CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2025:68

Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MACIEJ SZPUNAR

présentées le 6 février 2025 (1)

Affaire C‑492/23

contre

Russmedia Digital SRL,

Inform Media Press SRL

[demande de décision préjudicielle formée par la Curtea de Apel Cluj (cour d’appel de Cluj, Roumanie)]

« Renvoi préjudiciel – Rapprochement des législations – Commerce électronique – Directive 2000/31/CE – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Responsabilité des prestataires intermédiaires – Prestataire de services de la société de l’information ayant également la qualité de responsable du traitement des données à caractère personnel – Responsabilité – Portée »

I. Introduction

1. Les questions préjudicielles dans la présente affaire portent sur les dispositions de la directive 2000/31/CE (2) et du règlement (UE) 2016/679 (3).

2. Ces questions trouvent leur origine dans un litige opposant une personne physique à l’exploitant d’une place de marché en ligne sur laquelle une annonce a été publiée, sans le consentement de cette personne, indiquant que celle-ci proposait des services sexuels. La particularité de cette affaire réside dans le fait que l’annonce en question contenait des données à caractère personnel.

3. Par ses questions qui portent sur le RGPD, la juridiction de renvoi cherche à déterminer à cet égard, d’une part, si l’exploitant d’une place de marché en ligne tel que celui en cause dans le litige au principal a méconnu les obligations qui lui incombaient en vertu de ce règlement et, d’autre part, si un tel exploitant peut bénéficier de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31 en ce qui concerne une annonce publiée sur cette place de marché en ligne. La présente demande de décision préjudicielle donne donc à la Cour l’occasion de se prononcer sur l’articulation entre les régimes instaurés par ces deux actes du droit de l’Union.

II. Le cadre juridique

A. Le droit de l’Union

1. La directive 2000/31

4. L’article 1^er de la directive 2000/31, intitulé « Objectif et champ d’application », dispose, à son paragraphe 5, notamment, que celle-ci « n’est pas applicable [...] aux questions relatives aux services de la société de l’information couvertes par les directives 95/46/CE ^[(4)^] et 97/66/CE ^[(5)^] ».

5. Les articles 12, 13 et 14 de cette directive, qui figurent à la section 4, intitulée « Responsabilité des prestataires intermédiaires », du chapitre II de celle-ci, lui-même intitulé « Principes », visent un prestataire de services de la société de l’information qui exerce, respectivement, une activité de simple transport (« mere conduit »), une forme de stockage dite « caching » ou une activité d’hébergement. Ces dispositions déterminent également les conditions en vertu desquelles de tels prestataires sont exonérés de responsabilité pour les informations provenant des utilisateurs de leurs services.

6. Aux termes de l’article 14, paragraphe 1, de ladite directive, intitulé « Hébergement » :

« Les États membres veillent à ce que, en cas de fourniture d’un service de la société de l’information consistant à stocker des informations fournies par un destinataire du service, le prestataire ne soit pas responsable des informations stockées à la demande d’un destinataire du service à condition que :

a) le prestataire n’ait pas effectivement connaissance de l’activité ou de l’information illicites et, en ce qui concerne une demande en dommages et intérêts, n’ait pas connaissance de faits ou de circonstances selon lesquels l’activité ou l’information illicite est apparente

b) le prestataire, dès le moment où il a de telles connaissances, agisse promptement pour retirer les informations ou rendre l’accès à celles-ci impossible. »

7. L’article 15 de la même directive, intitulé « Absence d’obligation générale en matière de surveillance », prévoit :

« 1. Les États membres ne doivent pas imposer aux prestataires, pour la fourniture des services visée aux articles 12, 13 et 14, une obligation générale de surveiller les informations qu’ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites.

2. Les États membres peuvent instaurer, pour les prestataires de services de la société de l’information, l’obligation d’informer promptement les autorités publiques compétentes d’activités illicites alléguées qu’exerceraient les destinataires de leurs services ou d’informations illicites alléguées que ces derniers fourniraient ou de communiquer aux autorités compétentes, à leur demande, les informations permettant d’identifier les destinataires de leurs services avec lesquels ils ont conclu un accord d’hébergement. »

2. Le RGPD

8. L’article 2 du RGPD, intitulé « Champ d’application matériel », dispose, à son paragraphe 4 :

« Le présent règlement s’applique sans préjudice de la [directive 2000/31], et notamment de ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires. »

9. L’article 4 de ce règlement, intitulé « Définitions », se lit comme suit :

« Aux fins du présent règlement, on entend par :

[...]

7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ;

8) “sous‑traitant”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

[...]

11) “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ;

[...] »

10. L’article 5 dudit règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :

« 1. Les données à caractère personnel doivent être :

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités [...] (limitation des finalités) ;

[...]

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

11. L’article 6 du même règlement, intitulé « Licéité du traitement », énonce, à son paragraphe 1 :

« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

[...] »

12. L’article 7 du RGPD, intitulé « Conditions applicables au consentement », dispose, à son paragraphe 1 :

« Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. »

13. Les articles 24 à 26 de ce règlement figurent à la section 1, intitulée « Obligations générales », du chapitre IV de celui-ci, lui-même intitulé « Responsable du traitement et sous‑traitant ».

14. L’article 24 dudit règlement, intitulé « Responsabilité du responsable du traitement », prévoit, à son paragraphe 1 :

« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »

15. L’article 25 du même règlement, intitulé « Protection des données dès la conception et protection des données par défaut », énonce, à ses paragraphes 1 et 2 :

« 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui‑même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. »

16. L’article 26 du RGPD, intitulé « Responsables conjoints du traitement », précise, à son paragraphe 1 :

« Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord. »

B. Le droit roumain

17. L’article 11 de la Legea nr. 365/2002 privind comerțul electronic (loi n^o 365/2002 sur le commerce électronique), du 7 juin 2002 (6), telle que modifiée par la Legea nr. 121/2006 pentru modificarea și completarea nr. 365/2002 privind comerțul electronic (loi n^o 121/2006 modifiant et complétant la loi n^o 365/2002 sur le commerce électronique), du 4 mai 2006 (7) (ci-après la « loi n^o 365/2002 »), prévoit :

« 1. Les prestataires de services sont soumis aux dispositions légales en matière de responsabilité civile, pénale et pour infraction administrative, sauf disposition contraire de la présente loi.

2. Les prestataires de services sont responsables des informations fournies par eux‑mêmes ou pour leur compte.

3. Les prestataires de services ne sont pas responsables des informations transmises, stockées ou auxquelles ils donnent accès dans les conditions prévues aux articles 12 à 15. »

18. L’article 14 de cette loi, intitulé « Conservation permanente des informations, hébergement », dispose :

« 1. Lorsqu’un service de la société de l’information consiste à stocker des informations fournies par un destinataire de ce service, le prestataire de ce service n’est pas responsable des informations stockées à la demande d’un destinataire si l’une ou l’autre des conditions suivantes est remplie :

a) le prestataire de services n’a pas connaissance de l’illégalité de l’activité ou de l’information stockée et, en ce qui concerne une demande de dommages et intérêts, n’a pas connaissance de faits ou de circonstances dont il résulterait que l’activité ou l’information en question pourrait porter atteinte aux droits d’un tiers ;

b) s’il a connaissance de l’illégalité de l’activité ou de l’information concernée ou de faits ou de circonstances dont il résulterait que l’activité ou l’information en question pourrait porter atteinte aux droits d’un tiers, le prestataire de services agit promptement pour la supprimer ou pour en bloquer l’accès.

2. Les dispositions du paragraphe 1 ne s’appliquent pas lorsque le destinataire agit sous l’autorité ou le contrôle du prestataire de services.

3. Les dispositions du présent article n’affectent pas la possibilité, pour une autorité judiciaire ou administrative, d’exiger du prestataire de services qu’il mette un terme à la violation des données ou qu’il prévienne une telle violation, ni à la possibilité d’instaurer des procédures gouvernementales visant à limiter ou à interrompre l’accès aux informations. »

III. Les faits à l’origine du litige au principal, les questions préjudicielles et la procédure devant la Cour

19. Russmedia Digital SRL (ci-après « Russmedia »), une société de droit roumain, est propriétaire de la place de marché en ligne www.publi24.ro sur laquelle peuvent être publiées, gratuitement ou contre rémunération, des annonces publicitaires concernant, notamment, la vente de biens ou la fourniture de services provenant de différentes localités en Roumanie.

20. Le 1^er août 2018, une personne non identifiée a publié sur cette place de marché en ligne une annonce dont le contenu était dénigrant et offensant à l’égard de la requérante au principal, en ce qu’il y était indiqué que cette dernière offrait des services sexuels (ci-après l’« annonce litigieuse »). Cette annonce contenait des photographies de la requérante au principal, utilisées sans son consentement, provenant du compte qu’elle détenait légalement sur un réseau social, ainsi que son numéro de téléphone. Aucune vérification quant à l’identité de la personne ayant posté cette annonce n’a été effectuée avant sa publication. Contactée par la requérante au principal, Russmedia a procédé au retrait de ladite annonce de sa place de marché en ligne moins d’une heure plus tard. Toutefois, la même annonce a été mise en ligne, en indiquant la source d’origine, par d’autres sites Internet à contenu publicitaire, sur lesquels elle est toujours accessible.

21. Estimant que l’annonce litigieuse violait ses droits, la requérante au principal a introduit un recours contre Russmedia.

22. La Judecătoria Cluj-Napoca (tribunal de première instance de Cluj-Napoca, Roumanie) a fait droit à ce recours et, sur le fondement de l’article 253 du code civil (8), a condamné Russmedia à verser à la requérante au principal un montant de 7 000 euros au titre du préjudice moral lui ayant été causé par l’atteinte à son droit à l’image, à l’honneur et à la réputation, par la violation de son droit à la vie privée ainsi que par le traitement non conforme de données à caractère personnel. En effet, cette juridiction a considéré que l’annonce litigieuse constituait une violation des obligations imposées à Russmedia par le RGPD. Ladite juridiction a estimé que le fait que Russmedia ait autorisé la publication puis la diffusion en ligne de cette annonce avait gravement porté atteinte aux droits de la requérante au principal.

23. Le Tribunalul Specializat Cluj (tribunal spécialisé de Cluj, Roumanie) a fait droit à l’appel interjeté par Russmedia, jugeant que le recours de la requérante au principal n’était pas fondé au motif que cette société n’était pas l’auteur de l’annonce litigieuse. Cette juridiction a considéré que Russmedia ne fournissait qu’un service de stockage des annonces, sans être activement impliquée « quant au contenu » de celles-ci, et que, dans ces circonstances, l’exonération de responsabilité, prévue à l’article 14, paragraphe 1, de la loi n^o 365/2002, était applicable.

24. En effet, selon la juridiction d’appel, Russmedia a procédé au retrait de l’annonce litigieuse de sa place de marché en ligne moins d’une heure après avoir été contactée par la requérante au principal. Cette juridiction a considéré que Russmedia était exonérée de sa responsabilité pour les dommages invoqués dès lors que cette société n’était pas l’auteur de l’annonce concernée et qu’elle avait bloqué celle-ci, eu égard à l’article 11, paragraphe 3, et à l’article 14, paragraphe 1, sous b), de la loi n^o 365/2002, dès qu’elle avait eu connaissance du fait qu’elle était susceptible de porter atteinte aux droits de la requérante au principal.

25. En ce qui concerne l’obligation du responsable du traitement de vérifier, avant la publication d’une annonce, si l’auteur de celle-ci a le droit d’utiliser les données à caractère personnel qui y figurent, la juridiction d’appel a ensuite estimé que l’article 11 des modalités d’application de la loi n^o 365/2002, selon lequel un prestataire de services de la société de l’information n’est pas tenu de contrôler les informations stockées (9), était applicable.

26. Enfin, la juridiction d’appel a considéré qu’il ne saurait être reproché à Russmedia de ne pas avoir pris de mesures pour empêcher la diffusion en ligne de l’annonce litigieuse. Selon elle, le service fourni consistait à publier cette annonce et les mesures visant à bloquer l’accès du public à celle-ci ont été prises dès que la requérante au principal a alerté Russmedia. Par conséquent, cette juridiction a considéré que la loi n^o 365/2002, qui exonère cette société de sa responsabilité pour les préjudices moraux causés par le contenu des annonces publiées sur le site www.publi24.ro par les utilisateurs, était applicable en l’espèce.

27. La requérante au principal a introduit un pourvoi contre cette décision devant la Curtea de Apel Cluj (cour d’appel de Cluj, Roumanie), la juridiction de renvoi.

28. Dans le cadre de son pourvoi, la requérante au principal fait valoir, notamment, que la loi n^o 365/2002 n’est pas une loi spéciale par rapport au RGPD et que, dès lors, la juridiction d’appel aurait dû examiner la responsabilité de Russmedia à la lumière des dispositions de ce règlement.

29. En outre, la requérante au principal indique que le rôle de Russmedia ne se limitait pas à fournir aux clients le dispositif technique spécifique d’accès au serveur d’hébergement. Selon elle, cette société jouait également un rôle de gestionnaire, en intervenant au niveau du contenu des annonces, en vue d’une bonne gestion de l’information. Ladite société, en tant que gestionnaire du site Internet en cause, stockerait et traiterait le contenu de l’information. Le traitement et le stockage des données ainsi que leur mise à disposition du public sous une certaine forme impliqueraient tant une analyse des données et des informations contenues dans les annonces que la gestion de celles-ci, nécessaire pour garantir un accès aisé au public, ce qui indiquerait une implication directe de cette société. Par conséquent, l’article 14 de la loi n^o 365/2002 ne serait pas applicable en l’espèce. La requérante au principal estime de plus que l’exonération de responsabilité prévue à cette disposition ne s’applique pas si la responsabilité est établie en vertu d’autres actes réglementaires, tels que le RGPD, ce qui, selon elle, est le cas en l’espèce.

30. La juridiction de renvoi a fait droit au pourvoi, considérant que la juridiction d’appel n’avait pas examiné l’applicabilité des dispositions du RGPD dans les circonstances de l’espèce, a cassé l’arrêt sur pourvoi et a retenu l’affaire en vue d’un nouveau jugement en appel.

31. À cet égard, la juridiction de renvoi indique que, selon elle, il n’existe pas d’obligation pour les exploitants de places de marché en ligne de procéder à une vérification préalable des annonces publiées par les utilisateurs. Elle relève toutefois que, selon l’arrêt L’Oréal e.a. (10), seul un exploitant d’une place de marché en ligne qui ne joue pas un rôle actif consistant à fournir une assistance afin d’optimiser la présentation des offres à la vente ou en faire la promotion peut se prévaloir de l’exonération de responsabilité, prévue à l’article 14, paragraphe 1, de la directive 2000/31. En outre, conformément à cet arrêt (11), un exploitant d’une place de marché en ligne ne saurait se prévaloir de cette exonération de responsabilité s’il a eu connaissance de faits ou de circonstances sur la base desquels un opérateur économique diligent aurait dû constater l’illicéité des offres à la vente en cause et, dans l’hypothèse d’une telle connaissance, n’a pas promptement agi. Dans cet ordre d’idées, en vertu de l’arrêt Papasavvas (12), une société éditeur de presse qui dispose d’un site Internet sur lequel est publiée la version électronique d’un journal ne saurait non plus se prévaloir de ladite exonération de responsabilité dès lors qu’elle a connaissance des informations publiées et exerce un contrôle sur celles-ci.

