CJUE | ARRÊT DU 19 MARS 2026 | C-526/24 | BRILLEN ROTTLER │
DSAR FARMING & ABUS DU DROIT D’ACCES AUX DONNEES PERSONNELLES
UNE DEMANDE D’ACCÈS À SES DONNÉES À CARACTÈRE PERSONNEL POURRAIT ÊTRE QUALIFIÉE D’ABUSIVE ET REFUSÉE SI ET SEULEMENT SI LE RESPONSABLE DE TRAITEMENT EST EN MESURE DE DÉMONTRER, SANS NUL DOUTE POSSIBLE, QUE CETTE DEMANDE A ÉTÉ INTRODUITE DANS LE SEUL BUT D’OBTENIR DES DOMMAGES-INTÉRÊTS EN CAS DE DÉFAILLANCE
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I.
Les parties, la juridiction de renvoi et les enjeux systémiques de la saisine
L’affaire C-526/24 oppose Brillen Rottler GmbH & Co. KG, entreprise familiale d’optique établie à Arnsberg (Rhénanie-du-Nord-Westphalie, Allemagne), à un particulier autrichien désigné par les initiales TC en application des règles d’anonymisation applicables aux affaires de protection des données devant la Cour de justice. Le renvoi prjudiciel a été formé le 31 juillet 2024 par l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg), qui a saisi la Cour de huit questions prjudicielles au titre de l’article 267 TFUE.
La formation de jugement était composée comme suit : M. I. Jarukaitis, président de chambre ; M. K. Lenaerts, président de la Cour faisant fonction de juge de la quatrième chambre ; MM. M. Condinanzi, N. Jääskinen, et Mme R. Frendo, rapporteure. L’Avocat général M. M. Szpunar a présenté ses conclusions lors de l’audience du 18 septembre 2025, à l’issue d’une audience orale tenue le 5 juin 2025. La Cour a suivi les conclusions de l’Avocat général sur les points essentiels, tout en procédant à certains approfondissements notables, notamment sur la théorie de la rupture du lien de causalité.
La portée systémique de cet arrêt est considérable à double titre. D’une part, il constitue une réponse directe à la pratique dite du GDPR data harvesting ou DSAR farming, consistant à s’inscrire délibérément à des services de communication d’entreprises pour créer artificiellement les conditions d’une violation du droit d’accès, puis à réclamer une indemnisation. D’autre part, il clarifie définitivement deux questions majeures sur lesquelles les juridictions nationales étaient profondément divisées : la portée de la notion de demande excessive au sens de l’article 12, paragraphe 5, du RGPD, et le régime de la réparation du dommage moral découlant d’une violation du droit d’accès prévu à l’article 15, paragraphe 1, du RGPD.
II.
Antécédents du litige et procédure au principal
Au cours du mois de mars 2023, TC s’est abonné à la lettre d’information commerciale de Brillen Rottler en renseignant ses données à caractère personnel dans le formulaire d’inscription figurant sur le site internet de l’entreprise et en consentant explicitement au traitement de ces données. Treize jours seulement après cette inscription, TC a adressé à Brillen Rottler une demande d’accès au titre de l’article 15 du RGPD, sollicitant la communication de l’ensemble des données à caractère personnel le concernant et des informations relatives à leur traitement.
Brillen Rottler, dans le délai légal d’un mois, a rejeté la demande d’accès, la qualifiant d’abusive au sens de l’article 12, paragraphe 5, premier alinéa, seconde phrase, du RGPD, et a mis TC en demeure de renoncer définitivement à sa demande. Cette position reposait sur un élément factuel déterminant : l’entreprise disposait d’informations accessibles au public tirées de reportages journalistiques, d’articles de blogs spécialisés et de bulletins d’avocats faisant état d’un modus operandi systématique et abusif attribué à TC, consistant à s’inscrire à des lettres d’information de diverses entreprises, à introduire une demande d’accès au titre du RGPD, puis à formuler une demande de réparation pour violation prétendument délibérément provoquée du droit d’accès.
