Le RGPD est souvent perçu comme une énième obligation réglementaire à laquelle les entreprises doivent se soumettre. Mise en place sans grande conviction, la conformité paraît ainsi isolée de l’activité économique.
Pourtant, au-delà du fait que la protection des données est incontournable pour préserver la vie privée et les libertés des utilisateurs, le RGPD a bel et bien une influence dans le monde des affaires.
Désormais, une non-conformité est qualifiable d’acte de concurrence déloyale. Pour bien comprendre comment nous en sommes arrivés là, revenons à la genèse de l’histoire. Vous êtes prêt ?
1 - Non respect du RGPD : qu’est-ce que ça veut dire ?
Rappel des principes RGPD à respecter
Le RGPD repose sur 5 grands fondements qui s’imposent à toutes les activités d’une entité quelle que soit sa taille ou sa forme : entreprise, association, organisme public, etc.
Chaque renseignement demandé à une personne physique doit l’être au regard des principes énoncés par le RGPD :
- principe de finalité : la collecte des données des utilisateurs ne peut s’effectuer que dans un objectif clairement identifié, légal et légitime ;
- principe de proportionnalité : les informations enregistrées doivent être strictement nécessaires au regard du but poursuivi ;
- principe d'une durée de conservation limitée : l’expression ad vitam eternam n'existe pas en matière de RGPD. Les entreprises ont le devoir de prévoir une durée de conservation qui dépend de la finalité du fichier et de leurs obligations réglementaires ;
- principe de sécurité et de confidentialité : ici, les acteurs économiques ont pour mission de prendre toutes les mesures indispensables pour protéger la sécurité des données collectées. Il convient ici de se prémunir contre les risques cyber et de faire en sorte que seules les personnes autorisées aient accès à ces informations ;
- principe d’information : avant toute collecte, les entreprises doivent informer les personnes concernées de l’étendue et du devenir de leurs données. Ainsi, une politique de confidentialité est primordiale puisque dans ce document, l’utilisateur pourra y retrouver la façon dont il pourra exercer ses droits.
Le non-respect du RGPD : des exemples à ne pas suivre
Malgré toutes les précautions prises, une entreprise peut un jour se retrouver en porte à faux vis-à-vis de la réglementation : ainsi les risques cyber ou un sous-traitant défaillant sont parfois des événements sur lesquels il est compliqué d’avoir une visibilité à 100%.
Pour le reste, l’inertie ou le non-respect flagrant de la conformité ne sont pas admissibles :
- absence de consentement (pas de cookies alors que vous procédez bien à l’analyse des données) ou d'information (pas de politique de confidentialité) ;
- l’incapacité pour les utilisateurs d'exercer les droits d’accès, de rectification, d’opposition, d’effacement, de limitation, de portabilité ou d’intervention humaine ;
- défaillance de mesures de sécurité appropriées avec la possibilité de récupérer facilement les données des utilisateurs ;
- transfert illégal de données ou exploitation commerciale avec par exemple la vente de données ;
- non-respect de l'obligation de notification de violation de données alors que les entreprises doivent en informer les individus et les autorités compétentes.
Au regard des nombreuses obligations contraignantes, chronophages mais également coûteuses à implémenter, nous pouvons donc comprendre que deux entreprises concurrentes, dont une qui s’affranchit allègrement de ses obligations, ne soient pas dans une situation égalitaire pour attaquer le marché.
2 - Non respect du RGPD et concurrence déloyale
Rappel de ce qu’est la concurrence déloyale
La concurrence déloyale a une définition assez large qui permet d’englober énormément de pratiques. L’idée est de faire évoluer les acteurs économiques dans des conditions de loyauté entre eux.
Autrement dit, les entreprises doivent adopter un comportement éthique et ne pas nuire à un concurrent. Sont notamment sanctionnés :
- la reproduction d’une enseigne d’un concurrent qui crée de la confusion dans la tête du consommateur (imitation) ;
- le débauchage du personnel pour connaître un secret de fabrication (désorganisation) ;
- le fait de critiquer une entreprise concurrente dans le but de la discréditer (dénigrement).
- Il existe bien d’autres exemples et la qualification de concurrence déloyale appartient à “l’appréciation souveraine des juges du fond” (comme le disent fièrement les juristes !).
D’un point de vue strictement juridique, il n’y a pas à proprement parler d’article qui codifie cette pratique. D’ailleurs, le régime de la concurrence déloyale est surtout jurisprudentiel.
Sanction judiciaire : quand le RGPD s’invite sur le terrain de la concurrence
Le litige concerne une entreprise détentrice de brevets sur des machines agricoles qui décide d’assigner une autre entreprise qui commercialisait sur son site internet des pièces de machines en reproduisant le contenu des brevets de la première entreprise. La première entreprise reprochait également à la seconde d’être non conforme au RGPD et argue que cette violation est également constitutive d’un acte de concurrence déloyale.
Alors, se pourrait-il que le non-respect de ladite réglementation soit un acte de concurrence déloyale ? Après tout, occulter la conformité équivaut à s’alléger de prescriptions lourdes à mettre en place.
Dans une récente décision du 15 avril 2022, Tribunal judiciaire de Paris a considéré que l’entreprise attaquée avait failli à ses obligations car elle ne disposait pas de politique de confidentialité : aucune information n’était accessible sur les données collectées via le site e-commerce. Seule la page “mention légale” renvoyait vers une page d’erreur.
Or, comme l’a justement relevé le tribunal, les organismes ont l’obligation d’informer les personnes concernées des données personnelles collectées, la manière dont elles sont utilisées et comment ces personnes peuvent exercer leurs droits sur leurs données : demander la suppression, la copie, la limitation etc.
Dans ces conditions, le Tribunal a considéré que “tout manquement à la réglementation dans l’exercice d’une activité commerciale induit nécessairement un avantage concurrentiel indu pour son auteur, il convient de juger que la société mise en cause s’est rendue coupable d’acte de concurrence déloyale au préjudice de la demanderesse”.
Ainsi, ne pas se conformer au RGPD est constitutif d’un acte de concurrence déloyale.
Concrètement, cela signifie que :
- la conformité est désormais un avantage concurrentiel ;
- le non-respect de l’information aux utilisateurs est un manquement sanctionné surtout lorsque ce dernier n’est pas effectif ;
- toute entorse à la protection des données personnelles est donc susceptible d’être taxée de concurrence déloyale.
3 - Concurrence et RGPD : nos tops recommandations
Vous évoluez dans un domaine très concurrentiel ? Vous souhaitez protéger votre réputation et anticiper un éventuel acte de concurrence déloyale ? Nous vous conseillons de mettre en place la stratégie suivante :
1- Cartographiez les données personnelles de vos clients pour les intégrer dans votre registre ;
2- Mettez votre site en conformité avec une politique de confidentialité bien rédigée et une bannière de cookies (si vous en utilisez bien sûr !) ;
3- Prévoyez un process clair pour que les utilisateurs puissent exercer leurs droits facilement ;
4- Choisissez des sous-traitants dignes de confiance. Parfois, le problème n’est pas vous, mais les autres !
5- Sélectionnez un outil RGPD comme Leto pour faciliter l’administration de vos données.
Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. N'hésitez pas à nous contacter pour échanger !