32. La juridiction de renvoi indique que la jurisprudence de la Cour ne fait référence qu’à des offres postées en ligne dont l’illégalité résultait de l’analyse de faits et de circonstances ayant été expressément communiqués au responsable du traitement après la publication de l’annonce en cause. En revanche, la Cour n’aurait jamais eu l’occasion de se pencher sur une situation telle que celle faisant l’objet de la présente affaire. En effet, la spécificité de l’affaire au principal tient au fait que le contenu de l’annonce publiée par un utilisateur non identifié au moment de la saisine du juge était manifestement illégal et profondément préjudiciable pour la personne concernée. Ainsi, selon la juridiction de renvoi, la notification au responsable du traitement n’était pas nécessaire pour saisir et analyser l’éventuel caractère illicite de l’information publiée.

33. En outre, la juridiction de renvoi attire l’attention sur le fait que l’annonce litigieuse, bien qu’elle ait été effacée du site de Russmedia, sur lequel elle a été publiée initialement, à la suite de la notification de la requérante au principal, a été reprise dans son intégralité par de nombreux autres sites Internet, avec toutes les données et photographies de la requérante au principal, avec l’indication de la source initiale, sans mesures de protection concernant les données à caractère personnel. Le préjudice est donc devenu un préjudice permanent et se produit encore actuellement.

34. Par ailleurs, la juridiction de renvoi relève que les services sexuels évoqués dans l’annonce litigieuse et prétendument proposés par la requérante au principal peuvent être associés à des infractions graves, punies par le code pénal, telles que le proxénétisme et la traite des êtres humains.

35. Enfin, la juridiction de renvoi attire l’attention sur le fait que, eu égard aux termes et conditions d’utilisation de sa place de marché en ligne, Russmedia ne semble pas être un simple utilisateur passif des données. En effet, si cette société ne prétend pas à un droit de propriété sur les matériels fournis ou postés, téléchargés ou envoyés, elle conserverait toutefois le droit d’utiliser les matériels, y compris de les copier, de les distribuer, de les transmettre, de les publier, de les reproduire, de les modifier, de les traduire, de les céder à des partenaires et de les effacer à tout moment, même sans aucune raison valable à cet effet.

36. C’est dans ces conditions que la Curtea de Apel Cluj (cour d’appel de Cluj) a, par décision du 15 juin 2023, parvenue à la Cour le 3 août 2023, décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) Les articles 12 à 14 de la [directive 2000/31] s’appliquent-ils également à un prestataire de services de l’information de type hébergement qui met à la disposition des utilisateurs un site sur lequel des annonces peuvent être postées gratuitement ou contre rémunération, qui affirme que son rôle dans la publication des annonces des utilisateurs est purement technique (mise à disposition de la plateforme), mais qui, dans les termes et conditions d’utilisation du site, indique que, s’il ne prétend pas à un droit de propriété sur les matériels fournis ou postés, téléchargés ou envoyés, il conserve toutefois le droit d’utiliser les matériels, y compris de les copier, de les distribuer, de les transmettre, de les publier, de les reproduire, de les modifier, de les traduire, de les céder à des partenaires et de les effacer à tout moment, sans même avoir besoin d’une raison pour le faire ?

2) En vertu de l’interprétation de l’article 2, paragraphe 4, de l’article 4, points 7 et 11, de l’article 5, paragraphe 1, sous f), de l’article 6, paragraphe 1, sous a), et des articles 7, 24 et 25 du [RGPD] ainsi que de l’article 15 de la directive 2000/31, un tel prestataire de services de l’information de type hébergement, qui est responsable du traitement de données à caractère personnel, est-il tenu de vérifier, avant la publication d’une annonce, s’il y a identité entre la personne qui poste l’annonce et le titulaire des données à caractère personnel sur lequel porte l’annonce ?

3) En vertu de l’interprétation de l’article 2, paragraphe 4, de l’article 4, points 7 et 11, de l’article 5, paragraphe 1, sous f), de l’article 6, paragraphe 1, sous a), et des articles 7, 24 et 25 du [RGPD] ainsi que de l’article 15 de la directive 2000/31, un tel prestataire de services de l’information de type hébergement, qui est responsable du traitement de données à caractère personnel, est-il tenu de vérifier préalablement le contenu des annonces envoyées par des utilisateurs afin de supprimer celles qui ont un éventuel caractère illicite ou qui peuvent porter atteinte à la vie privée et familiale d’une personne ?

4) En vertu de l’interprétation de l’article 5, paragraphe 1, sous b) et f), et des articles 24 et 25 du [RGPD] ainsi que de l’article 15 de la directive 2000/31, un tel prestataire de services de l’information de type hébergement, qui est responsable du traitement de données à caractère personnel, est-il tenu de mettre en œuvre des mesures de sécurité de nature à empêcher ou à limiter la copie et la redistribution du contenu des annonces publiées par son intermédiaire ? »

37. Des observations écrites ont été présentées par le gouvernement roumain et la Commission européenne. La requérante au principal et la Commission ont été représentées lors de l’audience qui s’est tenue le 2 juillet 2024.

IV. Analyse

38. La première question vise à établir si Russmedia peut se prévaloir de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31, tandis que les deuxième à quatrième questions portent sur le point de savoir si cette société a méconnu les obligations qui lui incomberaient en vertu du RGPD.

39. Par le passé, la Cour a indiqué que l’article 14, paragraphe 1, de la directive 2000/31, qui fait l’objet de la première question, vise à limiter les cas de figure dans lesquels, conformément au droit national applicable en la matière, la responsabilité des prestataires de services intermédiaires peut être engagée (13). Je suis d’avis que, compte tenu de l’évolution du droit de l’Union dans ce domaine, l’exonération de responsabilité prévue à cette disposition a vocation à s’appliquer également lorsque la responsabilité d’un prestataire est engagée sur le fondement des dispositions du droit de l’Union ou des dispositions nationales de transposition de celui-ci (14).

40. La décision de renvoi laisse entendre que, dans le litige au principal, la responsabilité de Russmedia est susceptible d’être engagée en raison d’une violation du RGPD (15). Dans ces conditions, il pourrait paraître a priori souhaitable d’analyser tout d’abord les deuxième à quatrième questions, par lesquelles la juridiction de renvoi cherche à établir si Russmedia a méconnu les obligations qui lui incomberaient en vertu du RGPD. Toutefois, aux fins de la clarté de l’analyse, j’examinerai les questions dans l’ordre dans lequel elles sont posées. Ainsi, j’analyserai tout d’abord le problème soulevé par la décision de renvoi sous l’angle de la directive 2000/31, pour passer ensuite à l’examen de ce problème sous l’angle du RGPD. Enfin, dans la dernière partie de mon analyse, j’examinerai les interactions entre ce règlement et cette directive.

41. En effet, toutes les questions préjudicielles concernent la question plus fondamentale de l’articulation entre les dispositions de la directive 2000/31 et celles du RGPD. J’examinerai cette question après avoir identifié les dispositions pertinentes de ces deux actes du droit de l’Union, car les qualifications juridiques, selon les catégories prévues par ceux-ci, se trouvent au cœur des quatre questions préjudicielles.

A. Sur la première question

42. Par sa première question, la juridiction de renvoi cherche à savoir si l’article 14, paragraphe 1, de la directive 2000/31 doit être interprété en ce sens qu’un prestataire d’un service de la société de l’information consistant à mettre à la disposition des utilisateurs une place de marché en ligne sur laquelle des annonces peuvent être publiées gratuitement ou contre rémunération peut bénéficier de l’exonération de responsabilité, prévue à cette disposition, également lorsque ce prestataire indique, dans les termes et conditions d’utilisation de sa place de marché en ligne, que, s’il ne prétend pas à un droit de propriété sur ces matériels, il conserve toutefois le droit d’utiliser les matériels fournis, postés, téléchargés ou envoyés, y compris de les copier, de les distribuer, de les transmettre, de les publier, de les reproduire, de les modifier, de les traduire, de les céder à des partenaires et de les effacer à tout moment, sans même avoir besoin d’une raison pour le faire.

43. J’analyserai donc cette question (section 1) qui, en substance, vise à déterminer si Russmedia peut être qualifiée de « prestataire intermédiaire » pouvant, a priori, se prévaloir de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31. Dans la mesure où la juridiction de renvoi semble également émettre des doutes sur le point de savoir si, compte tenu de la spécificité du litige au principal, les conditions auxquelles cette disposition subordonne l’exonération de la responsabilité dans un cas concret sont remplies en l’espèce, j’analyserai également cette question par souci d’exhaustivité (section 2).

1. Sur le concept de « prestataire intermédiaire »

a) La portée et les prémisses de la question

44. Il me paraît important de mettre en exergue tant la prémisse sur laquelle repose la première question que la portée de celle-ci.

45. À cet égard, en premier lieu, ainsi que je l’ai mentionné (16), les articles 12, 13 et 14 de la directive 2000/31 prévoient des exceptions de responsabilité applicables lorsque les services fournis par les prestataires de services de la société de l’information concernent, respectivement, le simple transport (« mere conduit »), la forme de stockage dite « caching » et l’hébergement.

46. Bien que la première question fasse référence à ces trois dispositions, la juridiction de renvoi laisse entendre que Russmedia fournirait un service consistant à héberger des informations fournies par les utilisateurs. En outre, l’article 14 de la loi n^o 365/2002, dont l’applicabilité a été débattue devant les instances nationales (17), semble constituer une transposition de l’article 14 de la directive 2000/31, qui concerne un service d’hébergement. Je considère donc que la première question vise cette disposition du droit de l’Union et que l’hypothèse de travail de la juridiction de renvoi est que le service fourni par Russmedia constitue un service de la société de l’information et consiste, en principe, à héberger des informations fournies par les utilisateurs de sa place de marché en ligne.

47. En deuxième lieu, en ce qui concerne la portée de la première question, sa formulation prudente laisse entendre que la juridiction de renvoi ne se prononce pas sur le rôle joué par Russmedia dans la prestation de son service d’hébergement. En effet, il ressort de cette question que le constat selon lequel le rôle de Russmedia est purement technique résulte des affirmations formulées par cette société (18). Bien que la juridiction de renvoi ne semble pas remettre en cause cette affirmation, je me pencherai toutefois sur celle-ci, car son bien-fondé est fortement contesté par la requérante au principal (19).

48. Enfin, en troisième lieu, la juridiction de renvoi indique que Russmedia « ne semble pas être un simple utilisateur passif des données (prestataire intermédiaire) car, si [cette société] ne prétend pas à un droit de propriété sur les matériels fournis ou postés, téléchargés ou envoyés, elle conserve toutefois le droit d’utiliser [ces] matériels ». La formulation de la première question reflète cette préoccupation de la juridiction de renvoi. En effet, cette question vise à savoir si « un prestataire [...] qui met à la disposition des utilisateurs [une place de marché en ligne], mais qui, dans les termes et conditions d’utilisation du site, indique [qu’il] conserve toutefois le droit d’utiliser les matériels », peut bénéficier de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31.

49. Les mentions, dans la décision de renvoi, du caractère purement technique ou passif de l’activité de Russmedia font référence à la jurisprudence de la Cour selon laquelle l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31 concerne uniquement le cas où le comportement du prestataire se limite à celui d’un « prestataire intermédiaire », au sens voulu par le législateur dans le cadre de la section 4 du chapitre II de cette directive. En effet, il ressort, à cet égard, du considérant 42 de ladite directive que les dérogations en matière de responsabilité prévues par celle-ci couvrent uniquement les cas où l’activité du prestataire de services dans le cadre de la société de l’information revêt un caractère purement technique, automatique et passif, impliquant que ce prestataire n’a ni la connaissance ni le contrôle des informations transmises ou stockées (20). C’est à la lumière de cette jurisprudence qu’il convient d’analyser la première question.

b) Le rôle joué par l’exploitant d’une place de marché en ligne

50. Bien que la juridiction de renvoi ne fournisse pas d’informations détaillées sur le fonctionnement de la place de marché en ligne de Russmedia, il semble que cette société définisse la mise en page des annonces et publie celles-ci gratuitement ou contre rémunération sur sa place de marché en ligne, où les annonces sont regroupées dans différentes catégories choisies par les utilisateurs annonceurs et où les autres utilisateurs peuvent effectuer des recherches à l’aide d’un simple moteur de recherche et classer les résultats. Un utilisateur annonceur doit, pour pouvoir publier une annonce en ligne, s’enregistrer auprès de Russmedia. Son identité n’est contrôlée ni au moment de son enregistrement ni au moment de la publication de l’annonce. Il s’agit là de l’image du fonctionnement de cette place de marché en ligne qui se dégage de la décision de renvoi, des observations écrites des parties et de celles présentées lors de l’audience ainsi que de mes propres recherches. Il appartient à la juridiction de renvoi de vérifier l’exactitude de ces observations avant la prise de sa décision dans le litige au principal.

51. Dans une affaire impliquant l’exploitant d’une place de marché en ligne, la Cour a précisé que, afin de vérifier si cet exploitant peut être exonéré de sa responsabilité au titre de l’article 14 de la directive 2000/31, il convient d’examiner s’il se limite à une fourniture neutre de son service au moyen d’un traitement purement technique et automatique des données fournies par ses clients ou s’il joue un rôle actif de nature à lui confier une connaissance ou un contrôle de ces données (21).

52. À cet égard, la Cour a jugé que le simple fait que l’exploitant d’une place de marché en ligne stocke sur son serveur les offres à la vente, fixe les modalités de son service, est rémunéré pour celui-ci et donne des renseignements d’ordre général à ses clients ne saurait avoir pour effet de le priver des dérogations en matière de responsabilité prévues par la directive 2000/31 (22).

53. En outre, en ce qui concerne l’une des conditions auxquelles l’article 14, paragraphe 1, de la directive 2000/31 soumet l’exonération de la responsabilité d’un prestataire intermédiaire, sur lesquelles je reviendrai plus tard (23), la Cour a établi que la circonstance qu’un exploitant d’une plateforme de partage de contenus en ligne procède à une indexation automatisée des contenus téléversés sur cette plateforme, que ladite plateforme comporte une fonction de recherche et qu’elle recommande des vidéos en fonction du profil ou des préférences des utilisateurs ne saurait suffire pour considérer que cette condition n’est pas remplie (24). A fortiori, cette circonstance n’est pas non plus susceptible de priver un tel exploitant de la possibilité de se prévaloir de l’exonération de responsabilité prévue à cette disposition. En effet, la question de savoir si les conditions auxquelles l’article 14, paragraphe 1, sous a) et b), de cette directive subordonne l’exonération de la responsabilité sont remplies ne se pose que si le prestataire concerné peut être qualifié d’« hébergeur qui assume un rôle neutre » en ce qui concerne les informations qu’il stocke et peut, a priori, se prévaloir de cette exonération.

