La CJUE a jugé le 4 octobre 2024 (affaire C-21/23) que les informations saisies lors d’une commande en ligne de médicaments, même non soumis à prescription médicale, constituent des « données concernant la santé » au sens de l’article 9 du RGPD et de l’article 8 de la directive européenne 95/46/CE (abrogée par le RGPD).
Quel etait le contexte ?
Les données sur les achats de médicaments, des données de santé ?
L’affaire soumise à la CJUE concerne la commercialisation de médicaments par un pharmacien par le biais d’une plateforme en ligne, « Amazon-Marketplace ». Or, un recours a été introduit devant les juridictions civiles par un concurrent de ce pharmacien sur le fondement de l’interdiction des pratiques commerciales déloyales en raison de la violation par celui-ci des obligations prévues par le RGPD.
À l’appui de son recours, ce pharmacien faisait valoir notamment que « la commercialisation sur Amazon de médicaments dont la vente est réservée aux pharmacies était déloyale, en raison de la méconnaissance d’exigences légales relatives à l’obtention du consentement du client requis par la législation concernant la protection des données à caractère personnel ».
Les pharmaciens collectent en effet des données sur la plateforme d’achat en ligne de médicaments incluant des informations, telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments.
QuelLE etait lA QUESTION POSÉE ?
Les données sur les achats de médicaments, des données de santé ?
Une des deux questions posées à la CJUE, la seule qui nous intéressera dans la suite des développements, était de savoir si, s’agissant de données sur les achats de médicaments, nous étions ou non en l’espèce en présence de « données concernant la santé » au sens de l’article 9 du RGPD et de l’article 8 de la directive européenne 95/46/CE (abrogée par le RGPD mais applicable compte tenu des faits en l’espèce).
La question était formulée ainsi :
« Les données que les clients d’un pharmacien qui agit en tant que vendeur sur une plate-forme de vente en ligne saisissent sur cette plate-forme, lors de la commande de médicaments dont la vente est certes réservée aux pharmacies, mais qui ne sont pas soumis à prescription médicale (des données telles que le nom du client, l’adresse de livraison et des informations nécessaires à l’individualisation du médicament dont la vente est réservée aux pharmacies qui a été commandé), constituent-elles des données concernant la santé au sens de l’article 9, paragraphe 1, du [RGPD] et des données relatives à la santé au sens de l’article 8, paragraphe 1, de la directive 95/46 ? »
COMMENT DEFINIR LES données personnelles de santé ?
Les données sur les achats de médicaments, des données de santé ?
En droit européen, le RGPD définit les « données à caractère personnel concernant la santé » comme :
« les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » (RGPD, article 4, point 15) ;
« (elles) devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée » (RGPD, considérant 35).
- Ainsi, une donnée de santé à caractère personnel doit remplir deux conditions pour être qualifiée comme telle au regard du RGPD :
- • être relative à une personne physique identifiée ou identifiable ; et
- • révéler des informations sur l’état de santé physique ou mentale de cette personne.
QUELLE BASE JURIDIQUE POUR LE traitement de données de santé ?
Les données sur les achats de médicaments, des données de santé ?
- Il convient de rappeler à cet égard que les traitements de données de santé à caractère personnel ne sont licites que s’ils se fondent cumulativement :
- • sur une des bases légales énumérées à l’article 6 du RGPD ;
- • et une des exceptions prévues à l’article 9, point 2 du RGPD (puisque par principe ces traitements sont interdits ; ex. : la personne concernée a donné son consentement explicite au traitement ; le traitement est nécessaire aux fins de diagnostics médicaux ; aux fins de recherche scientifique, etc. ).
Auparavant, l’article 8, point 1, de la directive 95/46/CE (abrogée par le RGPD) disposait que l’interdiction de traiter des données de santé à caractère personnel ne s’applique pas « lorsque : a) la personne concernée a donné son consentement explicite à un tel traitement, sauf dans le cas où la législation de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée ».
