Le non-respect du RGPD peut-il constituer un acte de concurrence déloyale ?
7 novembre 2024
| |- Droit économique
Dans un arrêt du 4 octobre 2024 (C-21/23), la Cour de Justice de l’Union Européenne (CJUE) répondant à une question préjudicielle posée par un tribunal allemand dans le contexte d’un litige entre deux pharmaciens a expressément reconnu qu’un concurrent a la possibilité d’invoquer en justice un manquement aux dispositions du RGPD à l’appui d’une action en concurrence déloyale.
Si par principe les réclamations contre un responsable de traitement et/ou son sous-traitant fondées sur le non-respect du RGPD sont réservées aux personnes physiques concernées par les traitements de leurs données personnelles (ci-après, les « personnes concernées ») (1.), le RGPD garantit aux seules personnes concernées un recours juridictionnel effectif pour lutter contre le non-respect du RGPD (2.). La CJUE interprète désormais le RGPD comme autorisant également tout tiers à invoquer le non-respect du RGPD par à l’appui d’une action en concurrence déloyale (3.).
1. Les réclamations relatives au non-respect du RGPD sont en principe réservées aux personnes concernées
Le Règlement européen (UE) 2016/679 (UE) du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, plus connu du grand public sous l’acronyme « RGPD », est entré en vigueur le 25 mai 2018.
Le RGPD intègre en son article 5 le principe fondamental de responsabilité qui impose que les organisations mettent en place des mesures techniques, juridiques ou organisationnelles appropriées et soient en mesure de rendre compte de l’efficacité de ces mesures notamment à l’égard des personnes concernées.
Les réclamations liées à un manquement au RGPD sont destinées à protéger les droits des personnes concernées prévus au Chapitre III du RGPD (par exemple, les droits d’accès, de rectification ou de suppression, etc.). A ce titre, ces réclamations sont réservées aux personnes concernées elles-mêmes ou aux seules organisations et associations à but non lucratif légalement autorisées à les représenter dans le cadre d’une action de groupe.
2. Les personnes concernées bénéficient de recours effectifs garantis par le RGPD
Dans cette optique, le Législateur européen a garanti dans le chapitre VIII (Voies de recours, responsabilité et sanctions) du RGPD le droit des personnes concernées à former des réclamations devant une autorité de contrôle indépendante (en France, il s’agit de la CNIL), à disposer d’un recours juridictionnel effectif (que ce soit au civil ou au pénal) contre le responsable de traitement ou son sous-traitant et, le cas échéant, à disposer d’un recours juridictionnel effectif contre une décision prise par l’autorité de contrôle.
Les réclamations des personnes concernées peuvent tendre soit à assurer l’effectivité de leurs droits au titre du RGPD et/ou à sanctionner le non-respect du RGPD par les responsables de traitement et/ou leurs sous-traitants.
Il convient de rappeler qu’en France, le RGPD peut donner lieu aux sanctions suivantes :
- Sanction administrative : une amende administrative pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial ;
- Sanction pénale : des peines pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende ;
- Sanction civile : injonction du Juge (au besoin sous astreinte) à assurer la conformité des traitements et/ou réparation des préjudices subis par les personnes concernées ;
3. La reconnaissance du droit d’un tiers à invoquer le non-respect du RGPD dans le cadre d’une action en concurrence déloyale
Après avoir souligné l’importance particulière de l’accès aux données à caractère personnel et du traitement licite de ces données pour le maintien de la concurrence dans l’économie numérique notamment, la CJUE se livre à une analyse de l’intention du Législateur européen lors de l’adoption du RGPD.
La CJUE relève que Législateur européen n’a pas prévu la possibilité pour d’autre personne que les personnes concernées d’engager une action judiciaire fondée sur le non-respect du RGPD.
Or, les entreprises qui se sont mises en conformité au RGPD supportent, à ce titre, des coûts et des contraintes qu’ignorent celles qui s’en sont illicitement dispensées en ne se mettant pas en conformité et qui bénéficient ainsi d’un avantage indu dans la concurrence.
La CJUE note cependant que le RGPD précise que les recours susvisés des personnes concernées interviennent sans préjudice de tout autre recours administratif, juridictionnel ou extrajudiciaire. Dans ce contexte, non seulement la possibilité pour les concurrents d’invoquer le RGPD à l’appui d’une action en concurrence déloyale ne crée pas de risque s’agissant des droits garantis des personnes concernées mais contribue au contraire à renforcer le respect du RGPD.
La CJUE en tire la conclusion que le Législateur européen n’a pas entendu exclure le recours d’une entreprise sur le fondement de l’interdiction des pratiques commerciales déloyales motivé par le non-respect du RGPD par un concurrent.
La CJUE décide donc d’interpréter le chapitre VIII du RGPD comme donnant qualité à toute entreprise pour agir en justice contre l’auteur d’une violation des dispositions matérielles du RGPD sur le fondement de l’interdiction des pratiques commerciales déloyales.
Cette solution apparaît doublement opportune puisque d’une part, elle va dans le sens d’une indispensable prise en compte par les entreprises des enjeux du RGPD dans la définition de leur stratégie commerciale et d’autre part, elle va également permettre aux entreprises vertueuses se conformant au RGPD de rétablir les conditions d’une saine concurrence avec les entreprises qui n’ont pas (encore) entrepris cette démarche de mise en conformité.