54. Il semble donc, de prime abord, que Russmedia joue un rôle neutre en ce qui concerne les informations stockées à la demande des utilisateurs annonceurs et qu’elle peut se prévaloir de l’exonération prévue à l’article 14, paragraphe 1, de la directive 2000/31. Il convient maintenant de dissiper les doutes de la juridiction de renvoi, reflétés dans la formulation de la première question, qui, en substance, cherche à déterminer si, lors de l’examen de l’applicabilité de cette exonération, il y a lieu d’accorder un rôle prépondérant aux termes et conditions d’utilisation d’une place de marche en ligne ou aux actions effectivement entreprises par l’exploitant de celle-ci.

c) La pertinence des termes et conditions d’utilisation

55. Pour rappel, conformément aux termes et conditions d’utilisation de sa place de marché en ligne, Russmedia, sans prétendre avoir un droit de propriété sur ces matériels, se réserve le droit d’utiliser les matériels fournis, postés, téléchargés ou envoyés, y compris de les copier, de les distribuer, de les transmettre, de les publier, de les reproduire, de les modifier, de les traduire, de les céder à des partenaires et de les effacer à tout moment, sans même avoir besoin d’une raison pour le faire.

56. J’observe d’emblée que le litige au principal ne porte pas sur un préjudice causé à la requérante au principal par l’intervention de Russmedia dans l’annonce litigieuse qui était accessible sur sa place de marché en ligne. En l’espèce, il ne s’agit donc pas d’une situation dans laquelle le préjudice résulterait du contenu fourni par l’utilisateur d’une place de marché en ligne et modifié ou manipulé par l’exploitant de celle-ci.

57. Cela étant établi, il y a lieu d’observer que, eu égard aux termes et conditions d’utilisation de sa place de marché en ligne, Russmedia ne semble avoir aucune obligation à l’égard des utilisateurs annonceurs en ce qui concerne l’élaboration ou la présentation du contenu des annonces stockées à la demande de ceux-ci. En revanche, cette société se réserve un droit d’utiliser ces informations, sans même avoir besoin d’une raison pour le faire.

58. À cet égard, bien que les termes et conditions d’utilisation d’une place de marché en ligne puissent déterminer le fonctionnement d’un service de la société de l’information et permettre de comprendre le rôle joué par son prestataire, les aménagements contractuels selon lesquels ce prestataire peut entreprendre une action en ce qui concerne les informations stockées, sans être obligé de le faire, ne peuvent pas, en eux-mêmes, être décisifs lorsque se pose la question de savoir si le rôle dudit prestataire est neutre. En effet, la Cour, dans sa jurisprudence, attire l’attention sur la participation effective du prestataire d’un service de la société de l’information dans l’élaboration et la présentation des informations fournies par les utilisateurs du service. En revanche, lors de l’examen de l’applicabilité de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31, il convient d’ignorer les actions qu’un prestataire est autorisé à entreprendre en vertu des termes et conditions d’utilisation de sa plateforme, mais qu’il ne met pas en œuvre en pratique. En d’autres termes, dans le cadre de cet examen, il convient de prendre en compte les actions effectivement entreprises par le prestataire d’un tel service.

59. Plus concrètement, la Cour a considéré que, lorsque l’exploitant d’une place de marché en ligne prête une assistance, laquelle a notamment consisté à optimiser la présentation des offres à la vente en cause ou à promouvoir ces offres, il y a lieu de considérer qu’il a non pas occupé une position neutre entre le client vendeur concerné et les acheteurs potentiels, mais joué un rôle actif de nature à lui conférer une connaissance ou un contrôle des données relatives à ces offres (25). De même, la Cour a jugé, en substance, qu’une société éditeur de presse ne peut pas se prévaloir de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31 en ce qui concerne des informations contenues dans l’édition électronique de la version papier du journal publié par cette société, car celle-ci a, en principe, connaissance des informations qu’elle publie et exerce un contrôle sur celles-ci (26).

60. En résumé, dans les passages jurisprudentiels que je viens de mentionner, les modalités du fonctionnement d’une place de marché en ligne impliquaient la connaissance et le contrôle ex ante des informations stockées. En revanche, en l’espèce, ainsi que l’a observé la Commission lors de l’audience, rien n’indique que Russmedia intervienne dans la création, l’optimisation ou la présentation des annonces, ou qu’elle contrôle leurs contenus individuels avant leur publication. Le contrôle que cette société pouvait exercer en vertu des termes et conditions d’utilisation de sa place de marché en ligne n’a qu’un caractère potentiel et ex post. Il apparaît, par ailleurs, que Russmedia n’a pas connaissance des informations stockées de nature à justifier l’exclusion de cette société du bénéfice de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31.

61. En outre, ainsi que l’a observé la Commission, les termes et conditions d’utilisation d’une plateforme similaires à ceux de Russmedia ne sont pas inhabituels pour les services d’intermédiation (27). Il importe d’observer à cet égard que la circonstance qu’un prestataire intermédiaire se réserve le droit d’utiliser les informations fournies par les utilisateurs de son service s’inscrit dans le rôle important joué par les prestataires intermédiaires dans la lutte contre le contenu illicite en ligne.

62. En effet, pour satisfaire aux conditions auxquelles est subordonnée l’exonération de la responsabilité d’un prestataire intermédiaire, prévues à l’article 14, paragraphe 1, sous a) et b), de la directive 2000/31, le prestataire intermédiaire doit réagir et retirer ou bloquer ce contenu dès la découverte d’un contenu illicite. Ce prestataire peut, notamment pour mettre en évidence sa capacité à entreprendre une telle action, se réserver le droit de supprimer ledit contenu à tout moment.

63. Dans ces conditions, le fait que, dans les termes et conditions d’utilisation de sa place de marché en ligne, Russmedia se réserve le droit d’utiliser les contenus stockés à la demande des utilisateurs de son service n’est pas susceptible d’exclure cette société du bénéfice de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31.

d) Conclusion intermédiaire

64. Compte tenu de ce qui précède, je propose de répondre à la première question que l’article 14, paragraphe 1, de la directive 2000/31 doit être interprété en ce sens qu’un prestataire d’un service de la société de l’information consistant à mettre à la disposition des utilisateurs une place de marché en ligne sur laquelle des annonces sont postées gratuitement ou contre rémunération peut bénéficier de l’exonération de responsabilité, prévue à cette disposition, également lorsqu’il indique, dans les termes et conditions d’utilisation de sa place de marché en ligne, que, s’il ne prétend pas à un droit de propriété sur ces matériels, il conserve toutefois le droit d’utiliser les matériels fournis, postés, téléchargés ou envoyés, y compris de les copier, de les distribuer, de les transmettre, de les publier, de les reproduire, de les modifier, de les traduire, de les céder à des partenaires et de les effacer à tout moment, sans même avoir besoin d’une raison pour le faire, à condition que ce prestataire ne prenne pas de mesures lui faisant perdre sa qualité d’hébergeur neutre.

65. Par souci d’exhaustivité, il convient d’examiner si, compte tenu de la spécificité du litige au principal, les conditions auxquelles est subordonnée cette exonération sont remplies en l’espèce.

2. Sur les conditions auxquelles est subordonnée l’exonération de la responsabilité d’un prestataire intermédiaire

66. La décision de renvoi met en exergue les particularités de la présente affaire qui semblent être liées aux conditions auxquelles l’article 14, paragraphe 1, de la directive 2000/31 soumet l’exonération de responsabilité pour les informations stockées. En effet, la juridiction de renvoi attire l’attention de la Cour sur le caractère manifestement illégal et profondément préjudiciable de l’annonce litigieuse ainsi que sur la disponibilité de cette annonce sur de nombreux autres sites Internet qui l’ont reprise.

a) Le caractère manifestement illicite des informations stockées

1) L’identification d’un contenu manifestement illicite

67. La juridiction de renvoi observe que, pour permettre à Russmedia d’identifier et d’analyser l’éventuel caractère illicite de l’information publiée, il n’aurait pas dû être nécessaire de notifier le contenu illicite à cette société. En effet, selon cette juridiction, le contenu de l’annonce litigieuse est manifestement illégal et profondément préjudiciable pour la requérante au principal. La juridiction de renvoi semble donc partir de la prémisse que, en raison de ce caractère clairement illicite, Russmedia aurait dû avoir connaissance de cette annonce et de son contenu illégal. Ainsi, pour pouvoir bénéficier de l’exonération de responsabilité, Russmedia aurait dû – promptement et sans attendre une demande à cet effet – retirer ladite annonce ou rendre l’accès à celle-ci impossible, conformément à l’article 14, paragraphe 1, sous b), de la directive 2000/31.

68. L’article 14, paragraphe 1, sous a), de la directive 2000/31 vise à exonérer l’hébergeur de sa responsabilité pour les informations stockées lorsqu’il n’a pas connaissance de l’activité ou de l’information illicite. Lorsque la responsabilité d’un hébergeur est invoquée dans le cadre d’une action en dommages et intérêts, comme en l’espèce, une condition d’exonération de responsabilité plus stricte devient applicable. Dans un tel cas de figure, le prestataire est exclu du bénéfice de l’exonération de responsabilité, prévue à l’article 14, paragraphe 1, de cette directive, lorsqu’il a pris connaissance de faits ou de circonstances sur la base desquels un opérateur économique diligent aurait dû constater l’illicéité en cause et n’a pas agi conformément à l’article 14, paragraphe 1, sous b), de ladite directive (28). En effet, ainsi que l’exige la directive 2000/31, le caractère illicite de l’activité ou de l’information doit être « apparent » ou, en d’autres termes, aisément identifiable (29).

69. Néanmoins, le prestataire ne peut perdre le bénéfice de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31 qu’à condition d’avoir effectivement pris connaissance de faits ou de circonstances sur la base desquels le caractère illicite de l’activité ou de l’information peut être objectivement constaté par un opérateur économique diligent. En effet, indépendamment de la question de savoir s’il s’agit d’une action en dommages et intérêts, il ne suffit pas que le fournisseur soit conscient, d’une manière générale, du fait que son service est également utilisé pour partager des contenus illicites. Le prestataire doit avoir connaissance des faits ou des circonstances relatifs à des activités et des informations illicites concrètes (30).

70. La condition prévue à l’article 14, paragraphe 1, sous a), de la directive 2000/31 n’est donc pas remplie lorsque, sur la base d’informations dont il dispose, le prestataire constate ou ignore le caractère illicite des données stockées ou se méprend sur la licéité de ces données. En effet, tandis que le caractère illicite d’une information ou d’une activité doit être évalué de manière objective, selon le critère de l’opérateur économique diligent, la connaissance de faits révélateurs de cette illicéité est en principe évaluée en tenant compte des informations effectivement disponibles au prestataire concerné.

71. Dans ces conditions, on ne saurait présumer que l’exploitant d’une place de marché en ligne a connaissance du contenu de toute annonce illicite et préjudiciable. En outre, introduire une telle présomption reviendrait à obliger cet exploitant à surveiller de manière active l’ensemble des données de chacun de ses utilisateurs annonceurs afin d’identifier des annonces qui sont manifestement illicites et préjudiciables. Une telle obligation de surveillance me paraît difficilement conciliable avec la logique de la directive 2000/31.

72. En effet, une telle obligation de surveillance, introduite « par la petite porte », serait incompatible avec l’article 15, paragraphe 1, de la directive 2000/31 qui prévoit que les États membres ne doivent pas imposer aux hébergeurs une obligation générale de surveiller les informations qu’ils stockent ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites. Ainsi, un hébergeur ne saurait être tenu de surveiller, de manière générale, les informations qu’il stocke sur le fondement de mesures nationales (31).

73. Dès lors, la condition prévue à l’article 14, paragraphe 1, sous a), de la directive 2000/31 ne saurait être considérée comme non remplie simplement au motif qu’une annonce publiée sur une place de marché en ligne est manifestement illicite et profondément préjudiciable pour la personne concernée par cette annonce. Par souci de complétude, j’ajoute que la directive 2000/31 n’ignore pas la situation dans laquelle le prestataire d’un service d’hébergement adopte un modèle économique ou organisationnel qui incite ou promeut la diffusion de contenus illicites.

2) Une plateforme impliquée dans des activités illicites

74. Il y a lieu de relever que le considérant 44 de la directive 2000/31 énonce qu’un prestataire de services qui collabore délibérément avec l’un des destinataires de son service afin de se livrer à des activités illicites va au-delà des activités de « simple transport » ou de « caching », visées, respectivement, aux articles 12 et 13 de cette directive. Dès lors, ce prestataire ne peut pas bénéficier des dérogations en matière de responsabilité prévues pour ce type d’activités. Bien que ce considérant ne mentionne pas l’activité d’hébergement, visée à l’article 14 de ladite directive, il n’y a aucune raison pour que le même raisonnement ne s’applique pas à cette activité. En effet, la Cour a jugé, dans l’arrêt YouTube et Cyando (32), qu’un exploitant d’une plateforme en ligne qui contribue, au-delà de la simple mise à disposition de la plateforme, à donner au public un accès aux contenus en violation du droit d’auteur ne saurait être considéré comme un hébergeur neutre pouvant bénéficier de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31.

75. Dans ledit arrêt, afin de déterminer si un exploitant donnait au public un tel accès, la Cour a semblé s’appuyer, indirectement, sur son analyse relative à la notion d’« acte de communication », au sens de la directive 2001/29/CE (33). Conformément à cette analyse, inspirée par son arrêt qui portait sur la plateforme de partage The Pirate Bay (34), un exploitant donne un tel accès lorsqu’il intervient dans la communication illicite de contenus protégés, effectuée par des utilisateurs de sa plateforme, en pleine connaissance des conséquences de son comportement, pour donner aux autres internautes accès à de tels contenus. Selon la Cour, afin de déterminer si tel est le cas, il importe de tenir compte de l’ensemble des éléments caractérisant la situation en cause et permettant de tirer, directement ou indirectement, des conclusions sur le caractère délibéré ou non de l’intervention de l’exploitant dans la communication illicite desdits contenus.

76. Si l’on transpose cette approche aux circonstances de l’espèce, cela signifierait que l’exploitant d’une place de marché en ligne qui a adopté un modèle économique et/ou organisationnel incitant les utilisateurs de sa plateforme à procéder à la diffusion de contenus manifestement illicites et profondément préjudiciables ou qui promeut et facilite la diffusion illimitée et non contrôlée de tels contenus perdrait la qualité d’hébergeur neutre au sens de l’article 14, paragraphe 1, de la directive 2000/31. Toutefois, rien n’indique que Russmedia ait adopté un tel modèle.

