Actualités Publications

Quand la violation du RGPD devient une arme anti concurrentielle…

Par un arrêt en date du 4 octobre 2024, la Cour de justice de l’Union européenne (ci-après la « CJUE ») a affirmé que les dispositions du RGPD ne s’opposent pas à ce qu’une réglementation nationale permette à des concurrents d’agir sur le fondement de la concurrence déloyale aux motifs de la violation du RGPD […]
Votre image

Par un arrêt en date du 4 octobre 2024, la Cour de justice de l’Union européenne (ci-après la « CJUE ») a affirmé que les dispositions du RGPD ne s’opposent pas à ce qu’une réglementation nationale permette à des concurrents d’agir sur le fondement de la concurrence déloyale aux motifs de la violation du RGPD par cette entreprise.

La Cour de justice de l’Union européenne (ci-après la « CJUE ») a rendu en date du 4 octobre 2024 un arrêt[1] précisant l’articulation des règles en matière de protection des données à caractère personnel avec la réglementation nationale applicable en matière de concurrence déloyale.

En l’espèce, un pharmacien allemand commercialisait, via la plateforme Amazon-Marketplace (ci-après « Amazon »), des médicaments dont la vente est strictement réservée aux pharmacies. Lors de la commande en ligne de ces médicaments, les clients du pharmacien allemand devaient fournir diverses informations personnelles telles que leur nom, l’adresse de livraison et éléments nécessaires à l’individualisation desdits médicaments.

Un pharmacien concurrent a saisi les juridictions allemandes d’un recours tendant à ce qu’il soit enjoint au premier pharmacien de cesser, sous peine d’astreinte, de commercialiser sur Amazon ces médicaments dont la vente est réservée aux pharmacies tant qu’il n’est pas garanti que les clients puissent donner leur consentement préalable au traitement de leurs données de santé. A l’appui de son recours, le pharmacien concurrent fait valoir que la commercialisation sur Amazon de médicaments dont la vente est réservée aux pharmacies était déloyale, en raison de la méconnaissance des exigences légales imposées par le Règlement général à la protection des données (ci-après le « RGPD »), en particulier les dispositions de l’article 9 du RGPD.

En l’occurrence, le tribunal allemand saisi du litige a donné raison au plaignant. Cette décision ayant été confirmée en appel, le pharmacien incriminé a porté l’affaire devant la Cour fédérale de justice allemande (Bundesgerichtshof).

C’est dans ce contexte que la Cour fédérale de justice a décidé de surseoir à statuer et de poser à la CJUE les deux questions préjudicielles suivantes :

  1. En premier lieu, elle s’interroge sur le point de savoir si une entreprise concurrente dispose de la qualité pour faire cesser, au moyen d’un recours devant une juridiction civile, des violations des dispositions du RGPD commises par cette entreprise, sur le fondement des pratiques commerciales déloyales ;
  2. En second lieu, elle s’interroge sur le point de savoir si les données que les clients doivent saisir lors de la commande en ligne de médicaments constituent des données de santé au sens de l’article 9 du RGPD.

Sur la première question, la CJUE rappelle à titre liminaire qu’en cas de violation des dispositions du RGPD, des voies de recours sont ouvertes, soit directement à la personne concernée, soit à une entité habilitée (Article 77 RGPD[2]).

Dans ce litige, la question était donc de savoir si un pharmacien concurrent – qui n’est pas une personne concernée ou une entité habilitée au sens du RGPD – dispose de la qualité à agir en invoquant une telle violation des dispositions du RGPD sur le fondement des pratiques commerciales déloyales.

A cet égard, la CJUE a notamment relevé :

  • Que les dispositions du RGPD ouvrent expressément la possibilité pour les Etats membres de prévoir des règles nationales supplémentaires, plus strictes ou dérogatoires (Consid. 57) ;
  • Que les dispositions du RGPD n’excluent d’ailleurs pas la possibilité de recours pour les concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel (Consid. 60) ;
  • Que la possibilité pour le concurrent d’une entreprise d’introduire un recours devant les juridictions civiles sur le fondement des pratiques commerciales déloyales afin de faire cesser une violation des dispositions du RGPD, ne porte pas atteinte à ces objectifs mais est, au contraire, de nature à renforcer l’effet utile de ces dispositions et ainsi garantir un niveau élevé de protection des personnes concernées à l’égard du traitement de leurs données à caractère personnel (Consid. 62) ;
  • Que la possibilité pour le concurrent d’introduire une telle action s’ajoute aux voies de recours instituées par le RGPD qui sont à ce titre pleinement préservées (Consid. 66).

