Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MACIEJ SZPUNAR

présentées le 25 avril 2024 (1)

Affaire C‑21/23

ND

contre

DR

[demande de décision préjudicielle formée par le Bundesgerichtshof (Cour fédérale de justice, Allemagne)]

« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Voies de recours – Délimitation des voies de recours – Traitement portant sur des catégories particulières de données à caractère personnel – Notions de “données relatives à la santé” et de “données concernant la santé” »

I.      Introduction

1.        La présente affaire porte sur l’interprétation de plusieurs dispositions du règlement (UE) 2016/679 (2) (ci-après, le « RGPD ») s’agissant, d’une part, du système des voies de recours instauré par ce règlement et, d’autre part, de la catégorie de données d’une sensibilité particulière que sont les « données concernant la santé ».

2.        La demande de décision préjudicielle s’inscrit dans le contexte d’une action en cessation, fondée sur l’interdiction, en droit national, des actes de concurrence déloyale et introduite par une entreprise dans le but de mettre fin à la commercialisation sur Internet, par un de ses concurrents, de médicaments non soumis à prescription. L’acte de concurrence déloyale allégué serait constitué, selon cette entreprise, par le non-respect des exigences découlant du RGPD s’agissant du traitement des « données concernant la santé ».

3.        Je débuterai mon analyse par l’examen de la seconde question préjudicielle, qui permettra à la Cour de préciser les contours de la notion de « données concernant la santé » déterminant l’application ou non d’un régime renforcé de protection.

4.        En effet, dans l’hypothèse où les données en cause dans la présente affaire ne pourraient être qualifiées de « données concernant la santé », au sens de l’article 9, paragraphe 1, du RGPD, il s’ensuivrait que l’acte de concurrence déloyale allégué ne serait pas constitué. Il ne serait alors pas utile de répondre à la première question préjudicielle, qui porte sur le point de savoir si le système des voies de recours instauré par le RGPD permet l’existence, en droit national, d’un recours fondé sur une violation des règles relatives à l’interdiction des actes de concurrence déloyale, par lequel le requérant se prévaut d’une violation des dispositions matérielles du RGPD.

II.    Le cadre juridique

A.      Le droit de l’Union

1.      La directive 95/46/CE

5.        La directive 95/46/CE (3) prévoit, à son article 8, paragraphe 1 :

« Les États membres interdisent le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle. »

2.      Le RGPD

6.        Les considérants 9, 10, 13, 35, 51 et 142 du RGPD sont libellés comme suit :

« (9)      Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la [directive 95/46] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union, une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la [directive 95/46].

(10)      Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]

[...]

(13)      Afin d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union, et d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises, pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et d’obligations et de responsabilités pour les responsables du traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu’une coopération efficace entre les autorités de contrôle des différents États membres. [...]

[...]

(35)      Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l’inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la [directive 2011/24/UE (4)] au bénéfice de cette personne physique ; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ; des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques ; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro.

[...]

(51)      Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. [...] De telles données à caractère personnel ne devraient pas faire l’objet d’un traitement, à moins que celui-ci ne soit autorisé dans des cas spécifiques prévus par le présent règlement, compte tenu du fait que le droit d’un État membre peut prévoir des dispositions spécifiques relatives à la protection des données visant à adapter l’application des règles du présent règlement en vue de respecter une obligation légale ou pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de certaines associations ou fondations ayant pour objet de permettre l’exercice des libertés fondamentales.

[...]

(142)      Lorsqu’une personne concernée estime que les droits que lui confère le présent règlement sont violés, elle devrait avoir le droit de mandater un organisme, une organisation ou une association à but non lucratif, constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des données à caractère personnel, pour qu’il introduise une réclamation en son nom auprès d’une autorité de contrôle, exerce le droit à un recours juridictionnel au nom de personnes concernées ou, si cela est prévu par le droit d’un État membre, exerce le droit d’obtenir réparation au nom de personnes concernées. Un État membre peut prévoir que cet organisme, cette organisation ou cette association a le droit d’introduire une réclamation dans cet État membre, indépendamment de tout mandat confié par une personne concernée, et dispose du droit à un recours juridictionnel effectif s’il a des raisons de considérer que les droits d’une personne concernée ont été violés parce que le traitement des données à caractère personnel a eu lieu en violation du présent règlement. Cet organisme, cette organisation ou cette association ne peut pas être autorisé à réclamer réparation pour le compte d’une personne concernée indépendamment du mandat confié par la personne concernée. »

7.        L’article 1^er de ce règlement, intitulé « Objet et objectifs », dispose :

« 1.      Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.

2.      Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.

3.      La libre circulation des données à caractère personnel au sein de l’Union n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. »

8.        L’article 4 dudit règlement prévoit :

« Aux fins du présent règlement, on entend par :

1)      “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci‑après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

[...]

15)      “données concernant la santé”, les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ;

[...] »

9.        Aux termes de l’article 9 du même règlement, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel » :

« 1.      Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

2.      Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :

a)      la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée ;

[...]

h)      le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3 ;

[...] »

10.      Les articles 77 à 84 figurent sous le chapitre VIII du RGPD, intitulé « Voies de recours, responsabilité et sanctions ».

11.      L’article 77 de ce règlement, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », dispose, à son paragraphe 1 :

« Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. »

12.      L’article 78 dudit règlement, intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle », énonce, à son paragraphe 1 :

« Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne. »

13.      L’article 79 du même règlement, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », prévoit, à son paragraphe 1 :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

14.      L’article 80 du RGPD, intitulé « Représentation des personnes concernées », énonce :

« 1.      La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit.

2.      Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du fait du traitement. »

15.      L’article 82 de ce règlement, intitulé « Droit à réparation et responsabilité », dispose, à son paragraphe 1 :

« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »

16.      L’article 84 dudit règlement, intitulé « Sanctions », énonce, à son paragraphe 1 :

« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives. »

B.      Le droit allemand

1.      La loi contre la concurrence déloyale

17.      L’article 3 du Gesetz gegen den unlauteren Wettbewerb (loi contre la concurrence déloyale), du 3 juillet 2004 (5), dans sa version applicable au litige au principal (ci-après la « loi contre la concurrence déloyale »), intitulé « Interdiction des comportements commerciaux déloyaux », prévoit, à son paragraphe 1, que « [l]es pratiques commerciales déloyales sont illicites ».

18.      L’article 3a de cette loi, intitulé « Violation du droit », est ainsi libellé :

« Commet un acte déloyal celui qui enfreint une disposition légale destinée, notamment, à réglementer le comportement sur le marché dans l’intérêt de ses acteurs dès lors que cette infraction est susceptible d’affecter sensiblement les intérêts des consommateurs, des autres acteurs du marché ou des concurrents. »

19.      L’article 8 de ladite loi, intitulé « Élimination et omission », énonce :

« (1)      Toute pratique commerciale illicite en vertu de l’article 3 ou de l’article 7 peut donner lieu à une injonction de cessation et, en cas de risque de récidive, à un ordre de cessation ou interdiction. [...]

[...]

