CJUE | ARRÊT DU 19 MARS 2026 | C-526/24 | BRILLEN ROTTLER │
DSAR FARMING & ABUS DU DROIT D’ACCES AUX DONNEES PERSONNELLES
UNE DEMANDE D’ACCÈS À SES DONNÉES À CARACTÈRE PERSONNEL POURRAIT ÊTRE QUALIFIÉE D’ABUSIVE ET REFUSÉE SI ET SEULEMENT SI LE RESPONSABLE DE TRAITEMENT EST EN MESURE DE DÉMONTRER, SANS NUL DOUTE POSSIBLE, QUE CETTE DEMANDE A ÉTÉ INTRODUITE DANS LE SEUL BUT D’OBTENIR DES DOMMAGES-INTÉRÊTS EN CAS DE DÉFAILLANCE
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
LA MOTIVATION DE L’AVOCAT GÉNÉRAL SZPUNAR
1. PHILOSOPHIE GÉNÉRALE ET GRILLE D’ANALYSE
L’avocat général M. Maciej Szpunar ouvre ses conclusions par une réflexion de principe sur la dialectique entre droit subjectif et abus de droit, qui donne le ton de l’ensemble de son raisonnement :
« Lorsque l’ordre juridique confère à un particulier un droit subjectif, l’exercice de ce droit doit, par principe, être considéré comme licite. Toutefois, si la manière selon laquelle ce droit est exercé n’est pas conciliable avec les objectifs de la disposition le consacrant, des limites peuvent être imposées par l’ordre juridique, notamment, à travers le mécanisme de l’abus de droit. » (§ 1 des conclusions)
Il rappelle ensuite l’existence, en droit de l’Union, d’un « principe général de droit selon lequel les justiciables ne sauraient frauduleusement ou abusivement se prévaloir des normes du droit de l’Union, qui s’applique également dans des relations de droit privé » (§ 2 des conclusions). Cette prémisse théorique conduit l’avocat général à structurer son analyse autour de trois axes : (i) la possibilité de qualifier d’excessive une première demande d’accès ; (ii) la portée du droit à réparation de l’article 82 du RGPD ; (iii) les conditions d’identification du dommage moral et du lien de causalité.
2. SUR LE CARACTÈRE EXCESSIF D’UNE PREMIÈRE DEMANDE
L’avocat général développe une analyse littérale et téléologique de l’article 12, §5, du RGPD dont il déduit que le caractère répétitif n’est qu’un indice illustratif et non une condition sine qua non du caractère excessif. Il souligne que l’adjectif « excessif » vise tout ce qui « excède la mesure ordinaire ou raisonnable », ce qui confère à la notion une dimension à la fois quantitative et qualitative. Il conclut que « la qualification d’une demande d’accès d’excessive ne requiert pas que cette demande s’inscrive nécessairement dans le contexte de la soumission de plusieurs demandes par la même personne concernée » et qu’en conséquence « il ne saurait donc être exclu qu’une première demande d’accès puisse être considérée comme étant excessive ».
L’avocat général décrit avec précision le modus operandi de TC tel qu’il ressort du dossier soumis à la juridiction de renvoi :
« Le modus operandi de TC consisterait, tout d’abord, à s’inscrire à un bulletin d’information, puis à introduire une demande d’accès et, enfin, à soumettre une demande de réparation. »
Il identifie les deux éléments constitutifs classiques de l’abus de droit : un élément objectif (le non-atteinte de l’objectif de la réglementation malgré le respect formel de ses conditions) et un élément subjectif (l’intention abusive visant à obtenir artificiellement un avantage découlant du droit de l’Union). Il précise que la charge de la preuve incombe au responsable du traitement, qui doit démontrer « de façon non équivoque » l’existence de cette intention abusive.
Sur la valeur des informations publiques relatives au comportement systémique de la personne concernée, l’avocat général adopte une position nuancée : ces informations constituent un indice sérieux, mais non suffisant à elles seules ; elles doivent être corroborées par d’autres éléments pertinents tirés de l’espèce — notamment le délai de treize jours entre l’inscription et la demande d’accès, le fait que les données ont été fournies sans contrainte, et la finalité déclarée de la fourniture de ces données.