3) L’évolution du droit de l’Union en matière de modération des contenus disponibles en ligne

77. On pourrait soutenir que la considération selon laquelle la directive 2000/31, en principe et sous réserve de circonstances exceptionnelles (35), n’oblige pas les prestataires des services d’hébergement à détecter tout contenu manifestement illicite et profondément préjudiciable peut paraître peu satisfaisante, compte tenu des risques que la diffusion d’un tel contenu peut engendrer eu égard aux droits de leurs utilisateurs et des tiers.

78. Toutefois, ainsi que je l’ai observé dans un autre contexte (36), la directive 2000/31 est le fruit de son époque et le législateur de l’Union cherchait à établir un régime de base qui protège de manière spécifique la libre circulation des services de la société de l’information. Dès lors, cette directive se borne à imposer des obligations d’information à tout prestataire de services de la société de l’information (37), sans opérer de distinction entre les différentes catégories de services d’hébergement. En effet, ladite directive repose sur la logique selon laquelle, dans les limites qu’elle fixe, les États membres instaurent des obligations que les prestataires établis sur leurs territoires doivent respecter. En particulier, la marge de manœuvre des États membres est circonscrite par l’interdiction qui leur est faite d’imposer une obligation générale en matière de surveillance, prévue à l’article 15 de la même directive.

79. Le régime de base instauré par la directive 2000/31 a été graduellement complété par des actes sectoriels qui exigent la mise en place de mesures appropriées pour protéger certaines catégories d’utilisateurs de contenus spécifiques, tels que les contenus à caractère terroriste ou pédopornographique (38).

80. Récemment, le législateur de l’Union a modifié, dans une large mesure, le cadre juridique applicable aux plateformes en ligne. En effet, le Digital Services Act différencie les obligations des plateformes en fonction de certains critères et réglemente également, dans une certaine mesure, la question de la modération des contenus illicites (39). Toutefois, la présente affaire n’est pas concernée par ce nouveau cadre juridique et la Cour ne devrait pas, à mon sens, introduire, par voie prétorienne, une obligation qui non seulement n’est pas prévue par la directive 2000/31 applicable aux faits au principal, mais se trouve en outre en contradiction avec l’article 15 de celle-ci.

b) La redistribution du contenu des annonces publiées

81. Un autre aspect sur lequel la juridiction de renvoi attire l’attention de la Cour concerne la circonstance que, bien que Russmedia ait retiré l’annonce litigieuse de sa place de marché en ligne à la suite de la demande de la requérante au principal, cette annonce est toujours accessible sur de nombreux autres sites Internet qui l’ont reprise de la place de marché en ligne de Russmedia, avec l’indication de la source initiale. La juridiction de renvoi ne pose pas directement une question concernant cette circonstance sous l’angle de la directive 2000/31. En revanche, elle y fait référence dans le cadre de sa quatrième question, qui porte sur les mesures exigées par le RGPD pour assurer la sécurité du traitement des données à caractère personnel. Toutefois, lors de l’audience, en réponse aux questions de la Cour, ladite circonstance a été débattue par les parties dans le contexte de la condition de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, sous b), de cette directive. Eu égard à ces considérations, et aux fins d’apporter à la juridiction de renvoi une réponse utile, j’analyserai la question de savoir si la condition prévue à l’article 14, paragraphe 1, sous b), de la directive 2000/31 est remplie lorsque, après avoir pris connaissance de faits ou de circonstances permettant d’établir aisément le caractère illicite de l’information stockée, l’hébergeur retire promptement cette information de son site Internet, mais que celle-ci est toujours accessible sur d’autres sites Internet qui l’ont reprise du site de cet hébergeur.

82. À cet égard, la juridiction de renvoi ne précise pas si l’annonce litigieuse a été redistribuée aux opérateurs d’autres sites Internet par Russmedia ou si elle a été copiée par ceux-ci sans que Russmedia en ait eu connaissance. Ce point a fait l’objet d’un débat lors de l’audience. En vue de fournir une réponse utile à la juridiction de renvoi, j’examinerai ces deux cas de figure.

1) La reprise de l’annonce litigieuse par des partenaires

83. Lors de l’audience, la Commission a fait allusion à une situation dans laquelle Russmedia transmettrait, conformément aux termes et conditions d’utilisation de sa place de marché en ligne, aux partenaires avec lesquels elle est contractuellement liée, énumérés sur son site et, donc, connus par les utilisateurs annonceurs, des annonces ayant été publiées sur sa place de marché en ligne.

84. La question peut se poser de savoir si, dans un tel cas de figure, le service fourni par l’exploitant d’une place de marché en ligne consiste en un hébergement neutre des informations stockées à la demande d’un destinataire de son service. En effet, on ne saurait perdre de vue que l’article 14, paragraphe 1, de la directive 2000/31 ne s’applique que si le prestataire fournit un tel service.

85. À cet égard, j’observe que, lorsque l’exploitant d’une place de marché en ligne transmet, de manière individualisée et/ou humainement assistée, des informations fournies par un destinataire de son service à ses partenaires, afin que ceux-ci les publient sur d’autres sites Internet, son rôle s’apparente à celui d’un promoteur de ces informations. Dans un tel cas de figure, j’éprouve un doute quant au fait que le service de cet exploitant relève pleinement de l’article 14, paragraphe 1, de la directive 2000/31. En revanche, lorsque les informations stockées à la demande d’un utilisateur sont reprises par les opérateurs d’autres sites Internet et que le rôle dudit exploitant dans cette transmission est purement technique et automatisé, on pourrait considérer que cette disposition lui est pleinement applicable.

86. Cela étant posé, la décision de renvoi ne contient pas d’éléments de fait permettant de déterminer laquelle de ces deux hypothèses correspond à la situation de l’affaire au principal. Plus important encore, la question de savoir si la condition prévue à l’article 14, paragraphe 1, sous b), de la directive 2000/31 est remplie ne se pose que si Russmedia peut être qualifiée d’« hébergeur », au sens de cette disposition. J’analyserai donc la condition fixée à l’article 14, paragraphe 1, sous b), de cette directive en partant de la prémisse que Russmedia est un hébergeur, au sens de cette disposition, et que l’annonce litigieuse a été reprise par des partenaires de cette société dans les conditions mentionnées par la Commission lors de l’audience (40).

87. À cet égard, sur le plan textuel, l’article 14, paragraphe 1, sous b), de la directive 2000/31 prévoit que, pour bénéficier de l’exonération de responsabilité, l’hébergeur doit agir promptement pour retirer les informations illicites ou rendre l’accès à celles-ci impossible. Ainsi, cette disposition ne se limite pas à indiquer que l’hébergeur doit retirer ou bloquer l’accès à une information illicite. En effet, le législateur a choisi une formulation ouverte selon laquelle, en substance, un prestataire doit promptement mettre fin à une activité illicite, réalisée via ou sur son service.

88. Certes, on pourrait comprendre la formulation de cette condition en ce sens que le législateur de l’Union visait non pas à fixer des résultats concrets à atteindre, mais uniquement à ce que des efforts soient entrepris à cet égard. Toutefois, la formulation ouverte de l’article 14, paragraphe 1, sous b), de la directive 2000/31 laisse également une certaine marge de manœuvre à un prestataire (« retirer les informations ou rendre l’accès à celles-ci impossible ») lui permettant d’adopter une mesure appropriée, proportionnée et effective. Une telle lecture de cette disposition s’impose au regard de plusieurs considérants de cette directive.

89. En effet, le considérant 46 de la directive 2000/31 énonce que le retrait des informations doit se faire conformément à « des procédures établies à cet effet au niveau national » et que cette directive « n’affecte pas la possibilité qu’ont les États membres de définir des exigences spécifiques auxquelles il doit être satisfait promptement avant de retirer des informations ou d’en rendre l’accès impossible ». Toutefois, rien ne suggère que de telles procédures et exigences aient été établies par la législation nationale applicable.

90. En tout état de cause, le considérant 41 de la directive 2000/31 énonce que celle-ci instaure un équilibre entre les différents intérêts en jeu et établit des principes qui peuvent servir de base aux normes et aux accords adoptés par les entreprises. S’agissant plus spécifiquement de la condition prévue à l’article 14, paragraphe 1, sous b), de cette directive, le considérant 46 de celle-ci énonce que le prestataire doit procéder au retrait des informations ou rendre leur accès impossible dans le respect du principe de la liberté d’expression. La Cour a précisé, à cet égard, que l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de ladite directive constitue l’expression de l’équilibre que celle-ci vise à instaurer entre les différents intérêts en jeu, parmi lesquels figure le respect de la liberté d’expression, garanti par l’article 11 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») (41).

91. J’en déduis que, pour que la condition prévue à l’article 14, paragraphe 1, sous b), de la directive 2000/31 soit considérée comme remplie, le retrait de l’information illicite doit s’effectuer dans le respect de la conciliation nécessaire des exigences liées à la protection de ces différents droits et libertés et d’un juste équilibre entre eux.

92. À cet égard, d’une part, à l’instar du respect de la liberté d’expression garantie par la Charte et mentionnée au considérant 46 de la directive 2000/31, le respect de la vie privée est, lui aussi, garanti par la Charte, à son article 7. D’autre part, compte tenu de la nécessité d’instaurer un équilibre entre les intérêts en jeu, l’objectif consistant à protéger efficacement la réputation et l’honneur d’une personne ne saurait être poursuivi au moyen d’une obligation excessive imposée à l’hébergeur (42).

93. Dans ces conditions, pour que la condition prévue à l’article 14, paragraphe 1, sous b), de la directive 2000/31 soit considérée comme remplie dans le respect des droits en jeu, un hébergeur dont le service est utilisé pour la redistribution des informations qu’il stocke à ses partenaires contractuels devrait prendre des mesures raisonnables pour faire en sorte que ce contenu soit, le cas échéant, retiré ou bloqué également par ses partenaires. Par exemple, une clause à cet effet pourrait être incluse dans les contrats conclus avec ces partenaires.

2) La reprise de l’annonce litigieuse par des tiers

94. Lors de l’audience ont été discutés non seulement le cas de figure dans lequel une annonce est reprise par des partenaires de l’exploitant d’une place de marché en ligne, mais également celui où une annonce publiquement accessible est reprise par des tiers, à l’insu et sans le consentement de cet exploitant. La question débattue était de savoir si, compte tenu des considérations présentées au point 91 des présentes conclusions, pour satisfaire à la condition prévue à l’article 14, paragraphe 1, sous b), de la directive 2000/31, l’exploitant d’une place de marché en ligne doit prendre des mesures vis-à-vis des tiers. Il convient de répondre par la négative à cette question.

95. En effet, la condition fixée à l’article 14, paragraphe 1, sous b), de la directive 2000/31 repose sur l’idée que le prestataire d’un service d’hébergement doit promptement prendre toutes les mesures en son pouvoir afin de mettre fin à une activité illicite, réalisée via ou sur son service. En revanche, le point de savoir si cette condition est remplie ne saurait dépendre de mesures échappant à son contrôle.

96. Sans préjudice des remarques supplémentaires que je viens de présenter sur les conditions auxquelles l’article 14, paragraphe 1, de la directive 2000/31 subordonne l’exonération de responsabilité d’un prestataire intermédiaire, je maintiens ma proposition de réponse à la première question, avancée au point 64 des présentes conclusions.

B. Sur les deuxième à quatrième questions

97. Par ses deuxième à quatrième questions, la juridiction de renvoi demande, en substance, si l’article 5, paragraphe 1, sous b) et f), l’article 6, paragraphe 1, sous a), et les articles 7, 24 et 25 du RGPD doivent être interprétés en ce sens qu’un prestataire de services de la société de l’information dont l’activité consiste à héberger sur un site Internet des annonces gratuites ou payantes à la demande de ses utilisateurs est tenu de vérifier au préalable l’identité de l’annonceur (deuxième question) et le contenu des annonces publiées (troisième question) ainsi que de prendre des mesures de sécurité pour empêcher ou limiter la copie ou la redistribution du contenu des annonces contenant des données à caractère personnel (quatrième question).

98. Ces questions visent également l’article 2, paragraphe 4, l’article 4, points 7 et 11, du RGPD, ainsi que l’article 15 de la directive 2000/31. Il suffit toutefois, afin de répondre de manière utile à ces questions, d’interpréter les dispositions du RGPD, mentionnées au point précédent des présentes conclusions, qui déterminent les obligations et les responsabilités d’un acteur impliqué dans le traitement des données à caractère personnel.

99. En outre, en vue de répondre à ces questions, il convient, à titre liminaire, de déterminer en quelle qualité un tel prestataire est impliqué dans le traitement des données à caractère personnel. À cet égard, les deuxième à quatrième questions semblent être fondées sur la prémisse selon laquelle Russmedia a agi en qualité de « responsable du traitement », au sens de l’article 4, point 7, du RGPD. En effet, elles visent cette disposition et font référence à « un prestataire [...] qui est responsable du traitement des données à caractère personnel ». À l’instar de la Commission, j’éprouve des doutes quant à une telle qualification juridique. Dès lors, dans la mesure où celle-ci peut avoir une incidence sur les réponses aux questions préjudicielles, je me pencherai d’abord sur la qualification juridique de l’exploitant d’une place de marché selon les catégories prévues par le RGPD (section 1), pour ensuite revenir sur la question des obligations et des responsabilités de cet exploitant (section 2).

1. Sur les qualifications juridiques

a) Les acteurs du traitement des données à caractère personnel

100. L’article 4, point 7, du RGPD définit la notion de « responsable du traitement » comme visant la personne qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Ce règlement mentionne un autre acteur impliqué dans le traitement des données, à savoir le « sous-traitant ». Celui-ci est défini, à l’article 4, point 8, dudit règlement, comme la personne qui traite les données à caractère personnel pour le compte du responsable du traitement.

101. La qualification d’un acteur impliqué dans le traitement des données selon les catégories prévues par le RGPD détermine les obligations et les responsabilités de cet acteur. Ces obligations et ces responsabilités sont définies par les dispositions visées par les deuxième à quatrième questions.

102. En effet, tout traitement de données à caractère personnel doit être conforme aux principes relatifs au traitement des données, énoncés à l’article 5, paragraphe 1, du RGPD, et satisfaire aux conditions de licéité du traitement énumérées à l’article 6 de celui-ci. C’est le responsable du traitement qui assume la responsabilité du respect de ces principes (43) et qui, lorsque le traitement repose sur le consentement, doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données, ainsi que l’exige l’article 7, paragraphe 1, de ce règlement. Dans le même esprit, les articles 24 et 25 dudit règlement prévoient des obligations générales, pesant sur le responsable du traitement, de mettre en œuvre des mesures techniques et organisationnelles appropriées afin d’assurer que le traitement soit effectué en conformité avec ce même règlement.

