Concurrence déloyale & RGPD : soyez vigilants
Par un arrêt remarqué du 4 octobre 2024 [1], la Cour de Justice de l’Union Européenne a considéré que le Règlement UE 2016/679 du Parlement européen et du Conseil (le « RGPD ») ne s’oppose pas à ce qu’une réglementation nationale (en l’espèce la loi allemande) confère aux concurrents de l’éventuel auteur d’une atteinte à la protection des données personnelles qualité à agir à son encontre en concurrence déloyale devant les juridictions civiles.
Cet arrêt a été salué par de nombreux commentateurs qui y voient un renforcement de la réglementation sur les données personnelles. Cette décision peut sans doute s’interpréter comme une évolution dans certains Etats-membres, mais elle n’a pourtant rien de nouveau en France.
En effet, la jurisprudence française condamne depuis longtemps le fait pour un acteur économique de méconnaitre la réglementation applicable « car, en se dispensant des contraintes imposées par les textes, il s’octroie un avantage par rapport à ses concurrents »[2].
Ce type d’action en concurrence déloyale a été utilisée notamment dans les situations suivantes :
- En favorisant le non-respect des règles applicables aux taxis, lesquelles imposent une autorisation administrative pour pratiquer l’activité et interdisent la maraude électronique concernant la plateforme Uber[3].
- En appliquant un taux de TVA inférieur à celui en vigueur pour la vente de pneus[4].
- La violation du monopole bancaire par l’octroi de délais de paiement et de prêts illicites par un franchiseur à ses franchisés[5].
D’autres décisions récentes démontrent l’effectivité de l’action en concurrence déloyale dans le domaine de la compliance, comme par exemple l’arrêt de la Cour de cassation du 27 septembre 2023 concernant le non-respect de la réglementation LCBFT [6].
Pour revenir sur le sujet spécifique des données personnelles, le Tribunal judiciaire de Paris[7] a eu l’occasion de condamner un fabricant/distributeur de pièces industrielles et agricoles en 2022 pour le non-respect du RGPD et de la Loi pour la confiance dans l’économie numérique (LCEN).
Le concurrent à l’origine de l’action avait fait constater par Huissier que le site internet du distributeur ne comportait pas les mentions légales obligatoires imposées par la LCEN, et ne comportait pas de « charte de confidentialité » ou de mentions d’informations suffisantes afin d’informer les utilisateurs et les clients sur les traitements de données personnelles effectués.
Le raisonnement a été suivi par le Tribunal, lequel a condamné le titulaire du site internet à un montant de 15.000 euros au titre de ces actes de concurrence déloyale. Le Tribunal s’est toutefois refusé à prononcer une injonction de mise en conformité du site et de fermeture, estimant qu’il ne dispose « en matière de réglementation de l’édition et de l’exploitation de sites internet, d’aucun pouvoir de police ».
L’arrêt de la CJUE ne bouleverse donc absolument pas le droit français de la concurrence déloyale, lequel permet depuis longtemps à un acteur économique lésé d’agir contre un concurrent qui s’abstient de respecter les règles de compliance qui lui sont applicables.
Le nerf de la guerre reste, en réalité, la preuve de la « faute » exigée dans toute action pour concurrence déloyale. Cette preuve peut s’avérer plus ou moins délicate à apporter dans le contexte d’un manquement à des règles de compliance par un concurrent puisqu’il faut :
- Prouver que le concurrent est assujetti aux règles en cause. De nombreux règles de compliance ne s’appliquent qu’à partir de certains seuils, prévoient des exemptions ou sont soumises à des conditions, comme par exemple les règles anti-corruption issues de la loi Sapin 2.
- Prouver l’existence du manquement. Si cela peut être simple pour les obligations relevant de la partie « émergée » de la compliance, comme ce fut le cas pour le jugement du Tribunal judiciaire de Paris cité plus haut, la partie « immergée » de la compliance pose une véritable problématique. Comment démontrer un manquement à la tenue des registres de traitement, à la réalisation des analyses d’impact, ou encore à l’obligation générale de sécurité des données, dès lors qu’il s’agit de documents auxquels un concurrent n’a pas normalement accès ? Cette démonstration suppose un usage intelligent mais risqué des mesures d’instruction disponibles, comme par exemple la « perquisition civile » de l’article 145 du CPC.
- Prouver avec certitude le manquement. Les acteurs de la compliance le savent : beaucoup d’obligations trouvent leur fondement dans des dispositions légales ou réglementaires peu précises, lesquelles peuvent être complétées (ou pas) par des recommandations, bonnes pratiques et autres publications de soft law rendues par des autorités de contrôle.
Dans ce contexte, il peut être difficile de démontrer une simple insuffisance à la réglementation, lorsque le concurrent a réalisé des actions de conformité, mais qui apparaissent incomplètes.
Le succès d’une action en concurrence déloyale pour le non-respect d’une règle de compliance repose donc sur la combinaison de compétences pluridisciplinaires en matière de concurrence déloyale, de compliance et de procédure civile.
Si vous souhaitez envisager une telle action ou que vous en subissez une de la part d’un concurrent, notre Cabinet peut vous accompagner.
[1] CJUE, 4 octobre 2024, C‑21/23
[2] Cour d’appel de Paris, 25 octobre 2017, n° 14/15714 ; Pour un arrêt ancien, voir : Cour de cassation, Commerciale, 18 octobre 1994, n° 92-21.087
[3] Cour d’appel de Paris, 12 décembre 2019, n° 17/03541
[4] Cour de cassation, 18 avril 2000, n° 98-12.719
[5] Cour de cassation, 15 janvier 2020, n° 17-27.778
[6] Cour de cassation, 27 septembre 2023, n° 21-21.995
[7] Tribunal judiciaire de Paris, 25 avril 2022, n° 19/12628