ARRÊT DE LA COUR (grande chambre)
4 octobre 2024 ( *1 )
« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Chapitre VIII – Voies de recours – Commercialisation de médicaments par un pharmacien par le biais d’une plate-forme en ligne – Recours introduit devant les juridictions civiles par un concurrent de ce pharmacien sur le fondement de l’interdiction des pratiques commerciales déloyales en raison de la violation par celui-ci des obligations prévues par ce règlement – Qualité pour agir – Article 4, point 15,
et article 9, paragraphes 1 et 2 – Directive 95/46/CE – Article 8, paragraphes 1 et 2 – Notion de “données concernant la santé” – Conditions pour le traitement de telles données »
Dans l’affaire C‑21/23,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Bundesgerichtshof (Cour fédérale de justice, Allemagne), par décision du 12 janvier 2023, parvenue à la Cour le 19 janvier 2023, dans la procédure
ND
contre
DR,
LA COUR (grande chambre),
composée de M. K. Lenaerts, président, M. L. Bay Larsen, vice-président, Mme K. Jürimäe, MM. C. Lycourgos, E. Regan, F. Biltgen et N. Piçarra, présidents de chambre, MM. S. Rodin, P. G. Xuereb, Mme L. S. Rossi, MM. I. Jarukaitis, N. Jääskinen, et Mme I. Ziemele (rapporteure), juges,
avocat général : M. M. Szpunar,
greffier : Mme N. Mundhenke, administratrice,
vu la procédure écrite et à la suite de l’audience du 9 janvier 2024,
considérant les observations présentées :
– pour ND, par Mes A. Datta, M. Mogendorf et W. Spoerr, Rechtsanwälte,
– pour DR, par Me M. Bahmann, Rechtsanwalt,
– pour le gouvernement allemand, par MM. J. Möller et P.-L. Krüger, en qualité d’agents,
– pour la Commission européenne, par MM. A. Bouchagiar, F. Erlbacher et H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 25 avril 2024,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 9, paragraphe 1, et des dispositions du chapitre VIII du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), ainsi que
de l’article 8, paragraphe 1, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).
2 Cette demande a été présentée dans le cadre d’un litige opposant ND à DR, deux personnes physiques exploitant chacune une pharmacie, au sujet de la commercialisation par ND, par le biais d’une plate-forme en ligne, de médicaments dont la vente est réservée aux pharmacies.
Le cadre juridique
Le droit de l’Union
3 L’article 8 de la directive 95/46, intitulé « Traitements portant sur des catégories particulières de données », disposait :
« 1. Les États membres interdisent le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.
2. Le paragraphe 1 ne s’applique pas lorsque :
a) la personne concernée a donné son consentement explicite à un tel traitement, sauf dans le cas où la législation de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée
[...] »
4 Les considérants 9 à 11, 13, 35, 51, 53, 141 et 142 du RGPD sont libellés comme suit :
« (9) Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive [95/46] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union, une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des
personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union.
Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive [95/46].
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à
l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...] Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser ses règles, y compris en ce qui concerne le traitement de catégories particulières de données à caractère personnel (ci-après dénommées “données sensibles”). [...]
(11) Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, ainsi que de prévoir, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et des sanctions équivalentes pour les violations.
[...]
(13) Afin d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union, et d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises, pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et
d’obligations et de responsabilités pour les responsables du traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu’une coopération efficace entre les autorités de contrôle des différents États membres. [...]
[...]
(35) Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. [...]
[...]
(51) Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. [...] De telles données à caractère personnel ne devraient pas faire l’objet d’un traitement, à moins que celui-ci ne soit autorisé dans des cas spécifiques prévus par le présent règlement, compte tenu
du fait que le droit d’un État membre peut prévoir des dispositions spécifiques relatives à la protection des données visant à adapter l’application des règles du présent règlement en vue de respecter une obligation légale ou pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement
devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de certaines associations ou fondations
ayant pour finalité de permettre l’exercice des libertés fondamentales.
[...]
(53) Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée ne devraient être traitées qu’à des fins liées à la santé, lorsque cela est nécessaire pour atteindre ces finalités dans l’intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de soins de santé [...] Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories
particulières de données à caractère personnel relatives à la santé, pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est effectué pour certaines fins liées à la santé par des personnes soumises à une obligation légale de secret professionnel. Le droit de l’Union ou le droit des États membres devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données à caractère personnel des personnes
physiques. Les États membres devraient être autorisés à maintenir ou à introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. [...]
[...]
(141) Toute personne concernée devrait avoir le droit d’introduire une réclamation auprès d’une seule autorité de contrôle, en particulier dans l’État membre où elle a sa résidence habituelle, et disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la [charte des droits fondamentaux de l’Union européenne, ci-après la “Charte”] si elle estime que les droits que lui confère le présent règlement sont violés ou si l’autorité de contrôle ne donne pas suite à sa
réclamation, la refuse ou la rejette, en tout ou en partie, ou si elle n’agit pas alors qu’une action est nécessaire pour protéger les droits de la personne concernée. [...]
(142) Lorsqu’une personne concernée estime que les droits que lui confère le présent règlement sont violés, elle devrait avoir le droit de mandater un organisme, une organisation ou une association à but non lucratif, constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des données à caractère personnel, pour qu’il introduise une réclamation en son nom auprès d’une autorité de contrôle, exerce le
droit à un recours juridictionnel au nom de personnes concernées ou, si cela est prévu par le droit d’un État membre, exerce le droit d’obtenir réparation au nom de personnes concernées. Un État membre peut prévoir que cet organisme, cette organisation ou cette association a le droit d’introduire une réclamation dans cet État membre, indépendamment de tout mandat confié par une personne concernée, et dispose du droit à un recours juridictionnel effectif s’il a des raisons de considérer que
les droits d’une personne concernée ont été violés parce que le traitement des données à caractère personnel a eu lieu en violation du présent règlement. Cet organisme, cette organisation ou cette association ne peut pas être autorisé à réclamer réparation pour le compte d’une personne concernée indépendamment du mandat confié par la personne concernée. »
5 L’article 1er de ce règlement, intitulé « Objet et objectifs », dispose :
« 1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
3. La libre circulation des données à caractère personnel au sein de l’Union n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. »
6 L’article 4 dudit règlement prévoit :
« Aux fins du présent règlement, on entend par :
1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci‑après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité
physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction ;
[...]
