« Si vous respectez le RGPD, vous aurez un avantage concurrentiel ! »

CNIL, Guide pratique de sensibilisation au RGPD, BPI, 2018

Voilà l’un des arguments répétés par la CNIL dans ses publications de 2018 pour encourager les organisations à voir dans cette nouvelle réglementation une opportunité business plutôt qu’une contrainte.

Quelques années plus tard, il est amusant de constater que les tribunaux inversent l’argument : désormais, c’est le fait de ne pas respecter le RGPD qui « induit nécessairement un avantage concurrentiel pour son auteur » et qui est constitutif de concurrence déloyale !

La concurrence déloyale retenue pour non-respect du RGPD

Deux récentes affaires illustrent la sanction pour concurrence déloyale d’un concurrent ne respectant pas la réglementation relative à la protection des données personnelles.

Tribunal judiciaire de Paris, 15 avril 2022 n°19/12628

Un entreprise française découvre qu’une société concurrente vend en ligne des produits qu’elle estime contrefaisants de ses brevets et marques. Elle relève également que le site internet de son concurrent n’est pas conforme à diverses réglementations :

• les mentions légales obligatoires n’y figurent pas, en violation de la loi pour la confiance dans l’économie numérique et la loi du 29 juillet 1982,
• les mentions relatives au médiateur de la consommation que doit désigner le commerçant en ligne et l’existence de la plateforme européenne de résolution des litiges en ligne n’apparaissent pas, en violation du code de la consommation,
• aucune Politique de confidentialité n’existe sur le site internet qui collecte pourtant des données personnelles, en violation du RGPD et de la loi Informatique et Libertés.

Le tribunal judiciaire de Paris juge que :

Constitue un acte de concurrence déloyale le non-respect d’une règlementation dans l’exercice d’une activité commerciale, qui induit nécessairement un avantage concurrentiel indu pour son auteur.

S’agissant des manquements au RGPD, le tribunal relève que la société non-conforme :

procède à une collecte de données à caractère personnel portant notamment sur le nom, l’email et le numéro de téléphone des personnes concernées sans fournir aucune information sur les conditions de ce ou ces traitements et en se limitant en réalité à un paragraphe d’information dans l’onglet « mentions légales ».

Par conséquent, le tribunal judicaire de Paris juge que la société non-conforme s’est rendue coupable d’acte de concurrence déloyale au préjudice de son concurrent. Et le tribunal la condamne à la somme de 15 000 € de dommages-intérêts.

Cour d’appel de Paris, 9 novembre 2022, n°21/00180

Une entreprise reprochait à une autre de porter atteinte au réseau de distribution sélective qu’elle avait mis en place pour commercialiser ses produits. A l’occasion d’un procès, elle lui reprochait aussi divers faits de concurrence déloyale, dont certains en lien avec des manquements au RGPD et à la loi Informatique et Libertés.

Plus précisément, la demanderesse invoquait le fait que sa concurrente avec été condamnée par la CNIL :

« suite à un contrôle effectué le 13 novembre 2018, à une amende administrative de 500 000 euros pour avoir manqué à plusieurs obligations au titre du RGPD et de la loi Informatique et Libertés, et avoir envoyé des courriels de prospection sans le consentement des personnes en violation du code des postes et des communications électroniques« .

Or :

« en ne respectant pas ces règles impératives, tout en commercialisant des produits [de la demanderesse], [la société non-conforme] a porté atteinte au prestige du réseau [de distribution] et bénéficié d’un avantage concurrentiel indu.« 

La cour d’appel condamne la société à 200 000 € de dommages-intérêts, pour divers actes de concurrence déloyale et parasitisme (pas uniquement le non-respect de la réglementation).

Une nouvelle tendance

Ces affaires témoignent d’une évolution de la jurisprudence en matière de concurrence déloyale pour non-respect du RGPD.

Le tribunal judiciaire de Paris semble avoir changé de position.

Dans un jugement du 10 janvier 2020 (n°18/00171), une société reprochait à sa concurrente « La violation des obligations légales, tant au titre des mentions légales, que de l’utilisation des données personnelles au mépris des dispositions de la loi informatique et liberté et du RGPD, permettant le transfert de données à caractère personnel vers un état tiers à l’Union européenne ne présentant pas un niveau de protection suffisant de la vie privée » et estimait que ce non-respect « fausse le jeu normal de la concurrence et est constitutif de concurrence déloyale« .

