Ce qui a réellement changé

Pendant des années, l'hypothèse de travail dans de nombreuses entreprises allemandes était simple. L'application du droit de la protection des données venait de deux directions: les autorités de contrôle, qui pouvaient enquêter et sanctionner, et les personnes concernées, qui pouvaient se plaindre ou réclamer des dommages et intérêts. Les concurrents restaient en dehors de ce cercle. Cette frontière vient de se déplacer. La décision d'ancrage est l'arrêt Lindenapotheke de la CJUE (C-21/23) du 4 octobre 2024, qui a jugé qu'une violation des règles du RGPD peut aussi être poursuivie comme une violation de la concurrence déloyale au titre de l'UWG allemand. Elle a été transposée dans la pratique allemande par la suite donnée par le Bundesgerichtshof le 23 janvier 2025 (I ZR 222/19), et c'est la couverture économique actuelle de juin 2026 qui l'a portée devant le Mittelstand au sens large.

Le changement pratique est qu'un concurrent peut désormais traiter votre traitement des données comme une question de comportement sur le marché et émettre une Abmahnung, une mise en demeure formelle de cesser, appuyée par la menace d'une injonction. L'affaire d'origine concernait une pharmacie vendant des médicaments non soumis à prescription mais réservés à la pharmacie via une place de marché, mais le raisonnement ne se limite pas aux pharmacies. Tout opérateur dont les pratiques en matière de données prêtent à contestation fait désormais face à une partie qui observe, qui est motivée et qui a un intérêt à agir. Nous notons que l'arrêt d'ancrage date d'octobre 2024 et que les règles de remboursement des frais et les spécificités des affaires peuvent encore évoluer, de sorte que ce qui suit est ce qu'il faut envisager, et non un conseil juridique.

Pourquoi les données de commande ordinaires sont le point sensible

La partie qui devrait faire réfléchir les dirigeants n'est pas le seul canal d'application. C'est ce que les tribunaux ont considéré comme des données sensibles. Dans l'affaire de la pharmacie, la combinaison du nom d'un client, d'une adresse de livraison et du produit précis commandé a été jugée susceptible de constituer des données de santé, même si les articles n'étaient pas soumis à prescription. Les données de santé relèvent d'une catégorie plus stricte au titre du RGPD, où le seuil du traitement licite s'élève et où, dans de nombreuses situations, un consentement explicite est attendu. Autrement dit, une information qu'une entreprise verrait comme un simple enregistrement de commande a été traitée comme relevant de la catégorie la plus protégée de données à caractère personnel.

La portée dépasse largement les pharmacies. Un vendeur de compléments alimentaires, un magasin de matériel médical, un opticien, un opérateur de fitness ou de bien-être, ou tout vendeur e-commerce dont les produits peuvent laisser deviner un état de santé, peut traiter des données que les tribunaux pourraient apprécier de la même façon. Cela ne signifie pas que chaque commande en ligne constitue une donnée de santé, et la ligne exacte sera testée au cas par cas. Cela signifie que l'hypothèse de la donnée anodine ne tient plus automatiquement, et qu'un concurrent a désormais à la fois l'intérêt à agir et la motivation de plaider ce point.

Ce qu'un dirigeant avisé vérifie maintenant

La réponse mesurée n'est pas l'alarme, c'est un audit court et honnête avant que quelqu'un d'autre ne le mène à votre place. Des questions sensées à poser à votre équipe: quelles données collectons-nous au paiement et dans nos formulaires, sur quelle base juridique, et cette base résisterait-elle à un examen. Là où le consentement est la base, est-il réel, spécifique et documenté, ou est-il enfoui dans des cases précochées et des conditions vagues. Nos annonces sur les places de marché, notre gestion des cookies, nos pixels de suivi et nos inscriptions à la newsletter correspondent-ils à ce que notre politique de confidentialité promet réellement. Ce sont les coutures qu'un concurrent motivé, ou son avocat, sonderait en premier.

Il vaut la peine de garder la question des coûts en juste proportion. Au titre de l'UWG, le remboursement des frais de mise en demeure d'un concurrent est restreint lorsque la demande repose sur une violation du RGPD, ce qui atténue un levier financier. Mais la mise en demeure elle-même, le risque d'injonction, les frais juridiques de votre côté et la perturbation restent bien réels, et un appel ou des précisions sur les points plus fins peuvent encore intervenir. Le mouvement prudent consiste à traiter votre posture en matière de protection des données comme une exposition concurrentielle, et non seulement comme une case réglementaire, et à combler les lacunes évidentes avant qu'un rival n'en fasse votre problème.