TC a maintenu sa demande d’accès et y a joint une demande de réparation au titre de l’article 82 du RGPD pour un montant d’au moins 1 000 euros en réparation du dommage moral prétendument subi du fait du refus de Brillen Rottler de lui donner accès à ses données. Le 25 septembre 2023, TC a introduit une demande reconventionnelle visant à condamner Brillen Rottler à lui donner accès aux informations relatives au traitement de ses données et à lui verser une indemnité. C’est dans ce contexte que l’Amtsgericht Arnsberg a décidé de surseoir à statuer et de saisir la Cour de justice de huit questions prjudicielles.
III.
Les huit questions prjudicielles et leur articulation
Les huit questions prjudicielles, telles qu’elles ressortent de la décision de renvoi du 31 juillet 2024, se répartissent en trois groupes thématiques distincts. Le premier groupe (questions 1 à 3 et question 7) porte sur le caractère excessif d’une première demande d’accès et sur l’incidence de l’intention de la personne concernée sur ce caractère excessif. Le deuxième groupe (questions 4 à 6) porte sur l’étendue du droit à réparation au titre de l’article 82, paragraphe 1, du RGPD et sur la question de savoir si ce droit est conditionné à l’existence d’un traitement de données. Le troisième groupe (question 8) porte sur la notion de dommage moral et sur la rupture du lien de causalité.
La Cour a joint les premières, deuxième, troisième et septième questions pour les examiner en premier lieu, les reformulant de la manière suivante : l’article 12, paragraphe 5, du RGPD doit-il être interprété en ce sens qu’une première demande d’accès aux données à caractère personnel introduite par la personne concernée auprès du responsable du traitement au titre de l’article 15 de ce règlement peut être considérée comme étant excessive, au sens de cet article 12, paragraphe 5, et, si tel est le cas, quelles sont les circonstances qui permettent, le cas échéant, de constater un tel caractère excessif ?
Cette reformulation des questions témoigne de la rigueur analytique de la Cour qui a voulu isoler nettement la question de l’abus de droit dans l’exercice du droit d’accès de celle, distincte, du droit à réparation. Elle a également précisé, s’agissant de la septième question, qu’elle vise, dans sa substance, non pas l’interprétation des conditions du droit à réparation consacré à l’article 82, paragraphe 1, du RGPD, mais la question de savoir si un responsable du traitement peut invoquer le caractère excessif d’une demande d’accès lorsque l’intention de la personne concernée est de provoquer le traitement de ses données afin de faire valoir des demandes de réparation.
IV.
L’analyse de la Cour sur le caractère excessif d’une première demande d’accès (questions 1 à 3 et question 7)
La Cour rappelle que l’article 15, paragraphe 1, du RGPD garantit le droit de la personne concernée d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées. L’article 12, paragraphe 5, du RGPD pose le principe selon lequel l’exercice de ce droit d’accès n’entraîne aucun frais pour la personne concernée. Cependant, cette disposition envisage deux raisons pour lesquelles un responsable du traitement peut soit facturer des frais raisonnables, soit refuser de donner suite à une demande d’accès : il s’agit de cas d’abus de droit, dans lesquels les demandes doivent être regardées comme étant manifestement infondées ou excessives, notamment en raison de leur caractère répétitif. Cette exception doit être interprétée de façon restrictive et il incombe expressément au responsable du traitement d’en démontrer le caractère excessif.
Conformément à sa jurisprudence constante depuis l’arrêt Merck (29/82, EU:C:1983:335, point 12), la Cour procède à une interprétation tripartite : littérale, contextuelle et téléologique. Elle relève d’abord que l’adjectif excessif désigne quelque chose qui excède la mesure ordinaire ou raisonnable. Le seul emploi de cet adjectif, qui se rapporte à des caractéristiques tant qualitatives que quantitatives, ne permet donc pas d’exclure qu’une première demande d’accès soit excessive. Il ressort certes de l’article 12, paragraphe 5, que des demandes sont susceptibles d’être excessives notamment en raison de leur caractère répétitif. Cependant, ce caractère répétitif n’est mentionné qu’à titre indicatif, de sorte que la qualification d’une demande d’accès d’excessive ne requiert pas que cette demande s’inscrive nécessairement dans le contexte de la soumission de plusieurs demandes par la même personne concernée.
