Données de santé et actions concurrentielles : Les précisions de la CJUE dans son arrêt du 4 octobre 2024
Publié le :
13/11/2024
13
novembre
nov.
11
2024
Le récent arrêt de la CJUE du 4 octobre 2024 clarifie la possibilité pour un concurrent d’intenter une action pour pratiques commerciales déloyales en cas de violation du RGPD et précise la définition des données de santé.
Recours en concurrence déloyale pour violation du RGPD
Selon la CJUE, même si le RGPD n’autorise explicitement que les personnes concernées et certaines organisations à but non lucratif à introduire une action pour violation des données personnelles, un concurrent peut légitimement poursuivre une entreprise qui ne respecte pas ces règles, en s’appuyant sur les principes de la concurrence déloyale.Dans le cas étudié, un pharmacien allemand a pu intenter une action contre un autre pharmacien utilisant Amazon-Marketplace pour vendre des médicaments, sans garantir que les clients aient donné leur consentement au traitement de leurs données. Cette action repose sur le fait que le non-respect du RGPD confère un avantage concurrentiel indu, en permettant notamment des économies sur les coûts de conformité et de mise en place de garanties pour les données.
La CJUE a estimé que ce type de recours soutient un environnement de marché plus équitable en ajoutant une pression supplémentaire sur les entreprises pour respecter les réglementations de protection des données.
Une interprétation large des données de santé
La CJUE considère que des informations telles que le nom d’un client, l’adresse de livraison et les informations nécessaires à l’achat de médicaments en ligne peuvent être qualifiées de données de santé, même lorsque la commande ne porte pas sur des médicaments nécessitant une prescription. Selon la CJUE, il suffit que ces informations puissent révéler indirectement des aspects de la santé physique ou mentale de la personne concernée, notamment en associant un médicament et ses indications thérapeutiques à une personne identifiable.En reconnaissant la nature sensible de telles données, la CJUE impose de nouvelles exigences aux entreprises opérant dans le domaine de la santé en ligne. Ces entreprises doivent désormais considérer toute information potentiellement révélatrice de l’état de santé d’un individu comme relevant des dispositions les plus strictes du RGPD, nécessitant notamment un consentement explicite du client pour le traitement de ces données.
Pour une entreprise, cela signifie la mise en place de mesures rigoureuses afin de garantir le respect de ces obligations.
L'arrêt de la CJUE souligne l'importance des données de santé dans l’économie numérique et en fait un enjeu de concurrence : toute entreprise qui s’en affranchit obtient un avantage injustifié, en contournant des obligations coûteuses de conformité. En autorisant un concurrent à agir pour pratiques commerciales déloyales en cas de violation du RGPD, la CJUE rappelle que la protection des données est une obligation incontournable.
Ce cadre réaffirmé renforce tant les droits des personnes que la loyauté concurrentielle, plaçant la conformité RGPD au cœur des pratiques commerciales en Europe.
Cet article n'engage que son auteur.
Auteur
Lucie Claverie
Avocate Collaboratrice
AVOCADOUR - membre du GIE AVA
PAU (64)