La CJUE met fin à l'« hébergeur passif » : les plateformes à tri algorithmique sont responsables

19/6/26
👈 les autres actualités

La Cour de justice de l'Union européenne vient de refermer une porte que les plateformes en ligne croyaient grande ouverte depuis vingt ans. En jugeant qu'un service qui trie, hiérarchise et met en avant les contenus de ses utilisateurs ne peut plus se réfugier derrière le statut d'« hébergeur passif », la CJUE rappelle une évidence trop longtemps contournée : à partir du moment où un algorithme décide de ce que l'on voit, la plateforme en assume la responsabilité.

Ce qui s'est passé

Saisie d'un litige impliquant notamment l'application d'aide à la conduite Coyote, la CJUE a écarté l'argument central de la défense : la directive e-commerce de 2000 exonère l'intermédiaire technique tant qu'il se contente de stocker des informations fournies par des tiers, sans en avoir connaissance ni jouer de rôle actif. Coyote plaidait précisément ce rôle purement passif, affirmant ne faire que relayer les signalements de sa communauté.

Les juges ont analysé le fonctionnement réel du service plutôt que sa qualification revendiquée. Le tri algorithmique, la sélection et la mise en forme des contenus signalés caractérisent, selon la Cour, une intervention active qui prive la plateforme de l'exonération de responsabilité d'hébergeur. La décision précise par ailleurs que les États membres conservent la faculté de prendre des mesures restrictives pour des motifs d'ordre et de sécurité publics, sans heurter le principe du pays d'origine. L'affaire mêlait plusieurs acteurs — Coyote, WebGroup Czech Republic, NKL Associates — et avait remonté jusqu'au Conseil d'État français.

Pourquoi c'est important

L'arrêt confirme un mouvement de fond que notre veille documente depuis des mois : la convergence entre la régulation des plateformes (DSA), l'AI Act et le RGPD. La logique est partout la même — dès qu'un système automatisé oriente l'expérience des utilisateurs, le droit refuse la neutralité de façade. C'est exactement le raisonnement qu'avait suivi l'Arcom dans son projet stratégique 2026-2028 sur la régulation des plateformes, et celui que la Commission applique dans son offensive DSA contre Meta sur la protection des mineurs.

Pour les DPO et RSSI, l'enseignement dépasse le cas des réseaux sociaux. Le tri algorithmique est partout : moteur de recommandation interne, classement de tickets, scoring de candidats, priorisation de contenus dans un intranet. Chaque fois qu'un traitement automatisé hiérarchise de l'information, la question de la responsabilité — et donc de la documentation RGPD associée — se pose. Cette exigence rejoint les obligations de vérification, par exemple en matière de vérification d'âge sous l'angle DSA, où l'auto-déclaration ne suffit plus.

Ce que ça change pour les organisations

Concrètement, trois réflexes s'imposent. D'abord, cartographier les traitements qui reposent sur un tri ou une recommandation algorithmique, y compris ceux opérés par des outils SaaS tiers : la frontière entre « simple hébergeur » et « acteur actif » se déplace, et elle vous concerne dès lors que vous configurez ou paramétrez l'algorithme. Notre guide RGPD et SaaS aide à clarifier les responsabilités respectives entre éditeur et utilisateur.

Ensuite, documenter la logique de tri dans le registre et, le cas échéant, dans une analyse d'impact (AIPD), notamment lorsque le classement touche des personnes (candidats, salariés, clients). Enfin, surveiller la fragmentation juridique : la Cour valide les mesures nationales d'ordre public, ce qui annonce un paysage moins uniforme que le marché unique numérique ne le laissait espérer — une tension déjà visible dans le débat sur le Digital Omnibus et la simplification du RGPD.

Ce que Leto pense de cette décision

Cet arrêt n'invente rien : il acte ce que tout le monde savait déjà. L'« hébergeur passif » n'a jamais été qu'une fiction commode pour des entreprises dont le cœur de métier est précisément de décider ce qui mérite d'être vu. En refusant cette fiction, la CJUE aligne enfin le droit sur la réalité technique. Pour les organisations, le message est limpide : un algorithme n'est pas un alibi. Si vous le paramétrez, vous en répondez. Mieux vaut le documenter aujourd'hui que le découvrir lors d'un contentieux.

Sources : Silicon.fr — La CJUE consacre la responsabilité des sites sur les contenus triés par algorithme · Génération-NT — La justice européenne met un coup d'arrêt à Coyote

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026