C-21/23 Lindenapotheke : la commande sans ordonnance relève de l'art. 9 RGPD
Dans C-21/23, la Grande Chambre de la CJUE a jugé que les données de commande portant sur des médicaments disponibles en pharmacie sans ordonnance constituent des données de santé au sens de l'art. 9 RGPD. Les plateformes suisses ayant une portée sur le marché de l'UE doivent adapter leur base légale, leur processus de commande et leur due diligence — et s'attendre à ce que le premier grief soit formulé par un concurrent.
Casimir von Firn, MLaw
Le 4 octobre 2024, la Grande Chambre de la Cour de justice de l’Union européenne a tranché dans l’affaire C-21/23 Lindenapotheke : le nom, l’adresse de livraison et la désignation du produit renseignés par un client pour commander en ligne un médicament disponible en pharmacie sans ordonnance constituent des données de santé au sens de l’art. 9, § 1, RGPD. L’argument selon lequel aucune donnée de santé ne naîtrait en l’absence de prescription médicale ne tient donc plus. Quiconque livre des clients établis dans l’Union doit disposer d’un consentement explicite au sens de l’art. 9, § 2, point a), RGPD ou d’une autre base légale prévue au paragraphe 2, et doit s’attendre à ce que la première mise en demeure vienne non pas de l’autorité de contrôle, mais d’un concurrent.
ND exploite, sous l’enseigne Lindenapotheke, une activité de vente de médicaments à dispensation pharmaceutique sur la marketplace Amazon. DR, pharmacien concurrent, a demandé une injonction en faisant valoir que, faute de consentement explicite des clients, le traitement de leurs données de santé était illicite. Après la juridiction d’appel et le Bundesgerichtshof, le renvoi préjudiciel a abouti à Luxembourg. La Grande Chambre suit la jurisprudence OT (C-263/21) : des données relèvent de l’art. 9, § 1, RGPD dès lors qu’elles permettent de tirer des conclusions sur l’état de santé de la personne concernée, fût-ce sur une base probabiliste. La combinaison du nom, de l’adresse de livraison et du médicament commandé permet précisément un tel rapprochement. Le fait que la déduction reste imprécise dans certains cas — commande passée pour un tiers, constitution de réserves — ne fait pas obstacle à l’application de la disposition. L’analyse de Bird & Bird en saisit l’essentiel : le lien probabiliste suffit ; il n’est pas nécessaire que la conclusion relative à un état pathologique s’impose avec certitude. L’avocat général avait défendu la thèse inverse — en l’absence d’ordonnance, le lien avec un état de santé serait trop ténu pour tomber sous l’art. 9, § 1 — ; la Grande Chambre ne l’a pas suivi.
Pour les plateformes suisses, la portée est directe. L’art. 3, § 2, point a), RGPD s’applique aux traitements effectués par des responsables établis hors de l’Union lorsqu’ils offrent des biens ou des services à des personnes situées dans l’Union. Toute plateforme de pharmacie, de droguerie ou de télémédecine dont le siège est en Suisse mais qui livre à des adresses dans l’espace européen est soumise au principe du marché de destination — c’est le cas standard du commerce transfrontalier par correspondance. En parallèle, le DSG s’applique : l’art. 5, let. c, DSG qualifie les données relatives à la santé de données personnelles sensibles, et l’art. 31 DSG exige une justification pour leur traitement. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) n’a pas publié de prise de position spécifique sur la vente en ligne de médicaments. Un alignement de la définition du DSG sur l’interprétation de la CJUE est néanmoins plausible ; le commentaire du groupe droit des données de Walder Wyss lit l’arrêt en ce sens comme pertinent pour la pratique suisse.
La deuxième question tranchée par la CJUE est centrale pour l’exposition opérationnelle. Les États membres peuvent, selon la Grande Chambre, accorder aux concurrents d’un responsable en infraction le droit de contester la violation devant les juridictions civiles en tant que pratique commerciale déloyale. En droit allemand, le § 3a UWG trouve ainsi pleinement application. Pour la Suisse, la symétrie reste ouverte : l’art. 2 UWG exige un acte déloyal au regard des usages commerciaux loyaux, et la pratique suisse relative à la norme de violation du droit est plus restrictive que celle du § 3a UWG. La question de savoir si un concurrent dans le secteur de la pharmacie pourrait obtenir gain de cause contre une plateforme suisse en invoquant une violation systématique du DSG n’est pas définitivement tranchée — le grief ne devient envisageable que s’il produit un effet stratégique sur le marché et franchit plausiblement le seuil de la bonne foi au sens de l’art. 2 UWG.
Trois points doivent figurer à l’agenda de conformité de toute plateforme suisse de pharmacie, de droguerie ou de télémédecine opérant sur le marché de l’UE. Premièrement, la base légale. Les données relevant de l’art. 9 RGPD exigent une double assise juridique : une base légale au titre de l’art. 6, § 1, RGPD et, de manière autonome, l’une des conditions posées à l’art. 9, § 2, RGPD. Pour la vente en ligne de médicaments, cette condition est typiquement le consentement explicite visé à l’art. 9, § 2, point a), RGPD, lequel doit être recueilli de manière traçable conformément à l’art. 7, § 1, RGPD et pouvoir être retiré à tout moment au sens de l’art. 7, § 3, RGPD. Deuxièmement, le processus de commande. Le consentement doit être recueilli avant le traitement — concrètement : une fenêtre modale distincte lors de l’ajout d’un médicament à dispensation pharmaceutique au panier, informant le client de la qualification de ses données comme données de santé, avec un enregistrement dédié dans l’historique des commandes à des fins probatoires. La question reste ouverte de savoir comment recueillir un consentement valable lorsque la commande est passée pour le compte d’un tiers inconnu du vendeur — la Grande Chambre aborde ce scénario au point 88 sans en résoudre la mécanique du consentement. Ce point doit être clarifié en interne avant le déploiement de la fenêtre modale. Troisièmement, la due diligence dans les opérations de fusion-acquisition. Quiconque prépare une acquisition dans le secteur des pharmacies en ligne, de la télémédecine ou des compléments alimentaires doit examiner systématiquement la conformité de la cible au regard de l’arrêt Lindenapotheke. Une infraction généralisée doit figurer dans la lettre de divulgation et faire l’objet de négociations dans le catalogue de garanties, et non être absorbée dans le mécanisme standard des déclarations et garanties.
Le constat matériel est acquis : les données de commande portant sur des médicaments à dispensation pharmaceutique relèvent de l’art. 9 RGPD ; l’extension aux vitamines, aux compléments sportifs et aux autres produits de droguerie en ligne s’inscrit dans la même logique probabiliste et ne devrait plus être appréciée différemment que dans des cas particuliers. En Allemagne, l’arrêt du Bundesgerichtshof du 27 mars 2025 dans la procédure principale I ZR 222/19 a en outre confirmé la recevabilité tant des actions de concurrents que des actions associatives, l’injonction provisoire demeurant l’instrument d’escalade le plus réaliste. En revanche, l’exécution en Suisse reste ouverte, tant sur l’étendue du levier offert par le UWG que sur la position du PFPDT quant à la vente transfrontalière de médicaments en ligne. Ce qui tranchera la question, c’est la prochaine procédure intentée devant une juridiction civile suisse sur le fondement du UWG, ou la publication d’une prise de position du PFPDT sur l’applicabilité de l’interprétation de la CJUE. L’adaptation du mécanisme de consentement s’impose indépendamment de ces développements — l’application territoriale du RGPD atteint aujourd’hui déjà le commerce transfrontalier par correspondance.