search Rechercher
Ulys logo
menu MENU

Cabinet d’avocats à Bruxelles et Paris
Leader en droit de l’innovation depuis 30 ans

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Accueil keyboard_arrow_right Actualités keyboard_arrow_right Detail

Un site de petites annonces est parfois obligé de vérifier l’identité de l’utilisateur, et refuser la publication en cas de problème

Publié le par 211 vues

Une place de marché en ligne peut être qualifiée de responsable de traitement pour la mise en ligne des annonces. A ce titre, si des données sensibles sont traitées (annonce sexuelle par exemple), elle est tenue d’obtenir, et de vérifier, l’identité de l’utilisateur-annonceur. Elle doit refuser la publication si les identités ne concordent pas. Pratiquement,…

Une place de marché en ligne peut être qualifiée de responsable de traitement pour la mise en ligne des annonces. A ce titre, si des données sensibles sont traitées (annonce sexuelle par exemple), elle est tenue d’obtenir, et de vérifier, l’identité de l’utilisateur-annonceur. Elle doit refuser la publication si les identités ne concordent pas. Pratiquement, cela fait primer le RGPD sur la responsabilité allégée de l’hébergeur chaque fois que celui-ci est responsable de traitement (le régime de responsabilité allégée des intermédiaires, issu de la directive sur le commerce électronique, s’applique toutefois « pour des questions autres que celles relatives à la protection des données à caractère personnel »).

C’est une fameuse décision qui vient d’être rendue par la grande chambre de la CJUE. Les questions abordées sont nombreuses et les réponses parfois très (trop ?) tranchées. La CJUE n’est pas souvent tendre avec les intermédiaires ; elle reste sur sa ligne.

Nous consacrerons plusieurs analyses à cette décision, celle-ci portant plus spécifiquement sur la question de la vérification de l’identité de l’utilisateur qui poste une annonce.

Les faits

Au départ, les faits sont plutôt simples (et malheureusement pas rares) :

  • Russmedia Digital, société roumaine, exploite www.publi24.ro, une plateforme permettant la publication d’annonces gratuites ou payantes, dont une rubrique adulte.
  • Une annonce mensongère est mise en ligne concernant une femme, suggérant qu’elle propose des services sexuels. L’annonce est accompagnée de photographies la représentant, utilisées sans son accord, ainsi que de son numéro de téléphone. Ce genre de situation est typique du revenge porn.
  • L’annonce a été copiée à l’identique sur d’autres sites, avec mention de la source.
  • Lorsque la dame a contacté Russmedia, l’annonce a été retirée du site moins d’une heure après sa demande, mais elle est restée accessible ailleurs.

Estimant que l’annonce portait atteinte à son image, à son honneur, à sa réputation, à sa vie privée et aux règles relatives aux données personnelles, la victime saisit la justice et obtient 7.000 € à charge de Russmedia.

La décision est inversée en appel : la Cour voit dans Russmedia un hébergeur technique des annonces, sans rôle actif dans leur contenu, qui bénéficie de l’exonération de responsabilité prévue par l’article 14(1)(b) de la loi n° 365/2002 (transposition de la directive sur le commerce électronique). Elle juge aussi qu’un prestataire de ce type n’a pas l’obligation de surveiller les contenus, d’autant que Russmedia avait agi rapidement après notification.

Sur pourvoi, puis devant la CJUE, se posent les questions suivantes :

  1. l’hébergeur peut-il être qualifié de responsable de traitement au sens du RGPD ?
  2. si oui, comment définir plus concrètement ses obligations en cette qualité, notamment en ce qui concerne l’identification de celui qui met en ligne une annonce ?
  3. comment articuler cette qualité de responsable de traitement avec l’application du régime de responsabilité des hébergeurs ?

Premier rappel : traiter des données sensibles impliquer de respecter l’article 6 et l’article 9 RGPD

L’affaire implique des annonces « adultes » : ce sont des données sensibles qui sont traitées (art. 9).

La Cour commence par rappeler sa propre jurisprudence, dont il ressort qu’aux exigences générales qui découlent de l’article 6 en terme de licéité de tout traitement, « s’ajoutent des exigences particulières pour les données sensibles telles que définies à l’article 9 , paragraphe 1, du RGPD et dont le traitement est, en principe, interdit (voir, en ce sens, arrêt du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 73) ». Il s’agit donc bien d’ajouter à l’article 6, et non de lui substituer une autre disposition.

