Actualité
3 min de lecture
28 octobre 2024
La CJUE valide la possibilité, pour un concurrent, de former un recours pour pratique commerciale déloyale, en l’absence de recueil du consentement préalable des personnes concernées au traitement de leurs données de santé.

L’affaire C-21/23 (CJUE, 4 oct. 2024, aff. C‑21/23, ND c/DR) opposait deux pharmaciens, dont l’un vendait des médicaments en ligne, via la plateforme Amazon Marketplace. Ce faisant, il collectait des informations relatives au nom des clients, à leur adresse de livraison et aux éléments nécessaires à l’individualisation des médicaments. Son concurrent faisait valoir que cette pratique était déloyale dès lors qu’il n’était pas garanti que le client puisse donner son consentement préalable au traitement des données concernant sa santé. La CJUE devait trancher les deux questions préjudicielles suivantes :

  • une législation nationale peut-elle conférer aux concurrents de l’auteur présumé d’une violation du RGPD la qualité pour agir contre celui-ci sur le fondement de l’interdiction des pratiques commerciales déloyales ?
  • les informations saisies par les clients sur la plateforme en ligne aux fins de la délivrance de médicaments non soumis à prescription médicale constituent-elles des données de santé ?

La qualité à agir d’un concurrent

La question de la qualité à agir prend tout son sens à la lecture du chapitre VIII du RGPD qui ouvre des voies de recours aux personnes concernées ainsi qu’aux organismes, organisations et associations habilités. Or, en l’espèce, l’action n’avait pas été engagée par l’une ou l’autre de ces catégories de personnes mais par le concurrent d’un pharmacien, qui faisait valoir des violations du RGPD commises par ce dernier, pour voir interdire la vente de médicaments en ligne sur le fondement des interdictions aux pratiques commerciales déloyales.

La CJUE décide qu’une telle action est possible aux motifs que :

  • la lettre du RGPD n’exclut pas la possibilité pour le concurrent d’une entreprise d’introduire un recours devant les juridictions civiles sur le fondement de l’interdiction des pratiques commerciales déloyales, en raison de la violation alléguée par cette entreprise d’obligations prévues par ce règlement (point 53) ;
  • une telle action est conforme à l’esprit du RGPD. Non seulement, elle ne porte pas atteinte aux objectifs de protection mais encore, elle est « de nature à renforcer l’effet utile [des dispositions protectrices] et ainsi le niveau élevé de protection des personnes concernées à l’égard du traitement de leurs données personnelles » (point 62).

La nature des données saisies par les clients sur la plateforme en ligne

Pour rappel, la notion de données de santé vise l’ensemble des données à caractère personnel qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur d’une personne physique, y compris des données relatives à la prestation à cette personne de services de soins de santé (art. 4, §15, du RGPD, lu conjointement avec le considérant 35 de ce règlement).

Dès lors, quand un client saisit son nom et une liste de médicaments sur la plateforme en ligne, il est identifié et il devient possible de tirer des conclusions sur son état de santé. Les données saisies relèvent donc de la qualification de données personnelles de santé. La question se pose néanmoins en des termes différents lorsqu’en l’absence de prescription médicale, il est possible que les médicaments commandés ne soient pas destinés au client qui procède à la commande mais à des personnes tierces. Dans ce cas en effet, aucune conclusion ne peut être tirée sur l’état de santé du client saisissant les informations. Quant à la tierce personne, elle n’est a priori ni identifiée, ni identifiable, quand bien même la Cour émet des hypothèses dans lesquelles une identification pourrait être possible (point 91).

Aussi, la Cour décide de retenir la qualification de données de santé en considérant que le traitement de données mis en œuvre par le pharmacien est de nature à révéler des informations sur l’état de santé d’une personne physique, que ces informations concernent l’utilisateur de la plateforme ou toute autre personne pour laquelle celui-ci effectue la commande (point 88). Pour la CJUE, « les informations que les clients d’un exploitant d’une pharmacie saisissent lors de la commande en ligne de médicaments dont la vente est réservée aux pharmacies sans être soumise à prescription médicale constituent des données concernant la santé, (…) même si c’est seulement avec une certaine probabilité, et non avec une certitude absolue, que ces médicaments sont destinés à ces clients » (point 90).

On retiendra ainsi que l’absence d’une prescription médicale n’a pas d’effet sur la qualification de données de santé et qu’une simple probabilité d’identification de la personne concernée est suffisante.

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Jessica EYNARD, Maître de conférences HDR en droit à l’Université de Toulouse Capitole, co-directrice de la Mention Droit du numérique et chercheuse associée - Chaire Law, Accountability and Social Trust in AI, ANITI
Documents et liens associés
Aller plus loin
Code de la cybersécurité 2024 annoté et commenté
Prévenir le risque cyber, défendre son activité et son patrimoine immatériel.
79,00 € TTC
Code de la cybersécurité 2024 annoté et commenté