La conformité avec le RGPD et de manière générale la réglementation en matière de données personnelles est une obligation pour les entreprises. 

Elle n’en constitue pas moins un poste d’investissement important pour ces dernières, et impose fatalement certaines limitations quant à son champ d’action commercial – par exemple, en termes de profilage et de publicité ciblée.

Or, en droit français, il est établi que la violation d’une obligation légale ou réglementaire, en ce qu’elle permet d’outrepasser les règles auxquelles s’astreignent les concurrents, constitue un avantage concurrentiel indu et est donc sanctionné au titre de la concurrence déloyale (cf. notamment, Cass. Com., 17 mars 2021, n°19/10414).

Récemment, des cours d’appel françaises ont sauté le pas et directement appliqué ce principe aux entreprises qui s’étaient rendues coupables de traitements illicites de données personnelles.

Par exemple, la Cour d’Appel de Paris (CA Paris, 21 avr. 2023 – n°21/00180) se réfère directement à la condamnation d’une société par la CNIL pour justifier la présence d’un avantage indu : « Brico Privé a été condamné par la CNIL (délibération de la formation restreinte n°SAN-2021-008 du 14 juin 2021), suite à un contrôle effectué le 13 novembre 2018, à une amende administrative de 500.000 euros pour avoir manqué à plusieurs obligations au titre du RGPD et de la loi Informatique et Libertés, et avoir envoyé des courriels de prospection sans le consentement des personnes en violation du code des postes et des communications électroniques. La Cour retient qu'en ne respectant pas ces règles impératives, tout en commercialisant des produits Husqvarna, Brico Privé a porté atteinte au prestige du réseau Husqvarna et bénéficié d'un avantage concurrentiel indu. »

Une inconnue demeurait cependant, en cela que cet aspect concurrentiel n’était pas explicitement prévu par le RGPD lui-même. La CJUE avait en 2023 admis la possibilité, pour les autorités nationales gardiennes de la concurrence, d’examiner d’éventuelles violations du RGPD (CJUE, 4 juillet 2023, C-252/21, Meta Platforms Inc. e.a. contre Bundeskartellamt). Mais elle n’avait cependant pas explicitement considéré le cas d’une telle violation comme directement constitutif d’un acte de concurrence déloyale.

Dans son récent arrêt du 4 octobre (CJUE, 4 octobre 2024, Affaire C-21/23), la Cour précise ainsi les liens entre RGPD et concurrence déloyale.

L’affaire concerne deux pharmaciens allemands. L’un d’entre eux décide de commercialiser sur Amazon des médicaments sans ordonnance – une telle vente en ligne nécessitant la saisine de données personnelles telles que leur nom, leur adresse, et surtout les informations de santé nécessaires à l’individualisation desdits médicaments par le pharmacien. 

Un confrère (et concurrent) de ce pharmacien estime qu’une telle vente en ligne constitue un traitement illicite de données de santé, et confère à l’incriminé un avantage concurrentiel. En effet, ne pas s’embarrasser des règles relatives à ces traitements de données lui permet de s’ouvrir à une large clientèle sur la plateforme Amazon.

Les juridictions allemandes sont saisies du litige par le concurrent. Ces dernières saisissent la CJUE afin de savoir si ce dernier, qui n’est pas une personne concernée par les traitements de données litigieux, dispose d’un droit à agir sur le fondement du RGPD. 

A cet égard, la Cour rappelle qu’une violation du RGPD est tout à fait susceptible de porter atteinte à des tiers au traitement – ce qu’admet notamment le régime de réparation de l’article 82 du Règlement, auquel est éligible « toute personne ayant subi un dommage matériel ou moral » du fait de la violation. La Cour souligne également qu’elle avait elle-même noté les liens étroits entre données personnelles et avantages concurrentiels dans l’économie numérique, dans le cadre de l’arrêt du 4 juillet 2023 précédemment cité.

Pragmatique, la Cour ne manque pas en outre de noter que l’action en concurrence déloyale ne vise pas directement à « assurer une protection efficace des personnes concernées à l’égard du traitement de leurs données personnelles », elle n’en contribue pas moins à cet objectif du RGPD en sanctionnant un potentiel abus. En définitive, la Cour juge qu’aucune disposition du RGPD « n’exclut expressément la possibilité pour le concurrent d’une entreprise d’introduire un recours devant les juridictions civiles contre cette entreprise sur le fondement de l’interdiction des pratiques commerciales déloyales, en raison de la violation alléguée par cette entreprise d’obligations prévues par ce règlement ».

Par cet arrêt, la CJUE encourage la démarche déjà présente au sein des juridictions nationales et notamment françaises, qui résulte en la double sanction d’une violation du RGPD. La menace de l’amende administrative infligée par la CNIL serait ainsi potentiellement suivie de poursuites civiles par les concurrents devant les juridictions.

Le département Contrats informatiques, données & conformité peut vous accompagne dans la gestion de votre conformité en matières de données personnelles.

Pour toute question, n’hésitez pas à nous contacter.