RGPD : La CJUE clarifie la définition des données de santé

La Cour de Justice de l’Union Européenne (CJUE) a récemment apporté des précisions importantes sur la définition des données de santé dans le cadre du RGPD. Par une décision du 4 octobre 2024 (affaire n° C-21/23), elle a jugé que les informations fournies lors de l’achat en ligne de médicaments sont des données de santé, même pour les médicaments sans ordonnance.

Cette interprétation renforce la protection des consommateurs et impose aux plateformes en ligne de nouvelles obligations.

🟠 1 – Qu’est-ce que les données de santé ?

Selon l’article 4, point 15, du RGPD, les données de santé sont définies comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne, y compris la prestation de soins de santé, révélant des informations sur l’état de santé de cette personne ». La CJUE a élargi cette définition en incluant les données qui permettent, même indirectement, de déduire des informations sur la santé.

Dans l’affaire en question, les clients fournissaient leur nom, adresse de livraison et détails des produits commandés. La Cour a estimé que ces informations, croisées avec les indications thérapeutiques des médicaments, pouvaient révéler des aspects sensibles de leur état de santé. 

🟠 2 – Les médicaments sans ordonnance aussi concernés

Un aspect marquant de cet arrêt est que la nature des médicaments (avec ou sans ordonnance) n’a pas d’impact sur la qualification des données de santé. En effet, même des médicaments en vente libre peuvent révéler des informations sensibles dès lors qu’ils permettent d’associer une personne identifiable à une pathologie.

Exemple : Commander un médicament contre l’hypertension, même sans ordonnance, peut indiquer que la personne concernée souffre de cette condition. De plus, si l’achat est effectué pour un tiers, les données collectées peuvent également révéler des informations sur la santé de cette autre personne.

🟠 3 – Les obligations des plateformes en ligne

Les plateformes qui collectent ce type de données sont soumises à des règles strictes, car les données de santé sont qualifiées de sensibles par l’article 9 du RGPD. Leur traitement est interdit sauf dans des cas spécifiques, comme un consentement explicite ou un impératif d’intérêt public.

Pour se conformer à ces règles, les plateformes doivent :

• Obtenir un consentement explicite avant tout traitement de données de santé ;
• Assurer la sécurité des données par des mesures techniques (chiffrement, anonymisation) et organisationnelles (contrôle d’accès, audits) ;
• Informer clairement les utilisateurs sur les données collectées, leurs finalités et leurs droits (accès, rectification, suppression).

🟠 4 – Le rôle des concurrents dans la protection des données   

L’arrêt de la CJUE ouvre également la voie à une nouvelle approche dans la lutte contre les violations du RGPD. Les États membres peuvent prévoir des dispositions permettant aux concurrents d’un auteur présumé de violations de contester ces pratiques en justice, notamment en tant que pratiques commerciales déloyales interdites.

Ce mécanisme, qui complète les droits conférés aux autorités de contrôle et aux personnes concernées, contribue à renforcer les droits des individus et à prévenir les violations potentielles. Cette possibilité offerte aux concurrents d’agir en justice pourrait s’avérer particulièrement dissuasive et efficace pour garantir le respect des règles du RGPD.

🟠 5 – Quels sont les conséquences de cet arrêt ?   

Cette décision de la CJUE a des impacts significatifs pour les entreprises concernées :

• Un renforcement des contrôles: Les autorités de régulation, comme la CNIL en France, surveilleront de près le traitement des données de santé par les plateformes.
• Des sanctions possibles: Le non-respect des obligations peut entraîner des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial (article 83 du RGPD).
• Un risque de litiges: Les concurrents ou associations de consommateurs pourraient engager des actions en justice en cas de pratiques non conformes.

🟠 Conclusion

Cet arrêt de la CJUE marque un tournant majeur dans la définition et la gestion des données de santé. En élargissant cette catégorie aux informations collectées lors d’achats en ligne, même pour des produits en vente libre, il impose aux plateformes une vigilance accrue et une conformité stricte au RGPD.

Pour en savoir plus / sources :

• https://www.actualitesdudroit.fr/browse/affaires/immateriel/45718/rgpd-precisions-sur-les-donnees-de-sante 
• https://curia.europa.eu/juris/document/document.jsf?text=&docid=290696&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=4250678
• https://www.lemondedudroit.fr/decryptages/95164-cjue-atteinte-au-rgpd-contestee-en-justice-par-un-concurrent-comme-pratique-commercialedeloyale.html#:~:text=Dans%20un%20arrêt%20du%204,personnes%20concernées%20et%20aux%20associations
• https://www.efl.fr/actualite/possibilite-agir-concurrence-deloyale-contre-concurrent-viole-rgpd_feb1f82e7-0932-493c-ae1b-223f767acd7f