7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit
d’un État membre ;
[...]
15) “données concernant la santé”, les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ;
[...]
21) “autorité de contrôle”, une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 51 ;
[...] »
7 Le chapitre II du RGPD, intitulé « Principes », comprend les articles 5 à 11 de celui-ci.
8 L’article 5 de ce règlement énonce les principes relatifs au traitement des données à caractère personnel, tandis que l’article 6 de ce règlement fixe les conditions de licéité d’un tel traitement.
9 Aux termes de l’article 9 dudit règlement, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel » :
« 1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.
2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :
a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée ;
[...]
h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3 ;
[...] »
10 L’article 51 du même règlement, intitulé « Autorité de contrôle », prévoit, à son paragraphe 1 :
« Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union (ci-après dénommée “autorité de contrôle”). »
11 Le chapitre VIII du RGPD, intitulé « Voies de recours, responsabilité et sanctions », comprend les articles 77 à 84 de celui-ci.
12 L’article 77 de ce règlement, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », dispose, à son paragraphe 1 :
« Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. »
13 L’article 78 dudit règlement, intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle », énonce, à son paragraphe 1 :
« Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne. »
14 L’article 79 du même règlement, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », prévoit, à son paragraphe 1 :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
15 L’article 80 du RGPD, intitulé « Représentation des personnes concernées », est ainsi libellé :
« 1. La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom, exerce en son nom les droits
visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit.
2. Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du
fait du traitement. »
16 L’article 82 de ce règlement, intitulé « Droit à réparation et responsabilité », dispose, à son paragraphe 1 :
« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »
17 L’article 83 dudit règlement, intitulé « Conditions générales pour imposer des amendes administratives », prévoit, à son paragraphe 1 :
« Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives. »
18 L’article 84 de ce même règlement, intitulé « Sanctions », énonce, à son paragraphe 1 :
« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives. »
19 L’article 94 du RGPD prévoit, à son paragraphe 1 :
« La directive [95/46] est abrogée avec effet au 25 mai 2018. »
20 Selon l’article 99 de ce règlement :
« 1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
2. Il est applicable à partir du 25 mai 2018. »
Le droit allemand
La loi contre la concurrence déloyale
21 L’article 3 du Gesetz gegen den unlauteren Wettbewerb (loi contre la concurrence déloyale), du 3 juillet 2004 (BGBl. 2004 I, p. 1414), dans sa version applicable au litige au principal (ci-après l’« UWG »), intitulé « Interdiction des comportements commerciaux déloyaux », prévoit, à son paragraphe 1 :
« Les pratiques commerciales déloyales sont illicites. »
22 L’article 3a de l’UWG, intitulé « Violation du droit », est ainsi libellé :
« Commet un acte déloyal celui qui enfreint une disposition légale destinée, notamment, à réglementer le comportement sur le marché dans l’intérêt de ses acteurs dès lors que cette infraction est susceptible d’affecter sensiblement les intérêts des consommateurs, des autres acteurs du marché ou des concurrents. »
23 L’article 8 de l’UWG, intitulé « Élimination et omission », énonce :
« (1) Toute pratique commerciale illicite en vertu de l’article 3 ou de l’article 7 peut donner lieu à une injonction de cessation et, en cas de risque de récidive, à un ordre de cessation ou interdiction. [...]
[...]
(3) Les injonctions visées au paragraphe 1 peuvent être demandées par :
1. tout concurrent qui commercialise ou demande des biens ou des services de manière non négligeable et non occasionnelle,
[...] »
La loi sur les médicaments
24 La circulation des médicaments est régie par le Gesetz über den Verkehr mit Arzneimitteln (loi relative au commerce des médicaments), du 24 août 1976 (BGBl. 1976 I, p. 2444), dans sa version publiée le 12 décembre 2005 (BGBl. 2005 I, p. 3394), telle qu’applicable aux faits au principal, opère une distinction entre les médicaments vendus en pharmacie et ceux vendus sur prescription médicale, ces derniers faisant l’objet de l’article 48, intitulé « Obligation de prescription ».
Le litige au principal et les questions préjudicielles
25 ND, qui exploite une pharmacie sous la dénomination commerciale « Lindenapotheke », commercialise, depuis l’année 2017, des médicaments dont la vente est réservée aux pharmacies, sur la plate-forme en ligne « Amazon-Marketplace » (ci-après « Amazon »). Lors de la commande en ligne de ces médicaments, les clients de ND doivent saisir des informations, telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation desdits médicaments.
26 DR, qui exploite également une pharmacie, a saisi le Landgericht Dessau-Roßlau (tribunal régional de Dessau-Roßlau, Allemagne) d’un recours tendant à ce qu’il soit enjoint à ND de cesser, sous peine d’astreinte, de commercialiser, sur Amazon, des médicaments dont la vente est réservée aux pharmacies, tant qu’il n’est pas garanti que le client puisse donner son consentement préalable au traitement de données concernant la santé.
27 À l’appui de son recours, DR a fait valoir que la commercialisation sur Amazon de médicaments dont la vente est réservée aux pharmacies était déloyale, en raison de la méconnaissance d’exigences légales relatives à l’obtention du consentement du client requis par la législation concernant la protection des données à caractère personnel.
28 Par décision du 28 mars 2018, le Landgericht Dessau-Roßlau (tribunal régional de Dessau-Roßlau) a fait droit au recours.
29 ND a interjeté appel de cette décision devant l’Oberlandesgericht Naumburg (tribunal régional supérieur de Naumbourg, Allemagne), qui l’a rejeté par décision du 7 novembre 2019.
30 La juridiction d’appel a considéré que la commercialisation sur Amazon de médicaments dont la vente est réservée aux pharmacies constituait une pratique déloyale, et donc illicite en vertu de l’article 3, paragraphe 1, de l’UWG. En effet, une telle commercialisation de médicaments donnerait lieu à un traitement de données concernant la santé, qui serait interdit en vertu de l’article 9, paragraphe 1, du RGPD, en l’absence d’un consentement explicite de la part des clients faisant l’acquisition de
médicaments, conformément à l’article 9, paragraphe 2, sous a), de ce règlement. Or, les règles prévues par ledit règlement constitueraient des dispositions légales destinées à réglementer le comportement sur le marché, au sens de l’article 3a de l’UWG. En outre, en application de l’article 8, paragraphe 3, point 1, de l’UWG, DR serait en droit, en tant que concurrent, d’invoquer une violation de ces règles par ND, au moyen d’une demande d’injonction de cessation devant les juridictions civiles.
