CJCE, C‑21/23 dans l’affaire Lindenapotheke : les données issues de la commande en ligne de médicaments vendus exclusivement en pharmacie sont des données relatives à la santé

FR DE EN

David Vasella

sur le site

04.10.2024

Branches

Pharmacies

Autorité

CJCE

Lois

RGPD 9

Thèmes

Données personnelles particulières, Santé

Vente à emporter (AI)

La CJUE confirme que les États membres peuvent autoriser les plaintes de concurrents fondées sur le droit de la concurrence en vertu du RGPD.
Les données personnelles fournies lors de commandes en ligne de médicaments vendus en pharmacie sont considérées comme des données relatives à la santé lorsqu’elles permettent de tirer des conclusions sur l’état de santé.
Cette classification s’applique indépendamment du fait que la commande soit passée pour l’utilisateur lui-même ou pour une tierce personne.

Le présent arrêt du 4 octobre 2024 (C‑21/23 dans l’affaire Lindenapotheke) concerne l’exploitant de la Linden-Apotheke, qui vend via Amazon des médicaments vendus en pharmacie. Une concurrente avait demandé une interdiction, à moins que les clients ne consentent au traitement des données correspondantes. La Cour fédérale de justice allemande avait posé des questions à la CJCE dans la procédure correspondante.

La CJUE confirme tout d’abord que le RGPD n’interdit pas aux États membres d’utiliser des données personnelles, les plaintes de concurrents fondées sur le droit de la concurrence d’autoriser la pratique :

Le traitement des données personnelles a une grande importance économique. Il se peut donc que le respect du droit de la protection des données soit pertinent pour la concurrence (ce que l’EuCH a déjà confirmé dans l’affaire Bundeskartellamt, aff. C‑252/21).
L’article 80, paragraphe 2 du RGPD (les États membres peuvent réglementer le droit de recours de certaines organisations) est une clause d’ouverture. Même s’il n’est pas question ici de plaintes de concurrents, il n’est pas question d’une harmonisation totale. Les plaintes de concurrents peuvent en outre renforcer l’efficacité du RGPD. Pour cette raison et pour d’autres considérations, le RGPD permet aux États membres d’introduire des plaintes pour concurrence fondées sur le droit de la concurrence.

En pratique, le second point est beaucoup plus pertinent, à savoir Portée de la notion de données relatives à la santé. La Cour fédérale de justice avait demandé si les données issues de la commande en ligne de médicaments (comme le nom ou l’adresse de livraison) étaient des données relatives à la santé. C’est le cas si les données “permettent de tirer des conclusions” sur l’état de santé. Mais il suffit pour cela que de telles conclusions soient indirectement tirées :

82 Ces dispositions [en particulier l’article 9, paragraphe 1, du RGPD] ne peuvent notamment pas être interprétées en ce sens que le traitement de données à caractère personnel qui informations sensibles indirectes concernant une personne physique est exclue du régime de protection renforcée prévu par ces dispositions […].

83 Par conséquent, pour que des données à caractère personnel puissent être qualifiées de données relatives à la santé au sens de l’article 8, paragraphe 1, de la directive 95/46 et de l’article 9, paragraphe 1, du RGPD, il suffit qu’à partir de ces données au moyen d’une combinaison mentale ou d’une déduction de conclure sur l’état de santé de la personne concernée peut […].

Cela doit s’appliquer prima vista aux données de commande :

84 A partir des données qu’un client saisit lors de la commande de médicaments vendus en pharmacie sur une plateforme en ligne, peut être déduit par combinaison mentale ou par déduction de l’état de santé de la personne concernée […].La commande établit un lien entre un médicament, ses indications thérapeutiques et ses utilisations, et une personne physique identifiée ou identifiable par des informations telles que son nom ou son adresse de livraison.

Mais la BGH n’était pas sûre, car les commandes peuvent aussi être passées pour des tiers. La CJCE ne suit pas cet avis :

88 En conséquence, lorsqu’un utilisateur d’une plateforme en ligne transmet des données à caractère personnel lors de la commande de médicaments vendus en pharmacie mais non soumis à prescription médicale, le traitement de ces données par l’exploitant d’une pharmacie qui commercialise ces médicaments via la plateforme en ligne doit être considéré comme un traitement de données relatives à la santé […], étant donné que le traitement de ces données peut révéler des informations sur l’état de santé d’une personne physique, que ces informations concernent l’utilisateur ou une autre personne.pour laquelle cette commande est passée […].

Pour justifier sa décision, la CJCE a utilisé l’arme à tout faire du droit de la protection des données :

89 En effet, une interprétation de ces dispositions qui distinguerait selon la nature des médicaments concernés et selon que leur vente est ou non soumise à une prescription médicale ne serait pas conforme à l’objectif, énoncé au point 81 du présent arrêt, d’un un haut niveau de protection. […]

C’est pourquoi

90 Par conséquent, les informations que les clients d’un exploitant de pharmacie saisissent lors de la commande en ligne de médicaments vendus en pharmacie mais non soumis à prescription médicale constituent des données relatives à la santé […] […].

CJCE, C‑21/23 dans l’af­fai­re Lin­den­apo­the­ke : les don­nées issues de la com­man­de en ligne de médi­ca­ments ven­dus exclu­si­ve­ment en phar­macie sont des don­nées rela­ti­ves à la santé

CJCE, C‑21/23 dans l’affaire Lindenapotheke : les données issues de la commande en ligne de médicaments vendus exclusivement en pharmacie sont des données relatives à la santé