(3)      Les injonctions visées au paragraphe 1 peuvent être demandées par :

1.      tout concurrent qui commercialise ou demande des biens ou des services de manière non négligeable et non occasionnelle,

[...] »

2.      La loi sur les médicaments

20.      La circulation des médicaments est régie par l’Arzneimittelgesetz (loi sur les médicaments), du 24 août 1976, dans sa version publiée le 12 décembre 2005 (6), telle que modifiée en dernier lieu par l’article 8c de la loi du 20 décembre 2022 (7). Cette loi fait une distinction entre les médicaments vendus en pharmacie, visés à ses articles 43 (intitulé « Obligation de distribution en pharmacie ») à 47, et ceux vendus sur ordonnance, visés à son article 48 (intitulé « Obligation de prescription »).

III. Les faits au principal, la procédure et les questions préjudicielles

21.      ND et DR exploitent chacun une pharmacie. Le requérant au principal, ND, est en outre titulaire d’une autorisation de vente par correspondance et commercialise également ses produits, y compris des médicaments dont la vente est réservée aux pharmacies, par l’intermédiaire d’Amazon Marketplace (ci-après « Amazon »), une plateforme de commerce électronique par laquelle des vendeurs peuvent proposer à la vente des produits directement aux consommateurs.

22.      Le défendeur au principal, DR, a introduit une action en cessation afin d’interdire à ND la commercialisation sur la plateforme de vente en ligne Amazon de médicaments dont la vente est réservée aux pharmacies. Selon DR, une telle commercialisation constitue un acte commercial déloyal dans la mesure où cela conduit ND à enfreindre une disposition légale, au sens de l’article 3a de la loi contre la concurrence déloyale, à savoir, notamment, l’article 9 du RGPD, relatif à l’obtention du consentement préalable et exprès du client pour le traitement de ses données personnelles concernant la santé.

23.      Le Landgericht Dessau-Roßlau (tribunal régional de Dessau-Roßlau, Allemagne) a fait droit à cette action. L’Oberlandesgericht Naumburg (tribunal régional supérieur de Naumburg, Allemagne) a par la suite rejeté l’appel interjeté par ND, en jugeant que la commercialisation par ce dernier sur Amazon de médicaments dont la vente est réservée aux pharmacies est contraire à la loi contre la concurrence déloyale. En effet, selon cette juridiction, cette commercialisation constitue un traitement de données concernant la santé, au sens de l’article 9, paragraphe 1, du RGPD, auquel les clients n’auraient pas expressément consenti. Or, les dispositions du RGPD devraient être considérées comme des règles de comportement sur le marché au sens du droit national de la concurrence, de sorte que, en tant que concurrent, DR aurait le droit de faire valoir une demande en cessation fondée sur le droit national de la concurrence en se prévalant d’une violation par ND des dispositions de ce règlement.

24.      ND a introduit un pourvoi en révision devant la juridiction de renvoi, le Bundesgerichtshof (Cour fédérale de justice, Allemagne), par lequel il maintient ses conclusions tendant au rejet de l’action en cessation.

25.      Selon la juridiction de renvoi, l’issue du pourvoi en révision dépend de l’interprétation tant du chapitre VIII du RGPD que de l’article 9 de ce règlement, ainsi que de l’article 8, paragraphe 1, de la directive 95/46.

26.      En effet, d’une part, cette juridiction souligne qu’il importe de déterminer si le requérant au principal, en tant que concurrent, dispose de la qualité requise pour agir, au moyen d’un recours devant les juridictions civiles, au titre des violations du RGPD, contre l’auteur de celles-ci, sur le fondement de l’interdiction des pratiques commerciales déloyales. La juridiction de renvoi précise qu’il s’agit d’une question controversée à laquelle il peut être répondu que les règles contenues dans le RGPD visant à faire appliquer ses dispositions sont exhaustives, de sorte que la qualité pour agir des concurrents au titre du droit de la concurrence est exclue. Néanmoins, il peut également être défendu que les dispositions du RGPD visant au contrôle de l’application du droit ne sont pas exhaustives, et que les concurrents disposent donc de la qualité requise pour faire appliquer, par un recours, des droits en cessation, en invoquant la violation de ce règlement.

27.      D’autre part, la juridiction de renvoi soutient qu’il convient de déterminer si les données que les clients doivent saisir, lors de la commande en ligne de médicaments dont la vente est réservée aux pharmaciens mais qui ne sont pas soumis à prescription médicale, constituent des données de santé, au sens de l’article 9, paragraphe 1, du RGPD et, précédemment, de l’article 8, paragraphe 1, de la directive 95/46, dans la mesure où le droit à la cessation n’existe que si le comportement de ND était illégal à la fois au moment où il a été adopté et au moment de l’audience de révision.

28.      C’est dans ce contexte que le Bundesgerichtshof (Cour fédérale de justice) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)      Les dispositions du chapitre VIII du [RGPD] s’opposent-elles à des règles nationales qui, parallèlement aux pouvoirs d’intervention des autorités de contrôle chargées de surveiller et de faire appliquer ce règlement et parallèlement aux possibilités de recours des personnes concernées, confèrent aux concurrents la qualité requise pour agir, au moyen d’un recours devant les juridictions civiles, au titre de violations dudit règlement, contre l’auteur de celles-ci, sur le fondement de l’interdiction des pratiques commerciales déloyales ?

2)      Les données que les clients d’un pharmacien qui agit en tant que vendeur sur une plate-forme de vente en ligne saisissent sur cette plate-forme, lors de la commande de médicaments dont la vente est certes réservée aux pharmacies, mais qui ne sont pas soumis à prescription médicale (des données telles que le nom du client, l’adresse de livraison et des informations nécessaires à l’individualisation du médicament dont la vente est réservée aux pharmacies qui a été commandé), constituent-elles des données concernant la santé au sens de l’article 9, paragraphe 1, du [RGPD] et des données relatives à la santé au sens de l’article 8, paragraphe 1, de la directive 95/46 ? »

29.      La présente demande de décision préjudicielle est parvenue à la Cour le 19 janvier 2023. Les parties à la procédure au principal, le gouvernement allemand et la Commission européenne ont présenté des observations écrites. Ces mêmes parties étaient représentées lors de l’audience qui s’est tenue le 9 janvier 2024.

IV.    Analyse

30.      Dans la présente affaire, DR fait valoir que ND aurait violé l’article 9 du RGPD en traitant les données des clients ayant commandé en ligne des médicaments non soumis à prescription sans se conformer aux exigences imposant de recueillir le consentement explicite des clients pour le traitement de ces données.

31.      Par sa première question préjudicielle, la juridiction de renvoi demande, en substance, si les dispositions du chapitre VIII du RGPD doivent être interprétées en ce sens qu’elles s’opposent à des règles nationales qui reconnaissent aux entreprises le droit de se prévaloir, sur le fondement de l’interdiction des actes de concurrence déloyale, des violations des dispositions matérielles du RGPD prétendument commises par leurs concurrents. Dans sa seconde question préjudicielle, cette juridiction interroge la Cour sur le point de savoir si l’article 9 du RGPD doit être interprété en ce sens que les données en cause constituent des données de santé et relèvent donc des catégories particulières de données visées à cette disposition (8).

32.      D’emblée, ainsi que je l’ai déjà souligné, je relève que, dans l’hypothèse d’une réponse négative à la seconde question, il n’y aurait pas lieu de répondre à la première, dans la mesure où la réponse de la Cour serait suffisante pour que la juridiction de renvoi tranche le litige pendant devant elle. Dans ces conditions, il m’apparaît opportun de commencer mon analyse des questions préjudicielles par cette seconde question.

