation des obligations découlant de l’article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement, des articles 12 à 15 de cette directive, relatifs à la responsabilité des prestataires intermédiaires.