La Cour de Justice de l’Union Européenne (CJUE) a récemment apporté des précisions importantes sur la définition des données de santé dans le cadre du RGPD. Par une décision du 4 octobre 2024 (affaire n° C-21/23), elle a jugé que les informations fournies lors de l’achat en ligne de médicaments sont des données de santé, même pour les médicaments sans ordonnance.
Cette interprétation renforce la protection des consommateurs et impose aux plateformes en ligne de nouvelles obligations.
🟠 1 – Qu’est-ce que les données de santé ?
Selon l’article 4, point 15, du RGPD, les données de santé sont définies comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne, y compris la prestation de soins de santé, révélant des informations sur l’état de santé de cette personne ». La CJUE a élargi cette définition en incluant les données qui permettent, même indirectement, de déduire des informations sur la santé.
Dans l’affaire en question, les clients fournissaient leur nom, adresse de livraison et détails des produits commandés. La Cour a estimé que ces informations, croisées avec les indications thérapeutiques des médicaments, pouvaient révéler des aspects sensibles de leur état de santé.
🟠 2 – Les médicaments sans ordonnance aussi concernés
Un aspect marquant de cet arrêt est que la nature des médicaments (avec ou sans ordonnance) n’a pas d’impact sur la qualification des données de santé. En effet, même des médicaments en vente libre peuvent révéler des informations sensibles dès lors qu’ils permettent d’associer une personne identifiable à une pathologie.
Exemple : Commander un médicament contre l’hypertension, même sans ordonnance, peut indiquer que la personne concernée souffre de cette condition. De plus, si l’achat est effectué pour un tiers, les données collectées peuvent également révéler des informations sur la santé de cette autre personne.
🟠 3 – Les obligations des plateformes en ligne
Les plateformes qui collectent ce type de données sont soumises à des règles strictes, car les données de santé sont qualifiées de sensibles par l’article 9 du RGPD. Leur traitement est interdit sauf dans des cas spécifiques, comme un consentement explicite ou un impératif d’intérêt public.
Pour se conformer à ces règles, les plateformes doivent :
- Obtenir un consentement explicite avant tout traitement de données de santé ;
- Assurer la sécurité des données par des mesures techniques (chiffrement, anonymisation) et organisationnelles (contrôle d’accès, audits) ;
- Informer clairement les utilisateurs sur les données collectées, leurs finalités et leurs droits (accès, rectification, suppression).
🟠 4 – Le rôle des concurrents dans la protection des données
L’arrêt de la CJUE ouvre également la voie à une nouvelle approche dans la lutte contre les violations du RGPD. Les États membres peuvent prévoir des dispositions permettant aux concurrents d’un auteur présumé de violations de contester ces pratiques en justice, notamment en tant que pratiques commerciales déloyales interdites.
Ce mécanisme, qui complète les droits conférés aux autorités de contrôle et aux personnes concernées, contribue à renforcer les droits des individus et à prévenir les violations potentielles. Cette possibilité offerte aux concurrents d’agir en justice pourrait s’avérer particulièrement dissuasive et efficace pour garantir le respect des règles du RGPD.
🟠 5 – Quels sont les conséquences de cet arrêt ?
Cette décision de la CJUE a des impacts significatifs pour les entreprises concernées :
- Un renforcement des contrôles: Les autorités de régulation, comme la CNIL en France, surveilleront de près le traitement des données de santé par les plateformes.
- Des sanctions possibles: Le non-respect des obligations peut entraîner des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial (article 83 du RGPD).
- Un risque de litiges: Les concurrents ou associations de consommateurs pourraient engager des actions en justice en cas de pratiques non conformes.
🟠 Conclusion
Cet arrêt de la CJUE marque un tournant majeur dans la définition et la gestion des données de santé. En élargissant cette catégorie aux informations collectées lors d’achats en ligne, même pour des produits en vente libre, il impose aux plateformes une vigilance accrue et une conformité stricte au RGPD.
Pour en savoir plus / sources :
- https://www.actualitesdudroit.fr/browse/affaires/immateriel/45718/rgpd-precisions-sur-les-donnees-de-sante
- https://curia.europa.eu/juris/document/document.jsf?text=&docid=290696&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=4250678
- https://www.lemondedudroit.fr/decryptages/95164-cjue-atteinte-au-rgpd-contestee-en-justice-par-un-concurrent-comme-pratique-commercialedeloyale.html#:~:text=Dans%20un%20arrêt%20du%204,personnes%20concernées%20et%20aux%20associations
- https://www.efl.fr/actualite/possibilite-agir-concurrence-deloyale-contre-concurrent-viole-rgpd_feb1f82e7-0932-493c-ae1b-223f767acd7f
Le Comité Européen de la Protection des Données (CEPD) a publié son avis 28/2024 portant sur le traitement des données personnelles dans le cadre du développement et du déploiement de modèles d’intelligence artificielle (IA). Cet avis souligne l’importance de la conformité au Règlement Général sur la Protection des Données (RGPD) et s’articule autour de trois axes principaux : l’anonymat des modèles d’IA, l’utilisation de l’intérêt légitime comme base juridique, et les conséquences de l’entraînement illicite des modèles sur des données personnelles.
L’intelligence artificielle (IA) s’intègre progressivement dans de nombreux domaines, et la justice française n’y fait pas exception. Cette évolution, porteuse d’opportunités, suscite également des interrogations majeures, notamment sur les plans éthique et juridique.
Le 18 novembre 2024, dans la décision n°472912, le Conseil d’État a imposé un retour à l’intervention humaine dans les processus décisionnels automatisés, soulignant ainsi l’importance du respect des principes fondamentaux du Règlement Général sur la Protection des Données (RGPD) et de la Loi Informatique et Libertés. Ce jugement rappelle que, même dans le cadre de la numérisation des services publics, les droits des citoyens doivent être protégés par des mécanismes de contrôle humain.
La cybersécurité des produits connectés est aujourd’hui une priorité impérative pour l’Union européenne. Adopté le 20 novembre 2024, le Cyber Resilience Act marque une étape décisive en imposant pour la première fois des exigences minimales de sécurité pour tous les produits connectés vendus dans l’UE. Ce règlement, qui complète des cadres législatifs comme la directive NIS 2 (Network and Information Security), la directive REC (Résilience des entités critiques) et le règlement DORA (Digital Operational Resilience Act), vise à créer un environnement numérique plus sécurisé et harmonisé.