FYTT #CJUE Arrêt du 4 octobre 2024 │ Grande Chambre │ C-21/23 │ Notion de données de santé│ Lindenapotheke │ Actions en concurrence déloyale sur la base du RGPD │

Cour de Justice de l'Union Européenne

Arrêt du 4 octobre 2024 │ Grande Chambre │ C-21/23 │ Notion de données de santé│ Lindenapotheke

│ Actions en concurrence déloyale fondées sur le RGPD │

La CJUE confirme la compatibilité d’une action ouverte à un concurrent, sur le terrain de la concurrence déloyale, pour faire sanctionner la violation des obligations définies par le RGPD, à condition que cette action ne nuise pas à la cohérence du système de supervision et de recours prévu dans le règlement.

Les dispositions du chapitre VIII du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doivent être interprétées en ce sens que elles ne s’opposent pas à une réglementation nationale qui, parallèlement aux pouvoirs d’intervention des autorités de contrôle chargées de surveiller et de faire appliquer ce règlement ainsi qu’aux possibilités de recours des personnes concernées, confère aux concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel la qualité pour agir contre celui-ci au moyen d’un recours devant les juridictions civiles, en raison de violations dudit règlement et sur le fondement de l’interdiction des pratiques commerciales déloyales.

Les données relatives à la simple commande d’un médicament non soumis à prescription constituent des « données concernant la santé » soumises au consentement des personnes concernées sauf si, après une opération intellectuelle de rapprochement ou de déduction, ces données ne peuvent assurément pas révéler l’état de santé d’une personne.

L’article 8, paragraphe 1, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et l’article 9, paragraphe 1, du règlement 2016/679, doivent être interprétés en ce sens que dans la situation où l’exploitant d’une pharmacie commercialise, par le biais d’une plate-forme en ligne, des médicaments dont la vente est réservée aux pharmacies, les informations que les clients de cet exploitant saisissent lors de la commande en ligne des médicaments, telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments, constituent des données concernant la santé, au sens de ces dispositions, même lorsque la vente de ces médicaments n’est pas soumise à prescription médicale.



CJUE Arrêt du 4 octobre 2024 │ Grande Chambre │ C-21/23 │ Notion de données de santé│ Lindenapotheke | │ Actions en concurrence déloyale sur la base du RGPD │

 


Deux pharmaciens (ND et DR) exploitent chacun une pharmacie en Allemagne. ND vend certains médicaments – dont la vente est réservée aux pharmacies – sur la plateforme « Amazon-Marketplace ». DR, qui est un concurrent, engage contre ND une action en cessation fondée sur la loi allemande contre la concurrence déloyale, au motif que la vente de ces médicaments via Amazon entraînerait un traitement illicite de données à caractère personnel, contraires aux règles du Règlement général sur la protection des données (« RGPD »). DR soutient que le fait de manier ces données relatives aux commandes de médicaments (nom, adresse, etc.) sans consentement explicite ou autre base légale adaptée constitue, pour ND, une pratique commerciale déloyale.

Problématique principale : articulation du RGPD avec le droit national de la concurrence déloyale

Le RGPD (articles 77 à 80) prévoit un certain nombre de voies de droit ou recours :
– Réclamation des personnes concernées auprès des autorités de contrôle (art. 77)
– Recours juridictionnel contre ces autorités (art. 78)
– Recours juridictionnel contre un responsable de traitement ou un sous-traitant (art. 79)
– Représentation des personnes concernées par des organismes ou associations (art. 80)

Ces dispositions visent principalement à protéger les droits des personnes directement concernées par le traitement de leurs données. Le texte ne mentionne pas, explicitement, la faculté pour un concurrent d’agir en justice pour faire sanctionner des violations du RGPD. D’où la question : ces dispositions instaurent-elles un mécanisme exhaustif – excluant toute action du concurrent au titre du droit national – ou n’empêchent-elles pas, au contraire, l’existence d’une action parallèle fondée sur la concurrence déloyale ?

Position de la juridiction de renvoi et d’autres juridictions allemandes

En Allemagne, deux tendances doctrinales et jurisprudentielles s’opposaient :
– Certains tribunaux considéraient que le RGPD avait « harmonisé de manière complète » les voies de recours, empêchant ainsi l’action d’un concurrent fondée sur la concurrence déloyale.
– D’autres (dont la juridiction de renvoi) estimaient que le RGPD n’empêche pas l’application parallèle des règles nationales visant à sanctionner la « pratique commerciale déloyale » pour cause de méconnaissance du droit de la protection des données.

