December 4, 2024

Le Bouard Avocats

Possibilité d'agir en concurrence déloyale contre un concurrent qui viole le RGPD

La protection des données personnelles est devenue un enjeu majeur dans l'Union européenne depuis l'entrée en vigueur du Règlement général sur la protection des données (RGPD). Parallèlement, le respect des règles de concurrence loyale entre entreprises demeure essentiel. La question se pose alors : est-il possible pour une entreprise d'agir en concurrence déloyale contre un concurrent qui viole le RGPD ? L'arrêt de la Cour de justice de l'Union européenne (CJUE) du 4 octobre 2024 apporte des éléments de réponse déterminants.

La qualité pour agir d'un concurrent en cas de violation du RGPD

Les voies de recours prévues par le RGPD

Le RGPD prévoit des mécanismes de recours principalement au bénéfice des personnes concernées par le traitement de leurs données personnelles. Selon les articles 77 à 79 du RGPD, ces personnes peuvent introduire une réclamation auprès d'une autorité de contrôle ou exercer un recours juridictionnel contre un responsable du traitement. L'article 80 du RGPD permet également à des organismes ou associations à but non lucratif de représenter les personnes concernées.

L'apport de l'arrêt de la CJUE du 4 octobre 2024

Dans son arrêt du 4 octobre 2024, la CJUE a jugé que le RGPD ne s'oppose pas à ce qu'une réglementation nationale confère à un concurrent la qualité pour agir en justice contre une entreprise violant le RGPD, sur le fondement de l'interdiction des pratiques commerciales déloyales. La Cour a considéré que, bien que le RGPD ne prévoie pas explicitement cette possibilité, il ne l'exclut pas non plus.

Les conséquences pour les entreprises concurrentes

Cette décision ouvre la voie aux entreprises pour intenter des actions en justice contre leurs concurrents qui ne respectent pas le RGPD, lorsqu'elles subissent un préjudice du fait de ces violations. Elles peuvent ainsi agir pour faire cesser ces pratiques et obtenir réparation du préjudice subi, en se fondant sur les règles de la concurrence déloyale.

agir contre la concurrence déloyale en RGPD

Le fondement juridique en droit français pour une action en concurrence déloyale

L'article 1240 du Code civil comme base légale

En droit français, l'action en concurrence déloyale trouve son fondement dans l'article 1240 du Code civil (anciennement article 1382), qui dispose que "tout fait quelconque de l'homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer". Ainsi, le non-respect d'une réglementation, telle que le RGPD, peut constituer une faute génératrice de responsabilité.

La jurisprudence française pertinente

La Cour de cassation, dans un arrêt du 17 mars 2021 (n°19-10.414), a reconnu qu'une entreprise qui ne respecte pas une réglementation dans l'exercice de son activité commerciale bénéficie d'un avantage concurrentiel indu, caractérisant ainsi un acte de concurrence déloyale. De même, la Cour d'appel de Paris, dans un arrêt du 9 novembre 2022 (n°21/00180), a jugé qu'une entreprise ne respectant pas le RGPD tout en commercialisant des produits concurrents portait atteinte au prestige du réseau de son concurrent et bénéficiait d'un avantage concurrentiel indu.

Les données concernant la santé et leur protection renforcée

Définition des données de santé selon le RGPD

Le RGPD définit les données concernant la santé comme "les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur son état de santé" (article 4, point 15). Ces données bénéficient d'une protection renforcée en vertu de l'article 9 du RGPD.

Qualification des données collectées lors de la vente en ligne de médicaments

La CJUE, dans son arrêt du 4 octobre 2024, a considéré que les informations saisies par les clients lors de la commande en ligne de médicaments, y compris ceux non soumis à prescription médicale, constituent des données concernant la santé. En effet, le fait de commander un médicament spécifique peut révéler des informations sur l'état de santé du client, même indirectement.

Les implications pratiques pour les entreprises

Obligations des entreprises en matière de protection des données

Les entreprises, notamment celles opérant en ligne, doivent s'assurer du respect strict du RGPD, en particulier lors du traitement de données sensibles comme les données de santé. Elles doivent notamment :

  • Obtenir le consentement explicite des personnes concernées pour le traitement de leurs données sensibles.
  • Mettre en place des mesures de sécurité appropriées pour protéger ces données.
  • Informer les clients de manière transparente sur les traitements effectués.

Risques en cas de non-respect du RGPD

Le non-respect du RGPD expose les entreprises à plusieurs risques :

  • Sanctions administratives pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (article 83 du RGPD).
  • Actions en justice de la part des personnes concernées pour obtenir réparation du préjudice subi.
  • Actions en concurrence déloyale de la part des concurrents, pouvant conduire à des condamnations pour dommages-intérêts et à une obligation de cesser les pratiques illicites.

Conclusion

L'arrêt de la CJUE du 4 octobre 2024 marque une évolution significative en reconnaissant la possibilité pour une entreprise d'agir en concurrence déloyale contre un concurrent qui viole le RGPD. Cette décision souligne l'importance pour les entreprises de se conformer rigoureusement aux obligations du RGPD, non seulement pour protéger les droits des personnes concernées, mais aussi pour éviter des litiges avec leurs concurrents. Les entreprises doivent être vigilantes et adopter des pratiques exemplaires en matière de protection des données personnelles afin de garantir une concurrence saine et loyale.