Second rappel : le principe de responsabilité est un mécanisme à géométrie variable en fonction du contexte et des données traitées

La Cour souligne ensuite le principe de responsabilité énoncé à l’article 5, paragraphe 2, du RGPD, qui implique que le responsable de traitement doit être en mesure de démontrer qu’il respecte chacun des principes énoncés au paragraphe 1 de l’article 5 [arrêt du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire), C‑60/22, EU:C:2023:373, point 53 et jurisprudence citée].

La Cour insiste sur le lien qui unit les articles 5.2 et 24 RGPD : le premier pose un principe qui se trouve « concrétisé » par le second (voir, en ce sens, arrêt du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, point 43 et jurisprudence citée), et dont on retient notamment que :

  • Le responsable de traitement « adopte des mesures appropriées visant à prévenir les violations éventuelles des règles prévues par le RGPD » [voir, en ce sens, arrêt du 27 octobre 2022, Proximus (Annuaires électroniques publics), C‑129/21, EU:C:2022:833, point 81].
  • Le principe de responsabilité ne naît pas au moment du traitement : il existe dès la détermination des moyens du traitement (en lien avec le privacy by design).
  • Quand il détermine les « mesures appropriées », le responsable intègre la nature des données et la gravité d’une éventuelle violation pour la personne concernée, ce qui est d’une importance tout à fait particulière quand celles-ci dont sensibles au sens de l’article 9.

Une place de marché en ligne a l’obligation de recueillir l’identité de l’utilisateur qui s’apprête publier une annonce relative à des données sensibles

L’arrêt, rendu en grande chambre (ce qui est, en tant que tel, un message) répond à une question concrète : quand une annonce implique une donnée sexuelle (rubrique ‘adulte’), jusqu’où doit aller le contrôle du site d’annonces au moment de la publication ? On sait depuis L’Oréal (C-324/09) qu’un hébergeur ne peut pas être exonéré s’il avait connaissance d’éléments laissant présumer l’illicéité et n’a pas agi promptement. On sait aussi depuis Papasavvas (C-291/13) que l’exonération de responsabilité disparait lorsqu’une société connaît et contrôle le contenu publié). Mais il y a, dans ce cas-ci, une différence de taille : il est reproché à Russmedia l’absence de vérification à la publication, c’est-à-dire a priori.

Pour la Cour, tant l’exploitant que l’utilisateur qui s’apprête à publier l’annonce sont responsables de traitement (nous reviendrons sur cette question dans une autre analyse).  

Ils doivent donc tous les deux :

  • « être en mesure de démontrer que les données à caractère personnel contenues dans l’annonce concernée sont publiées de manière licite, c’est-à-dire que la personne concernée a consenti à une telle publication, sauf à pouvoir se prévaloir d’une autre condition prévue à l’article 6, paragraphe 1, du RGPD ».
  • « être en mesure de démontrer que les données à caractère personnel concernées sont exactes ».

Quelles sont ces « mesures techniques et organisationnelles appropriées » ?

La Cour renvoie à sa réponse habituelle (appréciation au cas par cas), mais elle ajoute que l’exploitant doit redoubler de vigilance s’il s’agit de données relatives à la vie sexuelle, d’autant que celles-ci, une fois en ligne, « peuvent être copiées et reproduites sur d’autres sites Internet, de sorte qu’il peut s’avérer difficile, voire impossible, pour la personne concernée d’obtenir leur effacement effectif d’Internet ». Ce risque spécifique doit, dit la Cour, être intégré à la réflexion « dès la conception de son service ».

Cela peut-il aller, lorsque les données traitées sont sensibles, jusqu’à la vérification de l’identité de l’utilisateur annonceur avant la publication  ?

Oui dit la Cour, pour deux raisons principales :

  • D’une part, le fait de placer une annonce ne constitue un consentement explicite que si l’annonce est effectivement placée par la personne concernée dans l’annonce, ou avec son accord. Si Jean poste une annonce concernant Jeanne, le consentement de celle-ci ne saurait se déduire de la seule mise en ligne d’une annonce la concernant. Pour la Cour, ceci « présuppose de recueillir l’identité » de l’annonceur utilisateur.
  • D’autre part, l’obligation (article 26) des responsables conjoints de définir de manière transparente leurs obligations respectives « s’avèrerait impossible si l’un des responsables de ce traitement pouvait demeurer anonyme vis-à-vis de l’autre ».