La CJUE devait donc clarifier l’articulation entre ces deux régimes – RGPD et droit national de la concurrence déloyale – et dire si l’action en cessation d’un concurrent pour faire respecter le RGPD est encore envisageable après l’entrée en vigueur dudit règlement.

 


QUESTION(S) PREJUDICIELLE(S)

Le Bundesgerichtshof (Cour fédérale de justice, Allemagne) saisit la Cour de justice de l’Union européenne (CJUE) de deux questions préjudicielles :

1. Qualité pour agir d’un concurrent en matière de protection des données : Le chapitre VIII du RGPD fait-il obstacle (ou non) à ce qu’une réglementation nationale habilite un concurrent à introduire une action devant les juridictions civiles et à invoquer la violation des règles du RGPD comme un acte de concurrence déloyale ?

2. Qualification de « données concernant la santé » : Les données relatives à la commande de médicaments dont la vente est réservée aux pharmacies (mais non soumis à prescription médicale) – à savoir nom, adresse de livraison, éléments nécessaires à l’individualisation du médicament – constituent-elles des « données relatives/concernant la santé » au sens de l’article 8, §1, de la directive 95/46 (ancien cadre) et de l’article 9, §1, du RGPD (nouveau cadre) ?

 


MOTIVATION DE LA COUR

1. Sur la compatibilité d’une action en concurrence déloyale d’un concurrent avec les dispositions et l’esprit du RGPD

La Cour, pour répondre à cette première question, procède à plusieurs analyses successives:

Examen du libellé du chapitre VIII du RGPD
– Les articles 77, 78, 79 précisent : « sans préjudice de tout autre recours administratif ou juridictionnel ».
– Nulle part il n’est indiqué que seraient exclues, de façon formelle, d’autres actions au titre du droit national pour sanctionner des violations du RGPD.
– De plus, l’article 80, §2, confirme que les États membres peuvent élargir la possibilité d’action en justice à des organismes, même sans mandat express des personnes concernées.

Examen du contexte et de l’économie générale du RGPD
– Les principes matériels (licéité, base légale du traitement, etc.) appartiennent au chapitre II.
– Le chapitre VIII sur les voies de recours vise d’abord la protection des droits des « personnes concernées ». Mais la Cour reconnaît que la violation des règles de fond peut simultanément porter atteinte à des intérêts privés tiers (ex. un concurrent, ou des associations de consommateurs).
– Elle note qu’« un niveau élevé de protection » des droits reconnus par le RGPD n’est pas entravé si un État membre prévoit un recours « additionnel » par le concurrent, au contraire : cela peut renforcer l’application pratique du RGPD.

Examen de l’objectif d’harmonisation du RGPD
– Certes, le RGPD vise une harmonisation assez poussée. Cependant, la Cour rappelle qu’il n’est pas exclu que « plusieurs voies de recours nationales » coexistent, sans remettre en cause l’uniformité des principes matériels.
– Le respect d’une application uniforme est garanti par la procédure préjudicielle et par le fait que n’importe quelle juridiction nationale appliquant le RGPD doit en respecter la même interprétation.

En conséquence des analyses qui précèdent, la CJUE juge donc que le RGPD ne s’oppose pas à une disposition nationale selon laquelle un concurrent peut engager une action en cessation pour faire sanctionner une infraction au RGPD, si cette infraction constitue également une pratique commerciale déloyale; cette solution n’est pas contraire au dispositif de contrôle et de sanction prévu par le RGPD lui-même et offre même un instrument supplémentaire d’effectivité à la protection des données.

Jusqu’à présent, la Cour laissait ouverte la question précise de savoir si un concurrent pouvait se prévaloir du RGPD comme norme de « comportement sur le marché » pour attaquer l’auteur d’un traitement de données. L’arrêt du 28 avril 2022, Meta Platforms Ireland (C-319/20), avait précisé certains points sur la possibilité d’une action introduite par une association de consommateurs. Toutefois, la Cour ne s’était pas encore prononcée expressément sur le concurrent;

Dans cette affaire 21/23, la CJUE répond clairement “oui”! Il demeure possible, dans l’ordre juridique national, de faire valoir le RGPD par le biais d’une action en concurrence déloyale, dès lors que le droit interne le prévoit. Cette confirmation constitue un apport jurisprudentiel nouveau : l’harmonisation voulue par le RGPD n’interdit pas que s’y superposent des recours nationaux additionnels, y compris pour un concurrent, pour autant que cela ne remette pas en cause l’unité d’interprétation de la législation sur la protection des données.