103. Par ailleurs, la qualité en laquelle agit un acteur impliqué dans le traitement détermine également l’étendue de sa responsabilité pour les violations du RGPD.

104. En effet, aux termes de l’article 82, paragraphe 2, première phrase, du RGPD, « [t]out responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation [de ce] règlement ». Le responsable du traitement est responsable non seulement pour tout traitement de données à caractère personnel qu’il effectue lui-même, mais également pour celui qui est réalisé pour son compte (44). En revanche, en vertu de l’article 82, paragraphe 2, seconde phrase, dudit règlement, « [u]n sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par [le même] règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci ».

b) La finalité et les moyens du traitement

105. Afin de déterminer si une entité impliquée dans le traitement de données à caractère personnel peut être considérée comme étant un responsable du traitement, au sens de l’article 4, point 7, du RGPD, il convient d’examiner si cette entité a effectivement exercé une influence, à des fins qui lui sont propres, sur la détermination des finalités et des moyens de ce traitement.

106. La finalité d’un traitement concerne la question de savoir pourquoi les données sont traitées (45). En principe, c’est la personne qui est à l’origine du traitement qui en décide.

107. Les contours du concept de « moyens » sont moins clairs et doivent être déterminés dans le contexte de l’évolution des structures économiques et technologiques dans lesquelles les données sont traitées. De manière globale, si la finalité d’un traitement concerne la raison pour laquelle les données sont traitées, les moyens répondent à la question de savoir comment cet objectif sera atteint. En effet, la détermination des moyens consiste, en particulier, à décider quelles données sont traitées (46), qui peut y accéder et comment (47) et, dans la mesure où une telle décision peut mettre fin aux opérations de traitement, la durée du traitement. La prise de décisions en ce qui concerne les outils ou les supports matériels ou digitaux (48) à l’aide desquels les données sont collectées, présentées ou diffusées contribue elle aussi à déterminer les moyens du traitement.

108. Toutefois, le responsable du traitement n’est pas tenu de déterminer tout aspect technique et organisationnel du traitement. La décision de confier le traitement de données à un sous-traitant peut résulter non seulement d’un désir de soulager la charge de travail du responsable du traitement, mais aussi du fait que celui-ci ne dispose pas des connaissances techniques ou des moyens nécessaires pour organiser le traitement. Une telle interprétation, guidée par la réalité économique, est corroborée par les dispositions du RGPD.

109. En effet, si, en vertu de l’article 28, paragraphe 3, du RGPD, un contrat ou un autre acte juridique sur la base duquel un responsable du traitement confie le traitement à un sous-traitant doit définir la finalité du traitement, une telle base juridique ne doit pas répondre exhaustivement à la question de savoir comment les données seront traitées. Elle ne doit déterminer que l’objet et la durée du traitement, la nature et la finalité de celui-ci ainsi que le type de données à caractère personnel et les catégories de personnes concernées. Ainsi, d’une part, les questions sensibles qui sont fondamentales pour la licéité du traitement sont réservées au responsable du traitement. D’autre part, bien qu’un sous-traitant agisse pour le compte d’un responsable du traitement et suive ses instructions, il peut, voire doit, déterminer les mesures techniques et organisationnelles du traitement, sans outrepasser son rôle de sous-traitant. En d’autres termes, la détermination des moyens non essentiels du traitement ne suffit pas pour accorder le statut de responsable du traitement à une personne impliquée dans le traitement des données.

110. C’est sur la base des critères dégagés aux points 106 à 109 des présentes conclusions que la juridiction de renvoi devra décider si Russmedia peut être considérée comme un responsable du traitement. En vue de fournir au juge national les éléments d’interprétation relevant du droit de l’Union qui lui seront utiles pour résoudre le litige dont il est saisi, je me pencherai sur cette problématique.

c) L’exploitant d’une place de marché en ligne et le RGPD

111. À titre liminaire, j’observe que le traitement des données à caractère personnel contenues dans les annonces publiées sur une place de marché en ligne doit être distingué du traitement des données des utilisateurs annonceurs qui créent un compte auprès de l’exploitant de cette place de marché en vue de publier leurs annonces. La création d’un tel compte et les autres actions relatives aux données fournies par un utilisateur annonceur constituent des opérations de traitement dont cet exploitant est responsable eu égard au RGPD. En substance, l’exploitant décide quelles données sont nécessaires pour enregistrer un compte et, lors de la mise en place de cette procédure d’enregistrement des utilisateurs annonceurs, il détermine la finalité de leur traitement.

112. La décision de renvoi soulève la question de savoir si l’exploitant d’une place de marché en ligne exerce également une influence, à des fins qui lui sont propres, sur la détermination des finalités et des moyens du traitement des données à caractère personnel éventuellement contenues dans les annonces publiées sur sa place de marché en ligne.

113. À cet égard, en ce qui concerne la finalité du traitement des données contenues dans une annonce postée en ligne, la publication d’une annonce sur une place de marché en ligne vise de manière générale à promouvoir auprès du public le produit ou le service offert par un utilisateur annonceur. Cette finalité est donc déterminée par l’utilisateur annonceur concerné. En revanche, l’exploitant de cette place de marché en ligne ne semble pas exercer une influence, à des fins qui lui sont propres, sur la raison pour laquelle ces annonces sont publiées. L’affaire qui nous préoccupe constitue une parfaite illustration de cette spécificité du fonctionnement d’une place de marché en ligne. En effet, l’annonce litigieuse a été mise en ligne non pas pour promouvoir le service d’un utilisateur annonceur, mais pour porter préjudice à la requérante au principal. L’exploitant n’a pas exercé d’influence sur la motivation regrettable de l’auteur de cette annonce.

114. S’agissant de la détermination des moyens du traitement, c’est l’utilisateur annonceur qui exerce une influence sur la réponse à la question de savoir comment les données sont traitées. En effet, l’utilisateur annonceur décide si des données sont incluses dans l’annonce et, le cas échéant, lesquelles. En revanche, il est fort probable que l’exploitant d’une place de marché en ligne n’ait même pas connaissance du fait qu’une annonce contient des données à caractère personnel. En outre, s’il est vrai que cet exploitant détermine la mise en page des annonces et d’autres aspects techniques et organisationnels du fonctionnement de cette place de marché en ligne, j’observe, compte tenu des observations que j’ai présentées au point 109 des présentes conclusions, que l’influence dudit exploitant sur la détermination des moyens non essentiels du traitement n’implique toutefois pas qu’il faille le considérer comme un responsable du traitement.

115. Ainsi, l’exploitant d’une place de marché en ligne, tel que Russmedia, ne semble pas exercer une influence, à des fins qui lui sont propres, sur la détermination de la finalité et des moyens du traitement des données à caractère personnel éventuellement contenues dans les annonces postées sur cette place de marché en ligne. Si cet exploitant est impliqué dans le traitement de ces données, il agit en qualité de sous-traitant, pour le compte d’un utilisateur annonceur et sous sa responsabilité. Dans ces circonstances, les utilisateurs d’un service d’hébergement doivent être qualifiés de « responsables du traitement », au sens du RGPD (49).

116. Eu égard à la spécificité de la présente affaire, il convient d’apporter quelques précisions supplémentaires aux considérations que je viens de présenter.

117. En premier lieu, indépendamment de la question de savoir si, sous l’empire du RGPD, une personne concernée peut être considérée comme le responsable du traitement de ses propres données à caractère personnel (50), il importe d’observer que, en l’espèce, la personne ayant mis en ligne l’annonce litigieuse n’était pas elle-même concernée par les données contenues dans cette annonce.

118. En deuxième lieu, en vertu des termes et conditions d’utilisation de sa place de marché en ligne, Russmedia se réserve le droit d’utiliser les informations stockées à la demande des utilisateurs annonceurs. Elle peut les copier, les distribuer, les transmettre, les publier, les reproduire, les modifier, les traduire, les céder à des partenaires et les effacer à tout moment, sans même avoir besoin d’une raison pour le faire. Une fois qu’une telle action est engagée à l’égard des données contenues dans une annonce, cette société pourrait être considérée comme un responsable du traitement en ce qui concerne une opération de traitement spécifique, avec toutes les obligations et les responsabilités qui en découlent. En effet, une personne peut être responsable des opérations de traitement dont elle détermine les finalités et les moyens. En revanche, et sans préjudice d’une éventuelle responsabilité civile prévue par le droit national à cet égard, cette personne ne saurait être considérée comme étant responsable, au sens du RGPD, des opérations antérieures ou postérieures de la chaîne de traitement dont elle ne détermine ni les finalités ni les moyens (51).

119. En troisième lieu, les considérations que je viens de formuler correspondent à la position du groupe de travail « Article 29 » (52), dans son avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant », du 16 février 2010 (53). En effet, selon ce groupe de travail, un fournisseur d’accès à Internet qui propose des services de stockage est, en principe, un sous‑traitant des données à caractère personnel publiées en ligne par ses clients, qui recourent à ce fournisseur pour l’hébergement et la maintenance de leur site Internet. Si, en revanche, un tel fournisseur traite les données qu’il stocke à des fins personnelles, il devient le responsable du traitement en ce qui concerne les opérations de traitement concernées. En outre, cette position correspond également à celle du Comité européen de la protection des données dans ses lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous‑traitant dans le RGPD, adoptées le 7 juillet 2021 (54), selon lesquelles un hébergeur qui ne détermine pas si les données qu’il héberge sont des données à caractère personnel et ne procède à aucun autre traitement que le stockage pour le compte de son client est un sous-traitant.

120. Ainsi, sous réserve des vérifications factuelles qu’il incombe à la juridiction de renvoi d’effectuer, la Cour devrait, à mon sens, attirer l’attention de cette juridiction sur l’opportunité de reconsidérer la qualification de Russmedia. En effet, à l’instar de la Commission, je suis d’avis que cette société joue un rôle non pas de responsable du traitement, mais de sous-traitant en ce qui concerne les opérations de traitement résultant de la publication de l’annonce litigieuse. C’est sur la base de cette prémisse que je vais, à présent, examiner les deuxième à quatrième questions.

2. Les obligations et les responsabilités de l’exploitant d’une place de marché en ligne

a) Le cas où l’exploitant d’une place de marché en ligne est considéré comme un sous-traitant s’agissant du traitement des données contenues dans les annonces

121. Dans le contexte des obligations et des responsabilités pesant sur l’exploitant d’une place de marché en ligne aux termes du RGPD, il est pertinent de distinguer entre, d’une part, le traitement des données à caractère personnel contenues dans les annonces publiées sur cette place de marché et, d’autre part, le traitement des données des utilisateurs annonceurs qui créent un compte auprès de cet exploitant.

1) Le traitement des données contenues dans les annonces

122. Dans le cas où, en ce qui concerne le traitement des données à caractère personnel contenues dans les annonces, Russmedia était effectivement un sous-traitant, il ne lui incombait pas de vérifier si le traitement était autorisé et licite. En effet, comme je l’ai indiqué (55), en vertu des dispositions visées par la deuxième question, c’est le responsable du traitement qui assume la responsabilité du respect des principes relatifs au traitement des données à caractère personnel. Dans le même esprit, en vertu des dispositions visées par la troisième question, le sous-traitant n’est pas non plus tenu de vérifier au préalable le contenu des informations qui font l’objet des opérations de traitement.

123. En ce qui concerne la quatrième question, celle-ci vise à établir si Russmedia aurait dû prendre des mesures de sécurité pour empêcher ou limiter la copie ou la redistribution du contenu des annonces contenant des données à caractère personnel. Cette question porte sur l’interprétation de l’article 5, paragraphe 1, sous b) et f), et des articles 24 et 25 du RGPD. Ces dispositions concernent, elles aussi, les obligations qui pèsent non pas sur le sous-traitant, mais sur le responsable du traitement.

124. Cela étant dit, l’article 32 du RGPD précise les obligations du responsable du traitement et d’un éventuel sous-traitant quant à la sécurité de ce traitement (56).

125. Plus précisément, l’article 32, paragraphe 1, du RGPD dispose que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque que présente le traitement, en prenant en compte l’état des connaissances, les coûts de mise en œuvre mais aussi la nature, la portée, le contexte et les finalités du traitement ainsi que les risques. De même, l’article 32, paragraphe 2, de ce règlement énonce que, lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée des données à caractère personnel, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

126. Dans la mesure où l’article 32, paragraphe 2, du RGPD concerne les obligations d’un sous-traitant, cette disposition présuppose que le traitement des données conformément aux instructions du responsable du traitement est autorisé et licite. Un sous-traitant ne saurait être tenu de contrôler les actions du responsable du traitement pour le compte duquel il traite des données. En revanche, il doit adopter des mesures visant à garantir la sécurité du traitement des données à caractère personnel contre l’ingérence de tiers. En effet, l’article 32, paragraphe 1, de ce règlement concrétise, en substance, les principes d’intégrité et de confidentialité énoncés à l’article 5, paragraphe 1, sous f), de celui-ci (57). Conformément à ces principes, les données doivent être traitées par le responsable du traitement ou pour son compte de façon à garantir une sécurité appropriée de ces données, y compris la protection contre le traitement non autorisé ou illicite et contre la perte.

127. Si des annonces postées sur une place de marché en ligne peuvent être reprises par les opérateurs d’autres sites, conformément aux termes et conditions d’utilisation de cette place de marché, énumérés sur celui-ci et, donc, connus à l’avance par les utilisateurs annonceurs, le sous-traitant devrait mettre en œuvre des mesures lui permettant de provoquer le retrait des annonces supprimées de sa propre plateforme. En effet, il peut s’avérer que le traitement ne soit pas, ou ne soit plus, licite et la plateforme par l’intermédiaire de laquelle la redistribution d’une annonce est effectuée devrait être en mesure de mettre fin à une violation du RGPD également auprès de ses partenaires. Un tel résultat est cohérent avec celui qui concerne le respect, par un prestataire d’un service d’hébergement, de la condition prévue à l’article 14, paragraphe 1, sous b), de la directive 2000/31 (58).

128. En revanche, contrairement à ce que semble envisager la juridiction de renvoi dans la quatrième question, il ne me semble pas qu’un sous-traitant devrait être tenu d’empêcher ou de limiter la copie ou la redistribution des annonces contenant des données à caractère personnel. Il n’appartient pas au sous-traitant de déterminer qui peut accéder à celles-ci et comment.

2) Le traitement des données des utilisateurs annonceurs

129. Les obligations et les responsabilités de l’exploitant d’une place de marché en ligne sont plus importantes en ce qui concerne le traitement des données des utilisateurs annonceurs qui créent un compte auprès de cet exploitant. Dans le cadre de ce traitement, l’exploitant est le responsable du traitement et les articles 24 et 25 du RGPD lui sont pleinement applicables (59).