QUELLE INTERPRETATION DE LA NOTION DE DONNEE DE SANTE RETENUE PAR LA CJUE EN L'ESPECE ?
Les données sur les achats de médicaments, des données de santé ?
La CJUE a décidé que les informations en cause, des données sur les achats de médicaments, pouvaient révéler, même indirectement, l’état de santé d’une personne. C’est pourquoi elle a jugé que l’article 9, paragraphe 1, du RGPD et de l’article 8, paragraphe 1, de la directive 95/46/CE précités doivent être interprétés en ce sens que :
« dans la situation où l’exploitant d’une pharmacie commercialise, par le biais d’une plate-forme en ligne, des médicaments dont la vente est réservée aux pharmacies, les informations que les clients de cet exploitant saisissent lors de la commande en ligne des médicaments, telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments, constituent des données concernant la santé, au sens de ces dispositions, même lorsque la vente de ces médicaments n’est pas soumise à prescription médicale ».
Dans la mesure où une personne peut commander en ligne des médicaments pour une autre personne, auquel cas il n’est pas possible de rattacher les données sur les achats de médicaments (donc les données de santé) à sa personne, la CJUE considère néanmoins que :
« il ne saurait être exclu que, même dans l’hypothèse où de tels médicaments sont destinés à des personnes autres que les clients, il soit possible d’identifier ces personnes et de tirer des conclusions sur leur état de santé.
Tel pourrait être le cas, par exemple, lorsque les médicaments en question sont livrés non pas au domicile du client les ayant commandés mais au domicile d’une autre personne, ou lorsque, indépendamment de l’adresse de livraison, le client s’est référé, dans sa commande ou dans ses communications relatives à celle-ci, à une autre personne identifiable, telle qu’un membre de sa famille.
De même, lorsque la commande exige l’identification et/ou l’enregistrement du client, par exemple moyennant la création d’un compte client ou l’adhésion de celui-ci à un programme de fidélité, il n’est pas exclu que les informations saisies par le client dans ce contexte puissent être utilisées pour tirer des conclusions non seulement sur l’état de santé de ce client, mais également sur celui d’une autre personne, notamment en combinaison avec les informations portant sur les médicaments commandés ».
COMMENT INTERPRETER cette solution de la CJUE ?
Les données sur les achats de médicaments, des données de santé ?
Rappelons les deux conditions qu’une donnée de santé à caractère personnel doit remplir pour être qualifiée comme telle au regard du RGPD :
- être relative à une personne physique identifiée ou identifiable ; et
- révéler des informations sur l’état de santé physique ou mentale de cette personne.
En l’espèce, force est de reconnaître que l’interprétation donnée par la CJUE de la seconde de ces conditions n’est pas étonnante : en effet, l’achat d’un médicament contre une maladie spécifique peut révéler des informations sur l’état de santé physique ou mentale d’une personne, même si l’utilisateur ne fournit pas directement d’informations sur sa condition médicale.
Toutefois, c’est l’interprétation donnée par la CJUE de la première de ces conditions qui pose question en l’espèce : cette interprétation repose sur la capacité des données sur les achats de médicaments à révéler des éléments sur l’état de santé d’une personne physique identifiée ou identifiable, fusse-t-elle différente de l’acheteur des médicaments sur la plateforme.
Cette décision renforce la protection des personnes physiques dans le cadre du commerce électronique, en mettant en lumière les risques liés à la gestion des données sensibles dans un contexte numérique. L’interprétation large de la CJUE privilégie une approche préventive en matière de protection des données.
Cependant, elle impose des obligations accrues aux acteurs économiques qui devront adapter leurs pratiques pour se conformer à cette jurisprudence.
Pour en apprendre davantage
À l'aube d'une ère où l'intelligence artificielle (IA) est en passe de devenir un compagnon quotidien...
La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale...