Violation de la protection des données dans le commerce en ligne : la CJUE autorise les actions en justice par les concurrents

La CJCE a décidé dans quelle mesure les concurrents d'une entreprise peuvent faire valoir des violations de la protection des données dans le cadre du droit civil.
Catégories :

La décision de la Cour de justice des Communautés européennes (CJCE) clarifie, entre autres, dans quelle mesure les concurrents d'une entreprise peuvent faire valoir des violations de la protection des données dans le cadre du droit civil et comment le traitement des données personnelles relatives à la santé doit être évalué dans le cadre du commerce en ligne.

Un litige entre deux pharmaciens concurrents aboutit devant la Cour fédérale de justice

L'objet de l'affaire C-21/23 était un litige entre deux pharmaciens concernant la vente, sur la plateforme Amazon, de médicaments délivrés en pharmacie mais non soumis à prescription médicale. La pharmacie Lindenapotheke vendait ses produits via Amazon, les clients devant fournir des données à caractère personnel telles que leur nom et leur adresse de livraison ainsi que des informations nécessaires à l'individualisation. Un concurrent a intenté une action en cessation contre cette distribution. Le pharmacien a fait valoir que le consentement des clients au traitement de leurs données de santé n'avait pas été suffisamment recueilli, ce qui constituait une violation de l'article 9 du RGPD.

Le tribunal de grande instance et la cour d'appel de Naumburg ont donné raison au concurrent dans les instances précédentes. Ils ont considéré que la distribution constituait un acte commercial illicite en vertu de la loi contre la concurrence déloyale (UWG). La pharmacie Lindenapotheke a alors fait appel et l'affaire a atterri devant la Cour fédérale de justice (BGH). Celle-ci a finalement demandé une décision préjudicielle à la CJCE.

La procédure était centrée sur deux questions juridiques posées par la BGH, auxquelles la CJCE a répondu :

  1. La qualité pour agir des concurrents en cas d'infraction à la protection des données : Le RGPD permet-il aux concurrents d'une entreprise d'intenter une action civile en cas de violation du règlement ?
  2. Classification des données lors de la commande en ligne de médicaments vendus en pharmacie : Les données saisies par le client dans le cadre d'une commande en ligne (telles que le nom, l'adresse et les informations permettant d'individualiser le médicament) constituent-elles des données relatives à la santé au sens de l'article 9, paragraphe 1, de l'arrêt de la CJCE ?

La CJCE fait une interprétation large des données de santé

La CJCE a déclaré dans l'affaire C-21/23 | Lindenapotheke

  1. Qualité pour agir des concurrents en cas d'infraction à la protection des données
    La CJUE a précisé que les dispositions du chapitre VIII du RGPD ne s'opposent pas à une réglementation nationale qui permet aux concurrents de faire valoir des violations du RGPD devant les tribunaux civils sous l'angle des pratiques commerciales déloyales. Les concurrents se voient ainsi accorder la qualité pour agir, même s'ils ne sont pas directement concernés au sens du RGPD.

    Cette décision est particulièrement importante dans le domaine du droit de la concurrence, car les violations de la protection des données peuvent désormais être considérées comme des comportements anticoncurrentiels par les concurrents et faire l'objet de poursuites judiciaires. Selon la CJUE, cela contribue à renforcer les droits des personnes concernées et à leur garantir un niveau de protection élevé. "En outre, cela peut s'avérer particulièrement efficace, car de nombreuses violations du RGPD peuvent ainsi être évitées", poursuit la CJUE.

  1. Classification des données lors de la commande en ligne de médicaments vendus en pharmacie
    En ce qui concerne la deuxième question, la CJCE a décidé que les données saisies lors de la commande de médicaments vendus en pharmacie, mais non soumis à prescription médicale, devaient être qualifiées de données relatives à la santé au sens de l'article 9, paragraphe 1, du RGPD. Le fait qu'un médicament soit soumis ou non à une prescription médicale ne joue aucun rôle à cet égard. Cela vaut indépendamment du fait que les médicaments soient destinés à l'acheteur lui-même ou à des tiers.


    La CJUE a précisé que les données relatives à la santé ne devaient pas seulement être disponibles directement, mais pouvaient également être déduites indirectement des informations saisies. La saisie de noms, d'adresses et d'informations sur les médicaments permet de tirer des conclusions sur l'état de santé d'une personne, ce qui classe ces données comme particulièrement dignes de protection au sens du RGPD.

Conseil de lecture : La CJUE interprète "l'intérêt légitime" selon l'article 6, paragraphe 1, point f) du RGPD

Les entreprises doivent être vigilantes : Les concurrents peuvent également sanctionner les violations de la protection des données

L'arrêt de la CJUE a notamment des conséquences importantes pour les pharmacies en ligne et autres entreprises qui traitent des données de santé sensibles :

  1. Responsabilité renforcée par la qualité pour agir des concurrents
    Les entreprises doivent se préparer au fait que les violations de la protection des données peuvent être poursuivies non seulement par les personnes concernées ou les autorités de protection des données, mais aussi par les concurrents. Il en résulte un risque accru de responsabilité, car les violations du RGPD peuvent être de plus en plus considérées comme des pratiques commerciales déloyales.

    Pour les entreprises, cela signifie un contrôle et un respect accrus des dispositions légales en matière de protection des données, car les concurrents économiques peuvent également imposer le respect du RGPD par le biais du droit civil. Cela peut entraîner une augmentation des litiges, en particulier sur les marchés très concurrentiels comme le secteur des pharmacies.

  1. Sensibilisation aux données de santé
    Cette décision montre clairement que les entreprises qui, dans le cadre de leurs activités commerciales, traitent des données à caractère personnel permettant de tirer des conclusions indirectes sur l'état de santé doivent faire preuve d'un soin particulier dans le traitement de ces données. Conformément à l'article 9 du RGPD, le traitement de telles données relatives à la santé nécessite soit le consentement explicite de la personne concernée, soit doit être fondé sur l'une des exceptions mentionnées à l'article 9, paragraphe 2, du RGPD, comme par exemple la fourniture de services de santé.

    Pour les pharmacies en ligne, cela signifie qu'elles doivent s'assurer, lors de la collecte des données de commande, qu'un consentement effectif a été obtenu pour le traitement de ces données. Il ne suffit pas d'obtenir des déclarations de consentement générales. Le consentement doit se référer explicitement au traitement des données relatives à la santé.

L'arrêt de la CJCE souligne l'importance d'une gestion globale de la protection des données dans les entreprises. Les violations de la protection des données peuvent non seulement entraîner des amendes élevées, mais aussi des actions en cessation de la part des concurrents. Les entreprises doivent donc examiner de près leurs processus internes, notamment en ce qui concerne les consentements et le traitement des données relatives à la santé, et les adapter si nécessaire.

Source : Arrêt de la Cour de justice dans l'affaire C-21/23 | Lindenapotheke

Les tags :
Partager ce post :
fr_FRFrench