A.      Sur la seconde question préjudicielle

33.      Par sa seconde question préjudicielle, la juridiction de renvoi demande, en substance, si les données des clients d’un pharmacien transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription constituent des « données concernant la santé », au sens de l’article 9, paragraphe 1, du RGPD.

34.      Il me faut préciser d’emblée que la notion de « données concernant la santé » figurant à l’article 9, paragraphe 1, du RGPD est définie à l’article 4, point 15, de ce règlement. La réponse à la seconde question préjudicielle suppose alors une interprétation conjointe de ces deux dispositions.

1.      Sur l’interprétation de la notion de « données concernant la santé » à la lumière de la jurisprudence existante

35.       Aux termes de l’article 4, point 15, du RGPD, constituent des « données concernant la santé » les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

36.      Cette définition est en outre étayée par le considérant 35 du RGPD. La Cour a ainsi souligné dans sa jurisprudence que « [ce considérant] énonce que les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui “révèlent” des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée » (9).

37.      Il ressort donc du libellé de l’article 4, point 15, du RGPD, précisé par le considérant 35 de ce règlement, que l’élément déterminant pour établir que certaines données personnelles constituent des données concernant la santé est le fait qu’il est possible, à partir des données en question, de tirer des conclusions sur l’état de santé de la personne concernée. Autrement dit, les « données concernant la santé » ne se limitent pas aux données médicales ou directement relatives à des problèmes de santé, mais comprennent également toute donnée permettant de tirer des conclusions quant à l’état de santé de la personne concernée, qu’il s’agisse par ailleurs d’un état pathologique ou physiologique.

38.      Cela est confirmé à la lumière de l’objectif poursuivi à l’article 9 du RGPD. La Cour a ainsi souligné, dans sa jurisprudence, que la finalité de cette disposition est d’assurer une protection accrue à l’encontre de traitements qui, en raison de la sensibilité particulière des données qui en sont l’objet, sont susceptibles de constituer, ainsi qu’il ressort du considérant 51 du RGPD, une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne (10).

39.      La sensibilité particulière des données relatives à la santé s’explique en effet par le fait que celles-ci portent sur des informations qui relèvent de la sphère la plus intime des personnes et peuvent exposer leur vulnérabilité. Cette sensibilité particulière et, en conséquence, leur besoin particulier de protection sont d’ailleurs reconnus non seulement en droit de l’Union, mais également dans la jurisprudence de la Cour européenne des droits de l’homme, qui souligne que « [l]e respect du caractère confidentiel des informations sur la santé constitue un principe essentiel du système juridique de toutes les Parties contractantes à la [convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950] » (11).

40.      Il importe donc, à la lumière de cet objectif, selon la jurisprudence de la Cour, de donner une interprétation large à la notion de « catégories particulières de données à caractère personnel » dont relèvent les données concernant la santé, de sorte qu’elles ne visent pas seulement les données intrinsèquement sensibles, mais également des données dévoilant indirectement, au terme d’une opération intellectuelle de déduction ou de recoupement, des informations de cette nature (12).

41.      À cet égard, je relève que le comité européen de la protection des données institué aux articles 68 et suivants du RGPD adopte également une telle conception de la notion de « données concernant la santé », en soulignant que ce n’est pas seulement la nature intrinsèque de l’information qui détermine sa qualification de « donnée concernant la santé », mais également les circonstances entourant sa collecte et son traitement, et donne à ce titre différents exemples. Selon ce comité, constituent donc des « données concernant la santé » les informations contenues dans un dossier médical, les informations qui révèlent l’état de santé du fait de leur croisement avec d’autres données, ou encore les données qui deviennent des données concernant la santé en raison de leur utilisation dans un contexte spécifique, comme les informations relatives à un voyage et traitées par un professionnel de santé pour établir un diagnostic (13). En revanche, ne constituent pas des « données concernant la santé » les données récoltées par une application permettant de mesurer le nombre de pas effectués par la personne concernée, lorsque cette application ne peut lier ces données à d’autres données de cette personne et dans la mesure où les données récoltées ne sont pas traitées dans un contexte médical (14).

42.      Il ressort donc clairement de l’article 4, point 15, et de l’article 9 du RGPD, tels qu’interprétés dans la jurisprudence, que doivent être considérées comme des « données concernant la santé », au sens de ces dispositions, les données susceptibles de permettre de tirer des conclusions quant à l’état de santé de la personne concernée.

43.      Je relève donc que, à première vue, il ne peut être nié que la commande en ligne de médicaments non soumis à prescription suppose le traitement de données dont on peut déduire certaines informations relatives à la santé ou, à tout le moins, donne certains indices la concernant dans la mesure où cette commande implique un lien entre l’achat d’un médicament, produit concernant la santé par excellence, et l’identité de son acheteur. Toutefois, à mon sens et pour les raisons que je vais maintenant exposer, il ressort des informations transmises à la Cour par la juridiction de renvoi que ce lien est trop ténu et les indices pouvant en être déduits trop imprécis ou hypothétiques pour que les données en cause puissent être qualifiées de « données concernant la santé », au sens de l’article 4, point 15, et de l’article 9 du RGPD.

2.      Sur l’exigence d’un certain degré de certitude quant aux conclusions pouvant être tirées sur l’état de santé d’une personne concernée

44.      Il me faut apporter quelques précisions s’agissant de cette interprétation de la notion de « données concernant la santé » en particulier et de celle de « catégorie particulière de données » en général.

45.      D’une part, il me semble que, sur la base de ces éléments d’interprétation, un produit commandé en ligne peut être considéré comme étant susceptible de révéler des informations générales concernant l’état de santé d’une personne mais également, ainsi qu’il ressort de l’article 9 du RGPD, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou encore l’orientation sexuelle d’une personne. À mon sens, certaines informations relatives à ces différents éléments s’agissant de la personne concernée peuvent être déduites des biens commandés en ligne.

46.      Plusieurs exemples me permettent d’étayer mon propos. La commande d’un livre d’une personnalité politique peut potentiellement indiquer l’adhésion aux idées que celle-ci défend, la commande d’un vêtement peut être le signe des convictions religieuses d’un individu, ou encore la commande de matériel érotique peut constituer un indice de l’orientation sexuelle de la personne. Sauf à soumettre une vaste part du traitement des données relatives au commerce en ligne au régime prévu à l’article 9, paragraphe 2, du RGPD, il me semble donc nécessaire d’affiner davantage l’interprétation de la notion de « données concernant la santé » en ce sens que les conclusions qui peuvent être tirées des données relatives à une commande ne doivent pas être seulement potentielles. En d’autres termes, à mon sens, les informations révélées par les données en cause quant à l’état de santé de la personne concernée ne peuvent être de simples suppositions, mais doivent présenter un certain degré de certitude.