3. SUR LA PORTÉE DE L’ARTICLE 82, §1, DU RGPD
L’avocat général conduit une analyse rigoureuse des cinquième et sixième questions, qui portent sur le point de savoir si le droit à réparation est conditionné à l’existence d’un traitement au sens strict. Il opère une interprétation littérale de l’article 82, §1 — qui ne contient aucune référence au terme « traitement » — et une interprétation contextuelle et téléologique fondée sur le considérant 141 du RGPD et sur l’objectif de protection effective des droits du chapitre III. Il conclut que la violation du droit d’accès prévu à l’article 15 peut, à elle seule, fonder un droit à réparation au titre de l’article 82, §1, indépendamment de l’existence d’un traitement illicite.
4. SUR LE DOMMAGE MORAL ET LA RUPTURE DU LIEN CAUSAL
S’agissant de la huitième question, l’avocat général rappelle la jurisprudence constante de la Cour relative au considérant 85 du RGPD, qui inclut dans la notion de dommage moral la simple « perte de contrôle » sur les données personnelles. Il souligne toutefois que cette notion ne donne pas lieu à présomption irréfragable : la personne concernée doit démontrer qu’elle a « effectivement subi un tel dommage ». Plus encore, il développe la théorie de la rupture du lien de causalité par le comportement de la personne concernée, en s’inspirant de la jurisprudence sur la responsabilité extracontractuelle de l’Union, et notamment de l’arrêt WS e.a./Frontex (C-679/23 P) : lorsque la perte de contrôle ou l’incertitude invoquées résultent directement de la décision délibérée de la personne de soumettre ses données à des fins de création artificielle des conditions d’une réparation, cette décision constitue la « cause déterminante » du dommage et rompt le lien causal.
LA MOTIVATION DE LA COUR
1. STRUCTURE DU RAISONNEMENT
La Cour procède en trois temps correspondant aux trois groupes de questions reformulées. Elle joint les première, deuxième, troisième et septième questions dans une première série relative au caractère excessif de la demande d’accès, examine ensuite les cinquième et sixième questions relatives à la portée de l’article 82, constate que la quatrième question est sans objet, puis répond à la huitième question sur le dommage moral et la causalité.
2. SUR LES QUESTIONS RELATIVES AU CARACTÈRE EXCESSIF (QUESTIONS 1 À 3 ET 7)
A. LE PRINCIPE DE RESTRICTION
La Cour rappelle en premier lieu que l’article 12, §5, du RGPD doit être interprété de façon restrictive, car il constitue une dérogation au principe général selon lequel l’exercice du droit d’accès est gratuit pour la personne concernée (§ 29 de l’arrêt). Il incombe au responsable du traitement de démontrer le caractère excessif ou manifestement non fondé de la demande (article 12, §5, second alinéa, du RGPD).
B. LA RÉFUTATION DE LA THÈSE PUREMENT QUANTITATIVE
« Le nombre de demandes d’accès introduites par la personne concernée auprès du responsable du traitement ne détermine pas, lui seul, le droit de ce dernier de recourir à la faculté de ne pas donner suite à une demande, qui lui est offerte par l’article 12, §5, du RGPD, de sorte que ce responsable du traitement peut y recourir même dans le cas d’une première demande d’accès, lorsqu’il démontre, au vu de l’ensemble des circonstances pertinentes de chaque cas, l’existence d’une intention abusive de la part de cette personne. » (§ 31 de l’arrêt)
La Cour fonde cette conclusion sur l’interprétation littérale de l’adjectif « excessif » (qui désigne ce qui « excède la mesure ordinaire ou raisonnable », § 30), sur la valeur illustrative et non limitative de la mention du caractère répétitif dans l’article 12, §5, et sur le principe général d’interdiction de l’abus de droit en droit de l’Union (§§ 29 et 30, renvoyant à l’arrêt Österreichische Datenschutzbehörde — Demandes excessives, C-416/23, point 43 ; et à l’arrêt Matmut, C-236/23, point 52).
L’ÉLÉMENT OBJECTIF
« [I]l convient de relever que, conformément à l’article 15 du RGPD, lu à la lumière du considérant 63 de ce règlement, ce droit d’accès vise à conférer à la personne concernée le droit d’accéder aux données collectées à son sujet afin, notamment, de prendre connaissance du traitement de ces données et d’en vérifier la licéité, pour ainsi pouvoir, le cas échéant, exercer, notamment, le droit à la rectification prévu à l’article 16 de ce règlement, le droit à l’effacement prévu à l’article 17 dudit règlement, le droit à la limitation du traitement prévu à l’article 18 du même règlement, son droit d’opposition prévu à l’article 21 de ce règlement et ses droits au titre de l’article 82 du RGPD. » (§ 37 de l’arrêt, renvoyant à l’arrêt Österreichische Post, C-154/21, points 37 et 38)
La Cour relève qu’en l’espèce, la demande d’accès de TC « pourrait constituer, sur le plan formel, une mise en œuvre du droit d’accès de TC afin d’atteindre l’objectif de cette réglementation » (§ 38), mais précise aussitôt que « le respect formel des conditions d’application de l’article 15 du RGPD ne permet pas, à lui seul, d’exclure le caractère excessif d’une demande d’accès » (§ 39).
