L’affaire C-21/23 (CJUE, 4 oct. 2024, aff. C‑21/23, ND c/DR) opposait deux pharmaciens, dont l’un vendait des médicaments en ligne, via la plateforme Amazon Marketplace. Ce faisant, il collectait des informations relatives au nom des clients, à leur adresse de livraison et aux éléments nécessaires à l’individualisation des médicaments. Son concurrent faisait valoir que cette pratique était déloyale dès lors qu’il n’était pas garanti que le client puisse donner son consentement préalable au traitement des données concernant sa santé. La CJUE devait trancher les deux questions préjudicielles suivantes :
- une législation nationale peut-elle conférer aux concurrents de l’auteur présumé d’une violation du RGPD la qualité pour agir contre celui-ci sur le fondement de l’interdiction des pratiques commerciales déloyales ?
- les informations saisies par les clients sur la plateforme en ligne aux fins de la délivrance de médicaments non soumis à prescription médicale constituent-elles des données de santé ?
La qualité à agir d’un concurrent
La question de la qualité à agir prend tout son sens à la lecture du chapitre VIII du RGPD qui ouvre des voies de recours aux personnes concernées ainsi qu’aux organismes, organisations et associations habilités. Or, en l’espèce, l’action n’avait pas été engagée par l’une ou l’autre de ces catégories de personnes mais par le concurrent d’un pharmacien, qui faisait valoir des violations du RGPD commises par ce dernier, pour voir interdire la vente de médicaments en ligne sur le fondement des interdictions aux pratiques commerciales déloyales.
La CJUE décide qu’une telle action est possible aux motifs que :
- la lettre du RGPD n’exclut pas la possibilité pour le concurrent d’une entreprise d’introduire un recours devant les juridictions civiles sur le fondement de l’interdiction des pratiques commerciales déloyales, en raison de la violation alléguée par cette entreprise d’obligations prévues par ce règlement (point 53) ;
- une telle action est conforme à l’esprit du RGPD. Non seulement, elle ne porte pas atteinte aux objectifs de protection mais encore, elle est « de nature à renforcer l’effet utile [des dispositions protectrices] et ainsi le niveau élevé de protection des personnes concernées à l’égard du traitement de leurs données personnelles » (point 62).
La nature des données saisies par les clients sur la plateforme en ligne
Pour rappel, la notion de données de santé vise l’ensemble des données à caractère personnel qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur d’une personne physique, y compris des données relatives à la prestation à cette personne de services de soins de santé (art. 4, §15, du RGPD, lu conjointement avec le considérant 35 de ce règlement).
Dès lors, quand un client saisit son nom et une liste de médicaments sur la plateforme en ligne, il est identifié et il devient possible de tirer des conclusions sur son état de santé. Les données saisies relèvent donc de la qualification de données personnelles de santé. La question se pose néanmoins en des termes différents lorsqu’en l’absence de prescription médicale, il est possible que les médicaments commandés ne soient pas destinés au client qui procède à la commande mais à des personnes tierces. Dans ce cas en effet, aucune conclusion ne peut être tirée sur l’état de santé du client saisissant les informations. Quant à la tierce personne, elle n’est a priori ni identifiée, ni identifiable, quand bien même la Cour émet des hypothèses dans lesquelles une identification pourrait être possible (point 91).
Aussi, la Cour décide de retenir la qualification de données de santé en considérant que le traitement de données mis en œuvre par le pharmacien est de nature à révéler des informations sur l’état de santé d’une personne physique, que ces informations concernent l’utilisateur de la plateforme ou toute autre personne pour laquelle celui-ci effectue la commande (point 88). Pour la CJUE, « les informations que les clients d’un exploitant d’une pharmacie saisissent lors de la commande en ligne de médicaments dont la vente est réservée aux pharmacies sans être soumise à prescription médicale constituent des données concernant la santé, (…) même si c’est seulement avec une certaine probabilité, et non avec une certitude absolue, que ces médicaments sont destinés à ces clients » (point 90).
On retiendra ainsi que l’absence d’une prescription médicale n’a pas d’effet sur la qualification de données de santé et qu’une simple probabilité d’identification de la personne concernée est suffisante.