Par un arrêt rendu en grande chambre, la Cour de justice de l’Union européenne se prononce sur l’articulation entre le droit de la protection des données personnelles et le droit de la concurrence, ainsi que sur la qualification de données de santé. En l’espèce, un pharmacien commercialisait sur une plateforme de vente en ligne des médicaments dont la vente est réservée aux pharmacies, mais non soumis à prescription médicale. Lors de la commande, les clients devaient saisir des informations telles que leur nom et leur adresse de livraison. Un concurrent a saisi les juridictions civiles allemandes pour faire cesser cette pratique, arguant qu’elle constituait un acte de concurrence déloyale en raison d’une violation du règlement général sur la protection des données (RGPD), notamment de l’interdiction de traiter des données de santé sans consentement explicite.
La demande a été accueillie par le Landgericht Dessau-Roßlau par une décision du 28 mars 2018, puis confirmée en appel par l’Oberlandesgericht Naumburg le 7 novembre 2019. Les juges du fond ont estimé que la commercialisation constituait une pratique déloyale, car elle impliquait un traitement de données de santé interdit par l’article 9, paragraphe 1, du RGPD, en l’absence de consentement explicite des clients. Saisie d’un pourvoi en *Revision*, le Bundesgerichtshof (Cour fédérale de justice, Allemagne) a sursis à statuer. La juridiction de renvoi a interrogé la Cour sur deux points : d’une part, si le chapitre VIII du RGPD s’oppose à une réglementation nationale permettant à un concurrent d’agir en justice pour faire cesser une violation du règlement sur le fondement du droit de la concurrence déloyale ; d’autre part, si les informations collectées lors de la commande de médicaments non soumis à prescription constituent des données de santé au sens du RGPD et de la directive 95/46/CE qui le précédait.
La Cour de justice a répondu affirmativement à ces deux questions, jugeant que le RGPD ne s’oppose pas à une telle action par un concurrent et que les données en cause constituent bien des données de santé. Cette décision clarifie les voies de recours ouvertes en cas de manquement au règlement (I), tout en consacrant une conception extensive de la notion de données concernant la santé (II).
***
La Cour de justice de l’Union européenne valide la possibilité pour un concurrent d’agir en cessation contre une pratique violant le RGPD, confirmant ainsi le caractère non exclusif des mécanismes de contrôle prévus par le règlement (A). Cette solution consacre une convergence fonctionnelle entre le droit de la concurrence et la protection des données personnelles (B).
La Cour affirme que les voies de recours définies au chapitre VIII du RGPD n’épuisent pas l’ensemble des actions possibles en cas de violation du règlement. Elle fonde son analyse sur une interprétation littérale, contextuelle et téléologique du texte. En premier lieu, la Cour relève que plusieurs dispositions, notamment les articles 77, 78 et 79 du RGPD, précisent que les droits qu’ils organisent s’entendent « sans préjudice de tout autre recours administratif ou juridictionnel ». Ces termes indiquent clairement que le législateur de l’Union n’a pas entendu créer un système clos, excluant toute autre forme d’action qui pourrait exister en droit national. Le silence du chapitre VIII sur la qualité pour agir des concurrents ne saurait donc être interprété comme une interdiction.
En second lieu, la juridiction européenne souligne que si le RGPD vise une harmonisation en principe complète, il ménage des « clauses d’ouverture » permettant aux États membres de prévoir des règles spécifiques. Bien qu’aucune clause de ce type ne vise expressément l’action des concurrents, l’absence d’une telle disposition n’implique pas une volonté d’exclusion. La Cour estime que « par l’adoption dudit règlement, le législateur de l’Union n’a pas entendu procéder à une harmonisation exhaustive des voies de recours ». Cette approche pragmatique évite de neutraliser des mécanismes nationaux qui contribuent à la réalisation des objectifs du règlement, sans pour autant créer de conflit de normes. Le risque de divergences d’interprétation est quant à lui contenu par le mécanisme du renvoi préjudiciel prévu à l’article 267 TFUE, garant de l’application uniforme du droit de l’Union.