31 ND a introduit un recours en Revision devant le Bundesgerichtshof (Cour fédérale de justice, Allemagne), la juridiction de renvoi.
32 Cette juridiction relève que l’issue du litige dépend de l’interprétation des dispositions du chapitre VIII du RGPD et de l’article 9, paragraphe 1, de ce règlement ainsi que de l’article 8, paragraphe 1, de la directive 95/46.
33 En premier lieu, la juridiction de renvoi s’interroge sur le point de savoir si, depuis l’abrogation de la directive 95/46 avec effet au 25 mai 2018, date à partir de laquelle est devenu applicable le RGPD, il est encore loisible aux États membres de prévoir, en droit national, que les concurrents d’une entreprise, tels que ceux visés à l’article 8, paragraphe 3, point 1, de l’UWG, disposent de la qualité pour faire cesser, au moyen d’un recours devant une juridiction civile, des violations des
dispositions du RGPD commises par cette entreprise, sur le fondement de l’interdiction des pratiques commerciales déloyales.
34 La juridiction de renvoi fait observer que cette question suscite des réponses divergentes au niveau national. En effet, une telle réponse ne pourrait être déduite de manière univoque ni du libellé des dispositions du chapitre VIII du RGPD, ni de l’économie générale de ces dispositions, ni même de l’objectif poursuivi par ledit règlement.
35 Ainsi, tout d’abord, s’agissant du libellé des dispositions du chapitre VIII du RGPD, la juridiction de renvoi souligne que, certes, ces dispositions ne mentionnent à aucun endroit la possibilité pour les concurrents d’une entreprise d’introduire une action contre celle-ci, en particulier lorsque la violation de la législation sur la protection des données est constitutive de pratiques commerciales déloyales. Toutefois, dans le même temps, lesdites dispositions n’excluraient pas formellement
cette possibilité.
36 En ce qui concerne, ensuite, l’économie générale des dispositions du chapitre VIII du RGPD, la juridiction de renvoi souligne, d’un côté, que, ainsi que l’a jugé la Cour dans l’arrêt du 28 avril 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, point 57), ce règlement vise à assurer une harmonisation des législations nationales relatives à la protection des données à caractère personnel, qui est, en principe, complète. Toutefois, de l’autre côté, le fait que l’article 77, paragraphe 1,
l’article 78, paragraphes 1 et 2, et l’article 79, paragraphe 1, du RGPD contiennent chacun l’expression « sans préjudice de tout autre recours » pourrait faire obstacle à ce qu’il soit conclu que le contrôle de l’application du droit a fait l’objet d’une réglementation exhaustive.
37 Enfin, pour ce qui est de l’objectif d’harmonisation et, en particulier, d’uniformisation du niveau de contrôle de l’application du droit au sein de l’Union, poursuivi par le RGPD, la juridiction de renvoi souligne, d’un côté, que le fait que les concurrents puissent avoir qualité pour agir au titre du droit de la concurrence et, partant, faire appliquer les dispositions du droit de la protection des données au-delà des instruments prévus par le RGPD pourrait aller à l’encontre de cet objectif.
En outre, il ne serait pas certain que le système de contrôle de l’application du droit prévu par ledit règlement comporte une lacune qui devrait être comblée par la possibilité reconnue aux concurrents de disposer d’une qualité pour agir au titre du droit de la concurrence. De même, une concurrence en matière de contrôle de l’application du droit de la protection des données entre les autorités de contrôle, d’une part, et les juridictions civiles, d’autre part, risquerait d’empiéter sur les
pouvoirs des autorités de contrôle et de conduire à des divergences, au sein de l’Union, dans le contrôle de l’application du droit de la protection des données.
38 D’un autre côté, selon la juridiction de renvoi, autoriser les concurrents à agir au titre du droit de la concurrence pourrait constituer une possibilité supplémentaire de contrôler l’application du droit, laquelle serait souhaitable en vertu du principe d’effectivité (« effet utile ») afin d’assurer un niveau aussi élevé que possible de protection en matière de données à caractère personnel, conformément au considérant 10 du RGPD.
39 La juridiction de renvoi précise que cette question n’a pas été clarifiée par la jurisprudence de la Cour et que, en particulier, dans l’arrêt du 28 avril 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), la Cour a expressément laissé ouverte la question de la qualité pour agir d’un concurrent.
40 En second lieu, la juridiction de renvoi s’interroge sur le point de savoir si les données que les clients doivent saisir sur la plate-forme de vente en ligne, lors de la commande de médicaments, telles que leur nom, l’adresse de livraison et les informations nécessaires à l’individualisation des médicaments commandés, constituent des « données concernant la santé », au sens de l’article 8, paragraphe 1, de la directive 95/46 et de l’article 9, paragraphe 1, du RGPD.
41 Selon cette juridiction, la réponse à cette question ne s’imposerait pas de manière évidente dans le cas où les médicaments commandés ne sont pas soumis à prescription médicale. En effet, dans un tel cas, il ne serait pas exclu que ces médicaments soient destinés non pas aux clients eux-mêmes mais à des tiers, lesquels ne seraient pas identifiables.
42 La juridiction de renvoi souligne que le libellé de ces dispositions et celui de l’article 4, point 15, du RGPD, lu en combinaison avec le considérant 35 de ce règlement, ne permettent pas, à eux seuls, de répondre à cette question.
43 Toutefois, au point 125 de l’arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601), la Cour aurait jugé que la notion de « catégories particulières de données à caractère personnel », visée à l’article 8, paragraphe 1, de la directive 95/46 et à l’article 9, paragraphe 1, du RGPD, doit être interprétée de manière large compte tenu de l’objectif de ce règlement, qui est de garantir un niveau élevé de protection des libertés et des droits fondamentaux des
personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel les concernant. Si une telle interprétation large de cette notion était retenue, il pourrait être conclu que de telles informations constituent des données concernant la santé lorsqu’il est non pas certain mais seulement probable que les clients qui procèdent à la commande des médicaments soient les personnes auxquelles ceux-ci sont destinés.