Compte tenu de ces considérations, la CJUE en a conclu que les dispositions du RGPD « ne s’opposent pas à une réglementation nationale qui, parallèlement aux pouvoirs d’intervention des autorités de contrôle chargées de surveiller et de faire appliquer ce règlement ainsi qu’aux possibilités de recours des personnes concernées, confère aux concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel la qualité pour agir contre celui-ci au moyen d’un recours devant les juridictions civiles, en raison de violations dudit règlement et sur le fondement de l’interdiction des pratiques commerciales déloyales » (Consid. 73).

Concernant la seconde question préjudicielle, la juridiction de renvoi s’interrogeait en substance sur le point de savoir si le fait que les médicaments commandés sur le site d’Amazon ne soient pas soumis à prescription médicale et donc susceptibles d’être destinés, non pas à l’acheteur mais à des personnes tierces, est pertinent pour déterminer si les données saisies par l’acheteur lors de la commande sont des données de santé.

La CJUE rappelle d’abord que lorsque les données sur les achats des médicaments permettent de tirer des conclusions sur l’état de santé d’une personne identifiée ou identifiable, elles doivent être considérées comme des données de santé au sens du RGPD (Consid. 78) et qu’il suffit d’ailleurs qu’elles soient de nature à révéler, par une opération de rapprochement ou de déduction, des informations sur l’état de santé de la personne concernée (Consid. 83). La CJUE souligne en outre que, compte tenu des risques importants pour les libertés et droits fondamentaux des personnes concernées, la notion de données de santé devait être interprétée de façon large.

S’agissant plus particulièrement de la commercialisation de médicaments non soumis à prescription médicale par le biais d’une plateforme de vente en ligne, la CJUE a considéré que le traitement de données par l’exploitant d’une pharmacie qui vend ces médicaments par le biais de cette plateforme en ligne doit être considéré comme un traitement portant sur des données de santé dès lors que ce traitement de données est de nature à révéler des informations sur l’état de santé d’une personne physique, que ces informations concernent le client qui passe commande ou toute autre personne pour laquelle celui-ci effectue la commande (Consid. 88).

LA CJUE insistant sur le fait qu’il ne saurait en effet être exclu, même dans l’hypothèse où de tels médicaments sont destinés à des personnes autres que les clients, qu’il soit possible d’identifier ces personnes et de tirer des conclusions sur leur état de santé. Par exemple, lorsque les médicaments en question sont livrés non pas au domicile du client les ayant commandés mais au domicile d’une autre personne, ou lorsque, indépendamment de l’adresse de livraison, le client s’est référé, dans sa commande ou dans ses communications relatives à celle-ci, à une autre personne identifiable, telle qu’un membre de sa famille (Consid. 91).

En conclusion, la CJUE considère que «  dans la situation où l’exploitant d’une pharmacie commercialise, par le biais d’une plate-forme en ligne, des médicaments dont la vente est réservée aux pharmacies, les informations que les clients de cet exploitant saisissent lors de la commande en ligne des médicaments, telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments, constituent des données concernant la santé, au sens de ces dispositions, même lorsque la vente de ces médicaments n’est pas soumise à prescription médicale ».

Cet arrêt illustre la nécessité pour les entreprises qui traitent des données à caractère personnel et particulièrement des données de santé, de mettre en oeuvre un processus de protection de ces données et de respecter les obligations s’y rapportant (consentement de la personne concernée, informations sur le traitement…). A défaut de respecter ces obligations et de manière générales les dispositions du RGPD, les actions et les sanctions peuvent être multiples et à l’initiative de différents acteurs (personne concernée, CNIL, concurrents).


[1] CJUE aff 4 octobre 2024 C 21/23

[2] Article 77 RGPD « 1. Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement »

Restez informé(e) avec nos actualités IP IT !

Découvrez aussi nos 9 dernières publications

Recherchez dans nos publications :

To top