La Cour ancre solidement cette interprétation dans le principe général de droit de l’Union en vertu duquel les justiciables ne sauraient frauduleusement ou abusivement se prévaloir des normes de l’Union (renvoi à l’arrêt Österreichische Datenschutzbehörde, C-416/23, EU:C:2025:3, point 49). L’article 12, paragraphe 5, du RGPD constitue ainsi une expression particulière de ce principe général, qui interdit que l’application de la réglementation de l’Union soit étendue jusqu’à couvrir des opérations réalisées dans un but abusif. Il s’ensuit que le nombre de demandes d’accès introduites par la personne concernée ne détermine pas, à lui seul, le droit du responsable du traitement de recourir à la faculté de ne pas donner suite à une demande. Ce responsable peut y recourir même dans le cas d’une première demande d’accès, lorsqu’il démontre, au vu de l’ensemble des circonstances pertinentes de chaque cas, l’existence d’une intention abusive de la part de cette personne.
La Cour pose le cadre de la preuve à deux branches pour caractériser l’abus de droit dans l’exercice d’une première demande d’accès. S’agissant de l’élément objectif, il convient de vérifier si, malgré un respect formel des conditions d’application de l’article 15 du RGPD, l’objectif poursuivi par cette réglementation n’a pas été atteint. S’agissant de l’élément subjectif, afin de qualifier une demande d’accès d’excessive, le responsable du traitement doit établir, au vu de l’ensemble des circonstances pertinentes, l’existence d’une intention abusive de la part de la personne concernée, une telle intention pouvant être constatée lorsque cette personne introduit cette demande pour une finalité autre que celle de prendre connaissance du traitement de ses données et d’en vérifier la licéité. Il incombe ainsi au responsable du traitement de démontrer de façon non équivoque que la personne concernée a introduit une demande d’accès non pas pour prendre connaissance du traitement, mais pour créer artificiellement les conditions requises pour l’obtention d’une réparation.
La Cour identifie les circonstances pertinentes pour apprécier l’existence d’une intention abusive dans le cadre d’une première demande d’accès : le fait que la personne concernée a fourni ses données à caractère personnel sans y être contrainte ; le but de la fourniture de ces données ; le temps écoulé entre la fourniture des données et la demande d’accès ; le comportement de cette personne, y compris toute information publiquement accessible faisant état d’un modus operandi comparable. S’agissant spécifiquement de ce dernier élément, la Cour précise que le fait que, selon des informations accessibles au public, la personne concernée ait introduit plusieurs demandes d’accès suivies de demandes de réparation auprès de différents responsables du traitement peut être pris en considération afin d’établir l’existence d’une intention abusive, pour autant qu’il soit corroboré par d’autres éléments pertinents. La Cour souligne enfin que les critères pour qualifier une première demande d’accès d’excessive doivent être élevés, que le responsable du traitement ne peut se prévaloir de ce caractère excessif qu’à titre exceptionnel, et que l’exception doit être interprétée de façon restrictive.
V.
L’étendue du droit à réparation prévu à l’article 82, paragraphe 1, du RGPD (questions 5 et 6 — et non-réponse à la question 4)
Par ses cinquième et sixième questions, la juridiction de renvoi demandait si le droit à réparation prévu à l’article 82, paragraphe 1, du RGPD est conditionné à l’existence d’un traitement de données à caractère personnel et, partant, si une violation du seul droit d’accès prévu à l’article 15, paragraphe 1, sans qu’il y ait traitement illicite stricto sensu, peut ouvrir ce droit. La Cour apporte une réponse d’une portée normative considérable.
La jurisprudence nationale allemande était profondément divisée sur ce point : certaines juridictions soutenaient que le droit à réparation était subordonné à l’existence d’un traitement illicite ; d’autres préconisaient une interprétation plus large englobant toute violation du règlement. Cette divergence avait engendré une insécurité juridique majeure pour les entreprises, les délégués à la protection des données et les personnes concernées.