47.      D’autre part, je suis d’avis que, hormis les cas où les données sont intrinsèquement des « données concernant la santé », le point de savoir si des données peuvent être ainsi qualifiées dépend des circonstances de chaque espèce. Plus précisément, les conclusions qu’il est possible de tirer de ces données me semblent dépendre du contexte dans lequel elles sont récoltées et du traitement qui en est effectué. Ainsi que le souligne le comité européen de la protection des données institué aux articles 68 et suivants du RGPD, des données à première vue étrangères au domaine médical, telles que des informations relatives à un voyage, peuvent néanmoins être considérées comme des « données concernant la santé » lorsqu’elles sont analysées dans un contexte médical et couplées à d’autres informations, afin d’établir, dans l’exemple cité, une potentielle contamination à une bactérie ou à un virus présent dans une région donnée.

48.      En particulier, je souligne que l’identité du responsable du traitement des données est un élément particulièrement pertinent à cet égard. En effet, dès lors que les données sont traitées par un organe du domaine de la santé, il me semble que cela peut constituer un indice que ces données sont effectivement des « données concernant la santé ». En revanche, ces mêmes données pourraient être qualifiées différemment en raison du fait qu’elles ne sont pas traitées par un établissement du domaine de la santé et ne peuvent être liées avec d’autres données de la personne concernée. Autrement dit, la même donnée peut dévoiler sur l’état de santé d’une personne plus d’informations lorsqu’elle est traitée par une institution du domaine de la santé qui dispose des compétences pour les interpréter ou d’autres données concernant la personne que lorsqu’elle est traitée par un organe extérieur à ce secteur.

49.      Dans ces conditions, je suis d’avis qu’il appartient à la juridiction de renvoi de mener un examen tant de la substance des données en cause que de l’ensemble des circonstances entourant leur traitement, afin de déterminer s’il peut en être déduit, avec un certain degré de certitude, des informations relatives à l’état de santé de la personne concernée.

50.      Au vu des éléments contenus dans la décision de la juridiction de renvoi, il me semble toutefois possible d’apporter des précisions visant à la guider dans la solution du litige au principal (15).

3.      Sur les éléments pertinents pour l’examen par la juridiction de renvoi de la possibilité de déduire des informations quant à l’état de santé d’une personne concernée

51.      En premier lieu, s’agissant des produits faisant l’objet de la commande, je souligne que les médicaments en question, à savoir des médicaments non soumis à prescription, ne visent en principe pas le traitement d’un état particulier, mais peuvent être utilisés plus généralement pour traiter des affections du quotidien qui peuvent être rencontrées par chacun et qui ne sont pas symptomatiques d’une pathologie ou d’un état de santé précis. En outre, ces médicaments sont également fréquemment achetés à titre préventif, afin de les avoir à disposition en cas de besoin ou avant un départ hors de la résidence habituelle par exemple. À titre d’illustration, une commande de paracétamol ne permet aucune déduction quant à l’état précis d’une personne, cette molécule étant indiquée dans le traitement d’une variété de douleurs et d’états fiévreux et faisant fréquemment partie des médicaments dont les individus disposent à leur domicile, en dehors de toute nécessité particulière.

52.      En deuxième lieu, ainsi que le relève ND, le fait qu’une personne commande en ligne un médicament non soumis à prescription n’implique pas nécessairement que cette personne, dont les données sont traitées, en sera l’utilisateur, et non une autre personne de son foyer ou de son cercle. En effet, il est fréquent qu’une commande sur un site de vente en ligne soit réalisée par une personne titulaire d’un compte sur ce site au nom et pour le compte d’une personne n’en disposant pas. En l’absence de prescription désignant nommément la personne à qui le médicament est destiné et en vertu de laquelle il y a lieu de présumer que l’utilisateur du médicament et l’acheteur sont la même personne, il ne peut être déduit de la commande d’un produit librement accessible en ligne que ce produit a vocation à être utilisé par l’acheteur, et l’acheteur uniquement. Il en résulte qu’aucune conclusion quant à l’état de santé de la personne dont les données sont traitées ne peut être raisonnablement tirée de ces données, de sorte qu’elles puissent être qualifiées de « données concernant la santé ».

53.      Il en va d’autant plus ainsi que, en troisième lieu, et sous réserve des vérifications qu’il appartient à la juridiction de renvoi d’effectuer, une personne peut réaliser une commande par Internet sans qu’il soit besoin de fournir des données précises quant à son identité, en particulier lorsque la livraison du produit a lieu non pas à l’adresse de la personne concernée mais par l’intermédiaire d’un point de remise, et qu’aucune autre donnée d’identité civile n’est requise pour des besoins de facturation.

54.      Je suis donc d’avis qu’il convient de répondre à la seconde question préjudicielle en ce sens que les données des clients d’un pharmacien transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription ne constituent pas des « données concernant la santé », au sens de l’article 4, point 15, et de l’article 9 du RGPD, dans la mesure où seules des conclusions hypothétiques ou imprécises sur l’état de santé de la personne effectuant la commande en ligne peuvent en être tirées, ce qu’il appartient à la juridiction de renvoi de vérifier.

55.      Pour le surplus, il me faut encore préciser que, à mon sens, interpréter la notion de « données concernant la santé » comme incluant les données transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription est susceptible, paradoxalement, de conduire à dévoiler plus d’informations sensibles en raison du régime de protection renforcée prévu à l’article 9, paragraphe 2, du RGPD. En effet, la demande de consentement exprès pour le traitement de données déjà identifiées comme sensibles pourrait in fine inciter l’acheteur à dévoiler l’identité de l’utilisateur final du produit. Dans cette situation, des conclusions plus certaines quant à l’état de santé de cette personne pourraient être tirées.

B.      Sur la première question préjudicielle

56.      À la lumière de la réponse que je propose d’apporter à la seconde question préjudicielle, il n’y a pas lieu, selon moi, de répondre à la première question préjudicielle. Dans un souci d’exhaustivité et compte tenu de l’appréciation qu’il incombera à la juridiction de renvoi de mener, j’analyserai toutefois cette question, par laquelle la juridiction de renvoi demande, en substance, si les dispositions du chapitre VIII du RGPD doivent être interprétées en ce sens qu’elles s’opposent à des règles nationales qui reconnaissent aux entreprises le droit de se prévaloir, sur le fondement de l’interdiction des actes de concurrence déloyale, des violations des dispositions matérielles de ce règlement prétendument commises par leurs concurrents.

57.      Les parties ont apporté à cette question des réponses diamétralement opposées. D’une part, selon la Commission et ND, le système des voies de recours instauré par les dispositions du chapitre VIII du RGPD, interprété à la lumière des objectifs de ce règlement, doit être conçu comme un système exhaustif, excluant toute possibilité pour les États membres de prévoir des voies de recours alternatives en droit national.

58.      D’autre part, selon le gouvernement allemand, le système des voies de recours instauré par les dispositions du chapitre VIII du RGPD doit être conçu comme un ensemble minimal de voies de recours pouvant être complété par les États membres. Le caractère non exhaustif d’un tel système serait justifié par le fait que le RGPD a également pour objectif de protéger les conditions de concurrence et d’empêcher les distorsions qui pourraient résulter de différences de niveau de protection des données et que la possibilité pour un concurrent de se prévaloir de la violation par un autre concurrent des dispositions matérielles de ce règlement renforcerait le caractère opérationnel de ce dernier.

59.      Les parties ont donc articulé leurs observations autour du point de savoir si le système des voies de recours prévu par le RGPD devait être conçu comme un système d’harmonisation exhaustive, ce qui conditionnerait, selon eux, la possibilité pour les États membres de prévoir dans leur droit national des recours alternatifs à ceux établis par ce règlement.

