RGPD – Abus dans l’exercice du droit d’accès aux données personnelles
L’arrêt Brillen Rottler rendu par la Cour de Justice de l’Union européenne (CJUE) le 19 Mars 2026 (C‑526/24) apporte des précisions importantes sur les limites du droit d’accès accordé par l’article 15, paragraphe 1, du RGPD, aux personnes concernées par un traitement de leurs données personnelles.
CJUE, Aff. C‑526/24, 19 Mars 2026
En Mars 2023, un résident autrichien s’abonne au bulletin d’information de Brillen Rottler GmbH & Co., entreprise familiale d’optique, via le formulaire d’inscription disponible sur le site internet. Quelques jours plus tard, il adresse à cette société une demande d’accès à ses données personnelles. Brillen Rottler refuse d’y faire droit, invoquant son caractère abusif.
Devant les premiers juges, pour justifier de son refus, la société décrit un mode opératoire bien rodé : l’intéressé déposerait de manière systématique des demandes d’accès auprès de différents responsables de traitement, non pour s’informer quant au traitement de ses données et sa licéité, mais afin de provoquer volontairement une violation du RGPD et obtenir des indemnités à ce titre.
La juridiction de renvoi interroge alors la CJUE sur l’interprétation des dispositions du RGPD encadrant, d’une part, l’exercice du droit d’accès, et, d’autre part, le droit à réparation du préjudice résultant d’une violation du règlement.
De cette décision se dégagent deux enseignements majeurs.
Une première demande de droit d’accès peut être considérée comme excessive
L’article 12, paragraphe 5, du RGPD permet au responsable du traitement de refuser de donner suite aux demandes d’une personne concernée en cas d’abus de droit, lorsque celles-ci sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif.
La notion de « demandes excessives » n’étant pas définie par le RGPD, la Cour rappelle qu’elle renvoie à ce qui excède la mesure ordinaire ou raisonnable, souhaitable ou permise. Cette approche ne permet donc pas d’exclure, par principe, qu’une première demande d’accès soit qualifiée d’excessive.
Aussi, l’emploi de l’adverbe « notamment » n’est pas sans conséquence : si le fait qu’une personne multiplie les demandes constitue un indice d’abus de droit, ce caractère répétitif ne constitue toutefois pas une condition impérative posée par le RGPD. En d’autres termes, la demande n’a pas à s’inscrire dans un contexte de soumission de plusieurs demandes pour être qualifiée d’excessive.
Afin de confirmer son analyse, la CJUE transpose dans cette affaire l’interprétation jurisprudentielle de la notion de « demandes excessives » figurant à l’article 57, paragraphe 4, du RGPD : elle rappelle que les justiciables ne sauraient se prévaloir de manière frauduleuse ou abusive des normes de l’Union. Un tel comportement abusif doit dès lors être évalué d’un point de vue qualitatif et, partant, demeure indépendant du nombre de demandes d’accès introduites par la personne concernée.
Si la Cour confirme qu’une première demande d’accès peut dès lors être considérée comme excessive, elle rappelle qu’il incombe au responsable de traitement de démontrer que l’abus de droit procède :
D’un ensemble de circonstances objectives – en l’occurrence, que la demande d’accès ait bien été introduite afin d’atteindre l’objectif visé par le RGPD tenant à la nécessité de prendre connaissance du traitement des données et d’en vérifier la licéité ;
D’un élément subjectif, qui suppose d’établir l’existence d’une intention abusive de la part de la personne concernée au regard de l’ensemble des circonstances pertinentes du cas d’espèce. La Cour cite notamment : le fait que la personne ait fourni ses données sans y être contrainte, la finalité pour laquelle ces données ont été initialement fournies, le laps de temps écoulé entre la fourniture des données et la demande d’accès, et le comportement général de la personne concernée.
La Cour retient ainsi que la demande d’accès en litige a été introduite par la personne concernée dans l’objectif, non pas de prendre connaissance du traitement de ses données et d’en vérifier la licéité, mais dans l’intention abusive de créer artificiellement les conditions requises pour obtenir une réparation. Cette intention abusive peut être caractérisée par le fait que plusieurs demandes d’accès suivies de demandes de réparation aient été présentées auprès de différents responsables de traitement.
Le droit à réparation s’applique aux préjudices résultant d’une violation du droit d’accès, sauf à ce que le comportement de la personne concernée ait constitué la cause déterminante du dommage
Le second apport de cet arrêt concerne la délimitation des contours du droit à réparation prévu par l’article 82, paragraphe 1, du RGPD.
Le principe est clair : toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement a le droit d’obtenir du responsable du traitement réparation du préjudice subi. La Cour affirme que ce droit n’est pas limité aux seules hypothèses dans lesquelles le dommage résulte directement d’un traitement de données à caractère personnel : il s’applique également aux préjudices nés d’une violation des droits garantis par le RGPD, en l’occurrence du droit d’accès.
Ce droit à réparation suppose, pour la personne concernée, d’établir les trois conditions cumulatives que sont : (i) l’existence d’une violation du RGPD, (ii) un dommage – matériel ou moral – effectivement causé par cette violation, (iii) un lien de causalité entre cette violation et le dommage allégué.
Or, selon la Cour, ce lien de causalité peut être rompu lorsque le comportement de la personne concernée est la cause déterminante du préjudice allégué.
En l’occurrence, elle retient que la personne concernée ne peut prétendre à réparation d’un préjudice moral résultant de la perte de contrôle sur ses données ou de l’incertitude entourant leur traitement, quand cette perte ou cette incertitude découlent de sa propre décision de fournir ses données et de formuler une demande d’accès dans le seul but de créer artificiellement les conditions requises aux fins d’obtenir une indemnisation.
Il reviendra désormais au Tribunal de district d’Arnsberg de statuer au regard des réponses claires apportées par la Cour.
Cet arrêt est riche d’enseignements pratique. Il convient toutefois de ne pas procéder à une lecture erronée : le caractère essentiel du droit d’accès, comme pierre angulaire de la transparence et du contrôle par les personnes concernées de l’usage de leurs données, n’est pas fragilisé par cet arrêt.