44 La juridiction de renvoi précise que le droit à la cessation, invoqué par DR, présuppose que le comportement en cause de ND était illégal à la fois au moment où il a été adopté et au moment où a eu lieu l’audience dans le cadre de la procédure de Revision, et que le premier de ces moments était encore régi par l’article 8, paragraphe 1, de la directive 95/46, alors que le second rentre désormais dans le champ d’application de l’article 9, paragraphe 1, du RGPD.
45 C’est dans ce contexte que le Bundesgerichtshof (Cour fédérale de justice) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) Les dispositions du chapitre VIII du [RGPD] s’opposent-elles à des règles nationales qui, parallèlement aux pouvoirs d’intervention des autorités de contrôle chargées de surveiller et de faire appliquer ce règlement et parallèlement aux possibilités de recours des personnes concernées, confèrent aux concurrents la qualité requise pour agir, au moyen d’un recours devant les juridictions civiles, au titre de violations dudit règlement, contre l’auteur de celles-ci, sur le fondement de
l’interdiction des pratiques commerciales déloyales ?
2) Les données que les clients d’un pharmacien qui agit en tant que vendeur sur une plate-forme de vente en ligne saisissent sur cette plate-forme, lors de la commande de médicaments dont la vente est certes réservée aux pharmacies, mais qui ne sont pas soumis à prescription médicale (des données telles que le nom du client, l’adresse de livraison et des informations nécessaires à l’individualisation du médicament dont la vente est réservée aux pharmacies qui a été commandé), constituent-elles
des données concernant la santé au sens de l’article 9, paragraphe 1, du [RGPD] et des données relatives à la santé au sens de l’article 8, paragraphe 1, de la directive 95/46 ? »
Sur les questions préjudicielles
Sur la première question
46 Par sa première question, la juridiction de renvoi cherche à savoir si les dispositions du chapitre VIII du RGPD doivent être interprétées en ce sens qu’elles s’opposent à une réglementation nationale qui, parallèlement aux pouvoirs d’intervention des autorités de contrôle chargées de surveiller et de faire appliquer ce règlement ainsi qu’aux possibilités de recours des personnes concernées, confère aux concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère
personnel la qualité pour agir contre celui-ci au moyen d’un recours devant les juridictions civiles, en raison de violations dudit règlement et sur le fondement de l’interdiction des pratiques commerciales déloyales.
47 Il y a lieu de rappeler, à titre liminaire, que le chapitre VIII du RGPD régit, notamment, les voies de recours permettant de protéger les droits de la personne concernée lorsque les données à caractère personnel la concernant ont fait l’objet d’un traitement prétendument contraire aux dispositions de ce règlement. La protection de ces droits peut ainsi être réclamée soit directement par la personne concernée, en application des articles 77 à 79 de ce règlement, soit par une entité habilitée, en
présence ou en l’absence d’un mandat à cette fin, au titre de l’article 80 dudit règlement (voir, en ce sens, arrêt du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, point 53).
48 En effet, d’une part, l’article 77, paragraphe 1, du RGPD prévoit que, sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle. Aux termes de l’article 78, paragraphe 1, de ce règlement, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne, sans préjudice de
tout autre recours administratif ou extrajudiciaire. L’article 79, paragraphe 1, dudit règlement garantit à chaque personne concernée le droit à un recours juridictionnel effectif, sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77 du même règlement.
49 D’autre part, conformément à l’article 80, paragraphe 1, du RGPD, la personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, sous certaines conditions, pour qu’il introduise une réclamation ou exerce, en son nom, les droits visés aux articles 77 à 79 de ce règlement. En outre, conformément à l’article 80, paragraphe 2, dudit règlement, les États membres peuvent prévoir que tout organisme, organisation ou association, indépendamment de tout
mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une telle réclamation auprès de l’autorité de contrôle et d’exercer ces droits s’il considère que les droits d’une personne concernée prévus dans le même règlement ont été violés du fait du traitement des données à caractère personnel la concernant.
50 En l’occurrence, il ressort du dossier dont dispose la Cour que ND, qui exploite une pharmacie, commercialise, sur Amazon, des médicaments dont la vente est réservée aux pharmacies et que, lors de la commande en ligne de ces médicaments, les clients doivent saisir des données, telles que leur nom, l’adresse de livraison et les informations nécessaires à l’individualisation desdits médicaments. Toutefois, le recours dans l’affaire au principal a été introduit devant une juridiction civile non pas
par ces clients, qui sont des personnes concernées au sens de l’article 4, point 1, du RGPD, sur le fondement de l’article 79 de ce règlement, ni par un organisme, une organisation ou une association habilité, en présence ou en l’absence d’un mandat reçu d’une personne concernée à cette fin, au titre de l’article 80 dudit règlement, mais par un concurrent de ce pharmacien sur le fondement de l’interdiction des pratiques commerciales déloyales, en raison de violations des dispositions du même
règlement qu’aurait commises ledit pharmacien.
51 L’affaire au principal soulève donc la question de savoir si le RGPD s’oppose à ce qu’un concurrent tel que DR, qui n’est pas une personne concernée au sens de l’article 4, point 1, de ce règlement, dispose de la qualité pour introduire un tel recours devant les juridictions civiles nationales.
52 À cet égard, il convient de rappeler que, afin d’interpréter une disposition du droit de l’Union, il convient de tenir compte non seulement des termes de celle-ci, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie (arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 32).
53 S’agissant du libellé des dispositions du chapitre VIII du RGPD, il convient de constater qu’aucune d’entre elles n’exclut expressément la possibilité pour le concurrent d’une entreprise d’introduire un recours devant les juridictions civiles contre cette entreprise sur le fondement de l’interdiction des pratiques commerciales déloyales, en raison de la violation alléguée par cette entreprise d’obligations prévues par ce règlement. Au contraire, il résulte des termes de l’article 77,
paragraphe 1, de l’article 78, paragraphe 1, et de l’article 79, paragraphe 1, du RGPD, rappelés au point 48 du présent arrêt, que le droit d’introduire une réclamation auprès d’une autorité de contrôle ainsi que le droit à un recours juridictionnel effectif contre une telle autorité et contre un responsable du traitement ou un sous-traitant, à ces dispositions, s’entendent « sans préjudice » de tout autre recours administratif, juridictionnel ou extrajudiciaire.