60.      Toutefois, si la détermination du caractère exhaustif ou non du système des voies de recours est un élément pertinent pour répondre de manière utile à la première question préjudicielle, il me semble, pour les raisons que je vais exposer, qu’une telle analyse nécessite d’abord d’examiner la question sous-jacente de l’identification des personnes qui bénéficient de la protection accordée par les normes, tant matérielles et procédurales, du RGPD. En effet, dans l’hypothèse où les entreprises responsables du traitement des données devraient être considérées comme étant titulaires de droits octroyés par le RGPD, je suis d’avis que ce règlement devrait être interprété comme exigeant du droit national la mise en place de recours visant à faire valoir ces droits. Je débuterai donc mon analyse par ce point, avant de répondre à la question de savoir si le système des recours mis en place par le RGPD doit être conçu comme un système exhaustif au sens où il exclut la possibilité offerte en droit national à une entreprise d’intenter une action en cessation, introduite sur le fondement de l’interdiction des actes de concurrence déloyale, contre un concurrent en se prévalant de la violation par celui-ci des dispositions de ce règlement.

1.      Identification des titulaires des droits octroyés par le RGPD

61.      Je m’attacherai tout d’abord à préciser la nécessité d’une telle identification, en y procédant ensuite, et en exposant, enfin, l’incidence de l’identification des personnes concernées en tant que seules bénéficiaires des droits octroyés par le RGPD s’agissant de la réponse à la première question préjudicielle.

a)      Sur la nécessité de déterminer les titulaires des droits protégés par le RGPD

62.      La nécessité, afin de répondre à la question préjudicielle, d’identifier d’abord les titulaires des droits protégés par le RGPD avant de traiter la question du caractère exhaustif du système des voies de recours que ce règlement établit s’explique, selon moi, de deux manières.

1)      L’obligation des États membres de prévoir des recours visant à faire valoir un droit tiré du droit de l’Union

63.      Je relève qu’il est constant dans la jurisprudence que le droit de l’Union, de même qu’il crée des charges dans le chef des particuliers, est aussi destiné à engendrer des droits qui entrent dans leur patrimoine juridique (16), la Cour soulignant à cet égard que ces droits naissent notamment en raison d’obligations imposées tant aux particuliers qu’aux États membres et aux institutions de l’Union (17). En effet, toute obligation imposée à une personne physique ou morale a, en règle générale, pour effet corrélatif d’accorder un droit au bénéfice d’une autre personne.

64.      Il est en outre constant que tout droit conféré à un particulier par le droit de l’Union entraîne également l’existence d’un recours visant précisément à faire valoir ce droit, étant entendu que, en l’absence de règles spécifiques du droit de l’Union à cet effet, il appartient aux États membres d’assurer le respect des droits en cause dans le cadre de recours de droit interne (18). Il ressort en effet clairement de la jurisprudence qu’il incombe aux juridictions nationales de protéger les droits que les dispositions du droit de l’Union confèrent aux particuliers (19).

65.      Si, comme le soutient le gouvernement allemand, le RGPD devait être interprété comme protégeant, au-delà des personnes concernées, les conditions de concurrence sur le marché et, donc, in fine, les entreprises, ce règlement devrait être considéré comme engendrant des droits qui entrent dans le patrimoine juridique de ces dernières (20).

66.      Dans ces conditions, en l’absence de dispositions expresses du droit de l’Union à cet effet, le respect des droits que les entreprises tireraient du RGPD devrait pouvoir être assuré selon les recours prévus par les États membres.

67.      Il en résulterait que, sans qu’il soit besoin de traiter du caractère exhaustif ou non du système des voies de recours mis en place par le RGPD, il conviendrait de répondre à la première question préjudicielle en ce sens que le chapitre VIII de ce règlement doit être interprété non pas comme ne s’opposant pas à ce que les États membres puissent prévoir la possibilité pour un concurrent d’introduire une action contre une autre entreprise en se prévalant d’une violation dudit règlement, mais, bien plus, en ce sens qu’il exige que le respect de ses dispositions puisse être assuré dans le cadre d’une action intentée par une entreprise contre un concurrent se prévalant de leur violation par ce dernier (21).

68.      La réponse à la première question préjudicielle est donc bien, à mon sens, conditionnée par l’identification des titulaires des droits conférés par le RGPD.

2)      La double dimension de l’exhaustivité d’un système de voies de recours

69.      La notion même d’« exhaustivité d’un système de voies de recours » peut recouvrir deux dimensions distinctes, supposant une analyse différente et nécessitant d’avoir au préalable identifié les personnes titulaires des droits dont le respect est assuré par un tel système.

70.      La première dimension vise le caractère exhaustif du système des voies de recours à l’égard de tout autre recours destiné à la protection du même droit. Autrement dit, il est question de l’exhaustivité des recours prévus par le droit de l’Union pour la protection des droits que ses normes octroient à des particuliers. La Cour s’est déjà prononcée, dans sa jurisprudence, sur l’incidence du caractère exhaustif des recours prévus par le droit de l’Union pour la protection d’un droit lui-même prévu par le droit de l’Union. À titre d’illustration, elle a ainsi jugé de façon constante qu’un régime de responsabilité harmonisé de manière exhaustive par le droit de l’Union peut toutefois coexister avec un régime alternatif de responsabilité prévu par le droit national reposant sur les mêmes faits et le même fondement à condition que ce régime alternatif ne porte pas préjudice au régime harmonisé et ne porte pas atteinte à ses objectifs et à son effet utile (22). Le seul caractère exhaustif d’un système de voies de recours prévu par le droit de l’Union ne suffit donc pas à exclure la possibilité pour un État membre de prévoir en droit national un recours alternatif se fondant sur le même droit, pourvu que certaines conditions soient respectées.

71.      La seconde dimension de la notion d’« exhaustivité d’un système de voies de recours » prévu par le droit de l’Union est plus large et vise l’exhaustivité à l’égard de tout autre recours exercé par des personnes qui ne sont pas directement titulaires de droits conférés par le droit de l’Union, mais qui s’en prévalent néanmoins dans le cadre d’un recours prévu par le droit national. Une telle conception de l’exhaustivité d’un système de recours instauré par le droit de l’Union appelle donc une analyse différente (23).

72.      Il importe donc là encore, afin de procéder à une analyse pertinente de l’éventuel caractère exhaustif du système des voies de recours prévu par le RGPD, de déterminer au préalable les titulaires des droits que ce règlement octroie, ce que je m’attacherai à faire dans les développements qui suivent.

b)      Sur l’identification des titulaires des droits protégés par le RGPD

73.      Le champ personnel de la protection octroyée par le RGPD doit, à mon sens, être déterminé à la lumière tant des objectifs que du contenu de ce règlement.

74.      S’agissant, tout d’abord, des objectifs du RGPD, le gouvernement allemand fait valoir à cet égard que ce règlement vise, outre l’objectif d’assurer un niveau élevé et cohérent de protection des personnes physiques, à établir des conditions de concurrence égales.

