Dans une décision du 4 octobre 2024, la Cour de Justice de l’UE (CJUE) confirme la possibilité pour un concurrent d’intenter une action en concurrence déloyale contre l’auteur présumé d’une violation du RGPD. Elle rappelle dans ce cadre les multiples possibilités d’action de tiers en cas de violation de la réglementation sur les données à caractère personnel.
En Allemagne, deux pharmaciens s’opposent au sujet de la vente de médicaments. L’un reproche à l’autre de vendre ses médicaments sur la plateforme Amazon et ainsi traiter des données personnelles de santé, sans le consentement explicite des personnes concernées. Pour le plaignant, cette violation du RGPD constitue une pratique commerciale déloyale qui confère un avantage indu à son concurrent. Il décide de saisir les tribunaux allemands afin d’obtenir la cessation de ces pratiques ainsi que des dommages et intérêts. Les Tribunaux allemands lui ont donné raison.
Le pharmacien condamné décide alors de porter l’affaire devant la Cour Fédérale de Justice allemande[1]. Cette dernière, estimant que le litige dépend d’une interprétation des dispositions du RGPD, saisit la CJUE pour requérir son avis.
👉 La question principale posée à la CJUE : une législation nationale peut-elle conférer à un concurrent le droit d’agir à l’encontre de l’auteur présumé d’une violation du RGPD alors que les dispositions du RGPD[2] déterminant les différentes possibilités d’action dans ce cadre ne le prévoient pas explicitement ?
On notera à cet égard que la réglementation allemande prévoit spécifiquement que le fait d’enfreindre « une disposition légale destinée à réglementer un comportement sur le marché dans l’intérêt de ses acteurs (…) » est un acte de concurrence déloyale.
De la même façon, en France, la jurisprudence a admis que le non-respect d’une réglementation peut constituer un acte de concurrence déloyale, en ce qu’il constitue un avantage concurrentiel indu[3]. Le tribunal judiciaire de Paris a d’ailleurs déjà, dès 2021, condamné une entreprise de ce chef en raison du non-respect de la RGPD (en l’occurrence l’absence de mentions d’informations claires quant au traitement de données collectées sur un site internet)[4].
La CJUE considère ainsi que les dispositions du RGPD, qui sont « sans préjudice » de tous autres recours, ne font pas obstacle à une action intentée par un concurrent dans ce cadre.
La Cour précise également qu’autoriser les concurrents à engager de telles actions, permet de (1) renforcer l’effet utile des dispositions du RGPD et (2) garantir un niveau élevé de protection des personnes concernées à l’égard du traitement de leurs données personnelles.
Un concurrent peut donc agir contre l’auteur présumé d’une violation du RGPD.
La CJUE ne s’arrête cependant pas à cette seule question. Elle étend le champ possible des actions en rappelant également que « la violation d’une règle relative à la protection de données à caractère personnel peut simultanément entrainer la violation de règles relatives à la protection des consommateurs ou aux pratiques commerciales déloyales et constituer un indice important aux fins d’apprécier l’existence d’un abus de position dominante ». Ainsi, au-delà du principe posé de l’action possible d’un concurrent, elle étend également cette possibilité d’action à d’autres personnes telles que des associations de consommateurs (ce point avait déjà été précisé dans un arrêt de 2022[5]) ou encore par toute personne agissant en abus de position dominante à l’encontre d’une entreprise et plus largement, selon nous, par toute personne y ayant un intérêt.
Cette jurisprudence ouvre la voie à une multiplication des litiges dans lesquels le non-respect du RGPD sera un argument supplémentaire, que ce soit en matière de concurrence déloyale, comme c’était le cas ici, ou plus largement en droit de la concurrence (notamment en cas d’abus de position dominante) ou de la consommation.
Ainsi, dans le cadre de ces litiges, les avocats ne manqueront pas d’aller vérifier le respect des règles du RGPD par la partie adverse, en inspectant notamment son site internet et en recherchant les éventuelles violations de la réglementation aisément constatables.
Cet argument ne sera pas obligatoirement au centre des débats et peut constituer un moyen supplémentaire accessoire. Dans certains cas cependant, notamment dans le domaine de l’économie numérique où le traitement des données est particulièrement important et où le respect de cette réglementation nécessite des investissements parfois conséquents de la part des entreprises et/ou des « freins » à leurs développements, une violation des règles du RGPD pourrait être au centre des débats.
A noter également que le RGPD est déjà aujourd’hui largement utilisé dans les contentieux prud’homaux[6].
Cette possibilité de multiplicité des actions du fait d’une violation de la réglementation sur les données personnelles est donc une raison supplémentaire de se conformer au RGPD, en veillant notamment à ce que toutes les informations relatives au traitement de données personnelles soient exhaustives et transparentes sur votre site internet.
[1] équivalent de notre Cour de cassation
[2] ie. les dispositions du chapitre VIII du RGPD.
[3] En ce sens, voir notamment : Cass. Com. 17 mars 2021, n° 19-10414
[4] Dans cette affaire, le concurrent plaignant avait obtenu une condamnation de 15 000€ à ce titre, en sus d’autres dommages et intérêts pour des actes distincts de concurrence déloyales. TJ Paris, 15 avril 2022, 19/12628
[5] CJUE, 28 avril 2022, C‑319/20, Aff. Meta Platforms Ireland
[6] notamment par les salariés pour accéder à certaines données les concernant et/ou faire pression sur leurs employeurs pour les pousser à la transaction.
Dans un arrêt du 4 octobre 2024[1], la CJUE se prononce sur la possibilité pour un concurrent d’invoquer, devant les juridictions civiles, une violation aux règles du RGPD en matière de comme étant constitutive de pratiques commerciales déloyales.
Webinaire CRA : « Que faire en cas de rupture des négociations ? » Michel ZAVALICHINE, associé responsable de la pratique Corporate au sein du cabinet MATEIA,
© Mateia A.A.R.P.I. Tous droits réservés • Mentions légales • Politique de confidentialité