Les Etats membres peuvent prévoir la possibilité pour les concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel de la contester en justice en tant que pratique commerciale déloyale interdite. La vente en ligne de médicaments réservés aux pharmacies nécessite le consentement explicite du client sur le traitement de ses données, même si ces médicaments ne sont pas soumis à prescription.
Dans un litige opposant deux pharmaciens concurrents, la Cour fédérale de justice allemande se demande si la législation nationale, qui permet à un concurrent d’agir en justice contre l’auteur présumé des violations du RGPD (Règlement général sur la protection des données - Règlement (UE) 2016/679 du 27 avril 2016) sur la base de l’interdiction des pratiques commerciales déloyales, est conforme à ce règlement.
Dans un arrêt du 4 octobre 2024 (affaire C-21/23), la Cour de justice de l'Union européenne répond, en premier lieu, que le RGPD ne s’oppose pas à une réglementation nationale qui, au-delà des droits et des pouvoirs conférés par le RGPD aux autorités de contrôle nationales, aux personnes concernées et aux associations représentant ces personnes, permet aux concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel d’agir en justice contre lui, en raison de violations de ce règlement, sur la base de l’interdiction des pratiques commerciales déloyales.
Au contraire, cela contribue incontestablement à renforcer les droits des personnes concernées et à leur assurer un niveau de protection élevé.
Par ailleurs, cela peut s’avérer particulièrement efficace, dans la mesure où l’on pourrait, par ce biais, prévenir un grand nombre de violations du RGPD.
En second lieu, la Cour considère que constituent des données concernant la santé au sens du RGPD les informations saisies par les clients (telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments) lors de la commande en ligne des médicaments réservés aux pharmacies, même lorsque la vente de ces derniers n’est pas soumise à prescription médicale.
En effet, ces données sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé d’une personne physique identifiée ou identifiable, car un lien est établi entre celle-ci et un médicament, ses indications thérapeutiques ou ses utilisations, que ces informations concernent le client ou toute autre personne pour laquelle celui-ci effectue la commande.
Partant, il est indifférent que, en l’absence de prescription médicale, c’est seulement avec une certaine probabilité, et non avec une certitude absolue, que ces médicaments soient destinés aux clients les ayant commandés.
Opérer une distinction en fonction du type des médicaments et du fait que leur vente soit ou non soumise à prescription médicale serait contraire à l’objectif de protection élevée du RGPD.
Par conséquent, le vendeur doit informer ces clients d’une manière exacte, complète et facilement compréhensible des caractéristiques et des finalités spécifiques du traitement desdites données et leur demander leur consentement explicite pour ce traitement.