75.      Certes, le considérant 9 du RGPD évoque le fait que les différences de protection du droit à la protection des données personnelles à l’égard de leur traitement peuvent fausser la concurrence. Il n’en reste pas moins que, à mon sens, une telle précision ne saurait être interprétée comme faisant de la garantie d’une concurrence libre et non faussée un objectif du RGPD. Le fait que des disparités dans les législations entre les États membres s’agissant de normes s’imposant aux entreprises entraînent des distorsions de concurrence me semble n’être qu’un simple constat, qui n’est pas propre au RGPD. Dès lors que des dispositions matérielles encadrent l’action des entreprises sur le marché plus strictement dans un État membre que dans l’autre, il en résulte nécessairement un certain avantage concurrentiel pour les entreprises actives dans ce dernier par rapport à celles établies dans le premier, que tout texte d’harmonisation est susceptible de pallier.

76.      Une telle interprétation me semble confirmée par la référence, au considérant 9 du RGPD, à la nécessité de garantir « le libre flux de ces données dans l’ensemble de l’Union », potentiellement menacé en raison de la disparité des cadres juridiques nationaux.

77.      De plus, ainsi que l’a relevé la Commission lors de l’audience, le considérant 9 du RGPD vise non pas la concurrence existant entre toute entreprise mais avant tout la concurrence entre les entreprises de deux États membres différents induite par des cadres juridiques différents. Autrement dit, il s’agit essentiellement de garantir des conditions de concurrence égales dans les différents États membres en soumettant les entreprises à des normes harmonisées, quand bien même ces normes contribuent incidemment à ce qu’aucune entreprise ne bénéficie d’un avantage concurrentiel par rapport à d’autres entreprises au sein d’un même État membre.

78.      Le RGPD ne vise donc pas, à mon sens, l’objectif d’assurer une concurrence libre et non faussée au sein du marché intérieur.

79.      Ensuite, je relève qu’aucune des dispositions matérielles du RGPD ne vise à assurer une concurrence entre entreprises libre et non faussée et à faire de celles-ci les destinataires de la protection que ce règlement instaure. Au contraire, elles visent essentiellement à imposer des obligations aux entreprises responsables de traitement de données. S’il est vrai, comme je l’ai mentionné, que toute obligation imposée à une personne physique ou morale a nécessairement comme effet corrélatif d’accorder un droit à une autre personne, les seuls bénéficiaires des droits en cause sont cependant non pas les entreprises mais les personnes dont les données sont traitées par ces dernières. Le titre du RGPD est à cet égard évocateur, celui-ci ne se référant qu’à la protection des personnes physiques.

80.      Enfin, s’agissant des dispositions procédurales du chapitre VIII du RGPD, je souligne, ainsi que je l’ai déjà relevé, qu’elles n’ouvrent des recours qu’aux personnes concernées et aux entités chargées de les représenter. Cette limitation des personnes pouvant, en vertu des dispositions du RGPD, agir en justice en se prévalant d’une atteinte à la protection de leurs données personnelles me semble indiquer clairement qu’elles sont les seules destinataires de cette protection. En effet, il serait, selon moi, incohérent de faire également du RGPD un instrument de protection des droits des concurrents sans que ce règlement ne prévoie aucun recours afin de permettre à ces derniers d’introduire un recours contre une violation de ces droits, alors même que de tels recours sont expressément prévus s’agissant de la protection des droits des personnes concernées.

81.      Partant, je suis d’avis que les entreprises ne sont pas destinataires de la protection prévue par le RGPD, ce règlement n’octroyant des droits qu’aux personnes concernées.

c)      Sur l’incidence de l’interprétation du RGPD en tant que norme protectrice des seules personnes concernées

82.      L’interprétation du RGPD selon laquelle les dispositions de ce règlement octroient des droits non pas aux entreprises mais uniquement aux personnes concernées m’amène à plusieurs conclusions.

83.      En premier lieu, ainsi que je l’ai évoqué, cette interprétation exclut, à mon sens, de considérer que le respect des dispositions du RGPD doit pouvoir être assuré dans le cadre d’une action intentée par une entreprise contre un concurrent se prévalant de leur violation par ce dernier.

84.      En second lieu, dans la mesure où le cercle des bénéficiaires des droits accordés par le RGPD est limité aux seules personnes concernées, la jurisprudence de la Cour relative à la possibilité pour les États membres de prévoir, en droit national, des recours supplémentaires à destination des titulaires de ces droits à condition que ces recours ne portent pas préjudice au système des recours harmonisé et ne portent pas atteinte à ses objectifs (24) ne me semble pas directement transposable à la situation en cause. La jurisprudence concernée peut toutefois, ainsi que je le démontrerai, servir de base pour l’analyse de cette situation.

85.      En effet, selon cette acception de la notion d’« exhaustivité d’un système des recours », il importe de déterminer si le système des recours mis en place par le RGPD doit être compris comme un système exhaustif en ce sens qu’il s’oppose à ce que d’autres recours que ceux prévus par ce règlement puissent être ouverts, en droit national, au bénéfice des personnes concernées.

86.      Or, est en cause dans l’affaire au principal un recours formé par une entreprise qui ne figure pas parmi les titulaires des droits octroyés par le RGPD.

87.      Dans ces conditions, compte tenu du fait que le RGPD ne confère aucun droit aux entreprises et à leurs concurrents, seule est pertinente la question de savoir si le système des voies de recours mis en place par le RGPD doit être compris comme un système exhaustif au sens où ce règlement exclut également que des entreprises se prévalent d’une violation de ses dispositions dans le cadre de recours prévus par le droit national, ce que je m’attacherai à déterminer désormais.

2.      La possibilité de recours fondés sur le droit national introduits par des personnes non titulaires des droits octroyés par le RGPD

88.      La question de savoir si les dispositions relatives au système des voies de recours prévu par le RGPD s’opposent à ce que des entreprises se prévalent d’une violation des dispositions de ce règlement dans le cadre de recours prévus par le droit national me semble appeler une réponse en deux temps.

89.      En effet, la réponse à cette question suppose d’examiner, d’une part, la possibilité pour des entreprises d’invoquer les dispositions du RGPD tout en n’étant pas titulaires des droits octroyés par celles-ci et, d’autre part, les conditions de l’interaction de tels recours avec le système des voies de recours prévu par ce règlement.

90.      S’agissant, en premier lieu, de l’invocabilité, par les entreprises, des dispositions du RGPD, je relève que celle-ci n’est, dans le cadre des recours fondés sur le droit national tels que celui en cause au principal, qu’incidente. Plus précisément, l’entreprise introduit un recours sur le fondement du droit national, à savoir l’interdiction des actes de concurrence déloyale. Le caractère déloyal de l’acte en cause découlerait donc d’une violation du RGPD. Autrement dit, le recours n’est pas fondé sur la violation des dispositions du RGPD, mais prend en compte une telle violation de manière incidente (25).

91.      Or, une telle prise en compte incidente a déjà été admise par la Cour, dans un contexte certes différent. En effet, la Cour a jugé, dans l’arrêt Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), que « la non-conformité [au RGPD] d’un traitement de données, effectué par une entreprise en position dominante [est] susceptible de constituer un abus de cette position » (26) et qu’il est, de façon générale, nécessaire d’inclure « les règles en matière de protection des données à caractère personnel du cadre juridique à prendre en considération par les autorités de la concurrence lors de l’examen d’un abus de position dominante » (27). Autrement dit, la Cour admet qu’une violation du droit de la concurrence soit constituée en raison d’une violation des dispositions du RGPD.

