RGPD : La CJUE clarifie la définition des données de santé

La Cour de Justice de l’Union Européenne (CJUE) a récemment apporté des précisions importantes sur la définition des données de santé dans le cadre du RGPD. Par une décision du 4 octobre 2024 (affaire n° C-21/23), elle a jugé que les informations fournies lors de l’achat en ligne de médicaments sont des données de santé, même pour les médicaments sans ordonnance.

Cette interprétation renforce la protection des consommateurs et impose aux plateformes en ligne de nouvelles obligations.

🟠 1 – Qu’est-ce que les données de santé ?

Selon l’article 4, point 15, du RGPD, les données de santé sont définies comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne, y compris la prestation de soins de santé, révélant des informations sur l’état de santé de cette personne ». La CJUE a élargi cette définition en incluant les données qui permettent, même indirectement, de déduire des informations sur la santé.

Dans l’affaire en question, les clients fournissaient leur nom, adresse de livraison et détails des produits commandés. La Cour a estimé que ces informations, croisées avec les indications thérapeutiques des médicaments, pouvaient révéler des aspects sensibles de leur état de santé. 

🟠 2 – Les médicaments sans ordonnance aussi concernés

Un aspect marquant de cet arrêt est que la nature des médicaments (avec ou sans ordonnance) n’a pas d’impact sur la qualification des données de santé. En effet, même des médicaments en vente libre peuvent révéler des informations sensibles dès lors qu’ils permettent d’associer une personne identifiable à une pathologie.

Exemple : Commander un médicament contre l’hypertension, même sans ordonnance, peut indiquer que la personne concernée souffre de cette condition. De plus, si l’achat est effectué pour un tiers, les données collectées peuvent également révéler des informations sur la santé de cette autre personne.

🟠 3 – Les obligations des plateformes en ligne

Les plateformes qui collectent ce type de données sont soumises à des règles strictes, car les données de santé sont qualifiées de sensibles par l’article 9 du RGPD. Leur traitement est interdit sauf dans des cas spécifiques, comme un consentement explicite ou un impératif d’intérêt public.

Pour se conformer à ces règles, les plateformes doivent :

  • Obtenir un consentement explicite avant tout traitement de données de santé ;
  • Assurer la sécurité des données par des mesures techniques (chiffrement, anonymisation) et organisationnelles (contrôle d’accès, audits) ;
  • Informer clairement les utilisateurs sur les données collectées, leurs finalités et leurs droits (accès, rectification, suppression).

🟠 4 – Le rôle des concurrents dans la protection des données   

L’arrêt de la CJUE ouvre également la voie à une nouvelle approche dans la lutte contre les violations du RGPD. Les États membres peuvent prévoir des dispositions permettant aux concurrents d’un auteur présumé de violations de contester ces pratiques en justice, notamment en tant que pratiques commerciales déloyales interdites.

Ce mécanisme, qui complète les droits conférés aux autorités de contrôle et aux personnes concernées, contribue à renforcer les droits des individus et à prévenir les violations potentielles. Cette possibilité offerte aux concurrents d’agir en justice pourrait s’avérer particulièrement dissuasive et efficace pour garantir le respect des règles du RGPD.

🟠 5 – Quels sont les conséquences de cet arrêt ?   

Cette décision de la CJUE a des impacts significatifs pour les entreprises concernées :

  • Un renforcement des contrôles: Les autorités de régulation, comme la CNIL en France, surveilleront de près le traitement des données de santé par les plateformes.
  • Des sanctions possibles: Le non-respect des obligations peut entraîner des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial (article 83 du RGPD).
  • Un risque de litiges: Les concurrents ou associations de consommateurs pourraient engager des actions en justice en cas de pratiques non conformes.

🟠 Conclusion

Cet arrêt de la CJUE marque un tournant majeur dans la définition et la gestion des données de santé. En élargissant cette catégorie aux informations collectées lors d’achats en ligne, même pour des produits en vente libre, il impose aux plateformes une vigilance accrue et une conformité stricte au RGPD.

Pour en savoir plus / sources :

L’intelligence artificielle au service de la Justice : une stratégie opérationnelle et éthique Le 23 juin 2025, le rapport « L’IA au service de la Justice : stratégie et solutions opérationnelles » a été remis au Garde des sceaux, Gérald Darmanin, par Haffide Boulakras, directeur adjoint de l’École nationale de la magistrature (ENM). Ce document marque une étape décisive dans la transformation numérique du système judiciaire français.

Loi anti-narcotrafic du 13 juin 2025 : une ambition freinée par la censure constitutionnelle. Adoptée dans un contexte d’urgence face à l’essor du narcotrafic en France, la loi du 13 juin 2025 visait à doter les autorités judiciaires et administratives de nouveaux outils pour lutter contre les réseaux criminels(I). Mais, si le texte a été promulgué, il n’a pas échappé au contrôle du Conseil constitutionnel, qui a censuré six de ses dispositions, dont les articles 5 et 15 (II).

L’intelligence artificielle (IA) transforme notre quotidien, mais son développement repose souvent sur l’exploitation de données personnelles. Dans ce contexte, la CNIL a publié, le 19 juin 2025, de nouvelles recommandations pour encadrer l’usage de la base légale de l’« intérêt légitime » pour le développement de systèmes d’intelligence artificielle. Ces recommandations visent à concilier innovation technologique et respect des droits fondamentaux. Ainsi, deux nouvelles fiches pratiques ont été publiées sur l'intelligence artificielle. La première précise les conditions d'usage de la base légale de l'intérêt légitime pour développer un système d'IA (I) et la seconde traite plus spécifiquement de la collecte de données via "moissonnage" ou "web scraping (II)

Le European Accessibility Act (EAA) – ou directive européenne sur l'accessibilité – entre en application le 28 juin 2025. Ce texte vise à renforcer l’égalité d’accès aux biens et services pour les personnes en situation de handicap, en imposant des obligations nouvelles aux entreprises privées. Il s’agit d’un changement profond dans la manière de concevoir et de fournir les produits et services numériques sur le marché européen.