L’achat en ligne de médicaments nécessite-t-il le consentement des clients au traitement de leurs données de santé ?

L’affaire opposait deux pharmaciens allemands. Le premier reprochait au second la commercialisation sur une place de marché en ligne (Amazon), au mépris des règles du RGPD, de médicaments non soumis à prescription médicale. Le non-respect du RGPD résidait, selon le premier pharmacien, dans le fait que le second n’obtenait pas le consentement préalable des clients, personnes concernées, pour le traitement de leurs données de santé (article 9 du RGPD).

Le premier a alors formé un recours en justice contre le second afin qu’il soit mis fin à une telle pratique considérée comme déloyale.

A cette occasion, la juridiction allemande saisie du litige a interrogé la CJUE sur le point notamment de savoir si l’article 9 du RGPD doit être interprété en ce sens que les informations que les clients saisissent lors de la commande en ligne de médicaments - nom, adresse de livraison, éléments nécessaires à l’individualisation des médicaments – constituent des données concernant la santé.

La CJUE a d’abord indiqué que « lorsque les données sur les achats des médicaments permettent de tirer des conclusions sur l’état d’une personne identifiée ou identifiable », elles doivent être considérées comme étant « des données concernant la santé ». Il suffit ainsi, a ajouté la Cour, que ces données « soient de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé de la personne concernée ».

A cet égard, la juridiction européenne a estimé qu’il importe peu que les médicaments puissent être destinés non pas au client qui réalise la commande mais à des personnes tierces. La CJUE en a conclu que « les informations que les clients d’un exploitant d’une pharmacie saisissent lors de la commande en ligne de médicaments dont la vente est réservée aux pharmacies sans être soumise à prescription médicale constituent des données concernant la santé (…), même si c’est seulement avec une certaine probabilité, et non avec une certitude absolue, que ces médicaments sont destinés à ces clients ».

La Cour a précisé enfin que le fait que de telles informations constituent des données de santé ne fait pas obstacle à leur traitement par l’exploitant de la pharmacie, mais à condition que l’une des conditions de l’article 9-2 du RGPD soit respectée, en l’occurrence soit que le client a donné son consentement (article 9-2 a)), soit que le traitement est nécessaire aux fins de la prise en charge sanitaire (article 9-2 h)).

C’est à la juridiction allemande qu’il reviendra de répondre à la question de la licéité de ce traitement, qui, en l’espèce, ne repose pas sur le consentement. Affaire à suivre…

1. CJUE, 4 octobre 2024, Affaire C-21/23.