92.      Si ce constat a été opéré non pas dans le cadre d’un litige entre particuliers mais dans le cadre de l’examen d’une pratique anticoncurrentielle par une autorité nationale de concurrence, je ne vois aucune raison de limiter à cette seule hypothèse la possibilité d’une prise en compte incidente de la violation des dispositions du RGPD.

93.      En effet, d’une part, pour ce qui concerne le droit de la concurrence, dès lors que l’on admet une telle prise en compte en matière de public enforcement, il me semble nécessaire de la rendre également possible s’agissant du private enforcement et, donc, s’agissant de litiges entre particuliers qui n’ont pas pour fondement principal la violation d’un droit octroyé par le RGPD, sauf à admettre que des particuliers ne puissent obtenir réparation du dommage causé par une infraction au droit de la concurrence pourtant constatée par une autorité de concurrence.

94.      D’autre part, ainsi que l’a relevé l’avocat général Richard de la Tour, la protection des données à caractère personnel est susceptible d’avoir des « ramifications [...] dans d’autres domaines relatifs, notamment, au droit du travail, au droit de la concurrence ou encore au droit de la consommation » (28). Cette influence du RGPD dans d’autres domaines me semble devoir conduire à admettre la prise en compte des dispositions de ce règlement dans le cadre de recours ayant pour fondement principal des dispositions qui lui sont étrangères.

95.      S’agissant, en second lieu, de la question de l’interaction de recours nationaux impliquant la prise en compte incidente des dispositions du RGPD avec le système des recours mis en place par ce règlement, je suis d’avis que de tels recours ne devraient être admis qu’à la condition qu’ils ne portent pas préjudice au système des recours dudit règlement ou à la réalisation de ses objectifs.

96.      Ces conditions ont été développées dans la jurisprudence s’agissant de l’exhaustivité d’un système de recours harmonisé à l’égard de recours nationaux fondé sur le même droit (29). Elles me semblent donc a fortiori devoir être remplies lorsque sont en cause des règles nationales qui reconnaissent aux entreprises le droit de former un recours non pas sur la base du même droit mais sur le fondement du droit national, en se prévalant néanmoins de violations des dispositions matérielles du RGPD prétendument commises par une autre entreprise.

97.      Il importe donc de vérifier si, en l’espèce, ces conditions sont satisfaites.

98.      S’agissant, tout d’abord, du point de savoir si une action en cessation introduite par une entreprise contre un concurrent en se prévalant de la violation par celui-ci des dispositions du RGPD porte préjudice au système des voies de recours prévu par le chapitre VIII de ce règlement, je suis d’avis que tel n’est pas le cas. En effet, ces voies de recours permettent aux personnes concernées, ou aux organismes, organisations ou associations à but non lucratif mandatés par celles-ci, d’introduire une réclamation auprès d’une autorité de contrôle (article 77), de former un recours contre une décision d’une autorité de contrôle (article 78), d’intenter une action contre un responsable de traitement ou un sous-traitant (article 79) ou d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice du fait d’une violation du règlement (article 82).

99.      En d’autres termes, ainsi que le souligne la Cour dans sa jurisprudence, le chapitre VIII du RGPD « régit [...] les voies de recours permettant de protéger les droits de la personne concernée lorsque les données à caractère personnel la concernant ont fait l’objet d’un traitement prétendument contraire aux dispositions dudit règlement », la protection de ces droits pouvant « être réclamée soit directement par la personne concernée, soit par une entité habilitée, en présence ou en l’absence d’un mandat à cette fin » (30).

100. Dans ces conditions, le recours qu’une entreprise pourrait former à l’encontre d’un concurrent en se prévalant d’une violation du RGPD par ce dernier repose certes in fine sur la violation d’une même disposition, mais ne poursuit pas le même objectif et n’oppose pas les mêmes parties. Autrement dit, un tel recours prévu par le droit national n’est pas conçu pour assurer le respect des droits dont sont destinataires les personnes concernées.

101. Il s’ensuit, à mon sens, que les recours ouverts aux personnes concernées par le système des voies de recours instauré par le RGPD sont préservés et peuvent, même dans l’hypothèse de l’introduction d’une action par une entreprise à l’encontre d’un concurrent, toujours être exercés.

102. À cet égard, il me faut également préciser que je ne perçois pas dans quelle mesure, ainsi que le soutient la Commission, de tels recours seraient susceptibles de compromettre le système public de contrôle de l’application du droit établi par le RGPD, dans la mesure où ce règlement prévoit déjà expressément, à côté d’un tel système public, la possibilité pour une personne concernée de faire valoir les droits qu’elle tire du RGPD dans le cadre de procédures judiciaires.

103. S’agissant, ensuite, des objectifs poursuivis par le RGPD, il ressort du considérant 10 de celui-ci que ce règlement vise, notamment, à assurer tant un niveau élevé de protection des personnes physiques qu’une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel.

104. La réalisation d’aucun de ces objectifs ne m’apparaît menacée par la possibilité offerte à une entreprise d’intenter une action en cessation, introduite sur le fondement de l’interdiction des actes de concurrence déloyale, contre un concurrent en se prévalant de la violation par celui-ci des dispositions du RGPD. D’une part, le niveau élevé de protection des personnes physiques à l’égard du traitement de leurs données personnelles me semble atteint, voire renforcé, par la possibilité étendue à une entreprise d’invoquer une violation des dispositions matérielles du RGPD par un concurrent. D’autre part, l’invocabilité plus large de ces dispositions, par des personnes autres que les seules personnes concernées, ne porte pas atteinte à la réalisation de l’objectif d’une protection cohérente et homogène au sein de l’Union. En effet, quand bien même des États membres ne prévoiraient pas une telle possibilité, il n’en résulterait pas pour autant une fragmentation de la mise en œuvre de la protection des données dans l’Union, les dispositions matérielles du RGPD s’imposant de la même façon à toutes les entreprises et leur respect étant assuré par les voies de recours prévues par ce règlement.

105. S’agissant, enfin, de l’effet utile du RGPD, loin d’être mis en cause du fait de la possibilité offerte à une entreprise d’introduire une action en cessation contre un concurrent en se prévalant d’une violation du RGPD, il me semble, ainsi que je l’ai évoqué, renforcé par le fait que le respect des dispositions de ce règlement puisse également être assuré dans le cadre de procédures judiciaires distinctes de celles prévues par le système des voies de recours instauré par ce règlement.

106. Dans ces conditions, je suis d’avis qu’une action en cessation introduite par une entreprise contre un concurrent en se prévalant de la violation par celui-ci des dispositions du RGPD peut coexister avec les voies de recours instaurées au chapitre VIII du RGPD dans la mesure où elle ne leur porte pas préjudice et ne porte pas atteinte aux objectifs et à l’effet utile de ce règlement.

107. Partant, je propose à la Cour de juger que les dispositions du chapitre VIII du RGPD ne s’opposent pas à des règles nationales qui reconnaissent aux entreprises le droit de se prévaloir, sur le fondement de l’interdiction des actes de concurrence déloyale, des violations des dispositions matérielles de ce règlement prétendument commises par leurs concurrents.