54 Pour ce qui est du contexte dans lequel s’inscrit le chapitre VIII du RGPD, il y a lieu de relever que ce règlement contient, à son chapitre II, un ensemble de dispositions matérielles portant, entre autres, sur les principes relatifs au traitement des données à caractère personnel, figurant à son article 5, et sur les conditions de licéité du traitement, énoncées à son article 6, qui sont censés assurer le plein respect notamment du droit fondamental à la protection des données à caractère
personnel des personnes concernées, garanti à l’article 16, paragraphe 1, TFUE et à l’article 8 de la Charte. L’absence, dans le chapitre VIII du RGPD, de dispositions prévoyant la possibilité pour les concurrents d’une entreprise ayant prétendument violé ces dispositions matérielles d’introduire un recours afin de faire cesser cette violation s’explique ainsi par le fait que seules les personnes concernées, et non pas ces concurrents, sont, ainsi que l’a relevé M. l’avocat général au point 80 de
ses conclusions, destinataires de la protection des données à caractère personnel assurée par ce règlement.
55 Cela étant, si la violation desdites dispositions matérielles est de nature à affecter au premier chef les personnes concernées par les données en cause, elle est également susceptible de porter atteinte à des tiers, ce qui est illustré par le fait que l’article 82, paragraphe 1, du RGPD prévoit un droit à réparation pour « toute personne ayant subi un dommage matériel ou moral du fait d’une violation de ce règlement ». La Cour a également déjà eu l’occasion de constater que la violation d’une
règle relative à la protection des données à caractère personnel peut simultanément entraîner la violation de règles relatives à la protection des consommateurs ou aux pratiques commerciales déloyales (arrêt du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, point 78) et constituer un indice important aux fins d’apprécier l’existence d’un abus de position dominante au sens de l’article 102 TFUE [voir, en ce sens, arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales
d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, points 47 et 62].
56 Dans ce contexte, il importe de rappeler que l’accès aux données à caractère personnel ainsi que leur exploitation revêtent une importance majeure dans le cadre de l’économie numérique. En effet, l’accès aux données à caractère personnel et la possibilité de traitement de ces données sont devenus un paramètre significatif de la concurrence entre entreprises de l’économie numérique. Partant, afin de tenir compte de la réalité de cette évolution économique et d’assurer une concurrence loyale, il
peut s’avérer nécessaire de tenir compte des règles en matière de protection des données à caractère personnel dans le cadre de l’application du droit de la concurrence et des règles relatives aux pratiques commerciales déloyales [voir, en ce sens, arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, points 50 et 51].
57 En outre, s’il ressort de l’article 1er, paragraphe 1, du RGPD, lu à la lumière, notamment, de ses considérants 9 et 13, que ce règlement vise à assurer une harmonisation des législations nationales relatives à la protection des données à caractère personnel qui est, en principe, complète, il n’en reste pas moins que plusieurs dispositions dudit règlement ouvrent expressément la possibilité pour les États membres de prévoir des règles nationales supplémentaires, plus strictes ou dérogatoires, qui
laissent à ceux-ci une marge d’appréciation sur la manière dont ces dispositions peuvent être mises en œuvre (« clauses d’ouverture ») (arrêt du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, point 57).
58 La Cour a déjà jugé qu’il en est ainsi de l’article 80, paragraphe 2, du RGPD, qui laisse aux États membres une marge d’appréciation concernant sa mise en œuvre et qui ne s’oppose pas à une réglementation nationale qui permet à une association de défense des intérêts des consommateurs d’agir en justice, en l’absence d’un mandat qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées, contre l’auteur présumé d’une atteinte à la protection des
données à caractère personnel, en invoquant notamment la violation de l’interdiction des pratiques commerciales déloyales, dès lors que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement (arrêt du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, points 59 et 83).
59 Certes, les dispositions du chapitre VIII du RGPD ne prévoient pas spécifiquement une telle clause d’ouverture qui permettrait, de manière expresse, aux États membres de prévoir la possibilité pour le concurrent d’une entreprise qui prétendument viole les dispositions matérielles de ce règlement d’introduire un recours afin de faire cesser cette violation.
60 Toutefois, il résulte des termes et du contexte des dispositions de ce chapitre VIII, rappelés aux points 53à 58 du présent arrêt, que, par l’adoption dudit règlement, le législateur de l’Union n’a pas entendu procéder à une harmonisation exhaustive des voies de recours ouvertes en cas de violation des dispositions du RGPD et n’a notamment pas souhaité exclure une telle possibilité de recours pour les concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère
personnel, sur le fondement du droit national relatif à l’interdiction des pratiques commerciales déloyales.
61 Cette interprétation est confirmée par les objectifs poursuivis par le RGPD, qui vise, ainsi qu’il ressort notamment du considérant 10 de ce dernier, à assurer un niveau cohérent et élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel et de lever les obstacles aux flux de ces données au sein de l’Union. Le considérant 11 de ce règlement énonce, en outre, qu’une protection effective de ces données exige de renforcer les droits des personnes
concernées et les obligations de ceux qui effectuent et déterminent le traitement des données, ainsi que de prévoir, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et des sanctions équivalentes pour les violations. Le considérant 13 dudit règlement précise que, afin d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union, et d’éviter que des
divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et d’obligations et de responsabilités pour les responsables du traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des données à caractère
personnel, et des sanctions équivalentes dans tous les États membres.
62 La possibilité pour le concurrent d’une entreprise d’introduire un recours devant les juridictions civiles sur le fondement de l’interdiction des pratiques commerciales déloyales afin de faire cesser une violation des dispositions matérielles du RGPD, prétendument commise par cette entreprise, non seulement ne porte pas atteinte à ces objectifs mais est, au contraire, de nature à renforcer l’effet utile de ces dispositions et ainsi le niveau élevé de protection des personnes concernées à l’égard
du traitement de leurs données personnelles, visé par ce règlement.
63 En effet, d’une part, une action en cessation introduite par un concurrent contre une entreprise sur le fondement de l’interdiction des pratiques commerciales déloyales, en raison de la violation alléguée des dispositions matérielles du RGPD, ne porte nullement préjudice au système des voies de recours prévu au chapitre VIII de ce règlement, ni à l’objectif d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union et d’éviter que des divergences n’entravent la
libre circulation des données à caractère personnel au sein du marché intérieur.