L’ÉLÉMENT SUBJECTIF : LA PREUVE NON ÉQUIVOQUE DE L’INTENTION ABUSIVE
« [A]fin de pouvoir qualifier une demande d’accès d‘“excessive”, au sens de l’article 12, §5, du RGPD, le responsable du traitement doit établir, au vu de l’ensemble des circonstances pertinentes de chaque cas, l’existence d’une intention abusive de la part de la personne concernée, une telle intention pouvant être constatée lorsque cette personne introduit cette demande pour une finalité autre que celle de prendre connaissance du traitement de ces données et d’en vérifier la licéité, afin de pouvoir, par la suite, obtenir une protection des droits qu’elle tire de ce règlement. » (§ 40 de l’arrêt, renvoyant à l’arrêt Österreichische Datenschutzbehörde, points 50 et 56)
« [I]l incombe au responsable du traitement de démontrer de façon non équivoque que la personne concernée a introduit une demande d’accès au titre de l’article 15 du RGPD afin non pas de prendre connaissance de ce traitement, mais de créer artificiellement les conditions requises pour l’obtention d’une réparation de la part dudit responsable du traitement. » (§ 41 de l’arrêt)
E. LES CIRCONSTANCES PERTINENTES
« [I]l conviendra de prendre en compte l’ensemble des circonstances de l’espèce, notamment le fait que la personne concernée a fourni des données à caractère personnel sans y être contrainte, le but de la fourniture de ces données, le temps écoulé entre celle-ci et la demande d’accès ainsi que le comportement de cette personne. » (§ 42 de l’arrêt)
F. LA VALEUR DES INFORMATIONS PUBLIQUES RELATIVES AU COMPORTEMENT SYSTÉMIQUE
« [C]et élément peut, certes, être pris en considération afin d’établir des intentions abusives de la personne concernée, pour autant qu’il soit corroboré par d’autres éléments pertinents. » (§ 43 de l’arrêt)
3. SUR LA PORTÉE DE L’ARTICLE 82, §1 (QUESTIONS 5 ET 6)
A. L’INTERPRÉTATION LITTÉRALE
« [L]e libellé de l’article 82, §1, du RGPD dispose qu’une personne ayant subi un dommage matériel ou moral du fait d’une violation de ce règlement a le droit d’obtenir du responsable du traitement une réparation du préjudice subi. Force est de constater que cette disposition ne contient aucune référence au “traitement”, de sorte que ce droit à réparation ne saurait être limité aux dommages résultant d’un traitement de données à caractère personnel. » (§ 48 de l’arrêt)
B. L’INTERPRÉTATION CONTEXTUELLE ET TÉLÉOLOGIQUE
La Cour fonde son interprétation sur le considérant 141 du RGPD, qui garantit à toute personne « le droit à un recours juridictionnel effectif » (§ 49), et sur le considérant 11, relatif à l’objectif de renforcement des droits des personnes concernées (§ 53). Elle conclut :
« [L]’article 82, §1, du RGPD doit être interprété en ce sens qu’il confère à la personne concernée un droit à réparation du préjudice résultant d’une violation du droit d’accès prévu à l’article 15, §1, de ce règlement. » (§ 55 de l’arrêt)
La quatrième question est déclarée sans objet au regard de ces réponses (§ 56 de l’arrêt).
4. SUR LE DOMMAGE MORAL ET LE LIEN DE CAUSALITÉ (QUESTION 8)
A. LA NOTION DE DOMMAGE MORAL : RAPPEL DE LA JURISPRUDENCE
« [L]e législateur de l’Union a entendu inclure dans ces notions, notamment, la simple perte de contrôle sur leurs propres données à caractère personnel, à la suite d’une violation de ce règlement, quand bien même un usage abusif des données en cause ne se serait pas produit concrètement. » (§ 61 de l’arrêt, renvoyant à l’arrêt Agentsia po vpisvaniyata, C-200/23, ECLI:EU:C:2024:827, point 145)
La Cour rappelle l’absence de seuil de minimis (§ 62, renvoyant à l’arrêt Gemeinde Ummendorf, C-456/22, points 22 et 23) et insiste sur l’obligation pour la personne concernée de démontrer qu’elle a « effectivement subi un tel dommage, aussi minime fût-il », et que ce dommage est « distinct de la simple violation des dispositions de ce règlement » (§ 62).
B. LA RUPTURE DU LIEN DE CAUSALITÉ PAR LE COMPORTEMENT DE LA PERSONNE CONCERNÉE
C’est la contribution la plus originale de cet arrêt en matière de droit à réparation. La Cour énonce :
« [L]e lien de causalité entre la violation alléguée et le prétendu dommage peut être rompu par le comportement de la personne concernée, dès lors que ce comportement s’avère constituer la cause déterminante du préjudice. Un tel acte peut consister, entre autres, en une décision de la personne lésée, pour autant, toutefois, que cette décision ne s’imposait pas à elle. » (§ 65 de l’arrêt, renvoyant par analogie à l’arrêt WS e.a./Frontex, C-679/23 P, ECLI:EU:C:2025:976, points 151 et 152)
La Cour tire la conséquence directe de ce principe dans le contexte de l’abus de droit :
« [L]a personne concernée ne saurait se voir accorder, au titre de cette disposition, une réparation des dommages prétendument subis du fait de la perte de contrôle sur ses données à caractère personnel ou de son incertitude quant à l’existence de leur traitement lorsque le lien de causalité est rompu en raison du comportement de cette personne dès lors que cette perte de contrôle ou cette incertitude ont été causées par la décision de ladite personne de soumettre ces données au responsable du traitement dans le but de créer artificiellement les conditions requises aux fins de l’application de ladite disposition. » (§ 66 de l’arrêt)
DISPOSITIF DE L’ARRÊT
« 1. L’article 12, §5, du règlement 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’une première demande d’accès aux données à caractère personnel introduite par la personne concernée auprès du responsable du traitement au titre de l’article 15 de ce règlement peut être considérée comme étant “excessive”, au sens de cet article 12, §5, lorsque ce responsable du traitement démontre, au vu de l’ensemble des circonstances pertinentes de l’espèce, que, malgré un respect formel des conditions prévues par ces dispositions, cette demande a été introduite par la personne concernée non pas pour prendre connaissance du traitement de ces données et d’en vérifier la licéité, afin de pouvoir, par la suite, obtenir une protection des droits qu’elle tire dudit règlement, mais dans une intention abusive, telle que la création artificielle des conditions requises pour l’obtention d’un avantage résultant de ce même règlement. Le fait que, selon des informations accessibles au public, la personne concernée ait introduit plusieurs demandes d’accès à ses données à caractère personnel, suivies de demandes de réparation, auprès de différents responsables du traitement, peut être pris en considération afin d’établir l’existence d’une telle intention abusive.
2. L’article 82, §1, du règlement 2016/679 doit être interprété en ce sens qu’il confère à la personne concernée un droit à réparation du préjudice résultant d’une violation du droit d’accès prévu à l’article 15, §1, de ce règlement.
3. L’article 82, §1, du règlement 2016/679 doit être interprété en ce sens que le dommage moral subi par la personne concernée englobe la perte de contrôle sur ses données à caractère personnel ou son incertitude quant au point de savoir si ses données ont fait l’objet d’un traitement, pour autant qu’il est démontré, notamment, que cette personne a effectivement subi un tel dommage et que son comportement n’a pas constitué la cause déterminante de ce dommage. »
DISPOSITIF DES CONCLUSIONS DE L’AVOCAT GÉNÉRAL
« Eu égard à l’ensemble des considérations qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg, Allemagne) de la manière suivante :
1. L’article 12, §5, premier alinéa, seconde phrase, du règlement (UE) 2016/679 doit être interprété en ce sens que la première demande d’accès adressée par la personne concernée au responsable du traitement peut être considérée comme étant “excessive” au sens de cette disposition, lorsque, au vu de l’ensemble des circonstances pertinentes, il est établi que l’intention de la personne concernée, en introduisant cette demande, était non pas de prendre connaissance du traitement de ses données à caractère personnel et d’en vérifier la licéité, mais de créer les conditions pour obtenir une réparation dans le cadre de l’article 82 dudit règlement.