130. L’article 24 du RGPD prévoit une obligation générale, pesant sur le responsable du traitement, de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer que le traitement des données est effectué conformément à ce règlement. L’article 25 dudit règlement impose au responsable du traitement de mettre en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées qui sont destinées à mettre en œuvre les principes relatifs à la protection des données de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du même règlement et de protéger les droits de la personne concernée.

131. Ainsi qu’il ressort des articles 24 et 25 du RGPD, les mesures en cause doivent répondre aux risques spécifiques au contexte dans lequel les données à caractère personnel sont traitées. L’identification de risques spécifiques et la détermination des moyens appropriés doivent, certes, être laissées à l’appréciation de la juridiction de renvoi, laquelle dispose de tous les éléments de fait concernant l’ensemble des critères pertinents eu égard à ces dispositions, néanmoins je souhaiterais ajouter les précisions suivantes.

132. Ainsi que l’énonce le considérant 75 du RGPD, le traitement des données peut entraîner des risques pour les droits et libertés des personnes physiques, en particulier lorsque, notamment, il peut donner lieu à une usurpation d’identité et lorsque les personnes concernées pourraient être empêchées d’exercer un contrôle sur leurs données à caractère personnel. En effet, en général, une identité est usurpée dans le but de réaliser des actions frauduleuses, au détriment de la personne concernée ou de tiers. En outre, en ce qui concerne les plateformes en ligne, leur usage irresponsable peut donner lieu à une violation des droits des personnes physiques et la perspective, s’agissant de la personne responsable de cette violation, de pouvoir agir en toute impunité aggrave ces risques.

133. Dès lors, si le responsable du traitement gère une place de marché en ligne accessible aux utilisateurs annonceurs qui, lors de l’utilisation de cette place de marché, peuvent usurper l’identité d’une autre personne à des fins frauduleuses, il doit mettre en œuvre des mesures lui permettant de réduire ce risque. Ainsi que l’exige l’article 25 du RGPD, pour répondre aux exigences de ce règlement et protéger les droits de la personne concernée, ce risque doit être pris en compte par le responsable du traitement tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui‑même.

134. Dans ces conditions, l’exploitant d’une place de marché en ligne doit, à mon sens, prévoir des mesures techniques ou organisationnelles lui permettant de vérifier l’identité des utilisateurs annonceurs. En effet, une telle vérification, d’une part, limiterait le risque d’un traitement illicite ou déloyal des données à caractère personnel au regard de la personne concernée et, d’autre part, permettrait de lutter contre l’usage irresponsable de cette place de marché en ligne, car elle remettrait en cause le sentiment d’impunité des utilisateurs anonymes.

135. Il me faut préciser que le postulat de l’utilisation anonyme de l’internet n’exclut pas la vérification de l’identité des utilisateurs annonceurs. Les données d’un utilisateur annonceur ne sauraient être accessibles à tout utilisateur d’une plateforme. Elles peuvent être vérifiées et conservées uniquement par le responsable du traitement, afin que celui-ci puisse se conformer aux obligations qui lui incombent en vertu du RGPD. À titre de vérification, l’exploitant peut exiger la communication d’un numéro de téléphone et utiliser celui-ci pour confirmer l’enregistrement. Une telle solution n’est pas inhabituelle pour des plateformes en ligne.

136. Il est vrai qu’une telle mesure ne permet pas d’éliminer tout risque d’usurpation d’identité. Toutefois, le RGPD se borne à imposer au responsable du traitement d’adopter des mesures techniques et organisationnelles destinées à éviter, dans toute la mesure du possible, toute violation de données à caractère personnel (60). Il s’agit donc non pas d’une obligation de résultat, mais d’une obligation de moyen. En tout état de cause, la décision de renvoi laisse entendre que Russmedia n’a mis en œuvre aucune mesure lui permettant d’effectuer un contrôle de l’identité de l’auteur de l’annonce litigieuse au moment de l’enregistrement ou de la publication de cette annonce.

137. Dans ces conditions, je propose de répondre aux deuxième à quatrième questions que l’article 5, paragraphe 1, sous f), l’article 6, paragraphe 1, sous a), et les articles 7, 24 et 25 du RGPD doivent être interprétés en ce sens qu’un prestataire de services de la société de l’information dont l’activité consiste à héberger sur un site Internet des annonces gratuites ou payantes à la demande de ses utilisateurs agit en qualité de sous-traitant en ce qui concerne les données à caractère personnel contenues dans les annonces postées sur sa place de marché en ligne. Dans ce cadre, il n’est pas tenu de vérifier le contenu des annonces publiées ou de mettre en œuvre des mesures de sécurité de nature à empêcher ou limiter la copie et la redistribution du contenu des annonces publiées par son intermédiaire. Il doit néanmoins mettre en œuvre des mesures organisationnelles et techniques appropriées pour assurer la sécurité du traitement vis-à-vis des tiers. En revanche, un tel prestataire agit en qualité de responsable du traitement en ce qui concerne les données à caractère personnel des utilisateurs annonceurs enregistrés sur son site Internet. Dans ce cadre, il est tenu de vérifier l’identité de ces utilisateurs annonceurs.

138. Je vais à présent examiner brièvement, dans un souci d’exhaustivité et dans l’hypothèse où la Cour ne souscrirait pas à mon analyse, les obligations et les responsabilités de l’exploitant d’une place de marché en ligne considéré comme un responsable du traitement, au sens de l’article 4, point 7, du RGPD, s’agissant des données à caractère personnel contenues dans les annonces postées sur sa place de marché en ligne. En effet, ainsi que je l’ai mentionné (61), les deuxième à quatrième questions semblent être fondées sur la prémisse selon laquelle Russmedia agit en qualité de « responsable du traitement ».

b) Le cas où l’exploitant d’une place de marché en ligne est considéré comme un responsable du traitement des données contenues dans les annonces

139. À titre liminaire, j’observe que le fait que l’exploitant d’une place de marché en ligne est un responsable du traitement ne signifie pas nécessairement qu’un utilisateur annonceur de cette place de marché en ligne ne peut pas, lui aussi, être considéré comme un responsable du traitement (62).

140. En effet, le RGPD reconnaît l’existence d’une responsabilité conjointe qui ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par le traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades du traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce.

141. Je me focaliserai toutefois sur les obligations et les responsabilités de l’exploitant d’une place de marché en ligne dans la mesure où, en l’espèce, est en cause la responsabilité d’un tel exploitant pour le traitement des données à caractère personnel contenues dans une annonce postée sur sa place de marché en ligne.

142. Les deuxième et troisième questions visent à déterminer si l’exploitant d’un site Internet est tenu de vérifier, avant la publication d’une annonce, respectivement, l’identité de la personne qui poste l’annonce et celle de la personne visée par celle-ci, ainsi que le contenu des annonces envoyées par les utilisateurs.

143. À cet égard, je ne suis pas convaincu que l’exploitant d’une place de marché en ligne soit tenu de s’assurer que l’utilisateur annonceur est bien la personne concernée par les données contenues dans une annonce. En effet, une place de marché en ligne peut être utilisée également par un utilisateur annonceur pour publier une annonce relative à une autre personne.

144. Toutefois, un responsable du traitement doit vérifier si le traitement des données à caractère personnel est fondé sur le consentement de la personne concernée ou repose sur un autre fondement légitime prévu par la loi. Une telle obligation lui est imposée par l’article 5, paragraphe 1, sous a), l’article 6, paragraphe 1, et l’article 7, paragraphe 1, du RGPD.

145. Ainsi, si l’exploitant d’une place de marché en ligne agit en qualité de responsable du traitement, il doit s’assurer que la personne dont les données sont contenues dans une annonce a consenti au traitement. Logiquement, il doit aussi contrôler le contenu de toute annonce soumise par un utilisateur annonceur, pour vérifier si celle-ci contient des données à caractère personnel.

146. Conformément au principe de loyauté prévu à l’article 5, paragraphe 1, sous a), du RGPD, le responsable du traitement doit également veiller à ce que les données soient traitées de manière loyale au regard de la personne concernée. En outre, en vertu des articles 24 et 25 de ce règlement, il doit également mettre en œuvre des mesures techniques et organisationnelles pour s’assurer que le traitement est effectué conformément audit règlement. Ce faisant, il doit prendre en compte les risques spécifiques au contexte dans lequel les données sont traitées.

147. Le traitement des données à caractère personnel publiquement accessibles dans un environnement en ligne peut entraîner des risques pour les droits et libertés des personnes physiques et, en particulier, des dommages ou un préjudice moral.

148. Lorsque l’exploitant d’une place de marché en ligne est responsable du traitement des données contenues dans les annonces postées sur cette place de marché, il doit contrôler les annonces avant leur publication en ligne, vérifier si leur traitement est fondé sur le consentement de la personne concernée ou repose sur un autre fondement légitime prévu par la loi et introduire des mesures contre le traitement préjudiciable pour les personnes concernées. S’il ne respecte pas ces principes, il peut être tenu responsable des violations de ce règlement, conformément à l’article 82 du RGPD.

149. La quatrième question vise à savoir si l’exploitant d’une place de marché en ligne doit mettre en œuvre des mesures de sécurité de nature à empêcher ou à limiter la copie et la redistribution du contenu des annonces publiées par son intermédiaire.

150. Si, compte tenu du contexte dans lequel le traitement est réalisé, la possibilité existe que les annonces soient reprises par d’autres sites et que les données à caractère personnel soient traitées ultérieurement d’une manière incompatible avec les finalités pour lesquelles elles ont été collectées, le responsable du traitement pourrait envisager la mise en œuvre de telles mesures, lesquelles doivent être appropriées. Or, je ne suis pas persuadé que l’exploitant d’une place de marché en ligne, laquelle, du point de vue de l’exploitant et des utilisateurs annonceurs, tire son sens économique du fait que les annonces qui y sont postées sont publiquement accessibles, devrait être obligé de limiter la redistribution de celles-ci. En outre, l’objectif habituel de la mise en ligne d’un contenu est généralement de le rendre accessible à tous les utilisateurs d’Internet, ce qui implique une forme de redistribution. En tout état de cause, compte tenu des considérations que j’ai présentées au point 148 des présentes conclusions, l’annonce litigieuse n’aurait pas dû être publiée sur la place de marché en ligne de Russmedia sans le consentement de la personne concernée.

151. Sans préjudice des remarques supplémentaires qui précèdent, relatives aux obligations et aux responsabilités d’un responsable du traitement, je maintiens ma position selon laquelle l’exploitant d’une place de marché en ligne est un sous-traitant des données à caractère personnel contenues dans les annonces postées sur cette place de marché (63). Dans ces conditions, il reste à examiner l’articulation entre la directive 2000/31 et le RGPD.

C. Sur l’articulation entre le régime de la directive 2000/31 et celui du RGPD

152. Les deuxième et troisième questions portent, notamment, sur l’article 2, paragraphe 4, du RGPD, qui concerne l’articulation entre ce règlement et la directive 2000/31. En outre, elles visent tant les dispositions dudit règlement qui déterminent les obligations et les responsabilités d’un responsable du traitement que l’article 15 de cette directive. Ces questions semblent donc présupposer l’application parallèle du RGPD et de ladite directive.

153. Je dois toutefois relever, avant de me pencher sur une telle application parallèle de ces deux instruments du droit de l’Union (section 2), qu’il existe une certaine tension entre l’hypothèse visée par la première question et celle visée par les deuxième à quatrième questions (section 1).

1. Un hébergeur neutre en tant que responsable du traitement

154. Pour rappel, il résulte de mon analyse que Russmedia agissait en qualité de sous-traitant quant au traitement des données à caractère personnel contenues dans les annonces publiées sur sa place de marché en ligne (64). En revanche, l’hypothèse de travail de la juridiction de renvoi est que cette société agissait en qualité de responsable du traitement. Dans ces conditions, la décision de renvoi soulève la question de savoir si l’exploitant d’une place de marché en ligne peut porter deux casquettes, à savoir celle d’hébergeur neutre des informations stockées à la demande des utilisateurs de son service, au sens de l’article 14, paragraphe 1, de la directive 2000/31, et celle de responsable du traitement des données à caractère personnel contenues dans ces informations. En effet, d’une part, la première question vise à établir si Russmedia est un prestataire intermédiaire, au sens de la section 4 du chapitre II de cette directive. D’autre part, les deuxième à quatrième questions semblent partir de la prémisse que cette société doit être qualifiée de « responsable du traitement », au sens du RGPD.

155. À cet égard, je suis conscient que, dans sa jurisprudence, la Cour n’a pas exclu qu’un responsable du traitement des données à caractère personnel au sens du RGPD puisse jouer un rôle neutre en ce qui concerne les informations contenant ces données et bénéficier de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31. Une telle observation a également été faite par les auteurs de la doctrine en ce qui concerne les jurisprudences nationales (65).

156. Certes, dans un premier temps, la Cour a considéré, dans l’arrêt Google Spain et Google, que l’exploitant d’un moteur de recherche est un responsable du traitement en ce qui concerne les données à caractère personnel contenues dans les informations publiées ou placées sur Internet par des tiers qui sont localisées, indexées et stockées par cet exploitant (66). Dans un second temps, dans l’arrêt Google France et Google, la Cour s’est penchée sur la question de savoir si l’exploitant de ce même moteur de recherche pouvait bénéficier de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31 (67). Toutefois, ce second arrêt concernait non pas l’exploitation dudit moteur de recherche, mais un service de référencement. En outre, dans cet arrêt, la Cour a laissé à la juridiction de renvoi le soin d’apprécier si le rôle exercé par cet exploitant correspondait à celui d’un prestataire intermédiaire, au sens de cette disposition (68).

157. Plus important encore, d’une part, ainsi que je l’ai indiqué (69), un prestataire intermédiaire, au sens voulu par le législateur à la section 4 du chapitre II de la directive 2000/31, ne saurait jouer un rôle qui lui conférerait une connaissance ou un contrôle des données stockées et doit donc se limiter à une fourniture neutre de son service au moyen d’un traitement purement technique. D’autre part, le rôle de responsable du traitement implique de déterminer la finalité et les moyens du traitement des données à caractère personnel et, notamment, d’exercer une influence sur le point de savoir si des données font l’objet d’opérations de traitement telles que l’enregistrement, la modification ou la diffusion et, le cas échéant, sur la détermination de ces données (70). L’exercice d’une telle influence est incompatible avec le rôle neutre qu’un prestataire d’un service de la société de l’information doit maintenir, s’agissant des informations stockées à la demande des utilisateurs, afin de pouvoir bénéficier de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31. De même, ainsi que je l’ai expliqué (71), le RGPD fait peser sur le responsable du traitement des obligations et des responsabilités qui requièrent de sa part qu’il agisse de manière proactive. En substance, pour respecter les principes relatifs au traitement des données à caractère personnel, le responsable du traitement doit avoir connaissance des données concernées et exercer un contrôle sur celles-ci. Un tel contrôle n’est pas non plus conciliable avec le rôle neutre d’un tel prestataire.

