La Cour de Justice de l’Union Européenne (CJUE) a récemment apporté des précisions importantes sur la définition des données de santé dans le cadre du RGPD. Par une décision du 4 octobre 2024 (affaire n° C-21/23), elle a jugé que les informations fournies lors de l’achat en ligne de médicaments sont des données de santé, même pour les médicaments sans ordonnance.
Cette interprétation renforce la protection des consommateurs et impose aux plateformes en ligne de nouvelles obligations.
🟠 1 – Qu’est-ce que les données de santé ?
Selon l’article 4, point 15, du RGPD, les données de santé sont définies comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne, y compris la prestation de soins de santé, révélant des informations sur l’état de santé de cette personne ». La CJUE a élargi cette définition en incluant les données qui permettent, même indirectement, de déduire des informations sur la santé.
Dans l’affaire en question, les clients fournissaient leur nom, adresse de livraison et détails des produits commandés. La Cour a estimé que ces informations, croisées avec les indications thérapeutiques des médicaments, pouvaient révéler des aspects sensibles de leur état de santé.
🟠 2 – Les médicaments sans ordonnance aussi concernés
Un aspect marquant de cet arrêt est que la nature des médicaments (avec ou sans ordonnance) n’a pas d’impact sur la qualification des données de santé. En effet, même des médicaments en vente libre peuvent révéler des informations sensibles dès lors qu’ils permettent d’associer une personne identifiable à une pathologie.
Exemple : Commander un médicament contre l’hypertension, même sans ordonnance, peut indiquer que la personne concernée souffre de cette condition. De plus, si l’achat est effectué pour un tiers, les données collectées peuvent également révéler des informations sur la santé de cette autre personne.
🟠 3 – Les obligations des plateformes en ligne
Les plateformes qui collectent ce type de données sont soumises à des règles strictes, car les données de santé sont qualifiées de sensibles par l’article 9 du RGPD. Leur traitement est interdit sauf dans des cas spécifiques, comme un consentement explicite ou un impératif d’intérêt public.
Pour se conformer à ces règles, les plateformes doivent :
- Obtenir un consentement explicite avant tout traitement de données de santé ;
- Assurer la sécurité des données par des mesures techniques (chiffrement, anonymisation) et organisationnelles (contrôle d’accès, audits) ;
- Informer clairement les utilisateurs sur les données collectées, leurs finalités et leurs droits (accès, rectification, suppression).
🟠 4 – Le rôle des concurrents dans la protection des données
L’arrêt de la CJUE ouvre également la voie à une nouvelle approche dans la lutte contre les violations du RGPD. Les États membres peuvent prévoir des dispositions permettant aux concurrents d’un auteur présumé de violations de contester ces pratiques en justice, notamment en tant que pratiques commerciales déloyales interdites.
Ce mécanisme, qui complète les droits conférés aux autorités de contrôle et aux personnes concernées, contribue à renforcer les droits des individus et à prévenir les violations potentielles. Cette possibilité offerte aux concurrents d’agir en justice pourrait s’avérer particulièrement dissuasive et efficace pour garantir le respect des règles du RGPD.
🟠 5 – Quels sont les conséquences de cet arrêt ?
Cette décision de la CJUE a des impacts significatifs pour les entreprises concernées :
- Un renforcement des contrôles: Les autorités de régulation, comme la CNIL en France, surveilleront de près le traitement des données de santé par les plateformes.
- Des sanctions possibles: Le non-respect des obligations peut entraîner des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial (article 83 du RGPD).
- Un risque de litiges: Les concurrents ou associations de consommateurs pourraient engager des actions en justice en cas de pratiques non conformes.
🟠 Conclusion
Cet arrêt de la CJUE marque un tournant majeur dans la définition et la gestion des données de santé. En élargissant cette catégorie aux informations collectées lors d’achats en ligne, même pour des produits en vente libre, il impose aux plateformes une vigilance accrue et une conformité stricte au RGPD.
Pour en savoir plus / sources :
- https://www.actualitesdudroit.fr/browse/affaires/immateriel/45718/rgpd-precisions-sur-les-donnees-de-sante
- https://curia.europa.eu/juris/document/document.jsf?text=&docid=290696&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=4250678
- https://www.lemondedudroit.fr/decryptages/95164-cjue-atteinte-au-rgpd-contestee-en-justice-par-un-concurrent-comme-pratique-commercialedeloyale.html#:~:text=Dans%20un%20arrêt%20du%204,personnes%20concernées%20et%20aux%20associations
- https://www.efl.fr/actualite/possibilite-agir-concurrence-deloyale-contre-concurrent-viole-rgpd_feb1f82e7-0932-493c-ae1b-223f767acd7f
Depuis le 17 février 2025, Apple a commencé à retirer de l'App Store européen les applications dont les développeurs n'ont pas déclaré un statut de commerçant. Cette décision, bien qu'anticipée, s'inscrit dans une politique de conformité au Digital Services Act (DSA). Dès le 16 octobre 2024, Apple avait averti les développeurs que cette exigence serait appliquée, leur laissant plusieurs mois pour se mettre en conformité. Désormais, tout développeur souhaitant distribuer une application sur l’App Store doit fournir un statut de commerçant et des informations de contact vérifiables. Bien que cette mesure soit en accord avec les exigences du DSA, elle suscite des interrogations.
Dans un monde de plus en plus interconnecté, la cybercriminalité constitue un défi majeur pour les États. Attaques par ransomware, fraudes en ligne, exploitation sexuelle des mineurs : les crimes numériques se multiplient et nécessitent une réponse internationale. C’est dans ce contexte que l’ONU a adopté la première convention mondiale dédiée à la lutte contre la cybercriminalité. Ce texte vise à harmoniser les législations et à renforcer la coopération entre les pays, mais il soulève également des préoccupations en matière de protection des droits fondamentaux.
En janvier 2025, l'Union européenne a imposé des sanctions contre trois agents du renseignement russe pour leur implication dans des cyberattaques visant l’Estonie en 2020. Ces individus, membres de l’unité 29155 du GRU (Direction principale du renseignement des forces armées russes), sont accusés d’avoir orchestré des opérations de cyberespionnage contre plusieurs ministères estoniens, compromettant ainsi la sécurité nationale du pays.
En 2023, les États membres ont signalé 309 incidents majeurs, un record parmi les infrastructures critiques. En 2024, les cyberattaques contre les établissements de santé ont continué de se multiplier, mettant en péril la sécurité des données médicales et le fonctionnement des hôpitaux. Face à cette menace croissante, l’Union Européenne a annoncé un plan ambitieux visant à renforcer la cybersécurité des infrastructures de santé.