1) L'article 5, paragraphe 2, ainsi que les articles 24 à 26 du [RGPD] doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne est coresponsable d u traitement, au sens de l'article 4, point 7, de ce règlement, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne.

2) Il est à ce titre tenu, avant la p ublication des annonces et au moyen de mesures techniques et organisationnelles appropriées:

a) d'identifier les annonces qui contiennent des données sensibles, au sens de l'article 9, paragraphe 1, dudit règlement,

b) de vérifier si l'utilisateur annonce ur s'apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce,

c) si tel n'est pas le cas, de refuser la publication de ladite annonce, à moins que cet utilisateur annonceur ne puisse démontrer que la pe rsonne concernée a donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché en ligne, au sens de cet article 9, paragraphe 2, sous a), ou que l'une des autres exceptions prévues audit article 9, paragraphe 2, sous b) à j), est remplie.

3 ) L'article 32 du [RGPD] doit être interprété en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans des annonces publiées sur sa p lace de marché en ligne, est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d'empêcher que des annonces y étant publiées et contenant des données sensibles soient copiées et illicitement publiées sur d'aut res sites Internet.

4 ) L'article 1, paragraphe 5, sous b), de la directive 2000/31/CE sur le commerce électronique, et l'article 2, paragraphe 4, du RGPD doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne, en tant qu e responsable du traitement, au sens de l'article 4, point 7, du RGPD, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, ne peut pas se prévaloir, à l'égard d'une violation des obligations découlant de l'article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement, des articles 12 à 15 de cette directive, relatifs à la responsabilité des prestataires intermédiaires.

En cas de responsabilité conjointe, l'article 26 du RGPD oblige les responsables de traitement conjoints à s'assurer, par le biais d'un accord, qu'ils respectent mutuellement le RGPD et notamment qu'ils organisent entre eux la meilleure façon de répondre aux droits des personnes concernées, en fonction de la nature du traitement et de leur responsabilité respective vis-à-vis de ce traitement. En l'espèce, le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revenait aux partenaires de la société mise en cause n'exonérait pas cette dernière de son obligation, en application de l'article 7 du RGPD, d'être en mesure de démontrer que la personne concernée** avait donné son consentement et de procéder à certaines vérifications à cette fin. En effet, la seule clause issue de conditions générales d'utilisation aux termes desquelles la société exigeait de ses partenaires, « lorsque la loi le prévoit », que la politique de confidentialité de leur site inclue « des mentions et des mécanismes de choix conformes aux lois et réglementations applicables » ne permettait pas de garantir l'existence d'un consentement valide et il convenait à tout le moins qu'elle soit complétée pour préciser que l'organisme qui recueille le consentement doit mettre à disposition de l'autre partie la preuve du consentement.