V.      Conclusion

108. Au vu de l’ensemble des considérations qui précèdent, je propose de répondre comme suit aux questions préjudicielles posées par le Bundesgerichtshof (Cour fédérale de justice, Allemagne) :

L’article 4, point 15, et l’article 9, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

doivent être interprétés en ce sens que :

les données des clients d’un pharmacien transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription ne constituent pas des « données concernant la santé ».

1      Langue originale : le français.

2      Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).

3      Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

4      Directive du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers (JO 2011, L 88, p. 45).

5      BGBl. 2004 I, p. 1414.

6      BGBl. 2005 I, p. 3394.

7      BGBl. 2022 I, p. 2793.

8      Je souligne, à cet égard, que la juridiction de renvoi interroge également la Cour sur la notion de « données relatives à la santé », au sens de l’article 8, paragraphe 1, de la directive 95/46. Toutefois, je suis d’avis qu’il n’y a pas lieu d’opérer de distinction entre cette disposition et l’article 9, paragraphe 1, du RGPD, dans la mesure où ces dispositions doivent être considérées comme revêtant une portée similaire pour les besoins de l’interprétation que la Cour est amenée à donner dans le cadre de la présente affaire. Voir, sur ce point, arrêt du 1^er août 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, point 58). Je me référerai donc dans mon analyse au seul article 9, paragraphe 1, du RGPD, celle-ci valant également pour l’article 8, paragraphe 1, de la directive 95/46.

9      Arrêt du 1^er août 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, point 124).

10      Arrêt du 1^er août 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, point 126).

11      Cour EDH, 25 février 1997, Z c. Finlande (CE:ECHR:1997:0225JUD002200993, point 95). La Cour européenne des droits de l’homme souligne en outre que la protection accrue des données de santé est « capital[e] non seulement pour protéger la vie privée des malades mais également pour préserver leur confiance dans le corps médical et les services de santé en général ».

12      Arrêt du 1^er août 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, point 123).

13      Lignes directrices 03/2020 du comité européen de la protection des données sur le traitement des données concernant la santé à des fins de recherche scientifique dans le contexte de la pandémie de COVID-19, p. 5.

14      Voir Bygrave, L. A., et Tosoni, L., « Article 4(15) », The EU General Data Protection Regulation (GDPR), a Commentary, Kuner, C., Bygrave, L. A., et Docksey, C., (éd.), Oxford University Press, 2020, p. 222.

15      Arrêt du 24 février 2022, Glavna direktsia « Pozharna bezopasnost i zashtita na naselenieto » (C‑262/20, EU:C:2022:117, point 71).

16      Arrêts du 19 novembre 1991, Francovich e.a. (C‑6/90 et C‑9/90, EU:C:1991:428, point 31), ainsi que du 20 septembre 2001, Courage et Crehan (C‑453/99, EU:C:2001:465, point 19).

17      Arrêt du 20 septembre 2001, Courage et Crehan (C‑453/99, EU:C:2001:465, point 19).

18      Voir, sur ce point, Van Gerven, W., « Of Rights, Remedies and Procedures », Common Market Law Review, vol. 37, n^o 3, 2000, p. 501 à 536.

19      Arrêt du 20 septembre 2001, Courage et Crehan (C‑453/99, EU:C:2001:465, point 25).

20      Arrêts du 19 novembre 1991, Francovich e.a. (C‑6/90 et C‑9/90, EU:C:1991:428, point 31), ainsi que du 20 septembre 2001, Courage et Crehan (C‑453/99, EU:C:2001:465, point 19).

21      Une solution similaire a déjà été retenue par la Cour s’agissant notamment du règlement (CEE) n^o 1035/72 du Conseil, du 18 mai 1972, portant organisation commune des marchés dans le secteur des fruits et légumes (JO 1972, L 118, p. 1). Elle reposait exclusivement sur le fait que ce texte visait également à assurer la loyauté des échanges et la transparence des marchés de sorte qu’une action civile intentée par une entreprise à l’encontre d’un concurrent dans le but de le contraindre à respecter les obligations prévues par ce règlement renforçait le caractère opérationnel de la réglementation communautaire. Autrement dit, le règlement n^o 1035/72 était interprété comme imposant aux entreprises de respecter les règles de l’organisation commune de marché, afin que celles-ci bénéficient de relations commerciales sur la base d’une concurrence loyale, et faisait donc d’elles les bénéficiaires des droits résultant des obligations qui leur sont également imposées. Voir arrêt du 17 septembre 2002, Muñoz et Superior Fruiticola (C‑253/00, EU:C:2002:497, points 29 et 31).

22      Arrêts du 21 décembre 2011, Dutrueux (C‑495/10, EU:C:2011:869, points 29 et 30), et du 16 mars 2023, Beobank (C‑351/21, EU:C:2023:215, point 38).

23      Cette double dimension de l’exhaustivité d’un système des recours dépendante de l’identification des titulaires d’un droit tiré du droit de l’Union me semble transparaître, dans la jurisprudence de la Cour, dans l’arrêt du 2 septembre 2021, CRCAM (C‑337/20, EU:C:2021:671). Dans cet arrêt, la Cour a examiné la compatibilité avec la directive 2007/64/CE du Parlement européen et du Conseil, du 13 novembre 2007, concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE (JO 2007, L 319, p. 1, et rectificatif JO 2009, L 187, p. 5) d’un régime de responsabilité national permettant que la caution d’un utilisateur de services de paiement invoque, en raison d’un manquement du prestataire de services de paiement à ses obligations découlant de cette directive, la responsabilité civile d’un tel prestataire conformément à un régime de responsabilité contractuelle de droit commun. La Cour a débuté son analyse par le constat que ladite directive établit des droits non pas à l’égard d’une caution, mais seulement à l’égard des prestataires d’un service de paiement et des utilisateurs de tels services, avant d’analyser si le régime de responsabilité mis en place par la même directive s’oppose à un régime alternatif fondé sur le droit national.

24      Arrêts du 21 décembre 2011, Dutrueux (C‑495/10, EU:C:2011:869, points 29 et 30), et du 16 mars 2023, Beobank (C‑351/21, EU:C:2023:215, point 38).

25      À cet égard, je souligne que, dans l’hypothèse où la violation d’une disposition du RGPD pourrait être considérée comme une pratique commerciale déloyale, au sens de la directive 2005/29/CE du Parlement européen et du Conseil, du 11 mai 2005, relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE) n^o 2006/2004 du Parlement européen et du Conseil (JO 2005, L 149, p. 22), cette directive devrait, à mon sens, s’appliquer en toutes ses dispositions, en ce compris la nécessité pour les États membres de prévoir, selon l’article 11 de ladite directive, des dispositions permettant aux concurrents d’intenter une action en justice contre ces pratiques commerciales déloyales.

26      Arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) (C‑252/21, EU:C:2023:537, point 43).

27      Arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) (C‑252/21, EU:C:2023:537, point 51).

28      Conclusions de l’avocat général Richard de la Tour dans l’affaire Meta Platforms Ireland (C‑319/20, EU:C:2021:979, point 51).

29      Arrêts du 21 décembre 2011, Dutrueux (C‑495/10, EU:C:2011:869, points 29 et 30), et du 16 mars 2023, Beobank (C‑351/21, EU:C:2023:215, point 38). Voir, également, point 71 des présentes conclusions.

30      Arrêt du 28 avril 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, point 53).