La Cour de justice de l’Union européenne, statuant en grande chambre, précise les obligations pesant sur les plateformes numériques traitant des données sensibles. Le litige résulte de la diffusion anonyme d’une annonce mensongère présentant une personne physique comme offrant des services sexuels sur un site internet d’annonces. Les informations publiées incluaient des photographies utilisées sans consentement ainsi que le numéro de téléphone personnel de la victime de ces agissements illicites manifestes. La Judecătoria Cluj-Napoca a initialement condamné l’exploitant au versement de dommages et intérêts pour violation de la vie privée et traitement illégal de données personnelles. Le Tribunalul Specializat Cluj a infirmé cette décision en jugeant que le prestataire bénéficiait de l’exonération de responsabilité prévue pour les hébergeurs purement techniques. Saisie d’un pourvoi, la Curtea de Apel Cluj a interrogé la Cour sur l’articulation entre le règlement général et la directive sur le commerce électronique. L’analyse de la qualification de responsable de traitement précède l’étude des obligations de diligence et de sécurité renforcées imposées par le droit de l’Union européenne.
I. La qualification de responsable de traitement de l’exploitant numérique
A. L’influence déterminante sur les finalités et les moyens du traitement
L’exploitant d’une plateforme numérique doit être qualifié de responsable de traitement lorsqu’il influe sur le traitement de données pour ses propres finalités commerciales. Le règlement définit le « “responsable du traitement” » comme l’organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données. La juridiction considère que le prestataire participe à la détermination des moyens en fixant les paramètres de diffusion et en valorisant économiquement les contenus hébergés. Cette interprétation assure une protection efficace des libertés fondamentales en évitant que des acteurs majeurs de l’économie numérique n’échappent à leurs responsabilités juridiques essentielles.
B. L’inapplicabilité de l’exonération issue de la directive sur le commerce électronique
Le régime de protection des données à caractère personnel prime sur les limitations de responsabilité civile instaurées par la directive sur le commerce électronique. La Cour rappelle que cette directive n’est pas applicable aux questions relatives aux services de la société de l’information couvertes par le règlement général. Toutefois, l’exploitant ne peut invoquer l’absence d’obligation de surveillance pour justifier une méconnaissance des principes de licéité régissant tout traitement de données personnelles. La reconnaissance de cette autonomie normative garantit la pleine application des droits garantis par la Charte des droits fondamentaux dans l’environnement numérique globalisé.
II. La rigueur des obligations de diligence pour les données sensibles
A. L’exigence d’une vérification préalable de l’identité et du consentement
Le traitement des catégories particulières de données exige une diligence accrue de la part du responsable pour prévenir des ingérences graves dans la vie privée. Le règlement dispose que le traitement des données concernant la vie sexuelle d’une personne physique est interdit sauf en cas de consentement explicite recueilli préalablement. En outre, l’exploitant est tenu de mettre en œuvre des mesures techniques pour identifier les annonces sensibles et vérifier l’identité de l’annonceur avant toute publication. Cette obligation de vérification proactive limite les risques d’usurpation d’identité et assure que les données publiées correspondent à la volonté réelle de l’intéressé concerné.
B. Le devoir de sécurité prévenant la dissémination illicite des données
Le responsable doit adopter des mesures de sécurité garantissant un niveau de protection adapté au risque de perte de contrôle des informations mises en ligne. L’article 32 impose l’adoption de dispositifs techniques destinés à éviter toute violation de données ou leur redistribution illicite vers des sites internet tiers non autorisés. Enfin, la Cour souligne que la perte de contrôle prive de tout effet utile le droit à l’effacement reconnu par la législation européenne à toute personne. Le juge national doit vérifier si le prestataire a pris toutes les dispositions nécessaires pour bloquer la copie du contenu préjudiciable dès sa publication initiale.
