Une réglementation nationale interdisant les pratiques commerciales déloyales peut autoriser un concurrent à engager une action contre l’auteur d’une violation du RGPD (Règlement général sur la protection des données).

Contexte de l’affaire

La CJUE s’est prononcée dans une affaire où un pharmacien allemand vendait des médicaments réservés aux pharmacies via la plateforme « Amazon Marketplace » *. Cette activité impliquait la collecte de données personnelles des clients, telles que le nom, l’adresse de livraison et des informations sur les produits commandés, sans respecter les exigences de consentement prévues par le RGPD.

Un concurrent a saisi les juridictions civiles allemandes, dénonçant cette pratique comme déloyale, en raison de la violation des règles relatives aux données personnelles. La question posée à la CJUE portait sur la possibilité pour un concurrent, non concerné directement par le traitement des données, d’intenter une action en justice.

Position de la CJUE

La CJUE a jugé que le RGPD ne s’oppose pas à ce qu’un concurrent engage un recours civil, même s’il n’est pas directement affecté par la violation. Voici les points clés de l’arrêt :

1. Droits des tiers : Le RGPD prévoit un droit à réparation pour « toute personne ayant subi un dommage matériel ou moral » (art. 82). La CJUE estime que, bien que les violations du RGPD affectent principalement les personnes concernées par les données, elles peuvent également léser des tiers, notamment en créant des pratiques commerciales déloyales.

   
   

2. Conformité avec les objectifs du RGPD : L’action d’un concurrent, visant à faire cesser une violation, contribue à protéger les droits des personnes concernées et à garantir un niveau élevé de conformité.

   
   

3. Réglementations nationales : Les États membres peuvent prévoir, dans leur droit national, des mécanismes permettant à des concurrents de poursuivre l’auteur d’une violation du RGPD, en complément des pouvoirs des autorités de contrôle.

   
   

Enfin, la CJUE a précisé que les informations collectées lors de la commande de médicaments (nom, adresse, caractéristiques des produits) sont des « données concernant la santé » au sens du RGPD, même si les médicaments ne nécessitent pas de prescription.

Il revient aux juridictions nationales de vérifier si la violation du RGPD constitue également une pratique commerciale déloyale au sens de leur législation.

En droit français

En France, une action en concurrence déloyale peut être fondée sur l’article 1240 du Code civil. Une violation des règles impératives, comme celles du RGPD, conférant un avantage indu à une entreprise peut justifier une telle action**. Par exemple, un distributeur ayant manqué à ses obligations en matière de protection des données a été condamné pour avoir porté atteinte à la réputation d’un réseau commercial tout en tirant un avantage concurrentiel***.

Conclusion

Cet arrêt ouvre la voie à des actions en concurrence déloyale fondées sur des violations du RGPD, renforçant ainsi les outils à disposition des entreprises pour assurer le respect des règles de protection des données personnelles.

Il rappelle l'importance pour les entreprises de se conformer au RGPD afin d’éviter des litiges potentiels, y compris des actions en concurrence déloyale. Pour limiter les risques, il est essentiel de soigner la rédaction de documents juridiques.

Ces mesures renforcent la transparence et protègent l’entreprise sur les plans juridique et commercial.

_________________________________________________________________________________

*CJUE 4-10-2024 aff. 21/23

**Cass. com. 17-3-2021 n° 19-10.414

*** CA Paris 9-11-2022 n° 21/00180