Deux pharmaciens s’écharpent dans un litige « RGPD »

L’affaire opposait deux pharmaciens allemands. Le premier reprochait au second la commercialisation, au mépris des règles du RGPD, sur une place de marché en ligne (Amazon) de médicaments non soumis à prescription médicale. Le non-respect du RGPD résidait, selon le premier pharmacien, dans le fait que le second n’obtenait pas le consentement préalable des clients, personnes concernées, pour le traitement de leurs données de santé.

À lire aussi : L’achat en ligne de médicaments nécessite-t-il le consentement des clients au traitement de leurs données de santé ?

Le premier a alors formé un recours en justice contre le second afin qu’il soit mis fin à une telle pratique considérée comme déloyale.

A cette occasion, la juridiction allemande saisie du litige a interrogé la CJUE sur le point de savoir si ce type d’action en justice était permise par le RGPD.

La CJUE a jugé qu’aucune disposition du RGPD « n’exclut expressément la possibilité pour le concurrent d’une entreprise d’introduire un recours devant les juridictions civiles contre cette entreprise sur le fondement de l’interdiction des pratiques commerciales déloyales, en raison de la violation alléguée par cette entreprise d’obligations prévues par ce règlement ». Cette possibilité « s’ajoute aux voies de recours » prévues par le RGPD.

La CJUE souligne, en particulier, que cette possibilité de recours « est de nature à renforcer l’effet utile [du RPGD] et ainsi le niveau élevé de protection des personnes concernées à l’égard du traitement de leurs données personnelles ».

Il appartiendra alors à la juridiction nationale allemande de vérifier si la violation présumée du RGPD « pour autant qu’elle soit établie, est également constitutive d’une violation des pratiques commerciales déloyales telle que prévue par la règlementation nationale pertinente ».

Que peut-on en retenir ?

Le non-respect du RGPD peut être sanctionné sur le terrain des pratiques commerciales déloyales interdites telles que prévues par une loi locale de l’UE.

En France, les juges ont déjà considéré que le non-respect du RGPD peut constituer un acte de concurrence déloyale.

De façon générale, la Cour de cassation a jugé que « constitue un acte de concurrence déloyale le non-respect d’une réglementation d’une activité commerciale, qui induit nécessairement un avantage concurrentiel indu pour son auteur²».

Aussi, tant le Tribunal Judiciaire de Paris³ que la Cour d’appel de Paris⁴ ont admis l’action en concurrence déloyale du fait d’une violation du RGPD, violation permettant nécessairement « de bénéficier d’un avantage commercial indu ».

Cette nouvelle décision de la CJUE ajoute une pierre à l’édifice des recours possibles, dans l’Union européenne, contre un concurrent qui ne respecte pas le RGPD.

Un conseil : ne négligez pas votre conformité au RGPD et vérifiez si vos principaux concurrents sont de « bons élèves » afin d’envisager, le cas échéant, un recours contre eux…

1. CJUE, 4 octobre 2024, Affaire C-21/23.
2. Cass. Com., 17 mars 2021, n°19/10414.
3. TJ Paris, 15 avril 2022, n°19/12628.
4. CA de Paris, 9 novembre 2022, n°21/00180.