64 Certes, une telle action est susceptible de reposer, quoique de manière incidente, sur la violation des mêmes dispositions du RGPD que celles sur lesquelles pourrait être fondé une réclamation ou un recours introduit, en application des articles 77 à 79 de ce règlement, par les personnes concernées ou par un organisme, une organisation ou une association, au sens de l’article 80 dudit règlement.
65 Toutefois, premièrement, à la différence des articles 77 à 80 du RGPD, l’action en cessation introduite par un concurrent ne poursuit pas, en tant que telle, un objectif de protection des libertés et des droits fondamentaux des personnes concernées à l’égard du traitement de leurs données à caractère personnel, mais vise à assurer une concurrence loyale, dans l’intérêt notamment de ce concurrent.
66 Deuxièmement, la possibilité pour un concurrent d’introduire une telle action devant les juridictions civiles sur le fondement de l’interdiction des pratiques commerciales déloyales s’ajoute aux voies de recours instituées aux articles 77 à 79 du RGPD, qui sont pleinement préservées et peuvent toujours être exercées par les personnes concernées ainsi que, le cas échéant, par les organismes, organisations ou associations, au sens de l’article 80 de ce règlement.
67 En particulier, ainsi que l’a relevé le gouvernement allemand, la coexistence de voies de recours relevant du droit de la protection des données et du droit de la concurrence ne crée pas de risque pour l’application uniforme du RGPD. Dans ce contexte, il y a lieu de relever qu’il résulte des articles 77 à 80 de ce règlement que celui-ci ne prévoit pas de compétence prioritaire ou exclusive ni aucune règle de primauté de l’appréciation effectuée par l’autorité ou par les juridictions qui y sont
visées quant à l’existence d’une violation des droits conférés par ledit règlement (voir, en ce sens, arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 35). Partant, le fait que l’action en cessation est introduite par un concurrent de l’auteur présumé d’une atteinte à la protection des données à caractère personnel devant les juridictions civiles ne porte pas atteinte au système des voies de recours, tel que conçu au chapitre VIII du RGPD.
En outre, comme l’a observé ce gouvernement, l’interprétation uniforme des dispositions matérielles de ce règlement, qui sont susceptibles d’être appliquées à une même violation par l’autorité de contrôle et les juridictions saisies au titre des articles 77 à 80 dudit règlement, d’une part, et par les juridictions saisies par un tel concurrent sur le fondement de l’interdiction des pratiques commerciales déloyales, d’autre part, est assurée par la procédure préjudicielle prévue à l’article 267
TFUE.
68 Troisièmement, ainsi que l’a relevé en substance M. l’avocat général au point 104 de ses conclusions, l’invocabilité plus large des dispositions matérielles du RGPD, par des personnes autres que les seules personnes concernées et les organismes, organisations et associations, au sens de l’article 80 de ce règlement, ne porte pas atteinte à la réalisation de l’objectif d’assurer un niveau cohérent de protection de ces personnes dans l’ensemble de l’Union et d’éviter que des divergences n’entravent
la libre circulation des données à caractère personnel au sein du marché intérieur. En effet, quand bien même des États membres ne prévoiraient pas une telle possibilité, il n’en résulterait pas pour autant une fragmentation de la mise en œuvre de la protection des données dans l’Union, les dispositions matérielles du RGPD s’imposant de la même façon à tous les responsables de traitement, au sens de l’article 4, point 7, de ce règlement, et leur respect étant assuré par les voies de recours
prévues par ledit règlement.
69 D’autre part, pour ce qui est de l’objectif d’assurer une protection efficace des personnes concernées à l’égard du traitement de leurs données personnelles et de l’effet utile des dispositions matérielles du RGPD, il y a lieu de constater que, si une action en cessation introduite par un concurrent de l’auteur présumé d’une atteinte à la protection des données à caractère personnel vise, ainsi qu’il a été relevé au point 65 du présent arrêt, non pas cet objectif mais celui d’assurer une
concurrence loyale, il n’en reste pas moins qu’elle contribue incontestablement au respect de ces dispositions et, donc, à renforcer les droits des personnes concernées et à leur assurer un niveau élevé de protection (voir, en ce sens, arrêt du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, point 74).
70 Au demeurant, une telle action en cessation d’un concurrent peut s’avérer, à l’instar de celle des associations de défense des intérêts des consommateurs, particulièrement efficace pour assurer une telle protection, dans la mesure où elle est susceptible de prévenir un grand nombre de violations des droits des personnes concernées par le traitement de leurs données à caractère personnel (voir, en ce sens, arrêt du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, point 75).
71 Il s’ensuit que l’interprétation retenue au point 60 du présent arrêt est conforme aux exigences découlant de l’article 16, paragraphe 1, TFUE et de l’article 8 de la Charte et, ainsi, à l’objectif poursuivi par le RGPD consistant à assurer une protection efficace des libertés et des droits fondamentaux des personnes physiques ainsi que, notamment, à assurer un niveau élevé de protection du droit de toute personne à la protection des données à caractère personnel la concernant (voir, en ce sens,
arrêt du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, point 73).
72 En l’occurrence, il appartient à la juridiction de renvoi de vérifier si la violation présumée des dispositions matérielles du RGPD en cause au principal, pour autant qu’elle soit établie, est également constitutive d’une violation de l’interdiction des pratiques commerciales déloyales telle que prévue par la réglementation nationale pertinente.
73 Eu égard aux considérations qui précèdent, il y a lieu de répondre à la première question que les dispositions du chapitre VIII du RGPD doivent être interprétées en ce sens qu’elles ne s’opposent pas à une réglementation nationale qui, parallèlement aux pouvoirs d’intervention des autorités de contrôle chargées de surveiller et de faire appliquer ce règlement ainsi qu’aux possibilités de recours des personnes concernées, confère aux concurrents de l’auteur présumé d’une atteinte à la protection
des données à caractère personnel la qualité pour agir contre celui-ci au moyen d’un recours devant les juridictions civiles, en raison de violations dudit règlement et sur le fondement de l’interdiction des pratiques commerciales déloyales.
