🚧Articulation Droit de la Compliance (RGPD) et Droit commun : illustration par la décision de la CJUE du 4 octobre 2024, ND c/ DR

Sur question préjudicielle, la CJUE a rendu, dans l’affaire ND c/ DR, une décision qui illustre parfaitement l’articulation entre le Droit spécial de la Compliance et le Droit commun.

La situation juridique est complexe.

La décision rendue, dans sa solution et sa motivation, est parfaitement claire.

Les faits sont les suivants. Deux pharmaciens sont en litige. L’un attaque l’autre parce que le premier propose des médicaments sur prescription dans l’espace numérique. Pour vérifier la prescription et afin de s’assurer que le médicament sera bien délivré à la personne pour laquelle celui-ci a été prescrit, le praticien demande à l’internaute de remplir un formulaire qui comprend des données à caractère personnel.

Cette pratique est contestée, dans le champ de la question plus générale de la vente des médicaments dans l’espace numérique, qui mobilise depuis de nombreuses années beaucoup d’autorités et beaucoup de branches du Droit.

L’une des questions posées à la Cour par le Tribunal fédéral allemand est de savoir si les données à caractère personnel ainsi demandées à l’internaute constituent des données sensibles en ce qu’elles relèvent de la santé de la personne concernée, ou non.

Mais avant même de poser cette question-là, le premier débat est le suivant : le second pharmacien n’est pas un client ou un patient internaute. Il est un concurrent, qui prétend se prévaloir de ce qui pourrait être qualifié de violation du règlement européen sur la protection des données personnelles et leur libre circulation dans l’union européenne (RGPD ; pilier du Droit de la Compliance), violation commise par le premier. En effet, ce faisant, le premier détournerait de la clientèle, s’affranchirait des contraintes réglementaires liées au monopole de la vente des médicaments en pharmacie, et aurait donc commis un acte de concurrence déloyale. Mais avant même d’examiner une telle prétention au fond, la question est de procédure.

L’on pourrait considérer que l’allégation de violation du RGPD est sanctionnée par l’autorité de contrôle visée par la législation spéciale, ce qui éteindrait la possibilité d’une action sur le droit commun de la concurrence déloyale. L’argument d’une sorte de concurrence normative dommageable entre autorités administratives de contrôle ayant un pouvoir de sanction et juridictions de droit commun est d’ailleurs évoqué.

Il s’agit donc d’interpréter le silence du RGPD qui ne déclare pas ouverte l’action en concurrence déloyale mais ne l’exclut pas non plus. Comment interpréter un tel silence ? Telle était la question posée.

La CJUE répond avec une grande netteté : « § 73. le RGPD ne confère pas de compétence exclusive, ni même prioritaire et que parallèlement », le concurrent est un tiers qui a qualité à agir sur le terrain du droit commun.

Elle avait préalablement souligné que, loin d’engendrer des divergences, cette multiplicité d’actions va renforcer le Droit de l’Union, d’une part parce que le RGPD a non seulement pour but la protection des données (pour les personnes concernées – ici les internautes) mais aussi le « flux des données dans l’Union dans une perspective concurrentielle » (ici renforcée) : articulation public enforcement / private enforcement.

En sens inverse, une action d’un concurrent en cessation d’une telle pratique a des effets vertueux pour la protection des « personnes concernées », sur l’effectivité de leurs droits sur les informations qui les concernent.

L’action de droit commun s’additionne donc : mais elle restera régie par les règles qui lui sont propres : faute (ici démonstration de la violation de la loi), dommage et lien de causalité.

Rôle unificateur de la CJUE à souligner