Cette question peut sembler évidente mais deux arrêts récents de la Cour de justice de l’Union européenne (CJUE) ont récemment consacré la possibilité de recourir au règlement général sur la protection des données (RGPD) dans des cas qu’il ne prévoyait pas lui-même, par les autorités de la concurrence ainsi qu’entre concurrents, sur des bases légales qui peuvent varier entre Etats membres de l’Union européenne (UE). Ces possibilités de faire appliquer le RGPD différemment selon les pays de l’UE ouvrent des perspectives mais soulèvent aussi des interrogations sur l’harmonisation des régimes juridiques applicables aux données personnelles, que le RGPD avait pour objectif d’améliorer.
L’application du règlement général sur la protection des données (RGPD) est classiquement assurée par les autorités nationales de contrôle, telles que la Commission nationale de l’informatique et des libertés (Cnil) en France, conformément à son Chapitre VII. L’instauration d’un « guichet unique » dans les cas des traitements transfrontaliers devait également permettre aux autorités de collaborer entre elles afin d’assurer un traitement coordonné des cas de violation du texte. De plus, le RGPD accorde aux personnes concernées la possibilité de défendre leurs droits en introduisant des réclamations auprès des autorités de contrôle ou en saisissant directement les juridictions nationales, soumises au contrôle harmonisateur de la Cour de justice de l’Union européenne (CJUE) dans le cadre de questions préjudicielles. Ce schéma visait initialement à centraliser les voies de recours afin de permettre une application la plus unifiée possible du RGPD au sein de l’Union européenne (UE).
Un premier élargissement du contrôle du RGPD aux abus de position dominante
La CJUE a, dans un premier temps, étendu l’application du RGPD au-delà des autorités de contrôle et des personnes concernées dans son arrêt Meta Platforms Ireland (CJUE, gde ch., 4 juill. 2023, aff. C-252/21). Elle y a apporté des précisions sur l’articulation entre le droit de la concurrence et le RGPD. Interrogée par le tribunal allemand saisi du recours introduit par Meta contre la décision de l’autorité allemande de la concurrence ayant condamné Facebook pour abus de position dominante, la Cour a jugé qu’une autorité de la concurrence d’un Etat membre peut constater une violation du RGPD par une entreprise en position dominante lorsque ce constat est nécessaire pour établir l’existence d’un abus [1]. Cependant, en cas de doute, l’autorité de la concurrence doit consulter l’autorité nationale compétente en matière de protection des données personnelles afin d’éviter une disparité d’interprétation du RGPD entre les deux autorités [2]. Les entreprises dont la position dominante a un lien avec leur traitement de données personnelles sont par conséquent dorénavant exposées à un contrôle du respect de leurs obligations au titre du RGPD par les autorités de la concurrence et au risque d’un constat d’infraction au RGPD s’inscrivant dans un constat d’abus de position dominante.
Nouvelle possibilité d’action pour les concurrents
Dans la continuité de l’arrêt Meta, l’arrêt du 4 octobre 2024 ouvre la voie à une extension des mécanismes de contrôle du RGPD aux concurrents dans le cadre de pratiques commerciales déloyales [3]. Les faits opposaient deux pharmacies concurrentes en Allemagne. L’une contestait la vente en ligne de médicaments par un concurrent, alléguant que ces ventes étaient effectuées en violation du RGPD. Les données personnelles des clients étaient considérées comme des données de santé traitées sans le consentement explicite requis. Une action civile a donc été intentée devant la Cour fédérale de justice allemande en se fondant sur les dispositions nationales de pratiques commerciales déloyales. L’absence de consentement au traitement des données de santé des clients constituerait selon la demanderesse une violation du RGPD et conférerait à la pharmacie concurrente un avantage concurrentiel déloyal.
Dans ce cadre, la juridiction allemande a soumis la question suivante à la CJUE : les concurrents peuvent-ils invoquer des violations du RGPD au titre de pratiques commerciales déloyales dans le cadre de procédures civiles ? La Cour a répondu par l’affirmative : les dispositions du RGPD ne s’opposent pas à ce qu’une réglementation nationale permette à des concurrents d’une entreprise ayant violé le RGPD d’intenter une action contre ladite entreprise devant les juridictions civiles, en se fondant sur l’interdiction des pratiques commerciales déloyales [4]. Elle a relevé que la possibilité pour le concurrent d’une entreprise d’introduire une action civile sur le fondement de l’interdiction des pratiques commerciales déloyales afin de faire cesser une violation du RGPD ne porte non seulement pas atteinte aux objectifs du RGPD mais est, au contraire, de nature à renforcer l’effet utile de celui-ci et ainsi le niveau élevé de protection des données personnelles [5].
Potentielles disparités entre législations nationales
L’intervention de la CJUE est ici cruciale à une époque où les entreprises en ligne dépendent de la collecte et de l’exploitation des données personnelles des utilisateurs. Une violation du RGPD – mais rien n’interdit de penser que ce raisonnement ne sera pas étendu à d’autres règlements à l’avenir – doit dès lors être prise en compte dans l’évaluation de la loyauté des pratiques commerciales. Cependant, cette extension soulève des questions sur l’application uniforme du RGPD au sein de l’UE. En effet, la directive 2005/29/CE sur les pratiques commerciales déloyales ne fait pas l’objet d’une harmonisation complète au niveau européen, ce qui peut entraîner des disparités de traitement entre les entreprises selon les Etats membres. Certains Etats membres, comme la France et l’Italie, ont étendu les règles nationales aux relations entre entreprises (BtoB), tandis que d’autres offrent une protection plus limitée aux entreprises contre la publicité trompeuse [6].
Avant même l’arrêt de la CJUE, les tribunaux français avaient déjà admis la possibilité pour une entreprise d’agir sur le fondement de la concurrence déloyale en invoquant une violation du RGPD. La Cour de cassation avait ainsi jugé que le non-respect des réglementations dans le cadre d’une activité commerciale confère à son auteur un avantage concurrentiel indu, caractérisant ainsi une concurrence déloyale [7]. En Belgique, l’article VI.104 du Code de droit économique sanctionne « tout acte contraire aux pratiques honnêtes du marché » qui porte atteinte aux intérêts d’autres entreprises [8]. Les tribunaux belges font une application large de cette disposition, permettant ainsi de sanctionner les manquements aux obligations légales, y compris ceux relatifs au RGPD, sous l’angle de la concurrence déloyale. Le droit allemand, comme l’illustre la présente décision, prévoit explicitement qu’une violation de dispositions légales peut constituer un acte de concurrence déloyale sous certaines conditions [19]. En droit espagnol, le fait de tirer profit sur le marché d’un avantage concurrentiel significatif acquis en violation de lois est constitutif de pratiques déloyales [10].
A l’inverse, le droit italien n’est pas aussi explicite et se contente de sanctionner les comportements contraires à la loyauté professionnelle et susceptibles de porter atteinte à l’activité d’un concurrent, agissant ainsi comme une règle générale et abstraite [11]. La jurisprudence italienne a néanmoins reconnu que la violation d’obligations légales peut être considérée comme un acte de concurrence déloyale lorsque de telles violations procurent un avantage concurrentiel injustifié ou affectent les conditions du marché [12]. Cette disparité de traitements possible entre les Etats membres risque de fragmenter le marché intérieur, alors que le RGPD visait initialement à instaurer un régime harmonisé de protection des données personnelles. Cela souligne la nécessité d’une clarification législative pour garantir une application uniforme du RGPD dans l’UE.
Conclusion
Selon l’avocat général Richard de la Tour, la protection des données personnelles est susceptible d’avoir des « ramifications dans d’autres domaines relatifs, notamment, au droit du travail, au droit de la concurrence ou encore au droit de la consommation » [13]. Les arrêts de la CJUE étendant la faculté de contrôle du RGPD aux autorités de la concurrence et aux concurrents eux-mêmes ont pour effet de renforcer le caractère dissuasif du RGPD et pourraient marquer le point de départ d’une tendance plus vaste encore. Cependant, cette évolution soulève des questions de cohérence juridique entre les régimes nationaux. En effet, l’harmonisation du régime applicable à la protection des données personnelles ne sera dorénavant complète que lorsque les droits sur les pratiques commerciales et la concurrence déloyale seront également harmonisés dans l’UE.
[1] CJUE, 4 juillet 2023, C-252/21, point 62.
[2] Op. cit., point 63.
[3] CJUE, gde ch., 4 octobre 2024, aff. C-21/23, Lindenapotheke.
[4] CJUE, 4 octobre 2024, C-21/23, point 73.
[5] Op. cit., point 62.
[6] LU_FR_Module 4_2022FINAL. pdf (consumerlawready.eu).
[7] Cass. com., 17 mars 2021, n° 01-10.414.
[8] www.emulation-innovation.be/concurrence-deloyale-avocat/
[9] Loi contre la concurrence déloyale du 3 juillet 2004 BGB1. 2004 I.
[10] Ley de Competencia Desleal n° 3/1991 du 10 janvier, article 15 : « El prevalerse en el mercado de una ventaja competitiva, que sea significativa, adquirida mediante la infracción de las leyes ».
[11] Article 2598, al. 3, du Code civil italien.
[12] Corte di Cassazione, 30 novembre 2021, n° 37659/2021.
[13] Conclusions de l’affaire Meta Platform Ireland présentées le 2 décembre 2021, point 51.