Sur la seconde question
74 Par sa seconde question, la juridiction de renvoi cherche à savoir, en substance, si l’article 8, paragraphe 1, de la directive 95/46 et l’article 9, paragraphe 1, du RGPD doivent être interprétés en ce sens que, dans la situation où l’exploitant d’une pharmacie commercialise, par le biais d’une plate-forme en ligne, des médicaments dont la vente est réservée aux pharmacies, les informations que les clients de cet exploitant saisissent lors de la commande en ligne des médicaments, telles que leur
nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments, constituent des données concernant la santé, au sens de ces dispositions, même lorsque la vente de ces médicaments n’est pas soumise à prescription médicale.
75 L’article 8, paragraphe 1, de la directive 95/46 et l’article 9, paragraphe 1, du RGPD, qui revêtent une portée similaire pour les besoins de l’interprétation que la Cour est amenée à donner (arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, points 58 et 117) et sont relatifs, comme l’indique l’intitulé de ces articles, aux traitements portant sur des « catégories particulières » de données à caractère personnel, posent le principe de l’interdiction de ces
traitements. En effet, ainsi que l’énonce expressément le considérant 51 de ce règlement, les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et ces droits.
76 Au nombre de ces catégories particulières de données à caractère personnel, dont la liste est donnée à l’article 8, paragraphe 1, de la directive 95/46 et à l’article 9, paragraphe 1, du RGPD, figurent les données concernant la santé. Celles-ci comprennent, conformément à l’article 4, point 15, de ce règlement, lu conjointement avec le considérant 35 dudit règlement, l’ensemble des données à caractère personnel qui révèlent des informations sur l’état de santé physique ou mentale passé, présent
ou futur d’une personne physique, y compris des données relatives à la prestation à cette personne de services de soins de santé.
77 En outre, il résulte notamment de l’article 4, point 1, du RGPD que la notion de « données à caractère personnel » vise toute information se rapportant à une personne physique identifiée ou identifiable et que, pour être qualifiée d’« identifiable », il est suffisant que la personne concernée puisse être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou à
plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
78 Ainsi, lorsque les données sur les achats des médicaments permettent de tirer des conclusions sur l’état de santé d’une personne identifiée ou identifiable, elles doivent être considérées comme étant des données concernant la santé, au sens de l’article 4, point 15, du RGPD.
79 En l’occurrence, il ressort du dossier dont dispose la Cour que les clients de ND saisissent, lors de la commande en ligne sur Amazon de médicaments dont la vente est réservée aux pharmacies, des informations telles que leur nom, l’adresse de livraison et les éléments d’individualisation des médicaments. De telles informations constituent assurément des « données à caractère personnel », en ce qu’elles se rapportent à des personnes physiques identifiées ou identifiables.
80 Dans ces conditions, il y a lieu de déterminer si de telles données sont de nature à révéler des informations sur l’état de santé de ces personnes, au sens de l’article 4, point 15, du RGPD et, par suite, constituent des données concernant la santé, au sens de l’article 8, paragraphe 1, de la directive 95/46 et de l’article 9, paragraphe 1, de ce règlement.
81 À cet égard, la Cour a déjà jugé que, au vu de l’objectif de la directive 95/46 et du RGPD, qui est de garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel les concernant, la notion de « données concernant la santé » visée à l’article 9, paragraphe 1, de ce règlement, qui correspond à la notion de « données relatives à la santé » visée à l’article 8,
paragraphe 1, de cette directive, doit être interprétée de manière large (voir, en ce sens, arrêts du 6 novembre 2003, Lindqvist, C‑101/01, EU:C:2003:596, point 50, et du 1er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, point 125).
82 En particulier, ces dispositions ne sauraient être interprétées en ce sens que le traitement de données à caractère personnel susceptibles de révéler, de manière indirecte, des informations sensibles concernant une personne physique est soustrait au régime de protection renforcé prévu par lesdites dispositions, sauf à porter atteinte à l’effet utile de ce régime et à la protection des libertés et des droits fondamentaux des personnes physiques qu’il vise à assurer (arrêt du 1er août 2022,
Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, point 127).
83 Partant, pour que des données à caractère personnel puissent être qualifiées de données concernant la santé, au sens de l’article 8, paragraphe 1, de la directive 95/46 et de l’article 9, paragraphe 1, du RGPD, il suffit qu’elles soient de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé de la personne concernée (voir, en ce sens, arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601,
point 123).
84 Or, les données qu’un client saisit sur une plate-forme en ligne lors de la commande de médicaments dont la vente est réservée aux pharmacies sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé de la personne concernée, au sens de l’article 4, point 1, du RGPD, dans la mesure où cette commande implique l’établissement d’un lien entre un médicament, ses indications thérapeutiques ou ses utilisations, et une personne
physique identifiée ou identifiable par des éléments tels que le nom de cette personne ou l’adresse de livraison.
85 La juridiction de renvoi s’interroge toutefois sur le point de savoir si le fait que la vente des médicaments commandés n’est pas soumise à prescription médicale est pertinent dans la mesure où, dans ce cas, ces médicaments pourraient être destinés non pas au client qui procède à la commande mais à des personnes tierces.
86 À cet égard, il y a lieu de relever que, aux fins de l’application de l’article 8, paragraphe 1, de la directive 95/46 et de l’article 9, paragraphe 1, du RGPD, il importe de vérifier, dans le cas d’un traitement de données à caractère personnel effectué par l’exploitant d’une pharmacie dans le cadre d’une activité exercée par le biais d’une plate-forme en ligne, si ces données permettent de révéler des informations relevant d’une des catégories visées à ces dispositions, que ces informations
concernent un utilisateur de cette plate-forme ou toute autre personne physique. Dans l’affirmative, un tel traitement de données à caractère personnel est alors interdit, sous réserve des dérogations prévues au paragraphe 2 desdites dispositions [voir, en ce sens, arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 68].
87 Cette interdiction de principe est indépendante du point de savoir si l’information révélée par le traitement en cause est exacte ou non et si cet exploitant agit dans le but d’obtenir des informations relevant d’une des catégories particulières visées à l’article 8, paragraphe 1, de la directive 95/46 et à l’article 9, paragraphe 1, du RGPD. En effet, compte tenu des risques importants pour les libertés fondamentales et les droits fondamentaux des personnes concernées, engendrés par tout
traitement de données à caractère personnel relevant de ces catégories, lesdites dispositions ont pour objectif d’interdire ces traitements, indépendamment de leur but affiché et de l’exactitude des informations en question [voir, en ce sens, arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, points 69 et 70].