 

2. Sur la qualification de « données concernant la santé » relative aux informations communiquées pour une commande en ligne de médicaments non soumis à prescription médicale sur la page d’une officine de pharmacie opérant via Amazon

Le point central est de savoir si les données que ND traite –– nom du client, adresse de livraison, références du médicament commandé… — doivent ou non être qualifiées de « données concernant la santé » au sens de l’article 9, §1, RGPD et de l’article 8, §1, de la directive 95/46, dans la mesure où le cadre juridique pour ces « catégories particulières » est nettement plus contraignant que pour les données « ordinaires ».

Les « données concernant la santé » incluent toute information se rapportant à la santé physique ou mentale d’une personne, révélant des informations sur son état de santé ou sur la prestation de soins aux termes des dispositions combinées de l’article 4 (15) et du considérant 35 du RGPD.

La Cour, notamment dans ses arrêts Vyriausioji tarnybines etikos komisija, C-184/20, et Meta Platforms Ireland, C-319/20 avait déjà adopté une conception élargie des catégories particulières de données; même une information indirecte révélant une probabilité ou un indice sur l’état de santé peut constituer une « donnée sensible ».

La commande d’un médicament permet, en effet, de déduire par recoupement, nombre d’aspects de la santé de la personne concernée ou, du moins, de faire l’hypothèse d’une pathologie ou d’un besoin thérapeutique. Peu importe que le médicament soit ou non sur prescription. Même si juridiquement il ne faut pas d’ordonnance, la commande d’un produit pharmaceutique « réservé aux seules pharmacies » peut révéler un aspect de la santé réelle (ou potentielle) de la personne.

Peu importe également s’il s’agirait d’un achat pour un tiers: du point de vue de la protection des données, si l’ensemble de ces opérations de traitement est susceptible de mettre en rapport un médicament et l’identité d’une personne (directement ou indirectement), cela suffit à entrer dans la sphère d’information qualifiée de « santé » au sens du RGPD.

La Cour conclut donc que Les données litigieuses (nom, adresse de livraison, spécification du médicament commandé) constituent, de par leur rapprochement, des données concernant la santé. Par suite, tout opérateur (pharmacien en ligne ou marketplace) qui traite de telles données doit donc respecter l’article 9, §1, du RGPD (et les éventuelles dérogations restrictives du §2); ne pas le faire, en l’absence de base juridique valable (consentement explicite, motif légal, etc.), peut constituer un traitement illicite de données sensibles.

 


PRECEDENTS JURISPRUDENTIELS D’INTERET

De la lecture de l’arrêt et des conclusions, plusieurs précédents de la CJUE peuvent être relevants pour comprendre le raisonnement de la CJUE dans l’espèce C-21/23.

– Arrêt « Fashion ID » (C-40/17, EU:C:2019:629, 29 juillet 2019) portant sur la question du contrôle de l’application des règles de protection des données quand le site Internet intègre un plug-in (bouton « J’aime ») de Facebook, ce précédent illustre l’action possible d’associations de consommateurs.
Arrêt « Meta Platforms Ireland » (C-319/20, EU:C:2022:322, 28 avril 2022) relatif à la possibilité, pour des associations de consommateurs, d’invoquer le RGPD au titre des pratiques commerciales déloyales, et à l’articulation des compétences entre autorités de protection des données et juridictions de droit commun. Dans cet arrêt, la Cour laissait la question du concurrent « strict » dans l’ombre, point désormais résolu par l’arrêt C-21/23.
– Arrêt « Vyriausioji tarnybines etikos komisija » (C-184/20, EU:C:2022:601, 1er août 2022) : la CJUE y réaffirme que la notion de « catégories particulières de données personnelles » (art. 9 RGPD) doit être interprétée extensivement.
Arrêt « Nemzeti Adatvédelmi és Információszabadság Hatóság » (C-132/21, EU:C:2023:2, 12 janvier 2023) : la Cour y clarifie l’absence de compétence prioritaire ou exclusive des autorités de contrôle du RGPD, ce qui se rattache partiellement au même ordre d’idées (pluralité de voies de recours).
– Arrêt « Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) » (C-252/21, EU:C:2023:537, 4 juillet 2023) : la Cour confirme que le non-respect des règles de protection des données peut être pris en compte pour établir une éventuelle pratique abusive sanctionnée par le droit de la concurrence (article 102 TFUE).