La Cour relève en premier lieu que le libellé de l’article 82, paragraphe 1, du RGPD dispose qu’une personne ayant subi un dommage matériel ou moral du fait d’une violation de ce règlement a le droit d’obtenir du responsable du traitement une réparation du préjudice subi. Force est de constater que cette disposition ne contient aucune référence au « traitement », de sorte que ce droit à réparation ne saurait être limité aux seuls dommages résultant d’un traitement de données à caractère personnel. L’interprétation littérale est corroborée par une lecture contextuelle de l’article 82, paragraphe 1, à la lumière du considérant 141 du RGPD, qui prévoit que toute personne concernée devrait disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte si elle estime que les droits que lui confère le RGPD sont violés.
La Cour tire également un argument de sa propre jurisprudence antérieure relative à la violation des articles 26 et 30 du RGPD : elle avait déjà jugé que la violation, par le responsable du traitement, de certaines dispositions formelles du chapitre IV peut ouvrir un droit à réparation du dommage éventuellement causé (renvoi à l’arrêt Bundesrepublik Deutschland — Boîte électronique judiciaire, C-60/22, EU:C:2023:373, points 66 et 67). La Cour réfute expressément l’argument tiré du considérant 146 et de l’article 82, paragraphes 2 et 4, qui mentionnent le dommage causé par le traitement, en soulignant qu’en cas de méconnaissance des droits prévus par les dispositions du chapitre III du RGPD, la violation allégée est susceptible de découler non pas d’un traitement effectif des données en tant que tel, mais plutôt du refus de donner suite à la demande de la personne concernée quant à l’exercice de ces droits.
La Cour conclut de façon catégorique que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il confère à la personne concernée un droit à réparation du préjudice résultant d’une violation du droit d’accès prévu à l’article 15, paragraphe 1, de ce règlement, même en l’absence de tout traitement illicite des données en tant que tel. Cette réponse rend sans objet la quatrième question relative à la qualification de la demande d’accès et/ou de la réponse à cette demande comme traitement au sens de l’article 4, point 2, du RGPD : la Cour décide en conséquence qu’il n’y a pas lieu de répondre à cette question.
VI.
La notion de dommage moral et la rupture du lien de causalité (question 8)
Par sa huitième question, la juridiction de renvoi demandait si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le dommage moral subi par la personne concernée englobe la perte de contrôle sur ses données à caractère personnel ou son incertitude quant au point de savoir si ses données ont fait l’objet d’un traitement, ou si le dommage n’est caractérisé qu’en présence d’une restriction objective ou subjective et/ou d’un préjudice sensible supplémentaires.
La Cour rappelle les trois conditions cumulatives du droit à réparation prévu à l’article 82, paragraphe 1, qui font désormais partie d’une jurisprudence constante : (i) une violation des dispositions du RGPD ; (ii) un dommage matériel ou moral ; (iii) un lien de causalité entre ce dommage et cette violation (renvoi à l’arrêt Österreichische Post — Préjudice moral lié au traitement de données personnelles, C-300/21, EU:C:2023:370, points 31-33 ; Quirin Privatbank, C-655/23, EU:C:2025:655, point 56). La Cour précise que la notion de dommage moral constitue une notion autonome du droit de l’Union et que le législateur de l’Union, en dressant dans le considérant 85 du RGPD une liste illustrative des dommages susceptibles d’être subis par les personnes concernées, a entendu inclure dans ces notions la simple perte de contrôle sur leurs propres données à caractère personnel, quand bien même un usage abusif des données en cause ne se serait pas produit concrètement (renvoi à l’arrêt Agentsia po vpisvaniyata, C-200/23, EU:C:2024:827, point 145). La notion de dommage moral ne saurait par ailleurs être circonscrite aux seuls dommages d’une certaine gravité, et une réglementation nationale ne saurait valablement fixer un seuil de minimis (renvoi à l’arrêt Gemeinde Ummendorf, C-456/22, EU:C:2023:988, points 22 et 23). Toutefois, la personne concernée est tenue de démontrer qu’elle a effectivement subi un tel dommage, aussi minime fût-il, et que les conséquences de la violation qu’elle prétend avoir subies sont constitutives d’un préjudice distinct de la simple violation des dispositions du RGPD.
