Le droit français admet depuis longtemps qu’une pratique commerciale déloyale peut naître du non-respect d’une obligation légale ou réglementaire par une entreprise qui y est normalement soumise.
Dans un arrêt rendu le 4 octobre 2024, la Cour de justice de l’Union européenne (CJUE) vient confirmer que ce principe peut également trouver à s’appliquer dans l’hypothèse d’une entreprise qui déciderait de s’affranchir de la réglementation en matière de protection des données personnelles.
La Cour de justice était en particulier invitée à se prononcer à propos d’un litige opposant deux pharmacies devant les juridictions allemandes, où l’une reprochait à sa concurrente d’avoir commis un acte de concurrence déloyale dans la vente en ligne de médicaments, en ayant fait l’économie de la mise en œuvre d’un mécanisme approprié pour garantir la collecte du consentement nécessaire au traitement des données de santé, conformément aux exigences du RGPD.
Afin d’échapper à l’engagement de sa responsabilité, l’entreprise mise en cause entendait contester la possibilité de sanctionner une non-conformité sur le terrain de la concurrence déloyale, aux motifs que cette faculté n’était pas explicitement prévue par le texte, lequel confiait par ailleurs la mission de contrôler le respect de la réglementation aux seules autorités de contrôle.
Cet argumentaire est rejeté par la Cour de justice, qui confirme que les dispositions du RGPD ne font pas en tant que telles obstacle à ce qu’une entreprise puisse, sur le fondement de la concurrence déloyale, engager la responsabilité d’un concurrent qui manque à ses obligations en matière de protection des données personnelles.
Alors que l’éventualité d’une sanction administrative prononcée par l’autorité de contrôle (CNIL) peut parfois apparaître théorique et éloignée, la solution contenue dans l’arrêt de la Cour de justice vient rappeler que la responsabilité de l’entreprise peut être engagée de diverses façons en cas de non-respect de la législation relative à la protection des données personnelles.
La mesure de l’exposition aux risques en cas de non-conformité devra dès lors tenir compte du risque indemnitaire lié à une action en concurrence déloyale, en particulier lorsque la non-conformité est susceptible d’engendrer une distorsion de concurrence au détriment des tiers présents sur le marché (ex : recours à des sous-traitants hors UE sans garanties appropriées, collecte non autorisée de données, conservation de données personnelles sans limitation de durée, etc.).
Ainsi, et à l’image d’autres réglementations, l’action publique des autorités administratives et judiciaires dans le contrôle du respect du RGPD est ainsi susceptible d’être relayée, voire amplifiée, par les démarches d’acteurs privés, aggravant l’ampleur des risques en cas de non-conformité.
Au-delà d’un strict enjeu juridique, la conformité au RGPD constitue un enjeu de marché qui doit mobiliser l’ensemble des composantes de l’entreprise.
Contactez-nous pour un accompagnement personnalisé.