Arrêt de la Cour de Justice de l’Union euro­péenne (CJUE) du 4 octobre 2024, affaire C‑21/​23 (« Lindenapotheke »), ND c. DR

Conclusions de l’avocat géné­ral M. Maciej Szpunar du 25 avril 2024, affaire C‑21/​23

Introduction

Cet arrêt de la CJUE s’inscrit dans le cadre d’un litige oppo­sant deux phar­ma­ciens. Un premier phar­ma­cien, qui exploite la phar­ma­cie Lindenapotheke, vend des médi­ca­ments dispo­nibles sans pres­crip­tion médi­cale, mais dont la vente est réser­vée aux phar­ma­cies. Il les commer­cia­lise à la fois dans ses locaux et en ligne via la plate­forme Amazon Marketplace.

Lors des commandes en ligne, les ache­teurs doivent choi­sir les médi­ca­ments à ache­ter, puis saisir des données telles que leur nom et leur adresse de livraison.

Les ventes en ligne de ce premier phar­ma­cien font l’objet d’une action civile de la part d’un phar­ma­cien concur­rent, qui l’accuse de violer l’art. 9 RGPD et, par rico­chet, l’art. 3a de la Loi alle­mande du 3 juillet 2004 sur la concur­rence déloyale. Cette dispo­si­tion défi­nit comme étant déloyal le fait « d’enfrein[dre] une dispo­si­tion légale desti­née, notam­ment, à régle­men­ter le compor­te­ment sur le marché dans l’intérêt de ses acteurs dès lors que cette infrac­tion est suscep­tible d’affecter sensi­ble­ment les inté­rêts des consom­ma­teurs, des autres acteurs du marché ou des concur­rents ». Selon le phar­ma­cien concur­rent, le proces­sus de commande en ligne empê­che­rait les ache­teurs de consen­tir expli­ci­te­ment au trai­te­ment de leurs données concer­nant la santé (art. 9 par. 2 let. a RGPD). Il demande ainsi au tribu­nal civil d’enjoindre l’exploitant de la Lindenapotheke de cesser les ventes en ligne jusqu’au réta­blis­se­ment de l’ordre légal.

Par déci­sion du Landesgericht Dessau-Rosslau, ulté­rieu­re­ment confir­mée par l’Oberlandesgericht Naumburg, l’exploitant de la Lindenapotheke est enjoint de cesser ses ventes via Amazon Marketplace tant que les ache­teurs ne peuvent pas consen­tir expli­ci­te­ment au trai­te­ment de leurs données concer­nant la santé. Amené à se pronon­cer sur un recours du phar­ma­cien concerné, le Bundesgerichtshof saisit la CJUE de deux ques­tions préjudicielles.

Les voies de recours du RGPD sont-elles exhaustives ?

L’action inten­tée par le phar­ma­cien concur­rent de la Lindenapotheke n’étant pas prévue par le RGPD, la CJUE doit d’abord déter­mi­ner si le RGPD règle exhaus­ti­ve­ment les voies de recours.

Le RGPD, dont l’adoption était moti­vée par la néces­sité de garan­tir un droit de la protec­tion des données solide et cohé­rent au sein de l’Union euro­péenne (consid. 7–13 du RGPD), règle les voies de recours à son chapitre VIII (art. 77 ss RGPD). Tout d’abord, toute personne concer­née – voire toute entité qui la repré­sente en vertu de l’art. 80 RGPD – est en droit d’introduire une récla­ma­tion auprès d’une auto­rité de contrôle (art. 77 par. 1 RGPD). Contre la déci­sion respec­ti­ve­ment l’absence de déci­sion de cette auto­rité, la voie du recours juri­dic­tion­nel est ouverte (art. 78 par. 1 et 2 RGPD). En paral­lèle, toute personne concer­née a égale­ment le droit à un recours juri­dic­tion­nel contre le respon­sable du trai­te­ment ou le sous-trai­tant (art. 79 par. 1 RGPD).

En revanche, le RGPD ne prévoit aucune voie de droit en faveur du concur­rent de l’auteur présumé d’une viola­tion du RGPD. Cela étant, les art. 77 ss RGPD mentionnent expres­sé­ment que ces voies de droit existent sans préju­dice des autres recours admi­nis­tra­tifs, juri­dic­tion­nels ou extrajudiciaires.

Après inter­pré­ta­tion du chapitre VIII (art. 77 ss RGPD), tant l’avocat géné­ral que la CJUE arrivent à la conclu­sion qu’un concur­rent peut agir devant une juri­dic­tion civile pour solli­ci­ter l’interdiction de pratiques commer­ciales déloyales résul­tant de viola­tions du RGPD. Ils relèvent en parti­cu­lier que le légis­la­teur euro­péen n’a pas voulu exclure les actions fondées sur le droit natio­nal de la concur­rence déloyale même lorsque ces actions impliquent d’établir des viola­tions du RGPD à titre inci­dent. En outre, bien que les actions dénon­çant des actes de concur­rence déloyale pour­suivent des objec­tifs diffé­rents que les voies de recours offertes par le RGPD aux personnes concer­nées, il n’en demeure pas moins qu’elles renforcent l’effet utile (art. 4 par. 3 TUE) du RGPD et contri­buent ainsi à amélio­rer la protec­tion des droits fonda­men­taux des personnes concernées.

