La Cour de Justice de l’Union Européenne (CJUE) a récemment apporté des précisions importantes sur la définition des données de santé dans le cadre du RGPD. Par une décision du 4 octobre 2024 (affaire n° C-21/23), elle a jugé que les informations fournies lors de l’achat en ligne de médicaments sont des données de santé, même pour les médicaments sans ordonnance.
Cette interprétation renforce la protection des consommateurs et impose aux plateformes en ligne de nouvelles obligations.
🟠 1 – Qu’est-ce que les données de santé ?
Selon l’article 4, point 15, du RGPD, les données de santé sont définies comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne, y compris la prestation de soins de santé, révélant des informations sur l’état de santé de cette personne ». La CJUE a élargi cette définition en incluant les données qui permettent, même indirectement, de déduire des informations sur la santé.
Dans l’affaire en question, les clients fournissaient leur nom, adresse de livraison et détails des produits commandés. La Cour a estimé que ces informations, croisées avec les indications thérapeutiques des médicaments, pouvaient révéler des aspects sensibles de leur état de santé.
🟠 2 – Les médicaments sans ordonnance aussi concernés
Un aspect marquant de cet arrêt est que la nature des médicaments (avec ou sans ordonnance) n’a pas d’impact sur la qualification des données de santé. En effet, même des médicaments en vente libre peuvent révéler des informations sensibles dès lors qu’ils permettent d’associer une personne identifiable à une pathologie.
Exemple : Commander un médicament contre l’hypertension, même sans ordonnance, peut indiquer que la personne concernée souffre de cette condition. De plus, si l’achat est effectué pour un tiers, les données collectées peuvent également révéler des informations sur la santé de cette autre personne.
🟠 3 – Les obligations des plateformes en ligne
Les plateformes qui collectent ce type de données sont soumises à des règles strictes, car les données de santé sont qualifiées de sensibles par l’article 9 du RGPD. Leur traitement est interdit sauf dans des cas spécifiques, comme un consentement explicite ou un impératif d’intérêt public.
Pour se conformer à ces règles, les plateformes doivent :
- Obtenir un consentement explicite avant tout traitement de données de santé ;
- Assurer la sécurité des données par des mesures techniques (chiffrement, anonymisation) et organisationnelles (contrôle d’accès, audits) ;
- Informer clairement les utilisateurs sur les données collectées, leurs finalités et leurs droits (accès, rectification, suppression).
🟠 4 – Le rôle des concurrents dans la protection des données
L’arrêt de la CJUE ouvre également la voie à une nouvelle approche dans la lutte contre les violations du RGPD. Les États membres peuvent prévoir des dispositions permettant aux concurrents d’un auteur présumé de violations de contester ces pratiques en justice, notamment en tant que pratiques commerciales déloyales interdites.
Ce mécanisme, qui complète les droits conférés aux autorités de contrôle et aux personnes concernées, contribue à renforcer les droits des individus et à prévenir les violations potentielles. Cette possibilité offerte aux concurrents d’agir en justice pourrait s’avérer particulièrement dissuasive et efficace pour garantir le respect des règles du RGPD.
🟠 5 – Quels sont les conséquences de cet arrêt ?
Cette décision de la CJUE a des impacts significatifs pour les entreprises concernées :
- Un renforcement des contrôles: Les autorités de régulation, comme la CNIL en France, surveilleront de près le traitement des données de santé par les plateformes.
- Des sanctions possibles: Le non-respect des obligations peut entraîner des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial (article 83 du RGPD).
- Un risque de litiges: Les concurrents ou associations de consommateurs pourraient engager des actions en justice en cas de pratiques non conformes.
🟠 Conclusion
Cet arrêt de la CJUE marque un tournant majeur dans la définition et la gestion des données de santé. En élargissant cette catégorie aux informations collectées lors d’achats en ligne, même pour des produits en vente libre, il impose aux plateformes une vigilance accrue et une conformité stricte au RGPD.
Pour en savoir plus / sources :
- https://www.actualitesdudroit.fr/browse/affaires/immateriel/45718/rgpd-precisions-sur-les-donnees-de-sante
- https://curia.europa.eu/juris/document/document.jsf?text=&docid=290696&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=4250678
- https://www.lemondedudroit.fr/decryptages/95164-cjue-atteinte-au-rgpd-contestee-en-justice-par-un-concurrent-comme-pratique-commercialedeloyale.html#:~:text=Dans%20un%20arrêt%20du%204,personnes%20concernées%20et%20aux%20associations
- https://www.efl.fr/actualite/possibilite-agir-concurrence-deloyale-contre-concurrent-viole-rgpd_feb1f82e7-0932-493c-ae1b-223f767acd7f
Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.
Dans le cadre de son plan d’action initié en 2019 pour encadrer l’usage des cookies numériques, la CNIL a récemment prononcé deux sanctions majeures à l’encontre de Google et Shein, illustrant sa volonté de renforcer la protection des données personnelles des internautes.
Par une décision n° 2025‑1154 Question Prioritaire de Constitutionnalité (QPC) rendue le 8 août 2025, le Conseil constitutionnel a opéré un revirement majeur …
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.