158. Ainsi, si, d’une part, un service d’hébergement consiste en un stockage des informations qui, du point de vue du RGPD, constituent des données à caractère personnel et si, d’autre part, le prestataire de ce service est considéré comme un responsable du traitement, au sens de ce règlement, alors le rôle de ce prestataire ne se limite pas à un stockage neutre de telles informations. En conséquence, le prestataire d’un tel service assume un rôle actif en ce qui concerne ces informations et est exclu du bénéfice de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31.

159. La tension existant entre l’hypothèse visée par la première question et celle visée par les deuxième à quatrième questions corrobore l’interprétation du RGPD selon laquelle l’exploitant d’une place de marché en ligne agit non pas en qualité de responsable du traitement s’agissant des données à caractère personnel contenues dans les annonces qu’il stocke à la demande des utilisateurs annonceurs, mais en qualité de sous-traitant de ces données (72).

160. J’indique, par souci d’exhaustivité, que je ne peux pas exclure que le législateur de l’Union ait choisi de ne pas écarter la possibilité qu’un hébergeur agissant en qualité de responsable du traitement puisse bénéficier de l’exonération de responsabilité dans le cadre du Digital Services Act. En effet, si ce règlement a supprimé les articles 12 à 15 de la directive 2000/31 (73), ces dispositions ont toutefois été reprises dans celui-ci, telles qu’interprétées par la Cour. Ledit règlement ajoute, à son article 7, que « [l]es fournisseurs de services intermédiaires ne sont pas réputés être exclus du bénéfice des exemptions de responsabilité [...] du simple fait qu’ils procèdent de leur propre initiative, de bonne foi et avec diligence, à des enquêtes volontaires [...] ou qu’ils prennent les mesures nécessaires pour se conformer aux exigences du droit de l’Union et du droit national conforme au droit de l’Union » (74). Le premier volet de cette disposition relatif aux « mesures introduites volontairement par un prestataire » présente des éléments communs avec la jurisprudence de la Cour ayant été développée déjà sous l’empire de la directive 2000/31 (75). Le second volet, relatif aux « mesures prises pour se conformer aux exigences du droit de l’Union », ajouté par ce même règlement, permettrait à un hébergeur de remplir les obligations qui lui sont imposées par le RGPD et de maintenir le rôle de prestataire intermédiaire neutre. Toutefois, la directive 2000/31 ne contient pas de clause à cet effet et il n’y a pas lieu d’en introduire une par voie d’interprétation de cette directive.

161. Il reste à déterminer si un acteur impliqué dans le traitement des données à caractère personnel en tant que sous-traitant, dont la responsabilité pour le traitement de ces données peut être engagée pour une violation du RGPD, peut se prévaloir de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31.

2. Application parallèle du RGPD et de la directive 2000/31

162. Le problème soulevé par la décision de renvoi trouve son origine dans le fait qu’une information stockée à la demande d’un destinataire du service contenait des données à caractère personnel dont le traitement a été effectué en violation du RGPD. D’où la question qui oppose les parties au principal et qui, depuis longtemps, fait l’objet de débats doctrinaux (76) : est-ce qu’un acteur impliqué dans le traitement des données à caractère personnel, dont la responsabilité peut être engagée pour une violation du RGPD, peut se prévaloir de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31 ?

163. À cet égard, il me faut observer que, conformément à mon analyse de ces deux instruments du droit de l’Union, le prestataire d’un service de la société de l’information qui est le responsable du traitement des données à caractère personnel contenues dans les informations stockées à la demande des utilisateurs de ce service ne saurait se prévaloir de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31 (77). En conséquence, l’analyse qui suit vise uniquement à déterminer si un prestataire agissant en qualité de sous-traitant de telles données peut se prévaloir de cette exonération. Je tiens à rappeler que mon analyse des dispositions du RGPD m’amène à proposer à la Cour de considérer que Russmedia a agi en qualité de sous-traitant (78).

164. En outre, il y a lieu de relever que la juridiction de renvoi ne précise pas si, dans le litige au principal, la responsabilité de Russmedia est susceptible d’être engagée pour une violation du RGPD en vertu de l’article 82 de ce règlement ou en vertu des règles de la responsabilité civile prévue par le droit national. En effet, la violation d’une règle relative à la protection des données à caractère personnel peut simultanément entraîner la violation d’autres règles, telles que celles en matière de protection des consommateurs (79) et de droits de la personnalité, et le législateur de l’Union n’a pas entendu procéder à une harmonisation exhaustive des voies de recours ouvertes en cas de violation des dispositions du RGPD (80).

165. En tout état de cause, en ce qui concerne la responsabilité civile, tant la directive 2000/31 que le RGPD contiennent des dispositions qui fournissent des indications sur l’articulation entre ces deux actes du droit de l’Union.

a) Sur les dispositions pertinentes de la directive 2000/31

166. L’article 1^er, paragraphe 5, sous b), de la directive 2000/31, intitulé « Objectif et champ d’application », prévoit que cette directive n’est pas applicable aux questions relatives aux services de la société de l’information couvertes par les règles du droit de l’Union applicables en matière de données à caractère personnel. Plus concrètement, cette disposition se réfère aux directives 95/46 et 97/66, qui ont été remplacées, respectivement, par le RGPD (81) et la directive 2002/58/CE (82).

167. En outre, le considérant 14 de la directive 2000/31, qui concerne la problématique visée à l’article 1^er, paragraphe 5, de celle-ci, énonce que la protection des personnes physiques à l’égard du traitement des données à caractère personnel est uniquement régie par les directives 95/46 et 97/66, « qui sont pleinement applicables aux services de la société de l’information. Ces directives établissent d’ores et déjà un cadre juridique [de l’Union] dans le domaine des données à caractère personnel et, par conséquent, il n’est pas nécessaire de traiter cette question dans la [directive 2000/31] afin d’assurer le bon fonctionnement du marché intérieur, et notamment la libre circulation des données à caractère personnel entre les États membres. La mise en œuvre et l’application de [cette dernière] directive devraient être conformes aux principes relatifs à la protection des données à caractère personnel ».

168. Par le passé, la Cour s’est déjà penchée sur l’interprétation de l’article 1^er, paragraphe 5, sous b), de la directive 2000/31.

169. En effet, dans un premier temps, dans l’arrêt Promusicae (83), s’était posée la question de savoir si le droit de l’Union impose aux États membres de prévoir l’obligation de divulguer, en vue d’assurer la protection effective du droit d’auteur, des données à caractère personnel dans le cadre d’une procédure civile. Dans cette affaire, la juridiction de renvoi s’est référée à plusieurs directives qui, selon elle, auraient pu constituer la base juridique d’une telle obligation.

170. À cet égard, la Cour a considéré qu’il résulte de l’article 1^er, paragraphe 5, sous b), de la directive 2000/31 qu’une telle obligation, à supposer qu’elle soit prévue par cette directive, ne peut pas porter préjudice aux exigences liées à la protection des données à caractère personnel (84). La Cour a donc semblé envisager l’application parallèle de ladite directive et des instruments du droit de l’Union relatifs à la protection des données à caractère personnel.

171. Dans un second temps, la Cour s’est penchée, dans l’arrêt La Quadrature du Net e.a. (85), sur la question de savoir si la directive 2000/31 s’oppose à une réglementation nationale imposant aux fournisseurs d’accès à des services de communication au public en ligne et aux fournisseurs de services d’hébergement la conservation généralisée et indifférenciée des données à caractère personnel afférentes à ces services. La juridiction de renvoi considérait que cette question était régie par cette directive et que son article 15 n’instaurait pas, par lui-même, une interdiction de principe de conserver des données relatives à la création de contenu à laquelle il pourrait seulement être dérogé de manière exceptionnelle (86).

172. La Cour a considéré que la directive 2000/31 n’est pas applicable en matière de protection de la confidentialité des communications et des personnes physiques à l’égard du traitement des données à caractère personnel dans le cadre des services de la société de l’information, cette protection étant, selon le cas, régie par la directive 2002/58 ou par le RGPD (87).

173. La nature catégorique de cette réponse tient au contexte dans lequel cette réponse a été donnée.

174. En effet, d’une part, on ne peut pas perdre de vue que le considérant 15 de la directive 2000/31 vise spécifiquement le secret des communications et prévoit que, conformément à la directive 97/66, mentionnée à l’article 1^er, paragraphe 5, sous b), de la directive 2000/31, « les États membres doivent interdire tout type d’interception illicite ou la surveillance de telles communications par d’autres que les expéditeurs et les récepteurs, sauf lorsque ces activités sont légalement autorisées ». La directive 2002/58, qui a remplacé la directive 97/66, confirme cette interdiction et détermine les conditions selon lesquelles les États membres peuvent y déroger. De même, sous l’empire du RGPD, la marge de manœuvre des États membres quant aux mesures dérogatoires relatives à la protection des données à caractère personnel est circonscrite à l’article 23 de ce règlement.

175. D’autre part, pour parvenir à la conclusion rappelée au point 171 des présentes conclusions, la Cour a indiqué que la protection de la confidentialité des communications ainsi que des personnes physiques à l’égard du traitement des données à caractère personnel est uniquement régie par la directive 2002/58 ou par le RGPD, « étant précisé que la protection que vise à assurer la directive 2000/31 ne peut en tout état de cause pas porter atteinte aux exigences résultant de la directive 2002/58 et du [RGPD] » (88).

176. Ainsi, d’une part, la jurisprudence relative à l’article 1^er, paragraphe 5, sous b), de la directive 2000/31 laisse entendre que cette directive ne s’applique pas aux questions qui font l’objet d’une réglementation spécifique dans le cadre de la directive 2002/58 et du RGPD. D’autre part, la directive 2000/31 et les règles du droit de l’Union applicables en matière de données à caractère personnel s’appliquent de manière parallèle en ce qui concerne toute autre question, mais les dispositions de cette directive ne peuvent pas porter préjudice aux exigences liées à la protection de telles données.

b) Sur les dispositions pertinentes du RGPD

177. L’interprétation que j’ai donnée au point 176 des présentes conclusions est corroborée par l’article 2, paragraphe 4, du RGPD, qui prévoit que ce règlement s’applique « sans préjudice » de l’application de la directive 2000/31, en particulier des règles relatives à la responsabilité des prestataires de services intermédiaires prévues aux articles 12 à 15 de cette directive (89).

178. Bien que, dans la terminologie du droit de l’Union, le constat qu’un instrument juridique ou l’une de ses dispositions s’applique « sans préjudice » d’un autre instrument puisse amener à des solutions différentes, le RGPD précise qu’il s’applique sans préjudice, en particulier, des dispositions spécifiques de la directive 2000/31. Le législateur de l’Union a donc voulu mettre l’accent sur le fait que ce règlement ne limite pas le champ d’application des dispositions spécifiques de cette directive. Ainsi, on ne saurait considérer que le RGPD a la priorité sur la directive 2000/31 au motif qu’il a été adopté après celle-ci.

c) Remarques finales

179. Compte tenu de ce qui précède, tant la directive 2000/31, telle qu’interprétée par la Cour (90), que le RGPD (91) sont structurés de manière à permettre leur application parallèle aux questions qui ne font pas l’objet d’une réglementation spécifique dans le cadre de ce règlement. Il reste donc à déterminer si le RGPD contient une clause qui remplit un rôle comparable à celui de l’article 14, paragraphe 1, de cette directive.

180. À cet égard, l’article 82, paragraphe 3, du RGPD dispose qu’un responsable du traitement, ou un sous-traitant selon les cas de figure, est exonéré de la responsabilité pour le dommage causé par le traitement qui constitue une violation de ce règlement « s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable ». En cas de violation de données à caractère personnel commise par un « tiers », au sens de l’article 4, point 10, dudit règlement, le responsable du traitement ou le sous-traitant peut s’exonérer de sa responsabilité, sur le fondement de l’article 82, paragraphe 3, du même règlement, en prouvant qu’il n’y a aucun lien de causalité entre son éventuelle violation de l’obligation de protection des données et le dommage subi par la personne physique (92).

181. Je considère que l’article 82, paragraphe 3, du RGPD ne constitue pas une clause d’exonération de responsabilité qui remplit un rôle comparable à celui de l’article 14, paragraphe 1, de la directive 2000/31.

182. En effet, l’article 14, paragraphe 1, de la directive 2000/31 ne s’applique que si un prestataire intermédiaire peut être tenu responsable, en vertu des règles qui lui sont applicables, des informations stockées à la demande des utilisateurs de son service d’intermédiation. La question de l’applicabilité de cette disposition ne se pose donc que si les conditions de la responsabilité de ce prestataire pour les informations stockées, prévues par les règles applicables, sont réunies. À cet égard, les conditions du droit à réparation prévu à l’article 82 du RGPD sont déterminées aux paragraphes 1 à 3 de cet article. L’article 82, paragraphe 3, de ce règlement n’introduit qu’une condition de cette responsabilité (93). En effet, l’engagement de la responsabilité du responsable du traitement, au titre de l’article 82 dudit règlement, est subordonné à l’existence d’une faute commise par celui-ci, laquelle est présumée, à moins que ce dernier ne prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, au sens du paragraphe 3 (94).

183. Un sous-traitant dont la responsabilité est susceptible d’être engagée au titre de l’article 82 du RGPD n’est donc pas exclu du bénéfice de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31.

184. Toutefois, on ne saurait perdre de vue que la responsabilité d’un sous-traitant ne peut être engagée en vertu de l’article 82, paragraphe 2, seconde phrase, du RGPD que s’il n’a pas respecté les obligations prévues par ce règlement qui incombent spécifiquement aux sous-traitants ou s’il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci. Les obligations et les responsabilités d’un exploitant d’une place de marché en ligne qui agit en qualité de sous-traitant s’agissant des données contenues dans les annonces publiées sur sa plateforme sont donc surtout liées à l’article 32 dudit règlement (95).

185. Cela étant dit, ainsi que je l’ai déjà mentionné, il n’apparaît pas clairement si, dans le litige au principal, la responsabilité de Russmedia pour une violation du RGPD est susceptible d’être engagée en vertu de l’article 82 de ce règlement ou en vertu des dispositions nationales. Si la responsabilité pour une violation dudit règlement peut être engagée sur le fondement des dispositions nationales (de sorte que l’article 82, paragraphe 3, du même règlement ne s’appliquerait pas), il y a encore moins de raisons pour exclure l’entité concernée du bénéfice de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31.

186. Pour conclure, j’estime qu’un acteur impliqué dans le traitement de données à caractère personnel en tant que sous-traitant, dont la responsabilité peut être engagée pour une violation du RGPD, peut se prévaloir de l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31. Ma conclusion relative à l’articulation entre ces deux instruments du droit de l’Union n’est donc pas susceptible de modifier mes propositions de réponses aux questions préjudicielles.