88 Il s’ensuit que, dans le cas où un utilisateur d’une plate-forme en ligne communique des données à caractère personnel lors de la commande de médicaments dont la vente est réservée aux pharmacies sans être soumise à prescription médicale, le traitement de ces données par l’exploitant d’une pharmacie qui vend ces médicaments par le biais de cette plate-forme en ligne doit être considéré comme étant un traitement portant sur des données concernant la santé, au sens de l’article 8, paragraphe 1, de
la directive 95/46 et de l’article 9, paragraphe 1, du RGPD, étant donné que ce traitement de données est de nature à révéler des informations sur l’état de santé d’une personne physique, que ces informations concernent cet utilisateur ou toute autre personne pour laquelle celui-ci effectue la commande [voir, en ce sens, arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 73].
89 En effet, une interprétation de ces dispositions qui conduirait à opérer une distinction en fonction du type des médicaments concernés et du fait que leur vente est ou non soumise à prescription médicale ne serait pas en cohérence avec l’objectif d’un niveau élevé de protection, rappelé au point 81 du présent arrêt. Une telle interprétation irait, qui plus est, à l’encontre de la finalité de l’article 8, paragraphe 1, de la directive 95/46 et de l’article 9, paragraphe 1, du RGPD, consistant à
assurer une protection accrue à l’encontre de traitements qui, en raison de la sensibilité particulière des données qui en sont l’objet, sont susceptibles de constituer, ainsi qu’il ressort notamment du considérant 51 du RGPD, une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte (arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20,
EU:C:2022:601, point 126 et jurisprudence citée).
90 Partant, les informations que les clients d’un exploitant d’une pharmacie saisissent lors de la commande en ligne de médicaments dont la vente est réservée aux pharmacies sans être soumise à prescription médicale constituent des données concernant la santé, au sens de l’article 8, paragraphe 1, de la directive 95/46 et de l’article 9, paragraphe 1, du RGPD, même si c’est seulement avec une certaine probabilité, et non avec une certitude absolue, que ces médicaments sont destinés à ces clients.
91 Au demeurant, il ne saurait être exclu que, même dans l’hypothèse où de tels médicaments sont destinés à des personnes autres que les clients, il soit possible d’identifier ces personnes et de tirer des conclusions sur leur état de santé. Tel pourrait être le cas, par exemple, lorsque les médicaments en question sont livrés non pas au domicile du client les ayant commandés mais au domicile d’une autre personne, ou lorsque, indépendamment de l’adresse de livraison, le client s’est référé, dans sa
commande ou dans ses communications relatives à celle-ci, à une autre personne identifiable, telle qu’un membre de sa famille. De même, lorsque la commande exige l’identification et/ou l’enregistrement du client, par exemple moyennant la création d’un compte client ou l’adhésion de celui-ci à un programme de fidélité, il n’est pas exclu que les informations saisies par le client dans ce contexte puissent être utilisées pour tirer des conclusions non seulement sur l’état de santé de ce client,
mais également sur celui d’une autre personne, notamment en combinaison avec les informations portant sur les médicaments commandés.
92 Enfin, ainsi qu’il a été rappelé au point 86 du présent arrêt, le fait que des informations telles que celles en cause au principal constituent des données concernant la santé, au sens de l’article 8, paragraphe 1, de la directive 95/46 et de l’article 9, paragraphe 1, du RGPD, ne fait pas obstacle, comme il ressort notamment du considérant 53 de ce dernier, à ce qu’elles puissent faire l’objet d’un traitement, notamment dans le cadre de la gestion des services et des systèmes de soins de santé,
si l’une des conditions énoncées au paragraphe 2 de ces dispositions est remplie.
93 Tel peut en particulier être le cas, d’une part, lorsque, conformément au point a) de ce paragraphe 2, et sous réserve de l’exception y prévue, la personne concernée donne son consentement explicite à un ou à plusieurs traitements desdites données à caractère personnel dont les caractéristiques et les finalités spécifiques lui ont été présentées d’une manière exacte, complète et facilement compréhensible. D’autre part, un tel traitement peut être admissible sur le fondement de l’article 9,
paragraphe 2, sous h), du RGPD lorsque ce traitement est nécessaire aux fins de la prise en charge sanitaire sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé.
94 Compte tenu de ce qui précède, il y a lieu de répondre à la seconde question que l’article 8, paragraphe 1, de la directive 95/46 et l’article 9, paragraphe 1, du RGPD doivent être interprétés en ce sens que, dans la situation où l’exploitant d’une pharmacie commercialise, par le biais d’une plate-forme en ligne, des médicaments dont la vente est réservée aux pharmacies, les informations que les clients de cet exploitant saisissent lors de la commande en ligne des médicaments, telles que leur
nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments, constituent des données concernant la santé, au sens de ces dispositions, même lorsque la vente de ces médicaments n’est pas soumise à prescription médicale.
Sur les dépens
95 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (grande chambre) dit pour droit :
1) Les dispositions du chapitre VIII du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doivent être interprétées en ce sens que :
elles ne s’opposent pas à une réglementation nationale qui, parallèlement aux pouvoirs d’intervention des autorités de contrôle chargées de surveiller et de faire appliquer ce règlement ainsi qu’aux possibilités de recours des personnes concernées, confère aux concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel la qualité pour agir contre celui-ci au moyen d’un recours devant les juridictions civiles, en raison de violations dudit règlement et sur le
fondement de l’interdiction des pratiques commerciales déloyales.
2) L’article 8, paragraphe 1, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et l’article 9, paragraphe 1, du règlement 2016/679,
doivent être interprétés en ce sens que :
dans la situation où l’exploitant d’une pharmacie commercialise, par le biais d’une plate-forme en ligne, des médicaments dont la vente est réservée aux pharmacies, les informations que les clients de cet exploitant saisissent lors de la commande en ligne des médicaments, telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments, constituent des données concernant la santé, au sens de ces dispositions, même lorsque la vente de ces médicaments
n’est pas soumise à prescription médicale.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : l’allemand.