C’est sur la rupture du lien de causalité que l’arrêt apporte sa contribution la plus novatrice. La Cour pose en principe que le lien de causalité entre la violation alléguée et le prétendu dommage peut être rompu par le comportement de la personne concernée, dès lors que ce comportement s’avère constituer la cause déterminante du préjudice. Un tel acte peut consister, entre autres, en une décision de la personne lésée, pour autant, toutefois, que cette décision ne s’imposait pas à elle (renvoi par analogie à l’arrêt WS e.a. / Frontex — Opération de retour conjointe, C-679/23 P, EU:C:2025:976, points 151 et 152). En conséquence, la personne concernée ne saurait se voir accorder une réparation des dommages prétendument subis du fait de la perte de contrôle sur ses données à caractère personnel ou de son incertitude quant à l’existence de leur traitement, lorsque le lien de causalité est rompu en raison du comportement de cette personne, dès lors que cette perte de contrôle ou cette incertitude ont été causées par la décision de la personne concernée de soumettre ces données au responsable du traitement dans le but de créer artificiellement les conditions requises aux fins de l’application de cette disposition.
Cette règle est décisive dans le contexte de l’affaire au principal : si TC a délibérément fourni ses données à Brillen Rottler dans le seul but de déclencher artificiellement le mécanisme du droit d’accès pour obtenir ensuite une indemnisation, alors la perte de contrôle ou l’incertitude qu’il invoque comme dommage moral résultent de sa propre décision abusive, et cette décision constitue la cause déterminante du préjudice allégué. Le lien de causalité entre la violation reprochée à Brillen Rottler et le dommage réclamé est ainsi rompu, ce qui fait obstacle au droit à réparation. Cette approche s’inspire de la règle d’équité fondamentale nemo auditur propriam turpitudinem allegans et est parfaitement cohérente avec l’objectif du RGPD rappelé dès son considérant 4, selon lequel le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité.
VII.
Le dispositif complet de l’arrêt du 19 mars 2026
La Cour (quatrième chambre) dit pour droit :
-
L’article 12, paragraphe 5, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’une première demande d’accès aux données à caractère personnel introduite par la personne concernée auprès du responsable du traitement au titre de l’article 15 de ce règlement peut être considérée comme étant excessive, au sens de cet article 12, paragraphe 5, lorsque ce responsable du traitement démontre, au vu de l’ensemble des circonstances pertinentes de l’espèce, que, malgré un respect formel des conditions prévues par ces dispositions, cette demande a été introduite par la personne concernée non pas pour prendre connaissance du traitement de ces données et d’en vérifier la licéité, afin de pouvoir, par la suite, obtenir une protection des droits qu’elle tire dudit règlement, mais dans une intention abusive, telle que la création artificielle des conditions requises pour l’obtention d’un avantage résultant de ce même règlement. Le fait que, selon des informations accessibles au public, la personne concernée ait introduit plusieurs demandes d’accès à ses données à caractère personnel, suivies de demandes de réparation, auprès de différents responsables du traitement, peut être pris en considération afin d’établir l’existence d’une telle intention abusive.
-
L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens qu’il confère à la personne concernée un droit à réparation du préjudice résultant d’une violation du droit d’accès prévu à l’article 15, paragraphe 1, de ce règlement.
-
L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que le dommage moral subi par la personne concernée englobe la perte de contrôle sur ses données à caractère personnel ou son incertitude quant au point de savoir si ses données ont fait l’objet d’un traitement, pour autant qu’il est démontré, notamment, que cette personne a effectivement subi un tel dommage et que son comportement n’a pas constitué la cause déterminante de ce dommage.
VIII.