V. Conclusion

187. Au vu de l’ensemble des considérations qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par la Curtea de Apel Cluj (cour d’appel de Cluj, Roumanie) de la manière suivante :

1) L’article 14, paragraphe 1, de la directive 2000/31/CE du Parlement européen et du Conseil, du 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique »)

doit être interprété en ce sens que

un prestataire d’un service de la société de l’information consistant à mettre à la disposition des utilisateurs une place de marché en ligne sur laquelle des annonces sont postées gratuitement ou contre rémunération peut bénéficier de l’exonération de responsabilité, prévue à cette disposition, également lorsqu’il indique, dans les termes et conditions d’utilisation de sa place de marché en ligne, que, s’il ne prétend pas à un droit de propriété sur ces matériels, il conserve toutefois le droit d’utiliser les matériels fournis, postés, téléchargés ou envoyés, y compris de les copier, de les distribuer, de les transmettre, de les publier, de les reproduire, de les modifier, de les traduire, de les céder à des partenaires et de les effacer à tout moment, sans même avoir besoin d’une raison pour le faire, à condition que ce prestataire ne prenne pas de mesures lui faisant perdre sa qualité d’hébergeur neutre.

2) L’article 5, paragraphe 1, sous f), l’article 6, paragraphe 1, sous a), et les articles 7, 24 et 25 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

doivent être interprétés en ce sens que

un prestataire de services de la société de l’information dont l’activité consiste à héberger sur un site Internet des annonces gratuites ou payantes à la demande de ses utilisateurs agit en qualité de sous-traitant en ce qui concerne les données à caractère personnel contenues dans les annonces postées sur sa place de marché en ligne. Dans ce cadre, il ne doit pas vérifier le contenu des annonces postées ou mettre en œuvre des mesures de sécurité de nature à empêcher ou à limiter la copie et la redistribution du contenu des annonces publiées par son intermédiaire. Il doit néanmoins mettre en œuvre des mesures organisationnelles et techniques appropriées pour assurer la sécurité du traitement vis-à-vis des tiers. En revanche, il agit en qualité de responsable du traitement en ce qui concerne les données à caractère personnel des utilisateurs annonceurs enregistrés sur son site Internet. Dans ce cadre, il doit vérifier l’identité de ces utilisateurs annonceurs.

1 Langue originale : le français.

2 Directive du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique ») (JO 2000, L 178, p. 1).

3 Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

4 Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

5 Directive du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications (JO 1998, L 24, p. 1).

6 Monitorul Oficial al României, partie I, n^o 483 du 5 juillet 2002.

7 Monitorul Oficial al României, partie I, n^o 403 du 10 mai 2006.

8 Bien que cette disposition ne soit pas reproduite dans la décision de renvoi, elle établit les moyens de défense pour la personne dont les droits non patrimoniaux ont été violés ou menacés. Une telle personne peut demander en justice, notamment, des dommages et intérêts ou, selon le cas, une réparation patrimoniale du préjudice qui lui a été causé si celui-ci est imputable à l’auteur du fait préjudiciable.

9 Les modalités d’application de la loi n^o 365/2002 ont été approuvées par l’Hotărârea Guvernului nr. 1.308/2002 (décision du gouvernement n^o 1 308) et constituent un acte administratif de nature réglementaire. L’article 11, paragraphe 1, de cette décision prévoit que « [l]es prestataires de services de la société de l’information qui fournissent les services visés aux articles 12 à 15 de [la loi n^o 365/2002] ne sont pas tenus de contrôler les informations qu’ils transmettent ou qu’ils stockent ni de rechercher activement des données relatives à des activités ou des informations apparemment illégales dans le domaine des services de la société de l’information qu’ils fournissent ».

10 Arrêt du 12 juillet 2011 (C‑324/09, ci-après l’« arrêt L’Oréal e.a. », EU:C:2011:474, point 116).

11 Voir arrêt L’Oréal e.a. (point 124).

12 Arrêt du 11 septembre 2014 (C‑291/13, EU:C:2014:2209, point 46).

13 Voir arrêt du 23 mars 2010, Google France et Google (C‑236/08 à C‑238/08, EU:C:2010:159, point 107).

14 Voir, en ce qui concerne les dispositions de transposition du droit de l’Union, Wilman, F., The Responsibility of Online Intermediaries for Illegal User Content in the EU and the US, Edward Elgar, Cheltenham-Northampton, 2020, p. 18, point 2.18. Voir également, en ce qui concerne le droit de l’Union en tant que tel, considérant 17 du règlement (UE) 2022/2065 du Parlement européen et du Conseil, du 19 octobre 2022, relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) (JO 2022, L 277, p. 1) et rectificatif (JO 2022, L 310, p. 17) (ci-après le « Digital Services Act »).

15 En effet, selon la juridiction de première instance, l’illicéité des agissements attribués à Russmedia résultait d’une violation du RGPD. De même, le débat entre les parties devant la juridiction de deuxième instance et la juridiction de renvoi porte sur la question de savoir si l’article 14, paragraphe 1, de la directive 2000/31 peut être invoqué pour exonérer un prestataire de sa responsabilité pour une violation de ce règlement. Voir point 28 des présentes conclusions.

16 Voir point 5 des présentes conclusions.

17 Voir point 29 des présentes conclusions.

18 Russmedia a ainsi soutenu que « son rôle dans la publication des annonces des utilisateurs est purement technique (mise à disposition de la plateforme) ».

19 Voir point 29 des présentes conclusions.

20 Voir arrêt du 23 mars 2010, Google France et Google (C‑236/08 à C‑238/08, EU:C:2010:159, points 112 et 113).

21 Voir arrêt L’Oréal e.a. (point 113).

22 Voir arrêt L’Oréal e.a. (point 115).

23 Cette disposition prévoit, en substance, qu’un tel prestataire ne peut pas avoir connaissance de l’activité ou de l’information illicites. Voir point 68 des présentes conclusions.

24 Voir, en ce sens, arrêt du 22 juin 2021, YouTube et Cyando (C‑682/18 et C‑683/18, ci-après l’« arrêt YouTube et Cyando », EU:C:2021:503, point 114).

25 Arrêt L’Oréal e.a. (point 116).

26 Arrêt du 11 septembre 2014, Papasavvas (C‑291/13, EU:C:2014:2209, point 45).

27 À titre d’illustration, ainsi que l’a observé la Commission lors de l’audience, une clause similaire figurait dans les termes et conditions d’utilisation de la plateforme de partage de vidéos en cause dans l’arrêt YouTube et Cyando (point 30). En outre, la Commission a indiqué, dans ses observations écrites, que les termes et conditions d’utilisation de la place de marché en ligne de Russmedia ne semblent pas substantiellement différents de ceux de l’exploitant de la plateforme en cause dans l’arrêt L’Oréal e.a.

28 Voir, en ce sens, arrêt L’Oréal e.a. (point 122) et arrêt YouTube et Cyando (point 115).

29 Voir, en ce sens, arrêt YouTube et Cyando (point 113).

30 Voir, en ce sens, arrêt YouTube et Cyando (points 111 et 112).

31 Voir, en ce sens, arrêt du 3 octobre 2019, Glawischnig-Piesczek (C‑18/18, EU:C:2019:821, point 42).

32 Point 108 de cet arrêt.

33 Directive du Parlement européen et du Conseil du 22 mai 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information (JO 2001, L 167, p. 10).

34 Voir arrêt du 14 juin 2017, Stichting Brein (C‑610/15, EU:C:2017:456, points 36, 45 et 48).

35 Voir point 76 des présentes conclusions.

36 Voir, en ce sens, mes conclusions dans les affaires Airbnb Ireland e.a. (C‑662/22 à C‑667/22, EU:C:2024:18, points 4 et 5).

37 Voir articles 5 à 7 et 10 de la directive 2000/31.

38 Voir, à titre d’illustration, article 5 du règlement (UE) 2021/784 du Parlement européen et du Conseil, du 29 avril 2021, relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne (JO 2021, L 172, p. 79) ainsi que article 28 ter de la directive 2010/13/UE du Parlement européen et du Conseil, du 10 mars 2010, visant à la coordination de certaines dispositions législatives, réglementaires et administratives des États membres relatives à la fourniture de services de médias audiovisuels (directive « Services de médias audiovisuels ») (JO 2010, L 95, p. 1 et rectificatif JO 2010, L 263, p. 15), telle que modifiée par la directive (UE) 2018/1808 du Parlement européen et du Conseil, du 14 novembre 2018 (JO 2018, L 303, p. 69).

39 Voir article 35, paragraphe 1, sous c), du Digital Services Act.

40 Voir point 83 des présentes conclusions.

41 Voir, en ce sens, arrêt YouTube et Cyando (point 113).

42 Voir, en ce sens, arrêt du 3 octobre 2019, Glawischnig-Piesczek (C‑18/18, EU:C:2019:821, point 44).

43 Voir article 5, paragraphe 2, du RGPD.

44 Voir arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, point 36).

45 Voir, en ce sens, arrêt du 11 janvier 2024, État belge (Données traitées par un journal officiel) (C‑231/22, EU:C:2024:7, point 31).

46 Voir arrêts du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, point 37), et du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, point 32), qui laissent entendre que la personne qui joue un rôle actif dans la détermination du cercle des personnes dont les données seront traitées et décide quelles données seront traitées est un responsable du traitement.

47 Voir, en ce sens, arrêt du 11 janvier 2024, État belge (Données traitées par un journal officiel) (C‑231/22, EU:C:2024:7, point 33), qui laisse à penser qu’un choix des chaînes de communication à l’aide desquelles les données peuvent être consultées par les tiers revient à déterminer les moyens du traitement.

48 Voir, en ce sens, arrêts du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, point 77), et du 11 janvier 2024, État belge (Données traitées par un journal officiel) (C‑231/22, EU:C:2024:7, point 33).

49 Voir, en ce sens, van der Sloot, B., « Welcome to the Jungle: The Liability of Internet Intermediaries for Privacy Violations in Europe », Jipitec, vol. 6, n^o 3, 2015, p. 217.

50 Voir, sur cette problématique, Helberger, N., et van Hoboken, J., « Little Brother Is Tagging You – Legal and Policy Implications of Amateur Data Controllers », Computer Law International (CRi), n^o 4, 2010, p. 101 et suiv., ainsi que Finck, M., « Cobwebs of Control: The Two Imaginations of the Data Controller in EU Law », International Data Privacy Law, vol. 11, n^o 4, 2021, p. 338 à 341.

51 Voir, en ce sens, arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, point 74).

52 Avec l’entrée en vigueur du RGPD, ce groupe de travail a été remplacé par le Comité européen de la protection des données (voir article 68 et article 94, paragraphe 2, de ce règlement).

53 Consultable à l’adresse Internet suivante : https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_fr.pdf, p. 27.

54 Consultable à l’adresse suivante : https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_fr.pdf, point 40.

55 Voir point 102 des présentes conclusions.

56 Voir, en ce sens, arrêt du 25 janvier 2024, MediaMarktSaturn (C‑687/21, EU:C:2024:72).

57 Voir, en ce sens, arrêt du 21 décembre 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, point 68).

58 Voir point 93 des présentes conclusions.

59 Voir point 111 des présentes conclusions.

60 Voir, en ce sens, arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:986, point 30).

61 Voir point 99 des présentes conclusions.

62 Voir, sur cette problématique, point 115 des présentes conclusions.

63 Voir point 137 des présentes conclusions.

64 Voir point 120 des présentes conclusions.

65 Voir, en ce sens Keller, D., « The Right Tools: Europe’s Intermediary Liability Laws and the EU 2016 General Data Protection Regulation », Berkeley Technology Law Journal, vol. 33, n^o 1, 2018, p. 373.

66 Voir arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317).

67 Voir arrêt du 23 mars 2010, Google France et Google (C‑236/08 à C‑238/08, EU:C:2010:159, points 106 à 120).

68 Voir arrêt du 23 mars 2010, Google France et Google (C‑236/08 à C‑238/08, EU:C:2010:159, points 114 à 119).

69 Voir point 49 des présentes conclusions.

70 Voir points 113 à 115 des présentes conclusions.

71 Voir point 148 des présentes conclusions.

72 Voir, sur cette qualification juridique, point 120 des présentes conclusions.

73 Voir article 89 du Digital Services Act.

74 Italique ajouté par mes soins.

75 Voir, en ce sens, arrêt YouTube et Cyando (point 115).

76 Selon certains auteurs de la doctrine, l’exonération de responsabilité prévue à l’article 14, paragraphe 1, de la directive 2000/31 s’applique de manière cumulative avec le RGPD. Voir, en ce sens, Keller, D., « The Right Tools: Europe’s Intermediary Liability Laws and the EU 2016 General Data Protection Regulation », Berkeley Technology Law Journal, vol. 33, n^o 1, 2018, p. 371, et Sartor, G., « Providers’ Liabilities in the New EU Data Protection Regulation: A Threat to Internet Freedoms? », International Data Privacy Law, vol. 3, n^o 1, 2013, p. 5 et 8. D’autres auteurs sont d’avis que ces deux régimes ne se chevauchent pas. Voir, en ce sens, Riordan, J., The Liability of Internet Intermediaries, Oxford University Press, Oxford, p. 383 et 384.

77 Voir point 157 des présentes conclusions.

78 Voir point 120 des présentes conclusions.

79 Voir, en ce sens, arrêt du 28 avril 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, point 78).

80 Voir, en ce sens, arrêt du 4 octobre 2024, Lindenapotheke (C‑21/23, EU:C:2024:846, point 60).

81 Aux termes de l’article 94, paragraphe 2, du RGPD, les références faites à la directive 95/46 s’entendent comme faites à ce règlement.

82 Directive du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37). Les références faites par le droit de l’Union à la directive 97/66 s’entendent, en vertu de l’article 19 de la directive 2002/58, comme étant faites à cette dernière directive.

83 Arrêt du 29 janvier 2008 (C‑275/06, EU:C:2008:54, points 41 et 56).

84 Voir, en ce sens, arrêt du 29 janvier 2008, Promusicae (C‑275/06, EU:C:2008:54, point 57).

85 Arrêt du 6 octobre 2020 (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 193).

86 Voir, en ce sens, arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 194).

87 Voir arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 212).

88 Voir arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 200).

89 Voir, également, considérant 21 du RGPD.

90 Voir point 176 des présentes conclusions.

91 Voir point 178 des présentes conclusions.

92 Voir arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:986, point 72).

93 Voir, en ce sens, arrêt du 21 décembre 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, point 94).

94 Voir, en ce sens, arrêt du 4 octobre 2024, Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827, point 163).

95 Voir point 126 des présentes conclusions.