Affaire C‑21/23
ND
contre
DR
(demande de décision préjudicielle, introduite par le Bundesgerichtshof)
Arrêt de la Cour (grande chambre) du 4 octobre 2024
« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Chapitre VIII – Voies de recours – Commercialisation de médicaments par un pharmacien par le biais d’une plate-forme en ligne – Recours introduit devant les juridictions civiles par un concurrent de ce pharmacien sur le fondement de l’interdiction des pratiques commerciales déloyales en raison de la violation par celui-ci des obligations prévues par ce règlement – Qualité pour agir – Article 4, point 15, et article 9, paragraphes 1 et 2 – Directive 95/46/CE – Article 8, paragraphes 1 et 2 – Notion de “données concernant la santé” – Conditions pour le traitement de telles données »
1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Voies de recours – Caractère non exhaustif – Réglementation nationale permettant aux concurrents de l’auteur présumé d’une violation des obligations prévues par le règlement d’introduire un recours devant les juridictions civiles sur le fondement de l’interdiction des pratiques commerciales déloyales – Admissibilité
(Règlement du Parlement européen et du Conseil 2016/679, art. 77 à 80)
(voir points 53-57, 60, 62-73, disp.1)
2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Notion de données concernant la santé – Informations concernant les clients d’un exploitant d’une pharmacie mettant en vente des médicaments sur une plate-forme en ligne, fournies lors de la commande de ces médicaments – Informations sur le nom de ces clients, l’adresse de livraison ainsi que celles nécessaires à l’individualisation des médicaments – Inclusion – Vente des médicaments non soumise à la prescription médicale – Absence d’incidence
(Règlement du Parlement européen et du Conseil 2016/679, art. 4, points 1 et 15, et 9, § 1 ; directive du Parlement européen et du Conseil 95/46, art. 8, § 1)
(voir points 84, 88-91, disp.2)
3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Traitement portant sur des catégories particulières de données à caractère personnel – Interdiction – Dérogations
(Règlement du Parlement européen et du Conseil 2016/679, considérant 53, art. 9, § 1 et 2 ; directive du Parlement européen et du Conseil 95/46, art. 8, § 1 et 2)
(voir points 86, 87, 92, 93)
Résumé
Saisie à titre préjudiciel par le Bundesgerichtshof (Cour fédérale de justice, Allemagne), la grande chambre de la Cour se prononce sur la nature et la portée du système de voies de recours en matière de protection des données (1) ainsi que sur la notion de « données concernant la santé » (2).
ND et DR, deux personnes physiques, exploitent chacune une pharmacie en Allemagne. Depuis 2017, ND commercialise, sur la plate-forme en ligne « Amazon-Marketplace », des médicaments dont la vente est réservée aux pharmacies. Lors de leur commande en ligne, les clients de ND doivent saisir des informations, telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation de ces médicaments.
En s’appuyant sur le droit allemand en matière de concurrence déloyale (3), DR a introduit contre ND une action en cessation devant les juridictions nationales civiles. DR a fait valoir que la commercialisation des médicaments par ND était déloyale en raison de la méconnaissance d’exigence légale relative à l’obtention du consentement préalable du client pour le traitement de ses données concernant la santé.
Après que les juridictions inférieures avaient fait droit à cette action, ND a introduit un recours en Revision devant la juridiction de renvoi, qui, à son tour, a estimé nécessaire de saisir la Cour à titre préjudiciel.
Dans son arrêt, la Cour conclut au caractère non exhaustif du système de voies de recours instauré par le RGPD, en reconnaissant que ce règlement ne s’oppose pas à ce que les États membres prévoient, dans le droit national, la possibilité pour les concurrents de l’auteur présumé d’une violation des dispositions matérielles dudit règlement de contester celle-ci en justice en tant que pratique commerciale déloyale. En outre, elle apporte des précisions sur les contours de la notion de « données concernant la santé ».
Appréciation de la Cour
En premier lieu, la Cour relève que, si le chapitre VIII du RGPD ne prévoit pas spécifiquement une clause d’ouverture qui permettrait, de manière expresse, aux États membres de prévoir une telle possibilité de recours pour les concurrents, il résulte toutefois des termes et du contexte des dispositions de ce chapitre VIII que le législateur de l’Union n’a pas souhaité exclure celle-ci. Cette interprétation est confirmée par les objectifs poursuivis par le RGPD.
En effet, d’une part, une action en cessation introduite par un concurrent contre une entreprise sur le fondement de l’interdiction des pratiques commerciales déloyales, en raison de la violation alléguée des dispositions matérielles du RGPD, ne porte nullement préjudice au système des voies de recours prévu par ce règlement ni à l’objectif d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union européenne et d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur.
Dans ce contexte, la Cour précise que, certes, une telle action est susceptible de reposer, quoique de manière incidente, sur la violation des mêmes dispositions du RGPD que celles sur lesquelles pourrait être fondé une réclamation ou un recours introduit par les personnes concernées ou par une association représentant ces personnes (4). Toutefois, à la différence de ces voies de recours prévues par le RGPD, l’action en cessation introduite par un concurrent ne poursuit pas, en tant que telle, un objectif de protection des libertés et des droits fondamentaux des personnes concernées à l’égard du traitement de leurs données à caractère personnel, mais vise à assurer une concurrence loyale, dans l’intérêt notamment de ce concurrent.
En outre, la possibilité pour un concurrent d’introduire une telle action devant les juridictions civiles sur le fondement de l’interdiction des pratiques commerciales déloyales s’ajoute aux voies de recours instituées par le RGPD, qui sont pleinement préservées et peuvent toujours être exercées par les personnes concernées ainsi que, le cas échéant, par les associations représentant ces personnes. En particulier, la coexistence de voies de recours relevant du droit de la protection des données et du droit de la concurrence ne crée pas de risque pour l’application uniforme dudit règlement.
