La protection des données personnelles est devenue un enjeu majeur dans l'Union européenne depuis l'entrée en vigueur du Règlement général sur la protection des données (RGPD). Parallèlement, le respect des règles de concurrence loyale entre entreprises demeure essentiel. La question se pose alors : est-il possible pour une entreprise d'agir en concurrence déloyale contre un concurrent qui viole le RGPD ? L'arrêt de la Cour de justice de l'Union européenne (CJUE) du 4 octobre 2024 apporte des éléments de réponse déterminants.
Le RGPD prévoit des mécanismes de recours principalement au bénéfice des personnes concernées par le traitement de leurs données personnelles. Selon les articles 77 à 79 du RGPD, ces personnes peuvent introduire une réclamation auprès d'une autorité de contrôle ou exercer un recours juridictionnel contre un responsable du traitement. L'article 80 du RGPD permet également à des organismes ou associations à but non lucratif de représenter les personnes concernées.
Dans son arrêt du 4 octobre 2024, la CJUE a jugé que le RGPD ne s'oppose pas à ce qu'une réglementation nationale confère à un concurrent la qualité pour agir en justice contre une entreprise violant le RGPD, sur le fondement de l'interdiction des pratiques commerciales déloyales. La Cour a considéré que, bien que le RGPD ne prévoie pas explicitement cette possibilité, il ne l'exclut pas non plus.
Cette décision ouvre la voie aux entreprises pour intenter des actions en justice contre leurs concurrents qui ne respectent pas le RGPD, lorsqu'elles subissent un préjudice du fait de ces violations. Elles peuvent ainsi agir pour faire cesser ces pratiques et obtenir réparation du préjudice subi, en se fondant sur les règles de la concurrence déloyale.
En droit français, l'action en concurrence déloyale trouve son fondement dans l'article 1240 du Code civil (anciennement article 1382), qui dispose que "tout fait quelconque de l'homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer". Ainsi, le non-respect d'une réglementation, telle que le RGPD, peut constituer une faute génératrice de responsabilité.
La Cour de cassation, dans un arrêt du 17 mars 2021 (n°19-10.414), a reconnu qu'une entreprise qui ne respecte pas une réglementation dans l'exercice de son activité commerciale bénéficie d'un avantage concurrentiel indu, caractérisant ainsi un acte de concurrence déloyale. De même, la Cour d'appel de Paris, dans un arrêt du 9 novembre 2022 (n°21/00180), a jugé qu'une entreprise ne respectant pas le RGPD tout en commercialisant des produits concurrents portait atteinte au prestige du réseau de son concurrent et bénéficiait d'un avantage concurrentiel indu.
Le RGPD définit les données concernant la santé comme "les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur son état de santé" (article 4, point 15). Ces données bénéficient d'une protection renforcée en vertu de l'article 9 du RGPD.
La CJUE, dans son arrêt du 4 octobre 2024, a considéré que les informations saisies par les clients lors de la commande en ligne de médicaments, y compris ceux non soumis à prescription médicale, constituent des données concernant la santé. En effet, le fait de commander un médicament spécifique peut révéler des informations sur l'état de santé du client, même indirectement.
Les entreprises, notamment celles opérant en ligne, doivent s'assurer du respect strict du RGPD, en particulier lors du traitement de données sensibles comme les données de santé. Elles doivent notamment :
Le non-respect du RGPD expose les entreprises à plusieurs risques :
L'arrêt de la CJUE du 4 octobre 2024 marque une évolution significative en reconnaissant la possibilité pour une entreprise d'agir en concurrence déloyale contre un concurrent qui viole le RGPD. Cette décision souligne l'importance pour les entreprises de se conformer rigoureusement aux obligations du RGPD, non seulement pour protéger les droits des personnes concernées, mais aussi pour éviter des litiges avec leurs concurrents. Les entreprises doivent être vigilantes et adopter des pratiques exemplaires en matière de protection des données personnelles afin de garantir une concurrence saine et loyale.