2. L’article 82, §1, du règlement 2016/679 doit être interprété en ce sens qu’il confère un droit à réparation en cas de violation du droit d’accès prévu à l’article 15 de ce règlement, sans qu’il soit nécessaire qu’un traitement de données à caractère personnel ait été effectué.
3. L’article 82, §1, du règlement 2016/679 doit être interprété en ce sens que la perte de contrôle sur ses données à caractère personnel ou l’incertitude quant au point de savoir si celles-ci ont fait l’objet d’un traitement peut constituer un dommage moral, sous réserve que la personne concernée démontre qu’elle a effectivement subi un tel dommage et que ce dommage ne résulte pas de son propre comportement ayant eu pour but de créer les conditions requises pour obtenir une réparation. »
CONTEXTUALISATION DANS LE PRISME DES JURISPRUDENCES POSTÉRIEURES ET PARALLÈLES
L’arrêt C-526/24 constitue une étape majeure dans la construction jurisprudentielle qui, depuis l’arrêt Österreichische Post (C-154/21, 12 janvier 2023), précise les contours du droit d’accès et du droit à réparation sous l’empire du RGPD. La décision dialogue étroitement avec l’arrêt Österreichische Datenschutzbehörde — Demandes excessives (C-416/23, 9 janvier 2025), dont elle reprend et étend la notion d’abus de droit au contentieux privé, et avec l’arrêt Agentsia po vpisvaniyata (C-200/23, 4 octobre 2024), dont elle consolide la jurisprudence sur la notion de dommage moral.
La théorie de la rupture du lien causal, empruntée à l’arrêt WS e.a./Frontex (C-679/23 P, 18 décembre 2025), est particulièrement novatrice dans un contexte RGPD : elle permet à la Cour de neutraliser les effets de l’abus de droit sans pour autant nier l’existence d’une violation du règlement par le responsable du traitement, ce qui aurait pu avoir des effets pervers sur les droits des personnes concernées de bonne foi. L’affaire C-205/25 (Bayerisches Landesamt für Datenschutzaufsicht), dont les conclusions ont été présentées le 16 avril 2026, soulève des questions analogues sur l’accès au dossier d’une autorité de contrôle, laissant augurer de nouveaux développements dans ce domaine. À l’aune de cette jurisprudence en construction, l’arrêt C-526/24 se révèle comme l’un des pivots jurisprudentiels les plus structurants de la décennie en matière de droit d’accès aux données personnelles et de droit à réparation.
POINTS ESSENTIELS
L’affaire C-526/24 Brillen Rottler GmbH & Co. KG contre TC est un arrêt de renvoi préjudiciel rendu le 19 mars 2026 par la quatrième chambre de la Cour de justice, en réponse à huit questions posées par l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg, Allemagne).
Le litige au principal opposait une entreprise familiale d’optique établie à Arnsberg à un particulier autrichien qui, treize jours après son inscription volontaire à la lettre d’information commerciale de cette entreprise, avait formulé une demande d’accès à ses données personnelles au titre de l’article 15 du RGPD, puis, face au refus de l’entreprise, réclamé une indemnisation de 1 000 euros pour dommage moral sur le fondement de l’article 82 du même règlement ;
L’entreprise soutenait disposer d’informations accessibles au public attestant d’un comportement systématique et abusif de ce particulier, consistant à s’inscrire délibérément à des services de diverses entreprises pour déclencher des demandes d’accès suivies de réclamations d’indemnisation, et la Cour répond sur trois points essentiels d’une portée excédant très largement les faits de l’espèce.
Le raisonnement de la Cour parvient à un équilibre jurisprudentiel remarquable qui protège simultanément les responsables du traitement contre les abus du droit d’accès utilisé comme levier d’enrichissement artificiel et les personnes concernées légitimes dont le droit d’accès est illicitement violé ;
Cette jurisprudence s’inscrit dans la continuité de l’arrêt Österreichische Datenschutzbehörde — Demandes excessives (C-416/23, 9 janvier 2025) et de l’arrêt Agentsia po vpisvaniyata (C-200/23, 4 octobre 2024), tout en y ajoutant la théorie de la rupture du lien de causalité, empruntée par analogie à la jurisprudence sur la responsabilité extracontractuelle de l’Union (WS e.a. — Frontex, C-679/23 P, 18 décembre 2025), et appelle pour les délégués à la protection des données et les directions juridiques des entreprises une double vigilance : renforcer les dispositifs de détection et de documentation des demandes abusives, et garantir que les demandes légitimes reçoivent toujours une réponse complète et dans les délais prescrits par le règlement.
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats