
Article IT et données personnelles Droit européen Droit de la concurrence, consommation et distribution | 21/10/24 | 15 min. | Florence Chafiol Alexandra Berg-Moussa Maëva Ammel Alexandra Antalis
Par un arrêt en date du 4 octobre 2024[1], la Cour de justice de l’Union européenne (« CJUE ») a affirmé que les dispositions du RGPD ne s’opposent pas à ce qu’une réglementation nationale (en l’occurrence allemande) permette à des concurrents d’une entreprise ayant violé le RGPD, d’intenter une action de justice contre ladite entreprise devant les juridictions civiles, en se fondant sur l’interdiction des pratiques commerciales déloyales.
Résumé des faits
Le litige oppose deux pharmaciens allemands. L’un d’eux vend des médicaments réservés aux pharmacies via la plateforme en ligne Amazon-Marketplace. Lors de la commande en ligne, les clients doivent communiquer des données à caractère personnel telles que le nom ou l’adresse de livraison mais également des éléments nécessaires à l’individualisation des médicaments.
L’un de ses concurrents, se prévalant de l'article 3 de la loi allemande contre la concurrence déloyale (« UWG ») saisit le tribunal compétent d'une demande visant à ce qu'il soit enjoint au premier pharmacien de cesser la vente de médicaments via la plateforme, au motif qu'il ne peut pas être garanti que les clients ont préalablement consenti au traitement de leurs données à caractère personnel relatives à leur santé (il s’agirait alors d’un manquement à l’article 9 du RGPD). En effet, l’article 3 de l’UWG dispose qu'est déloyal un acte « qui enfreint une disposition légale destinée, notamment, à réglementer le comportement sur le marché dans l'intérêt de ses acteurs dès lors que cette infraction est susceptible d'affecter sensiblement les intérêts des consommateurs, des autres acteurs du marché ou des concurrents ».
Le tribunal de première instance fait droit à la demande du concurrent. Le défendeur interjette appel devant un tribunal régional supérieur allemand qui confirme le jugement de première instance. Il introduit alors un recours en révision devant la Cour fédérale de justice allemande.
Premièrement, la Cour fédérale de justice allemande souligne que les dispositions du chapitre VIII du RGPD ne mentionnent pas « la possibilité pour les concurrents d'une entreprise d'introduire une action contre celle-ci, en particulier lorsque la violation de la législation sur la protection des données est constitutive de pratiques commerciales déloyales ». Elle se demande donc si le pharmacien concurrent a la qualité pour agir.
Deuxièmement, elle cherche à savoir si les informations saisies lors des achats en ligne de médicaments dont la vente est réservée aux pharmaciens, constituent des données concernant la santé au sens de l’article 9, paragraphe 1 du RGPD, alors que certains médicaments ne seraient pas soumis à une prescription médicale.
Dans ce contexte, la Cour fédérale de justice allemande a interrogé la CJUE.
Appréciation de la CJUE
Concernant la première question préjudicielle. En principe, lorsqu’un traitement de données à caractère personnel constitue une violation des dispositions du RGPD, seules (i) les personnes concernées[2] et (ii) les organisations et associations à but non lucratif[3] qui représentent ces personnes concernées peuvent introduire une réclamation auprès d’une autorité de contrôle[4], une action en justice contre le responsable du traitement et/ou le sous-traitant[5] et, le cas échéant, former un recours juridictionnel effectif contre une décision prise par une autorité de contrôle qui affecte les personnes concernées[6]. Le RGPD précise toutefois que ces recours s’entendent « sans préjudice » de tout autre recours administratif, juridictionnel ou extrajudiciaire.
La CJUE indique qu’en l’espèce, le recours a été introduit par un concurrent du pharmacien sur le fondement de l’interdiction des pratiques commerciales déloyales, en raison de violations des dispositions du RGPD qu’aurait commises ledit pharmacien. Dès lors, le recours n’a pas pour objectif de protéger les libertés et les droits fondamentaux des personnes concernées à l’égard du traitement de leurs données à caractère personnel mais vise à assurer une concurrence loyale.
Or, bien le chapitre VIII du RGPD ne mentionne pas expressément cette possibilité, il n’exclut pas non plus qu’un concurrent puisse engager une action pour pratiques commerciales déloyales, fondée sur une violation des dispositions du RGPD. Cette omission s’explique par le fait que la protection des données à caractère personnel garantie par le RGPD est exclusivement destinée aux personnes concernées.
Dès lors, la Cour considère que le législateur (i) n’a pas entendu procéder à une harmonisation exhaustive des voies de recours ouvertes en cas de violation des dispositions du RGPD et (ii) n’a pas souhaité exclure un recours sur le fondement de l’interdiction des pratiques commerciales déloyales.
Ainsi, une action en cessation introduite par un concurrent contre une entreprise sur le fondement de l’interdiction des pratiques commerciales déloyales, en raison de la violation des dispositions du RGPD, ne porte nullement préjudice (i) au système des voies de recours prévu au chapitre VIII du RGPD (puisqu’elles sont pleinement préservées et qu’elles peuvent toujours être exercées par les personnes concernées), (ii) ni à l’objectif d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union européenne et d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur.
La CJUE rappelle que l’accès aux données à caractère personnel et la possibilité de traiter ces données sont devenus des paramètres significatifs de concurrence dans l’économie numérique. Elle considère également que la coexistence de voies de recours qui relèvent du droit de la protection des données et du droit de la concurrence ne crée pas de risque pour l’application uniforme du RGPD. Au contraire, une action en cessation introduite par un concurrent contribue incontestablement au respect des dispositions du RGPD et, donc, à renforcer les droits des personnes concernées et à leur assurer un niveau élevé de protection.
La CJUE en conclut que les dispositions du chapitre VIII du RGPD doivent être interprétées en ce sens qu’elles ne s’opposent pas à une réglementation nationale qui, parallèlement (i) aux pouvoirs d’intervention des autorités de contrôle chargées de surveiller et de faire appliquer le RGPD ainsi qu’(ii) aux possibilités de recours des personnes concernées, confère aux concurrents de l’auteur présumé d’une violation du RGPD la qualité pour agir contre celui-ci au moyen d’un recours devant les juridictions civiles, sur le fondement de l’interdiction des pratiques commerciales déloyales.
En France, la Cour de cassation a déjà considéré que le non-respect d’une règlementation dans le cadre de l’exercice d’une activité commerciale était susceptible de constituer un acte de concurrence déloyale, en ce qu’il induisait nécessairement un avantage concurrentiel indu pour son auteur (le respect d’une réglementation ayant nécessairement un coût, ce dernier s’épargne notamment une dépense en principe obligatoire)[7]. Plusieurs juridictions avaient suivi le raisonnement de la Cour de cassation en présence de manquements au RGPD. Le tribunal judiciaire de Paris tout d’abord puis la Cour d’appel de Paris, considérant tous deux qu’une entreprise qui commercialise des produits sur un site ou une plateforme de vente en ligne tout en ne respectant pas les règles applicables en matière de protection des données, bénéficie d’un avantage concurrentiel indu et se rend coupable d’actes de concurrence déloyale au préjudice de son concurrent[8].
L'arrêt de la CJUE vient donc confirmer la position des juridictions françaises.
Concernant la seconde question préjudicielle. La CJUE rappelle que les données à caractère personnel qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur d’une personne physique, y compris des données relatives à la prestation à cette personne de services de soins de santé, sont des données concernant la santé au sens l’article 9, paragraphe 1 du RGPD.
Elle procède à une interprétation large de la notion de « données concernant la santé » qui vise à assurer un niveau élevé de protection, conformément à l’objectif du RGPD. Ainsi, pour que des données à caractère personnel puissent être qualifiées de données concernant la santé, il suffit qu’elles soient de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé de la personne concernée.
Ainsi, les données qu’un client saisit sur une plateforme de vente en ligne lors de la commande de médicaments dont la vente est réservée aux pharmacies sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé de la personne concernée dans la mesure où cette commande implique l’établissement d’un lien entre (i) un médicament, ses indications thérapeutiques ou ses utilisations, et (ii) une personne physique identifiée ou identifiable par des éléments tels que le nom de cette personne ou l’adresse de livraison.
Concernant plus particulièrement la vente de médicaments qui n’est pas soumise à prescription médicale (dans un tel cas les médicaments pourraient être destinés non pas au client qui procède à la commande mais à des personnes tierces) par le biais d’une plateforme de vente en ligne, la CJUE considère que les informations que les clients saisissent lors de la commande constituent des données concernant la santé même si c’est seulement avec une certaine probabilité, et non avec une certitude absolue, que ces médicaments sont véritablement destinés à ces clients.
La CJUE précise que même dans l’hypothèse où de tels médicaments sont destinés à des personnes autres que les clients, il n’est pas exclu que l’identification de ces personnes soit possible (exemple : si les médicaments ne sont pas livrés chez le client mais au domicile de la personne).
La CJUE vient renforcer le cadre juridique applicable en matière de données de santé. Elle conclut que l’article 9, paragraphe 1, du RGPD doivent être interprétés en ce sens que, dans la situation où l’exploitant d’une pharmacie commercialise, par le biais d’une plateforme de vente en ligne, des médicaments dont la vente est réservée aux pharmacies, les informations que les clients de cet exploitant saisissent lors de la commande en ligne des médicaments, telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments, constituent des données concernant la santé, au sens de ces dispositions, même lorsque la vente de ces médicaments n’est pas soumise à prescription médicale. En effet, opérer une distinction en fonction du type des médicaments et du fait que leur vente soit ou non soumise à prescription médicale serait contraire à l’objectif de protection élevée des droits et libertés fondamentaux poursuivi par le RGPD.
Ainsi, de telles données peuvent faire l’objet d’un traitement si l’une des conditions énoncées à l’article 9, paragraphe 2 du RGPD s’applique. En l’occurrence, la CJUE considère que deux conditions peuvent être remplies (i) la personne concernée a donné son consentement explicite au traitement[9] ou (ii) le traitement est nécessaire aux fins de la prise en charge sanitaire sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé[10]/[11].
Dès lors, alors même que la CJUE considère que le pharmacien concurrent a la qualité pour agir sur le fondement de l’interdiction des pratiques commerciales déloyales, il est peu probable que la Cour fédérale de justice allemande retienne l’existence d’un manquement à l’article 9 du RGPD puisque la CJUE semble considérer que le pharmacien a la possibilité de traiter des données concernant la santé des utilisateurs sans leur demander leur consentement préalable. /.
[1] CJUE, gde ch., 4 oct. 2024, aff. C. 21/23, Lindenapotheke.
[2] Article 77 à 79 du RGPD.
[3] Article 80 du RGPD.
[4] Article 77 du RGPD.
[5] Article 79 du RGPD.
[6] Article 78 du RGPD.
[7] Cass. Com. 12 février 2020, n°17-31.614 et Cass. com. 17 mars 2021, n°19-10.414.
[8] Tribunal judiciaire de Paris, 15 avril 2022, n°19/12628 Cour d'appel de Paris, 9 novembre 2022, n°21/00180.
[9] Article 9, paragraphe 2, point a) du RGPD.
[10] Article 9, paragraphe 2, point h) du RGPD.
[11] En France, les pharmaciens (en officine ou en milieu hospitalier) sont considérés comme des professionnel de santé (articles L4211-1 à L4252-3 du code de la santé publique).