Publicité en cours de chargement...

Publicité en cours de chargement...

L’achat en ligne de médicaments nécessite-t-il le consentement des clients au traitement de leurs données de santé ?

25 oct. 2024 - 12:47,
Actualité-
Alice Robert & Alexandre Fievée - Derriennic Associés

Écouter l'article

0:000:00
Illustration L’achat en ligne de médicaments nécessite-t-il le consentement des clients au traitement de leurs données de santé ?
Nous savons que la notion de donnée de santé doit être interprétée très largement. Toutefois, dans certaines circonstances, la question se pose de savoir si on est en présence ou non de données concernant la santé. Cette question a été posée à la Cour de Justice de l’Union Européenne (CJUE), qui a dû se prononcer sur le fait de savoir si, lors d’une commande en ligne de médicaments, les éléments nécessaires à leur individualisation doivent s’analyser comme des données de santé (1).

L’affaire opposait deux pharmaciens allemands. Le premier reprochait au second la commercialisation sur une place de marché en ligne (Amazon), au mépris des règles du RGPD, de médicaments non soumis à prescription médicale. Le non-respect du RGPD résidait, selon le premier pharmacien, dans le fait que le second n’obtenait pas le consentement préalable des clients, personnes concernées, pour le traitement de leurs données de santé (article 9 du RGPD).

Le premier a alors formé un recours en justice contre le second afin qu’il soit mis fin à une telle pratique considérée comme déloyale.

A cette occasion, la juridiction allemande saisie du litige a interrogé la CJUE sur le point notamment de savoir si l’article 9 du RGPD doit être interprété en ce sens que les informations que les clients saisissent lors de la commande en ligne de médicaments - nom, adresse de livraison, éléments nécessaires à l’individualisation des médicaments – constituent des données concernant la santé.

La CJUE a d’abord indiqué que « lorsque les données sur les achats des médicaments permettent de tirer des conclusions sur l’état d’une personne identifiée ou identifiable », elles doivent être considérées comme étant « des données concernant la santé ». Il suffit ainsi, a ajouté la Cour, que ces données « soient de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé de la personne concernée ».

A cet égard, la juridiction européenne a estimé qu’il importe peu que les médicaments puissent être destinés non pas au client qui réalise la commande mais à des personnes tierces. La CJUE en a conclu que « les informations que les clients d’un exploitant d’une pharmacie saisissent lors de la commande en ligne de médicaments dont la vente est réservée aux pharmacies sans être soumise à prescription médicale constituent des données concernant la santé (…), même si c’est seulement avec une certaine probabilité, et non avec une certitude absolue, que ces médicaments sont destinés à ces clients ».

La Cour a précisé enfin que le fait que de telles informations constituent des données de santé ne fait pas obstacle à leur traitement par l’exploitant de la pharmacie, mais à condition que l’une des conditions de l’article 9-2 du RGPD soit respectée, en l’occurrence soit que le client a donné son consentement (article 9-2 a)), soit que le traitement est nécessaire aux fins de la prise en charge sanitaire (article 9-2 h)).

C’est à la juridiction allemande qu’il reviendra de répondre à la question de la licéité de ce traitement, qui, en l’espèce, ne repose pas sur le consentement. Affaire à suivre…


  1. CJUE, 4 octobre 2024, Affaire C-21/23.
photo de Derriennic Associés
Alice Robert & Alexandre Fievée - Derriennic Associés

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Cloud souverain : le décret SREN durcit le cadre pour les données sensibles du secteur public

Cloud souverain : le décret SREN durcit le cadre pour les données sensibles du secteur public

27 avril 2026 - 09:16,

Actualité

- Rédaction, DSIH

Le décret d’application de l’article 31 de la loi visant à sécuriser et réguler l’espace numérique vient enfin préciser les conditions d’hébergement des données sensibles dans le cloud. Pour les établissements de santé, les administrations et les opérateurs publics, le texte marque une nouvelle étap...

Illustration Le DLP, ou l’archétype du techno-solutionnisme béat

Le DLP, ou l’archétype du techno-solutionnisme béat

20 avril 2026 - 10:27,

Tribune

-
Cédric Cartau

On n’est pas exactement dans un matraquage publicitaire de haute intensité, mais cela revient tout de même assez régulièrement, comme la grippe de saison ou les allergies aux plastiques des tongs d’été. En tout cas, régulièrement, il se trouve un commercial lambda pour nous ressortir une offre préte...

Illustration L’IA, fossoyeur de l’IT ? Pas si simple, et certainement pas tout de suite

L’IA, fossoyeur de l’IT ? Pas si simple, et certainement pas tout de suite

07 avril 2026 - 07:40,

Tribune

-
Cédric Cartau

Dans la première moitié du XIXe siècle, les usines textiles, qui avaient déployé massivement des métiers à tisser mécaniques, utilisaient les ouvriers pour contrôler le tissu sortant de la chaîne de production : absence de fil cassé, etc. Un ouvrier pouvait piloter 2 machines en même temps, et à un ...

Illustration Du séjour au domicile : le SMS comme brique du système d’information hospitalier

Du séjour au domicile : le SMS comme brique du système d’information hospitalier

07 avril 2026 - 07:30,

Actualité

- Pierre Derrouch, DSIH

La réduction continue des durées de séjour hospitalier déplace une part du risque clinique vers le domicile. En chirurgie ambulatoire, les réhospitalisations entre un à trois jours après l’intervention figurent parmi les indicateurs de sécurité suivis par la Haute Autorité de Santé dans le cadre des...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.