Concurrence déloyale & RGPD : Quand le non-respect du RGPD devient déloyal…

Le Règlement général sur la protection des données (RGPD) vise à harmoniser la législation des États membres de l’UE pour assurer une protection efficace des données personnelles, définies comme « toute information se rapportant à une personne physique identifiée ou identifiable » (art. 4). Par principe, en cas de violation du RGPD, seules les personnes concernées ou les organismes, organisations ou associations représentant ces personnes concernées peuvent engager un recours devant les autorités de contrôle ou les juridictions nationales.

Néanmoins, par un arrêt en date du 4 octobre 2024 (CJUE, 4 oct. 2024, C21/23), la Cour de Justice de l’UE (CJUE) a statué sur la possibilité, pour une entreprise, d'agir contre un concurrent qui ne respecte pas le RGPD sur le fondement de la concurrence déloyale.

Dans cette affaire, un pharmacien commercialisait sur une plateforme en ligne des médicaments réservés aux pharmacies. Un concurrent a saisi la justice allemande, estimant que la collecte des données de santé violait, en l’espèce, le RGPD et constituait une pratique commerciale déloyale. Les tribunaux de première instance et d’appel lui ont donné raison. Le défendeur a alors formé un recours en révision devant la Cour fédérale de justice, qui a saisi la CJUE, notamment afin de savoir si le RGPD s’opposait à ce que les Etats membres confèrent à un concurrent d’une entreprise qui viole des dispositions du RGPD  la qualité pour agir devant les juridictions civiles sur le fondement de la concurrence déloyale.

La CJUE s’est donc livrée à une interprétation textuelle et contextuelle du RGPD pour, tout d’abord, observer qu’aucune disposition n’exclut cette possibilité. Bien au contraire, elle relève que les dispositions relatives aux voies de recours précisent expressément que celles-ci s’exercent « sans préjudice de tout autre recours administratif, juridictionnel ou extrajudiciaire » (point 53).

Ensuite, la CJUE observe que l’accès aux données et leur traitement constituent un « paramètre significatif de la concurrence entre entreprises de l’économie numérique » (point 56), qu’il convient de prendre en considération dans le cadre des règles relatives aux pratiques commerciales déloyales.

De plus, les juges ont évalué, au regard des objectifs du RGPD, l’opportunité d’autoriser une action en cessation engagée par le concurrent d’une entreprise qui ne respecte pas ce règlement. A ce titre,  ils relèvent que le RGPD  vise à assurer un niveau cohérent de protection des données personnelles. Or, une telle action peut s’avérer efficace dans la poursuite de cet objectif, d’autant plus qu’elle n'affecte en aucun cas les voies de recours ouvertes aux personnes concernées, destinées à protéger les données personnelles. L’action en cessation, elle, vise davantage à garantir une concurrence loyale.

Ainsi, la CJUE conclut que le législateur n’a pas exclu la possibilité pour une entreprise d’agir sur le fondement du droit national relatif aux pratiques commerciales déloyales, contre un concurrent qui ne respecte pas les dispositions du RGPD (points 60 et 73).

Cette décision de la CJUE vient donc conforter la position des juges français sur ce point-là. La Cour de cassation avait en effet déjà estimé en 2021 que « constitue un acte de concurrence déloyale le non-respect d'une réglementation dans l'exercice d'une activité commerciale, qui induit nécessairement un avantage concurrentiel indu pour son auteur » (Cass. Com., 17 mars 2021, n°01-10.414). En application de cet arrêt, le Tribunal judiciaire de Paris a ainsi considéré qu’un manquement au RGPD était constitutif de concurrence déloyale (TJ Paris, 15 avril 2022, n°19/12628), et a condamné son auteur au paiement de dommages et intérêts. Les demandes relatives à la fermeture du site internet litigieux et à sa mise en conformité ont cependant été rejetées dans cette affaire, bien que le site en question ait également été le théâtre d’actes de contrefaçon et de manquements au droit de la consommation. A l’inverse, la fermeture d’un site internet non conforme au RGPD, qui violait également certaines dispositions du droit de la consommation et du droit du commerce électronique, a été prononcée dans un arrêt rendu par la cour d’appel de Nancy en 2019 (CA Nancy, 25 septembre 2019, n°18/02290). Ainsi, une entreprise peut obtenir une indemnisation pour le préjudice causé par la violation du RGPD par un concurrent et, dans certains cas, exiger la fermeture du site internet litigieux.

Equipe de droit commercial - PI - IT