De plus, l’invocabilité plus large des dispositions matérielles du RGPD, par des personnes autres que les seules personnes concernées et les organismes, organisations et associations, ne porte pas atteinte à la réalisation de l’objectif d’assurer un niveau cohérent de protection de ces personnes dans l’ensemble de l’Union et d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur. En effet, quand bien même des États membres ne prévoiraient pas une telle possibilité, il n’en résulterait pas pour autant une fragmentation de la mise en œuvre de la protection des données dans l’Union, les dispositions matérielles du RGPD s’imposant de la même façon à tous les responsables de traitement et leur respect étant assuré par les voies de recours prévues par ce règlement.
D’autre part, pour ce qui est de l’objectif d’assurer une protection efficace des personnes concernées à l’égard du traitement de leurs données personnelles et de l’effet utile des dispositions matérielles du RGPD, la Cour note que, si une action en cessation introduite par un concurrent de l’auteur présumé d’une atteinte à la protection des données à caractère personnel vise non pas cet objectif, mais celui d’assurer une concurrence loyale, il n’en reste pas moins qu’elle contribue incontestablement au respect de ces dispositions et, donc, à renforcer les droits des personnes concernées et à leur assurer un niveau élevé de protection. Au demeurant, une telle action en cessation d’un concurrent peut s’avérer, à l’instar de celle des associations de défense des intérêts des consommateurs, particulièrement efficace pour assurer une telle protection, dans la mesure où elle est susceptible de prévenir un grand nombre de violations des droits des personnes concernées par le traitement de leurs données à caractère personnel (5).
Ainsi, la Cour constate que les dispositions du RGPD visant le système de voies de recours doivent être interprétées en ce sens qu’elles ne s’opposent pas à une réglementation nationale qui, parallèlement aux pouvoirs d’intervention des autorités de contrôle chargées de surveiller et de faire appliquer ce règlement ainsi qu’aux possibilités de recours des personnes concernées, confère aux concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel la qualité pour agir contre celui-ci au moyen d’un recours devant les juridictions civiles, en raison de violations dudit règlement et sur le fondement de l’interdiction des pratiques commerciales déloyales.
En second lieu, quant à la notion de « données concernant la santé », la Cour constate que relèvent de cette notion les données qu’un client saisit sur une plate-forme en ligne lors de la commande de médicaments dont la vente est réservée aux pharmacies. En effet, ces données sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé de la personne concernée (6), dans la mesure où cette commande implique l’établissement d’un lien entre un médicament, ses indications thérapeutiques ou ses utilisations, et une personne physique identifiée ou identifiable par des éléments tels que le nom de cette personne ou l’adresse de livraison.
En outre, la Cour juge qu’il est indifférent à cet égard que la vente des médicaments commandés n’est pas soumise à prescription médicale et qu’ils pourraient donc être destinés non pas au client qui procède à la commande, mais à des personnes tierces. Ainsi, dans le cas où un utilisateur d’une plate-forme en ligne communique des données à caractère personnel lors de la commande de médicaments dont la vente est réservée aux pharmacies sans être soumise à prescription médicale, le traitement de ces données par l’exploitant d’une pharmacie qui vend ces médicaments par le biais de cette plate-forme en ligne doit être considéré comme étant un traitement portant sur des données concernant la santé (7), étant donné que ce traitement est de nature à révéler des informations sur l’état de santé d’une personne physique, que ces informations concernent cet utilisateur ou toute autre personne pour laquelle celui-ci effectue la commande (8).
En effet, une interprétation qui conduirait à opérer une distinction en fonction du type des médicaments concernés et du fait que leur vente est ou non soumise à prescription médicale ne serait pas en cohérence avec l’objectif d’un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel les concernant. Une telle interprétation irait, qui plus est, à l’encontre de la finalité de l’article 8, paragraphe 1, de la directive 95/46 et de l’article 9, paragraphe 1, du RGPD, consistant à assurer une protection accrue à l’encontre de traitements qui, en raison de la sensibilité particulière des données qui en sont l’objet, sont susceptibles de constituer une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel (9). Partant, les informations que les clients saisissent lors de la commande en ligne de médicaments dont la vente est réservée aux pharmacies sans être soumise à prescription médicale constituent des données concernant la santé, même si c’est seulement avec une certaine probabilité, et non avec une certitude absolue, que ces médicaments sont destinés à ces clients.
La Cour ajoute qu’il ne saurait être exclu que, même dans l’hypothèse où de tels médicaments sont destinés à des personnes autres que les clients, il soit possible d’identifier ces personnes et de tirer des conclusions sur leur état de santé. Tel pourrait être le cas, par exemple, lorsque les médicaments en question sont livrés non pas au domicile du client les ayant commandés, mais au domicile d’une autre personne, ou lorsque, indépendamment de l’adresse de livraison, le client s’est référé, dans sa commande ou dans ses communications relatives à celle-ci, à une autre personne identifiable, telle qu’un membre de sa famille.
Enfin, la Cour note que le fait que les informations en question constituent des données concernant la santé ne fait pas obstacle à ce qu’elles puissent faire l’objet d’un traitement, notamment dans le cadre de la gestion des services et des systèmes de soins de santé, si l’une des conditions prévues à cet égard est remplie (10). D’une part, tel peut en particulier être le cas lorsque la personne concernée donne son consentement explicite à un ou à plusieurs traitements desdites données à caractère personnel, dont les caractéristiques et les finalités spécifiques lui ont été présentées d’une manière exacte, complète et facilement compréhensible. D’autre part, un tel traitement peut être admissible lorsqu’il est nécessaire aux fins de la prise en charge sanitaire sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé.