Interprétation large de la donnée de santé par la CJUE
En matière de données personnelles, les données de santé sont spécifiques, leur régime de protection étant davantage protecteur pour la personne physique concernée. Dans un arrêt du 4 octobre 2024, la Cour de Justice de l’Union Européenne (C-21/23, ND « Lindenapotheke » c. DR) a répondu récemment à deux questions préjudicielles.
Le régime des données de santé est un régime dérogatoire
Les données de santé sont définies par le règlement général sur la protection des données (RGPD) comme des « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » (article 4).
Ces données de santé sont en effet considérées comme des données dites « sensibles » (RGPD – article 9, loi Informatique et Libertés – article 66).
La soumission à un tel régime implique donc des obligations élargies pour le responsable de leur traitement.
La violation du RGPD peut constituer une pratique commerciale déloyale
La première question préjudicielle posée au juge européen traitait de savoir si les dispositions du RGPD pouvaient fonder des demandes visant l’interdiction de pratiques commerciales déloyales, par un concurrent qui ne dispose pas de la qualité de « personne concernée » au sens du RGPD.
En l’occurrence, la pharmacie en ligne commercialisait ses produits par l’intermédiaire de la plateforme en ligne « Amazon » en méconnaissance des dispositions du RGPD, en ce qu’il n’était pas garanti que les clients de la pharmacie en ligne avaient consenti au traitement de leurs données personnelles, dites « de santé », et contrevenait ainsi à l’article 9 du RGPD.
La CJUE retient que cette possibilité pour un concurrent d’invoquer la règlementation sur la protection des données, même lorsqu’il ne s’agit pas de ses propres données, « est de nature à renforcer l’effet utile de ces dispositions et ainsi le niveau élevé de protection des personnes concernées » (§62), opérant un parallèle avec les associations de défense des intérêts des consommateurs.
La CJUE se fonde sur les articles 77, 78 et 79 du RGPD qui définissent le droit d’introduire une réclamation ou un recours juridictionnel auprès d’une autorité de contrôle, ou un recours juridictionnel contre un responsable de traitement ou un sous-traitant, « sans préjudice de tout autre recours administratif ou juridictionnel ». Le fondement de l’interdiction des pratiques commerciales déloyales n’est donc pas exclu par le RGPD.
Il appartient ensuite à la juridiction nationale de renvoi de déterminer en pratique si une violation de dispositions matérielles du RGPD caractérise bien une violation du droit national pertinent sur les pratiques commerciales déloyales.
La jurisprudence nationale française concluait déjà dans le même sens que la CJUE (voir par exemple, Cass. com., 17 mars 2021, n° 01-10.414).
La CJUE adopte une méthode probabiliste pour caractériser les données de santé
La CJUE répondait à une seconde question préjudicielle du juge allemand de savoir si les données saisies sur un site de vente de médicaments en ligne constituaient des données de santé. Les données en question pouvaient être les nom et prénom de la personne passant la commande, ou encore l’adresse de livraison de la personne passant cette commande, sans forcément que cette dernière soit celle bénéficiant ensuite du médicament.
La CJUE adopte une définition élargie des données de santé en considérant qu’une donnée sur une commande de médicaments, liée au client d’une pharmacie en ligne (que la commande soit pour sa consommation propre ou non), est une donnée de santé, au sens des articles 4(15) et 9(1) du RGPD, combinés à l’article 8, paragraphe 1 de la directive e-commerce du 24 octobre 1995.
La CJUE refuse de procéder à une distinction en fonction du type de médicament proposé, ou de l’existence d’une prescription médicale ou non – certaines situations ne permettant pourtant de faire un lien avec la personne concernée que sur la base d’un test de probabilité, et non avec une certitude absolue.
Pour parvenir à cette interprétation élargie de la donnée de santé, la CJUE élude donc les éventuels éléments de contexte, ou les finalités de la collecte de données. La CNIL s’inscrit d’ores et déjà dans cette tendance avec par exemple la délibération CEGEDIM du 5 septembre 2024 (SAN-2024-013). T