Lire l’article en PDF tel que publié

Une récente décision du tribunal de grande instance de Paris confirme que la violation du règlement général sur la protection des données (RGPD) peut également constituer un acte de concurrence déloyale.

Régulièrement, des entreprises demandent devant les cours et tribunaux de faire cesser les pratiques commerciales considérées comme déloyales d’un concurrent.

L’intervention du pouvoir judiciaire est jugée nécessaire afin de supprimer les distorsions à la libre concurrence causées par une entreprise ne respectant pas les règles du jeu. Cette concurrence déloyale est notamment invoquée lorsque les dispositions légales applicables à certaines pratiques commerciales ne sont pas respectées par une entreprise.

Une entreprise qui constate qu’un concurrent exerce des opérations de marketing sans respecter, par exemple, la réglementation relative aux jeux publicitaires, aux loteries, à l’origine des marchandises ou encore qui ferait du marketing viral, peut exercer une action en concurrence déloyale.

Site non conforme

Une décision du tribunal de grande instance de Paris prononcée le 15.04.2022 confirme que la violation du règlement général sur la protection des données (RGPD) peut également constituer un acte de concurrence déloyale.

Dans cette affaire, l’entreprise plaignante reprochait, entre autres choses, à une concurrente de disposer d’un site internet de vente en ligne non conforme aux obligations légales. Le site en question ne contenait pas les mentions légales obligatoires pour un site marchand et collectait, en outre, des données à caractère personnel (nom, e-mail, numéro de téléphone) sans fournir les informations obligatoires sur les conditions de ce traitement requises par le RGPD.  

Dans son jugement, le tribunal rappelle que « constitue un acte de concurrence déloyale, le non-respect d’une réglementation dans l’exercice d’une activité commerciale [dès lors que ce non-respect] induit nécessairement un avantage concurrentiel indu pour son auteur ». Pour le tribunal, ne pas respecter la loi entraîne inévitablement un avantage concurrentiel pour son auteur.

Le RGPD contient de nombreuses obligations dont le non-respect est susceptible d’entraîner un acte de concurrence déloyale comme le fait de ne pas disposer d’une politique de confidentialité.

En matière de RGPD, cette motivation se comprend aisément. La mise en conformité au RGPD nécessite la revue en profondeur pour une entreprise de ses procédures internes afin de les adapter au cadre réglementaire : nomination d’un DPO, réalisation de nombreux documents contractuels, réalisation d’une analyse d’impact, sécurisation des systèmes informatiques… Ces obligations ont incontestablement un coût non négligeable.

Ne pas se conformer aux obligations du RGPD, et ne pas avoir fait tous les efforts matériels et financiers pour se mettre en conformité, peut procurer à l’entreprise en question un avantage économique certain vis-à-vis de ceux qui s’y sont contraints, et ainsi constituer un acte de concurrence déloyale. Dans certains cas, cette concurrence déloyale pour non-respect du RGPD permet aussi à l’entreprise d’obtenir un avantage commercial : utiliser des fichiers de données personnelles ou effectuer du profilage, sans respecter le RGPD, permettra bien souvent d’obtenir de meilleurs résultats commerciaux.

De plus en plus de condamnations

Cette décision n’est pas totalement isolée. Des décisions judiciaires de condamnation pour concurrence déloyale en raison d’une violation du RGPD commencent, peu à peu, à être prononcées.

En Allemagne, un cabinet d’avocats s’est ainsi vu ordonner la mise hors ligne de son site internet en raison de la non-conformité flagrante de sa politique de confidentialité au RGPD.

En Belgique, un arrêt du Conseil d’État a mis en lumière l’importance de respecter le RGPD pour les entreprises adjudicataires d’un marché public (1). Une entreprise avait obtenu un marché public, mais avait ensuite vu la décision d’attribution de ce marché attaquée par un concurrent. Le concurrent lui reprochait d’avoir remis une offre qui ne respectait pas les dispositions du RGPD relatives aux transferts internationaux de données et de ce fait une concurrence déloyale.

Le RGPD contient de nombreuses obligations dont le non-respect est susceptible d’entraîner un acte de concurrence déloyale comme le fait de ne pas disposer d’une politique de confidentialité, de ne pas avoir nommé de DPO ou encore, de ne pas avoir réalisé d’étude d’impact. Les actions en concurrence déloyale risquent de se multiplier à l’avenir et il sera intéressant de voir si des condamnations sont prononcées en dehors des cas de manquements manifestes aux obligations du RGPD.

Antoine Declève
Cairn Legal