Au-delà de la question procédurale, la décision reconnaît que le respect des règles de protection des données est devenu un facteur de concurrence loyale. En autorisant une action fondée sur le droit de la concurrence déloyale, la Cour admet qu’une violation du RGPD peut conférer à son auteur un avantage concurrentiel indu. Elle constate que « l’accès aux données à caractère personnel et la possibilité de traitement de ces données sont devenus un paramètre significatif de la concurrence entre entreprises de l’économie numérique ». Par conséquent, sanctionner un manquement au RGPD par le biais du droit de la concurrence n’est pas seulement possible, mais également pertinent pour assurer l’équilibre du marché.
Cette solution renforce l’effectivité du RGPD. En permettant à des concurrents, qui ont un intérêt économique direct à agir, de faire sanctionner les violations, elle multiplie les gardiens du respect du règlement. Une telle action « contribue incontestablement au respect de ces dispositions et, donc, à renforcer les droits des personnes concernées et à leur assurer un niveau élevé de protection ». Loin de porter atteinte à la cohérence du système, cette voie de recours complémentaire sert l’objectif d’une protection effective et élevée des données personnelles. Elle s’ajoute, sans les diminuer, aux prérogatives des autorités de contrôle et aux droits des personnes concernées, créant ainsi un écosystème de contrôle plus robuste et réactif.
La Cour de justice adopte une définition large des données de santé, incluant les informations relatives à l’achat de médicaments sans ordonnance (A). Cette interprétation a pour portée de renforcer la protection des données sensibles en l’appliquant même en l’absence de certitude quant à leur lien direct avec l’acheteur (B).
Pour qualifier les données en cause, la Cour rappelle que la notion de « données concernant la santé », tant sous l’empire de la directive 95/46 que du RGPD, doit faire l’objet d’une interprétation large. Cette approche est dictée par la finalité du règlement : « garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques ». La Cour juge ainsi qu’il n’est pas nécessaire que les données révèlent directement une information sur la santé ; il suffit qu’elles soient « de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé de la personne concernée ».
Appliquant ce critère, la Cour conclut que les informations saisies lors de la commande de médicaments, même non soumis à prescription, constituent des données de santé. En effet, l’association du nom d’une personne, de son adresse et d’un produit pharmaceutique spécifique permet de déduire des informations sur son état de santé potentiel. Le fait que les médicaments ne soient pas soumis à prescription est jugé inopérant, car une distinction selon ce critère serait incohérente avec l’objectif de protection élevée et porterait atteinte à l’effet utile de l’article 9 du RGPD, qui vise à prémunir contre les risques d’ingérence grave dans la vie privée.
La décision étend la protection de l’article 9 du RGPD à des situations marquées par une part d’incertitude. La juridiction de renvoi s’interrogeait sur la pertinence de la qualification, dès lors que l’acheteur n’est pas nécessairement le consommateur final du médicament. La Cour écarte cet argument en précisant que le traitement est interdit dès lors que les données sont de nature à révéler des informations sur la santé d’une personne physique, « que ces informations concernent cet utilisateur ou toute autre personne pour laquelle celui-ci effectue la commande ». L’interdiction de principe s’applique indépendamment de l’exactitude de l’information ou de l’identité précise de la personne concernée.
Cette approche maximaliste est justifiée par la sensibilité particulière des données de santé et les risques importants qu’engendre leur traitement. En se contentant d’une probabilité de lien entre les données et l’état de santé, la Cour renforce considérablement le champ d’application du régime spécial de l’article 9 du RGPD. La solution oblige ainsi les responsables de traitement à une vigilance accrue, les contraignant à obtenir un consentement explicite ou à se fonder sur une autre exception prévue à l’article 9, paragraphe 2, dès lors qu’un traitement de données est susceptible, même indirectement, de révéler des informations sensibles. Cette interprétation garantit une protection robuste face aux risques d’inférence et de déduction qui se multiplient dans l’économie numérique.