Il en résulte que les voies de recours des art. 77 ss RGPD et les actions fondées sur le droit natio­nal de la concur­rence déloyale coexistent. Par consé­quent, la présente action civile du phar­ma­cien concur­rent fondée sur le droit alle­mand de la concur­rence déloyale est admissible.

Les données saisies lors de la vente en ligne concernent-elles la santé ?

Il convient de rappe­ler que les médi­ca­ments dispo­nibles à la vente sur Amazon Marketplace ne sont pas soumis à pres­crip­tion médi­cale. C’est donc dans ce contexte parti­cu­lier que la CJUE doit déter­mi­ner si les données saisies lors du proces­sus de commande sont des données concer­nant la santé, c’est-à-dire des « données à carac­tère person­nel rela­tives à la santé physique ou mentale d’une personne physique, y compris la pres­ta­tion de soins de santé, qui relèvent des infor­ma­tions sur l’état de santé [passé, présent ou futur] de cette personne » (consid. 35 RGPD cum art. 4 ch. 15 RGPD).

Dans l’affirmative, le phar­ma­cien exploi­tant la Lindenapotheke doit obte­nir un consen­te­ment expli­cite de ses clients (art. 9 par. 2 RGPD) afin de lever l’interdiction géné­rale de trai­ter cette caté­go­rie parti­cu­lière de données (art. 9 par. 1 RGPD). Dans la néga­tive, ce phar­ma­cien peut trai­ter direc­te­ment les données person­nelles de ses clients sur la base de l’art. 6 par. 1 let. a RGPD (consen­te­ment) ou de l’art. 6 par. 1 let. b RGPD (trai­te­ment néces­saire à la conclu­sion ou à l’exécution d’un contrat).

Dans ses conclu­sions, l’avocat géné­ral souligne d’abord que la commande en ligne de médi­ca­ments non soumis à pres­crip­tion médi­cale est suscep­tible de révé­ler des infor­ma­tions sur l’état de santé. Cela étant, il estime que l’on est en présence de données concer­nant la santé unique­ment si, dans les circons­tances du cas concret, les données révèlent des infor­ma­tions sur l’état de santé de la personne concer­née avec suffi­sam­ment de certi­tude. De simples suppo­si­tions ne suffisent pas.

En l’espèce, l’avocat géné­ral relève plusieurs incer­ti­tudes. D’une part, lorsque des médi­ca­ments ne sont pas symp­to­ma­tiques d’une patho­lo­gie précise (p.ex. : para­cé­ta­mol), ils ne four­nissent aucune infor­ma­tion précise sur l’état de santé d’une personne – ce d’autant plus que ces médi­ca­ments sont parfois ache­tés à titre préven­tif. D’autre part, en l’absence de pres­crip­tion dési­gnant nommé­ment la personne à laquelle les médi­ca­ments sont desti­nés, il n’est géné­ra­le­ment pas établi que la personne passant commande – et dont les données sont trai­tées – consom­mera les médi­ca­ments comman­dés. Faute d’informations précises, il en conclut que les données des clients ne sont pas des données concer­nant la santé (art. 4 ch. 15 RGPD).

Dans son arrêt, la CJUE prend toute­fois le contre-pied de l’avocat géné­ral et retient que les données des clients qui commandent des médi­ca­ments non soumis à pres­crip­tion sont des données concer­nant leur santé. Se réfé­rant à son arrêt C‑184/​20 du 1^er août 2022 (cf. Célian Hirsch, Le RGPD s’oppose-t-il à l’obligation de publier sur Internet une décla­ra­tion d’intérêts afin de lutter contre la corrup­tion ?, 9 août 2022 in www​.swiss​pri​vacy​.law/​164), la Cour relève dans un premier temps que la protec­tion effec­tive des droits de la personne concer­née néces­site une inter­pré­ta­tion large de la notion de « données concer­nant la santé ».

Dans un deuxième temps, la CJUE retient que l’on est bien en présence de données concer­nant la santé, dans la mesure où il est possible de faire un rappro­che­ment entre les proprié­tés théra­peu­tiques du médi­ca­ment et les clients passant commande.

Dans un troi­sième temps, la CJUE se demande certes si ce constat prévaut égale­ment lorsque l’identité du consom­ma­teur de médi­ca­ments non soumis à pres­crip­tion n’est pas connue avec certi­tude. Elle retient toute­fois que :

« […] il importe de véri­fier, dans le cas d’un trai­te­ment de données à carac­tère person­nel effec­tué par l’exploitant d’une phar­ma­cie dans le cadre d’une acti­vité exer­cée par le biais d’une plate-forme en ligne, si ces données permettent de révé­ler des infor­ma­tions rele­vant d’une des caté­go­ries visées à [l’art. 9 RGPD], que ces infor­ma­tions concernent un utili­sa­teur de cette plate-forme ou toute autre personne physique » (point 86)

Si tel est le cas, les trai­te­ments de ces données sensibles sont inter­dits (art. 9 par. 1 RGPD], sous réserve des déro­ga­tions de l’art. 9 par. 2 RGPD. La CJUE précise même que :

« [c]ette inter­dic­tion de prin­cipe est indé­pen­dante du point de savoir si l’information révé­lée par le trai­te­ment en cause est exacte ou non ». […] [L]esdites dispo­si­tions ont pour objec­tif d’interdire ces trai­te­ments, indé­pen­dam­ment de leur but affi­ché et de l’exactitude des infor­ma­tions en ques­tion » (point 87)

Compte tenu de ce qui précède, la CJUE quali­fie les données collec­tées par l’ex­ploi­tant de la Lindenapotheke lors du proces­sus de commande de données concer­nant la santé (art. 4 ch. 15 RGPD). Le trai­te­ment de ces données étant en prin­cipe pros­crit (art. 9 par. 1 RGPD), il revient désor­mais au Bundesgerichtshof, en qualité de juri­dic­tion de renvoi, de véri­fier l’existence d’une déro­ga­tion selon l’art. 9 par. 2 RGPD.

Une appré­cia­tion

La réponse appor­tée par la CJUE à la première ques­tion préju­di­cielle est convain­cante. Puisque des ques­tions de protec­tion des données se posent lors de l’application d’autres légis­la­tions telles que celles rela­tives au droit du travail ou au droit de la concur­rence déloyale, il est néces­saire que les juri­dic­tions en charge de ce conten­tieux puissent exami­ner, à titre indicent, le respect des légis­la­tions en matière de protec­tion des données.

La CJUE a d’ailleurs déjà établi ce constat dans un arrêt C‑252/​21 du 4 juillet 2023 (cf. Charlotte Beck, Publicité ciblée : sous quelle forme le consen­te­ment est-il suffi­sant ?, 22 août 2023 in www​.swiss​pri​vacy​.law/​244) rendu en matière de droit de la concur­rence. Dans cette affaire oppo­sant Meta au Bundeskartellamt (auto­rité de la concur­rence alle­mande), la CJUE a conclu qu’une auto­rité de la concur­rence d’un État membre peut appré­cier la confor­mité de condi­tions géné­rales au RGPD pour déter­mi­ner si leur auteur abuse de sa posi­tion domi­nante (art. 102 TFUE).

La réponse de la CJUE a la seconde ques­tion préju­di­cielle est, en revanche, plus discu­table car problé­ma­tique à plusieurs égards.

Premièrement, cette juris­pru­dence entre en conflit avec le prin­cipe d’exactitude (art. 5 par. 1 let. d RGPD). En effet, il est diffi­ci­le­ment conce­vable que le respon­sable du trai­te­ment puisse ne pas se soucier de l’exactitude des infor­ma­tions que le trai­te­ment relève (ou pas) sur l’état de santé, ce alors que le prin­cipe d’exactitude lui impose de trai­ter des données exactes et de recti­fier respec­ti­ve­ment d’effacer les données inexactes. À notre sens, le respon­sable du trai­te­ment qui traite des données concer­nant la santé dans un contexte incer­tain ne peut pas faire l’économie d’indiquer que ces données sont poten­tiel­le­ment inexactes.

Deuxièmement, lorsque les médi­ca­ments sont comman­dés pour un tiers, l’on perçoit mal comment ce tiers peut consen­tir expli­ci­te­ment au trai­te­ment de ses données person­nelles concer­nant la santé alors qu’il ne parti­cipe pas au proces­sus de commande.

Enfin troi­siè­me­ment, cet arrêt a une portée bien plus large que le secteur de la pharma. Comme le relève très juste­ment l’avocat géné­ral au point 46 de ses conclu­sions, un objet du quoti­dien tel qu’un simple livre est, selon les circons­tances, suscep­tible de révé­ler des infor­ma­tions sur l’origine, les opinions poli­tiques, les convic­tions reli­gieuses ou philo­so­phiques, l’appartenance syndi­cale, l’état de santé ou la vie sexuelle d’une personne. Il en va de même pour d’autres produits du quoti­dien tel que des vête­ments ou même de la nour­ri­ture (p.ex. : végan, halal, etc.). Ainsi, le fait de ne pas tenir compte de l’exactitude des infor­ma­tions a pour effet de soumettre une part impor­tante du commerce en ligne à l’art. 9 RGPD.

Au vu de l’incertitude que présente cet arrêt pour les commer­çants en ligne, il serait bien­venu que la juris­pru­dence ulté­rieure de la CJUE précise sa portée exacte.