En droit français, la violation d’une loi ou d’un règlement peut constituer un acte de concurrence déloyale commis au détriment des opérateurs qui s’y conforment.
La Cour de justice de l'Union européenne (CJUE) a confirmé dans un arrêt du 4 octobre 2024 (C-21/23 « Lindenapotheke ») qu’une violation du Règlement général sur la protection des données (RGPD) était susceptible de constituer un acte de concurrence déloyale au détriment d’un opérateur, alors même qu’il n’est pas le sujet du traitement. L’arrêt apporte également des éclaircissements sur les contours de la notion de « données concernant la santé ».
En substance, une pharmacie allemande – Lindenapotheke – commercialisait des médicaments par le biais de la plateforme Amazon Marketplace et collectait à cette fin les données personnelles des clients, telles que le nom ou l’adresse de livraison, mais également des données relatives au traitement.
Un concurrent de cette pharmacie a intenté une action devant les tribunaux allemands afin d'obtenir la cessation de vente de ces produits sur Amazon, reprochant en particulier à Lindenapotheke de ne pas avoir recueilli le consentement de ses clients au traitement de leurs données de manière explicite et éclairée, en violation de l’article 9 du RGPD. Le concurrent explique par ailleurs, qu’en s'affranchissant des obligations imposées par le RGPD en matière de traitement des données de santé, Lindenapotheke pouvait proposer une expérience d'achat simplifiée sur la plateforme Amazon et attirer une clientèle plus large, au détriment des pharmacies respectant les règles de protection des données.
Les juridictions allemandes ont saisi la CJUE de deux questions préjudicielles afin de déterminer (1) si les informations que les clients saisissent lors de leur commande en ligne de médicaments constituent des données de santé, même lorsque la vente de ces médicaments n’est pas soumise à prescription médicale, et (2) si un concurrent, qui n'est pas le sujet des traitements de données litigieux, dispose d'un droit d'action sur le fondement du RGPD.
La Cour indique en réponse à la première question posée, que les données fournies par un client sur une plateforme en ligne lors d’une commande de médicaments, soumis ou non à prescription, doivent être considérées comme des « données concernant la santé », car étant de nature à révéler, par rapprochement ou déduction, des informations sur l’état de santé de la personne concernée.
Quant à la seconde question, la Grande Chambre, se fondant sur l’article 79 du RGPD, considère que les concurrents disposent d’un intérêt légitime à agir, dans la mesure où le non-respect des règles de protection des données pouvait conférer un avantage concurrentiel déloyal. La Cour souligne que si l'objectif principal d'une action en cessation intentée par un concurrent n’est pas directement la protection des données personnelles, une telle action contribue néanmoins au respect du RGPD et participe par conséquent au renforcement des droits des personnes concernées.
Ainsi, la Cour affirme que les réglementations nationales peuvent élargir le champ des personnes pouvant agir en justice, en autorisant les concurrents à intenter des actions civiles contre l'auteur présumé d'une violation du RGPD.
La Cour d’appel de Paris avait déjà retenu que le non-respect de règles impératives imposées par le RGPD – établi par une décision de condamnation de la CNIL - pouvait procurer un avantage concurrentiel indu (CA Paris - 9 novembre 2022 - 21/00180).
La CJUE le confirme à son tour.
Les entreprises devront désormais être particulièrement vigilantes quant au respect des règles de protection des données, sous peine de s'exposer à des actions en justice de la part de leurs concurrents, a plus forte raison lorsqu’un tel manquement est établi par une décision de la CNIL rendue publique.