Mais cette société n’avait alors pas été suivie par le tribunal, qui avait jugé que la société

« ne peut invoquer la violation par les sociétés A des dispositions relatives à la protection des données (loi de 1978 et RGPD), s’agissant d’une réglementation ayant pour objet la protection des personnes physiques, lesquelles peuvent seules se prévaloir d’un manquement à leurs droits« .

La cour d’appel de Paris semble également avoir fait évoluer sa jurisprudence.

Dans un arrêt du 5 juillet 2019 (n°17/03974), une société avait relevé une dizaine de manquements au RGPD commis par sa concurrente.

Il s’agissait notamment d’informations incomplètes fournies aux personnes concernées, comme :

• le défaut d’identification du responsable de traitement et de ses coordonnées,
• l’absence de finalités,
• l’absence de base légale,
• l’imprécision des durées de conservation,
• l’absence d’informations sur les destinataires et sous-traitants,
• l’absence de mentions de certains droits RGPD.

La société demanderesse soutenait que « ces manquements ont induit une distorsion de concurrence à son préjudice pendant de nombreux mois et que demeurent certaines infractions« .

Mais la cour d’appel avait suivi les arguments de la société défenderesse ; elle retenait que :

• la défenderesse était soumise à la loi d’Andorre (à tort, puisque le champ d’application territoriale du RGPD s’appliquait manifestement aux traitements),
• il n’était pas démontré que les manquements à la loi française créaient une distorsion au préjudice de la demanderesse,
•  et que les personnes concernées sensibles aux questions de protection des données pouvaient au demeurant se détourner d’un acteur ne respectant pas la loi en matière.

Et aucune condamnation en concurrence déloyale n’avait été prononcée.

Notons toutefois que la cour d’appel de Nancy avait pu s’inscrire en faux avec cette jurisprudence, en confirmant la fermeture immédiate et définitive d’un site internet, au motif notamment qu’il ne respectait pas le RGPD et que, « le fait pour M. Y de s’affranchir du respect des obligations légales a placé incontestablement celui-ci dans une situation anormalement favorable vis à vis de la concurrence et plus particulièrement de la société [demanderesse], la rupture d’égalité au détriment de cette dernière étant de surcroît aggravée par les mentions trompeuses sus-relevées. » (CA Nancy, 25 septembre 2019, n°18/02290).

Une tendance conforme à la jurisprudence de la Cour de cassation

Les décisions rendues en 2022 s’inscrivent dans le sillage de la jurisprudence de la Cour de cassation.

La Cour de cassation a notamment jugé que :

« constitue un acte de concurrence déloyale le non-respect d’une réglementation dans l’exercice d’une activité commerciale, qui induit nécessairement un avantage concurrentiel indu pour son auteur »

Cass. com. 17 mars 2021, n°19-10.414

Elle a aussi jugé que les

« pratiques consistant (…) à s’affranchir d’une réglementation, dont le respect a nécessairement un coût, tous actes qui, en ce qu’ils permettent à l’auteur des pratiques de s’épargner une dépense en principe obligatoire, induisent un avantage concurrentiel indu (…). »

Cass. com., 12 février 2020, n° 17-31.614

 Les décisions de 2022 font chacune référence à l’un ou l’autre de ces arrêts de la Cour de cassation.

A retenir

✅ Les entreprises non-conformes au RGPD s’exposent à un risque de poursuite de la part de leurs concurrents, plus vraisemblable qu’un contrôle de la CNIL.

✅ Les montants importants de dommages-intérêts auxquels sont condamnées les entreprises non-conformes auraient pu servir à financer leur conformité RGPD.

✅ Les montants importants de dommages-intérêts obtenus par les entreprises conformes au RGPD viennent couvrir une grande partie du coût de leur mise en conformité.

✅ Les décisions prononçant ces condamnations ont été rendues dans des affaires où le manquement au RGPD n’était pas le cœur du dossier. Il s’agit d’une demande pouvant s’ajouter facilement à l’occasion d’un litige.

✅ Il n’est jamais trop tard pour se mettre en conformité ; contactez-nous ! 😁

*

Le cabinet SHIFT avocats accompagne et conseille les entreprises en Droit des données personnelles depuis plus de 20 ans. Contactez-nous pour toute question: contact@shift-avocats.com.