Tableau de la jurisprudence et des instruments normatifs cités dans l’arrêt
| Arrêt | Référence ECLI | Points de l’arrêt C-526/24 | Objet de la citation |
|---|---|---|---|
| FT — Copies du dossier médical | C-307/22, EU:C:2023:811, pt 31 | Pts 22-23 | Droit d’accès de l’article 15§1 ; cas d’abus de droit dans l’article 12§5 |
| Österreichische Datenschutzbehörde — Demandes excessives | C-416/23, EU:C:2025:3, pts 24, 33, 43, 45-46, 49, 50, 56, 57 | Pts 24, 25, 28-35, 40-42 | Méthode interprétative ; principe d’interdiction de l’abus de droit ; caractère indicatif de la répétition ; intention abusive |
| BMW Bank e.a. | C-38/21, C-47/21 et C-232/21, EU:C:2023:1014, pts 285-286 | Pt 36 | Éléments objectif et subjectif de la pratique abusive |
| Österreichische Post — Informations relatives aux destinataires | C-154/21, EU:C:2023:3, pts 37-38 | Pt 37 | Finalité du droit d’accès |
| Matmut | C-236/23, EU:C:2024:761, pt 52 | Pt 30 | Interdiction de l’abus de droit |
| Merck | 29/82, EU:C:1983:335, pt 12 | Pt 24 | Méthode d’interprétation tripartite |
| Krankenversicherung Nordrhein | C-667/21, EU:C:2023:1022, pt 54 | Pt 33 | Mécanismes d’équilibre inscrits dans le RGPD |
| Österreichische Post — Préjudice moral | C-300/21, EU:C:2023:370, pts 30-33 | Pts 58-59 | Trois conditions cumulatives ; notion autonome de dommage moral |
| Bundesrepublik Deutschland — Boîte électronique judiciaire | C-60/22, EU:C:2023:373, pts 54-58, 66-67 | Pts 50, 52 | Violation des articles 26 et 30 du RGPD ouvrant droit à réparation sans traitement illicite |
| MediaMarktSaturn | C-687/21, EU:C:2024:72, pts 42-43 | Pt 52 | Violation de l’article 32 du RGPD ouvrant droit à réparation |
| Natsionalna agentsia za prihodite | C-340/21, EU:C:2023:986, pts 52-53 | Pt 52 | Violation de l’article 32 du RGPD ouvrant droit à réparation |
| Agentsia po vpisvaniyata | C-200/23, EU:C:2024:827, pts 141, 143, 145 | Pts 60, 63, 61 | Non-présomption du dommage ; crainte fondée ; perte de contrôle dans le dommage moral |
| Quirin Privatbank | C-655/23, EU:C:2025:655, pts 55-56 | Pts 58-59 | Notion autonome de dommage moral ; conditions cumulatives |
| Gemeinde Ummendorf | C-456/22, EU:C:2023:988, pts 22-23 | Pt 62 | Absence de seuil de minimis pour le dommage moral |
| PS — Adresse erronée | C-590/22, EU:C:2024:536, pts 33, 35 | Pt 63 | Simple allégation d’une crainte insuffisante ; preuve de la crainte fondée |
| WS e.a. / Frontex — Opération de retour conjointe | C-679/23 P, EU:C:2025:976, pts 151-152 | Pt 65 | Rupture du lien de causalité par le comportement de la personne concernée |
IX.
Portée doctrinale et enjeux systémiques
L’arrêt C-526/24 s’inscrit dans une tendance jurisprudentielle récente consistant à rétablir un juste équilibre entre les droits des personnes concernées et la protection des responsables du traitement contre les usages abusifs du RGPD. En admettant que même une première demande d’accès peut être qualifiée d’abusive lorsque le faisceau de preuves est suffisamment solide, la Cour valide une ligne défensive ouverte aux responsables du traitement. Cette jurisprudence doit être lue en cohérence avec l’arrêt Österreichische Datenschutzbehörde — Demandes excessives du 9 janvier 2025 (C-416/23), qui constituait une première étape dans la clarification de la notion de demandes excessives adressées aux autorités de contrôle, et que la Cour transpose ici expressément au régime des demandes adressées aux responsables du traitement.
Paradoxalement mais de manière parfaitement cohérente, l’arrêt renforce simultanément la protection des personnes concernées qui exercent légitimement leur droit d’accès. En affirmant que l’article 82, paragraphe 1, du RGPD s’applique aux dommages résultant d’une violation du droit d’accès sans condition d’existence d’un traitement illicite, la Cour consacre une lecture extensive du droit à réparation qui favorise les victimes réelles de violations de transparence. Tout responsable du traitement qui refuse ou omet, sans justification d’abus de droit dûment établie, de répondre à une demande d’accès légitime dans le délai d’un mois prévu par l’article 12, paragraphe 3, du RGPD, s’expose désormais clairement à une action en réparation fondée sur l’article 82.
La théorie de la rupture du lien de causalité par le comportement de la personne concernée, consacrée aux points 65 et 66 de l’arrêt, constitue l’innovation jurisprudentielle la plus originale de la décision. La Cour y inscrit une règle d’équité essentielle : si la perte de contrôle ou l’incertitude alléguées comme dommage moral ont été causées par la décision même de la personne concernée de soumettre artificiellement ses données pour déclencher le mécanisme d’indemnisation, il n’y a pas de lien de causalité entre la violation reprochée au responsable du traitement et ce prétendu dommage. Cette approche, empruntée par analogie à la jurisprudence sur la responsabilité extracontractuelle de l’Union européenne (WS e.a. / Frontex), constitue également une réponse indirecte aux inquiétudes de nombreuses entreprises qui voyaient dans les actions systématiques de réclamants professionnels un détournement du mécanisme de responsabilité prévu par le RGPD.
Plusieurs questions structurantes demeurent ouvertes. La charge de la preuve et le standard exigé du responsable du traitement ne sont pas définis avec précision : la Cour exige que les critères soient élevés et que la qualification n’intervienne qu’à titre exceptionnel, mais elle ne définit pas le degré de probabilité ou le seuil de conviction requis pour établir de façon non équivoque l’intention abusive. Les juridictions nationales devront développer une jurisprudence opérationnelle sur ce point, avec le risque d’une divergence entre États membres que seul un futur arrêt de la Cour pourra corriger. L’articulation avec l’autorité de contrôle est également laissée en suspens : le responsable du traitement qui refuse une demande au motif d’abus de droit s’expose à un contrôle de légalité de l’autorité de contrôle, qui n’est pas lié par la décision du juge civil. En France, la Commission nationale de l’informatique et des libertés devra préciser sa position sur la prise en compte de l’abus de droit dans le traitement des plaintes relatives aux droits d’accès.
POINTS ESSENTIELS
L’affaire C-526/24 Brillen Rottler GmbH & Co. KG contre TC est un arrêt de renvoi préjudiciel rendu le 19 mars 2026 par la quatrième chambre de la Cour de justice, en réponse à huit questions posées par l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg, Allemagne).
Le litige au principal opposait une entreprise familiale d’optique établie à Arnsberg à un particulier autrichien qui, treize jours après son inscription volontaire à la lettre d’information commerciale de cette entreprise, avait formulé une demande d’accès à ses données personnelles au titre de l’article 15 du RGPD, puis, face au refus de l’entreprise, réclamé une indemnisation de 1 000 euros pour dommage moral sur le fondement de l’article 82 du même règlement ;
L’entreprise soutenait disposer d’informations accessibles au public attestant d’un comportement systématique et abusif de ce particulier, consistant à s’inscrire délibérément à des services de diverses entreprises pour déclencher des demandes d’accès suivies de réclamations d’indemnisation, et la Cour répond sur trois points essentiels d’une portée excédant très largement les faits de l’espèce.
Le raisonnement de la Cour parvient à un équilibre jurisprudentiel remarquable qui protège simultanément les responsables du traitement contre les abus du droit d’accès utilisé comme levier d’enrichissement artificiel et les personnes concernées légitimes dont le droit d’accès est illicitement violé ;
Cette jurisprudence s’inscrit dans la continuité de l’arrêt Österreichische Datenschutzbehörde — Demandes excessives (C-416/23, 9 janvier 2025) et de l’arrêt Agentsia po vpisvaniyata (C-200/23, 4 octobre 2024), tout en y ajoutant la théorie de la rupture du lien de causalité, empruntée par analogie à la jurisprudence sur la responsabilité extracontractuelle de l’Union (WS e.a. — Frontex, C-679/23 P, 18 décembre 2025), et appelle pour les délégués à la protection des données et les directions juridiques des entreprises une double vigilance : renforcer les dispositifs de détection et de documentation des demandes abusives, et garantir que les demandes légitimes reçoivent toujours une réponse complète et dans les délais prescrits par le règlement.
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats