CJUE, 19 mars 2026, C-526/24, Brillen Rottler
Par un arrêt du 19 mars 2026, la Cour de justice de l’Union européenne apporte plusieurs précisions importantes relatives au régime du droit d’accès prévu par le RGPD, ainsi qu’à son articulation avec le mécanisme de responsabilité de l’article 82.
La Cour était notamment invitée à se prononcer sur le caractère potentiellement abusif d’une première demande d’accès, ainsi que sur les conditions d’indemnisation en cas de violation de ce droit. L’arrêt retient l’attention à un double titre. D’une part, il admet, dans des conditions strictement encadrées, qu’une première demande d’accès puisse être qualifiée d’« excessive ». D’autre part, il confirme que la violation du droit d’accès peut, à elle seule, ouvrir droit à réparation, indépendamment de l’existence d’un traitement illicite distinct.
Les faits à l’origine de l’affaire
Un particulier résidant en Autriche s’était inscrit à la newsletter d’une entreprise allemande d’optique en renseignant certaines données personnelles. Treize jours plus tard, il a exercé son droit d’accès au titre de l’article 15 du RGPD.
L’entreprise a refusé de faire droit à cette demande en arguant de son caractère « excessif ». L’entreprise faisait notamment valoir que l’intéressé était publiquement connu pour multiplier ce type de demandes auprès de différents responsables de traitement dans le but, en cas de réponse inexistante ou jugée insuffisante, de solliciter ensuite une indemnisation sur le fondement de l’article 82 du RGPD.
Une appréciation nuancée du caractère « excessif » des demandes d’accès
L’apport principal de la décision réside dans l’interprétation de l’article 12, § 5 du RGPD, qui permet au responsable du traitement de refuser de donner suite à une demande « manifestement infondée ou excessive ».
- Une première demande d’accès peut, en principe, être excessive
La Cour écarte d’emblée l’idée selon laquelle le caractère excessif serait nécessairement lié à la répétition des demandes. Si la répétition constitue un indice, elle ne saurait être érigée en condition. Dès lors, une première demande peut, en théorie, être qualifiée d’excessive.
Pour autant, la Cour encadre immédiatement cette possibilité. Elle rappelle que l’article 12, § 5 constitue une exception à l’obligation de faciliter l’exercice des droits des personnes concernées, laquelle doit être interprétée strictement. Autrement dit, si l’hypothèse d’une première demande excessive est admise, elle doit demeurer, en pratique, réservée à des cas très circonscrits.
- L’exigence d’un abus de droit caractérisé
La qualification de demande excessive repose, selon la Cour, sur le schéma classique de l’abus de droit en droit de l’Union. Deux éléments doivent être réunis :
- Un élément objectif, tenant au détournement de la finalité du droit d’accès, lequel vise à permettre à la personne concernée de connaître le traitement de ses données et d’en vérifier la licéité.
- Un élément subjectif, caractérisé par la volonté d’obtenir un avantage en créant artificiellement les conditions de son obtention.
En pratique, le responsable du traitement doit démontrer que la demande n’a pas été introduite pour exercer effectivement le droit d’accès, c’est-à-dire notamment pour prendre connaissance des traitements effectués, mais dans une logique différente – en l’occurrence, pour provoquer une violation et fonder ensuite une demande indemnitaire.
La Cour insiste sur le niveau de preuve requis : cette démonstration doit être apportée « au vu de l’ensemble des circonstances pertinentes » et de manière non équivoque. L’arrêt fournit plusieurs indices susceptibles d’être pris en compte :
- Les conditions dans lesquelles les données ont été fournies.
- Le délai entre cette fourniture et la demande d’accès.
- Le comportement global de la personne concernée.
La Cour admet également que des informations publiques relatives à des demandes similaires (ex : informations démontrant l’existence éventuelle d’un « modus operandi » similaire vis-à-vis d’autres responsables du traitement) puissent être prises en compte si elles sont corroborées par d’autres éléments.
Cette approche confirme que l’analyse doit rester concrète et contextualisée, sans pouvoir reposer sur des considérations générales ou abstraites.
La consécration d’un droit à réparation autonome en cas de violation du droit d’accès
Le second apport de l’arrêt concerne l’interprétation de l’article 82 du RGPD.
La Cour juge que le droit à réparation n’est pas limité aux dommages résultant d’un traitement de données à caractère personnel. Elle relève que l’article 82 vise tout dommage subi « du fait d’une violation » du RGPD, sans restreindre son champ aux seules hypothèses de traitement illicite.
En conséquence, une violation du droit d’accès – par exemple un refus injustifié de communication – peut, à elle seule, ouvrir droit à réparation. Cette solution présente une certaine cohérence au regard de l’économie du règlement. Les droits consacrés au chapitre III (dont le droit d’accès) participent pleinement à la protection des personnes concernées et doivent, à ce titre, bénéficier d’un mécanisme de recours effectif.
Il en résulte un renforcement, au moins potentiel, du contentieux indemnitaire fondé sur les droits des personnes.
Précisions complémentaires sur le dommage moral et le lien de causalité
Dans le prolongement de sa jurisprudence antérieure, la Cour confirme que le dommage moral peut inclure :
- la perte de contrôle sur ses données ;
- l’incertitude quant à l’existence d’un traitement.
Toutefois, ces éléments ne peuvent être présumés : ils doivent être établis concrètement par la personne concernée.
Surtout, la Cour introduit une nuance importante en matière de causalité. Le lien de causalité peut être rompu lorsque le comportement de la personne concernée constitue la cause déterminante du dommage allégué, notamment lorsqu’elle a elle-même créé les conditions de la violation dans une logique artificielle.
Ce point fait écho, de manière cohérente, à l’analyse de l’abus de droit développée au titre de l’article 12, § 5.
* * *
En pratique, le droit d’accès est aujourd’hui largement mobilisé, en particulier dans les contextes de précontentieux et de contentieux en droit du travail. Les anciens salariés et leurs conseils formulent de manière de plus en plus systématique des demandes d’accès, souvent très larges, dont l’objectif dépasse fréquemment la seule vérification de la licéité des traitements. Ces demandes s’inscrivent en effet dans des stratégies contentieuses plus globales, visant à la fois à exercer une forme de pression dans le cadre de négociations en cours et à obtenir des éléments utiles à l’exercice du droit en justice, là où, auparavant, le recours à une mesure d’instruction sur le fondement de l’article 145 du Code de procédure civile constituait souvent le seul levier.
Pour autant, l’arrêt commenté ne saurait être regardé comme conférant aux employeurs un blanc-seing pour qualifier systématiquement ce type de demandes d’« excessives » : au regard des critères stricts posés par la CJUE et des circonstances très particulières de l’espèce – dans laquelle il apparaissait que la demande d’accès poursuivait essentiellement un objectif indemnitaire – une telle qualification devrait demeurer exceptionnelle.