Conclusion : l’exploitant d’une place de marché en ligne a l’obligation de recueillir l’identité de l’utilisateur qui s’apprête publier une annonce, et de vérifier si celui-ci est la personne dont les données sensibles figurent dans cette annonce.

La place de marché en ligne qui a recueilli l’identité de l’utilisateur qui s’apprête publier une annonce, doit vérifier que cela correspond à la personne dont les données sensibles figurent dans l’annonce

La Cour ne s’arrête pas là l’exploitant doit non seulement recueillir, mais également « vérifier l’identité de l’utilisateur annonceur avant la publication de ces annonces ». La Cour refuse donc un système déclaratif !

Que faire s’il s’avère, après vérification de l’identité, que les identités ne concordent pas (Jean poste une annonce concernant Jeanne) ? Pour la Cour, s’agissant de données sensibles, l’exploitant de la plateforme doit : soit exiger qu’on lui démontre à suffisance que la personne concernée a donné son consentement explicite, soit refuser la publication.

Eviter l’effet de propagation des fausses annonces

Il était encore demandé à la Cour de dire si la plateforme doit mettre en œuvre des mesures de sécurité de nature à empêcher ou à limiter la copie et la redistribution des annonces contenant des données sensibles qui ont été publiées sur sa place de marché en ligne.

La Cour part de l’obligation de sécurité (article 32), et rappelle que :

  • D’un côté, il n’y pas d’obligation de résultat : la référence à « un niveau de sécurité adapté au risque » et à un « niveau de sécurité approprié » témoigne de ce que ce règlement instaure un régime de gestion des risques et qu’il ne prétend nullement éliminer les risques de violations des données à caractère personnel (arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 29).
  • L’approche par le risque ne peut faire l’impasse sur la nature des données : plus la donnée est sensible, plus un incident est susceptible d’engendrer des conséquences fâcheuses pour la personne concernée, plus la sécurité doit être élevée.

Il en découle que la plateforme doit « envisager notamment toutes les mesures techniques disponibles en l’état des connaissances techniques susceptibles de bloquer la copie et la reproduction du contenu en ligne ». Des outils empêchant la copie ou la reprise d’annonces sont évoqués.

Que reste-t-il du régime de responsabilité des intermédiaires ?

La Cour était enfin amenée à se pencher sur l’interaction entre le RGPD et les articles 12 à 15 de la directive sur le commerce électronique (responsabilité allégée des intermédiaires).

En termes simples et résumés :

  • La Cour estime que le RGPD prône une attitude proactive du responsable de traitement, allant parfois jusqu’à la vérification de l’identité et le refus de publier …
  • … là où la directive sur le commerce électronique suggère plutôt l’inverse : l’hébergeur n’est pas responsable, sauf s’il a effectivement connaissance d’un problème et qu’il s’abstient malgré tout d’agir. L’hébergeur évite habituellement de trop se mêler des contenus car il sortirait de son rôle « purement technique, automatique et passif » (Google France), « neutre » (L’Oréal et Papasavvas).

La Cour avait déjà abordé le sujet : la protection que vise à assurer la directive 2000/31 ne peut, en tout état de cause, pas porter atteinte aux exigences résultant du RGPD et de la directive 2002/58 (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 200 ainsi que jurisprudence citée).

Elle confirme et précise que l’article 2.4 du RGPD n’exclut pas automatiquement que l’opérateur visé puisse se prévaloir des articles 12 à 15 de la directive 2000/31 « pour des questions autres que celles relatives à la protection des données à caractère personnel ».

Étant donné les critères que la Cour applique pour qualifier la place de marché comme responsable de traitement, cette précision apparait toutefois relativement théorique.

Commentaires

Soulignons que cet arrêt vise une situation où:

1) la place de marché a été qualifiée de responsable de traitement, en même temps que l’utilisateur annonceur (nous reviendrons sur cette question) et

2) les données traitées sont sensibles.

Dès lors, la réponse de la Cour serait-elle aussi tranchée si l’un de ces deux éléments venait à manquer ? Réponse au prochain arrêt …

Droit & Technologies

Annexes

CURIA – Arrêt

file_download Télécharger l'annexe

CURIA – Conclusions avocat général

file_download Télécharger l'annexe

Publié dans

Thèmes
Tags #####

Auteurs

Etienne Wery

 Suivez-moi sur LinkedIn

Lui écrire Ses 1355 contributions

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK