Les concurrents : les nouveaux gardiens du RGPD ?

Le RGPD a pour objectif principe de protéger les données personnelles des particuliers. Mais lorsqu’une entreprise constate qu’un concurrent ne respecte pas ce règlement, peut-elle agir contre lui au titre de l’interdiction des pratiques commerciales déloyales ?

RGPD et concurrence déloyale : quelle articulation ?

Un pharmacien allemand commercialise via une plate-forme en ligne des médicaments dont la vente est réservée aux pharmacies.

Pour passer commande, le client doit renseigner un certain nombre d’informations, notamment son nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments commandés.

Une pratique commerciale qui n’est pas au goût d’une pharmacie concurrente car, selon cette dernière, cette façon de vendre les médicaments serait une pratique déloyale tant que le pharmacien ne garantit pas que ses clients peuvent donner leur consentement préalable au traitement de leurs données personnelles relatives à la santé.

Concrètement, la pharmacie « traditionnelle » entame une action en justice à l’encontre de son concurrent qui est présumé ne pas respecter le RGPD sur la base de l’interdiction des pratiques commerciales déloyales.

Sauf que le RGPD prévoit des recours devant le juge au bénéfice :

  • des personnes concernées par cette protection ;
  • des organismes, organisations ou associations à but non lucratif ayant un mandat de la part de personnes protégées par le RGPD ;
  • des autorités de contrôle chargées de surveiller et de faire appliquer la règlementation.

Autrement dit, le RGPD ne règle pas l’hypothèse où c’est le concurrent qui agit devant le juge.

Cette affaire a donc fait l’objet d’un renvoi préjudiciel à la Cour de justice de l’Union européenne (CJUE) par les juges allemands.

Pour rappel, un renvoi préjudiciel est une procédure qui permet aux juges des États membres de l’UE de poser une question sur l’interprétation du droit de l’UE dans le cadre d’une affaire qu’ils doivent trancher.

La CJUE donne une réponse qui permet au juge auteur du renvoi de trancher le litige, mais également à tous les juges qui auront la même problématique.

Deux questions ont donc été posées à la CJUE :

  • est-il possible de permettre à un concurrent d’agir contre l’auteur présumé de violations du RGPD au titre de l’interdiction des pratiques commerciales déloyales ?
  • les informations saisies lors des achats en ligne de médicaments sont-elles des données de santé ?

Le recours d’un concurrent au titre du RGPD 

La CJUE rappelle que cette hypothèse n’est pas prévue par le RGPD qui n’interdit pas non plus aux pays d’autoriser dans leur règlementation aux concurrents d’agir en justice en raison d’une violation du RGPD sur la base des pratiques commerciales déloyales.

En effet, une telle possibilité permettrait de renforcer le droit des personnes protégées.

Les informations données pour commander des médicaments

La CJUE précise que, quand bien même les médicaments achetés ne seraient pas soumis à une prescription médicale, les informations données par l’acheteur constituent des données concernant la santé.

En effet, ces données permettent, par des rapprochements et des déductions, d’identifier des éléments de santé de la personne, peu importe qu’il existe un doute sur la question de savoir si l’acheteur a commandé les médicaments pour lui ou un tiers.

Par conséquent, le vendeur de médicaments doit informer le client de manière exacte, complète et compréhensible des caractéristiques et des finalités du traitement des données.

Il doit également demander au client de consentir au traitement ainsi décrit.