CJUE | ARRÊT DU 19 MARS 2026 | C-526/24 | BRILLEN ROTTLER │
DSAR FARMING & ABUS DU DROIT D’ACCES AUX DONNEES PERSONNELLES
UNE DEMANDE D’ACCÈS À SES DONNÉES À CARACTÈRE PERSONNEL POURRAIT ÊTRE QUALIFIÉE D’ABUSIVE ET REFUSÉE SI ET SEULEMENT SI LE RESPONSABLE DE TRAITEMENT EST EN MESURE DE DÉMONTRER, SANS NUL DOUTE POSSIBLE, QUE CETTE DEMANDE A ÉTÉ INTRODUITE DANS LE SEUL BUT D’OBTENIR DES DOMMAGES-INTÉRÊTS EN CAS DE DÉFAILLANCE
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
PRÉSENTATION DE L’AFFAIRE ET ENJEUX DOCTRINAUX
L’arrêt rendu le 19 mars 2026 par la quatrième chambre de la Cour de justice de l’Union européenne dans l’affaire C-526/24, Brillen Rottler GmbH & Co. KG c. TC, constitue une décision de premier plan dans la construction prétorienne du RGPD. La Cour y tranche pour la première fois — avec toute la netteté requise — trois questions fondamentales qui se posaient avec une acuité croissante dans la pratique contentieuse : la possibilité de qualifier d’« excessive » une première demande d’accès au sens de l’article 12, §5, du RGPD ; la portée du droit à réparation prévu à l’article 82, §1, du même règlement à l’égard de violations ne comportant pas de « traitement » au sens strict ; et les conditions dans lesquelles le lien de causalité peut être rompu par le comportement de la personne concernée elle-même.
Ce faisant, la Cour s’inscrit dans une logique d’équilibrage déjà amorcée par l’arrêt du 9 janvier 2025, Österreichische Datenschutzbehörde (C-416/23, ECLI:EU:C:2025:3), mais elle va plus loin en étendant expressément les conditions de l’abus de droit à la première demande d’accès, rejetant ainsi la thèse — défendue par la juridiction de renvoi — selon laquelle seules des demandes répétées pourraient être qualifiées d’excessives.
LE CONTEXTE NORMATIF ET LE PHÉNOMÈNE « DSAR FARMING »
L’article 15, §1, du RGPD confère à toute personne concernée un droit d’accès aux données à caractère personnel la concernant, que l’article 12, §5, premier alinéa, deuxième phrase, nuance en permettant au responsable du traitement de ne pas donner suite à des « demandes manifestement non fondées ou excessives ». Ce mécanisme, issu du droit de l’accès aux archives et largement hérité des traditions procédurales des États membres, est devenu, dans le contexte de l’économie du numérique, un outil potentiellement détourné de sa finalité.
En effet, le phénomène dit de « DSAR farming » — consistant à s’abonner délibérément à des bulletins d’information, à introduire une demande d’accès dans un délai très bref, puis à réclamer une réparation pour violation du RGPD en cas de refus ou de réponse incomplète — s’était propagé en Autriche et en Allemagne au point d’alimenter une véritable jurisprudence contradictoire entre les juridictions nationales. Certains commentateurs avaient même identifié des « serial DSAR filers » qui opéraient selon un modus operandi rigoureusement reproductible, comme l’Amtsgericht Arnsberg le relève dans sa décision de renvoi :
« Le modus operandi de TC consisterait, tout d’abord, à s’inscrire à un bulletin d’information, puis à introduire une demande d’accès et, enfin, à soumettre une demande de réparation. » (§ 15 de l’arrêt)
Cette réalité empirique soulevait une tension juridique fondamentale : l’article 15 du RGPD est muet sur les motivations de la personne concernée qui exerce son droit d’accès, et l’article 12, §5, du même règlement ne vise le caractère excessif que de manière incidente, en mentionnant le caractère « répétitif » à titre purement illustratif. La question était donc ouverte de savoir si une première demande pouvait, elle aussi, être frappée d’excès.
L’APPORT CENTRAL : LA QUALIFICATION D’« EXCESSIVE » D’UNE PREMIÈRE DEMANDE D’ACCÈS
1. LE REJET DE LA THÈSE PUREMENT QUANTITATIVE
La Cour commence par écarter le raisonnement a contrario selon lequel le terme « répétitif » figurant dans l’article 12, §5, du RGPD imposerait une condition de pluralité préalable des demandes pour qu’un refus soit légitimement opposé. Elle affirme nettement :
« Le nombre de demandes d’accès introduites par la personne concernée auprès du responsable du traitement ne détermine pas, lui seul, le droit de ce dernier de recourir à la faculté de ne pas donner suite à une demande, qui lui est offerte par l’article 12, §5, du RGPD, de sorte que ce responsable du traitement peut y recourir même dans le cas d’une première demande d’accès, lorsqu’il démontre, au vu de l’ensemble des circonstances pertinentes de chaque cas, l’existence d’une intention abusive de la part de cette personne. » (§ 31 de l’arrêt, renvoyant à l’arrêt C-416/23, point 50)
Ce faisant, la Cour substitue au critère quantitatif un critère qualitatif, fondé sur la détermination des intentions réelles de la personne concernée au moment où elle soumet sa demande d’accès. Cette approche est conforme au principe général de droit de l’Union selon lequel « les justiciables ne sauraient frauduleusement ou abusivement se prévaloir des normes du droit de l’Union » (§ 30, renvoyant à l’arrêt Matmut, C-236/23, ECLI:EU:C:2024:761, point 52).
2. LA STRUCTURE BINAIRE DE LA PRATIQUE ABUSIVE : ÉLÉMENTS OBJECTIF ET SUBJECTIF
La Cour rappelle la structure classique de l’abus de droit en droit de l’Union, telle qu’elle résulte notamment de l’arrêt BMW Bank e.a. (C-38/21, C-47/21 et C-232/21, ECLI:EU:C:2023:1014, points 285-286), qui exige la réunion de deux éléments :
—-Un élément objectif : « un ensemble de circonstances objectives dont il résulte que, malgré un respect formel des conditions prévues par la réglementation de l’Union, l’objectif poursuivi par cette réglementation n’a pas été atteint » (§ 36 de l’arrêt) ;
—-Un élément subjectif : « la volonté de la personne concernée d’obtenir un avantage résultant de la réglementation de l’Union en créant artificiellement les conditions requises pour son obtention » (§ 36 de l’arrêt).
En ce qui concerne l’élément objectif, la Cour souligne que l’article 15 du RGPD, lu à la lumière du considérant 63, vise à permettre à la personne concernée de « prendre connaissance du traitement de ces données et d’en vérifier la licéité », afin d’exercer ses droits à la rectification, à l’effacement, à la limitation ou à la réparation (§ 37, renvoyant à l’arrêt Österreichische Post, C-154/21, ECLI:EU:C:2023:3, points 37 et 38). Or, en l’espèce, TC s’était inscrit au bulletin d’information de Brillen Rottler, avait communiqué ses données personnelles, puis avait introduit une demande d’accès treize jours plus tard. La Cour admet que, « sur le plan formel », cette démarche « pourrait constituer […] une mise en œuvre du droit d’accès de TC afin d’atteindre l’objectif de cette réglementation » (§ 38), mais précise que le respect formel des conditions d’application de l’article 15 ne permet pas, à lui seul, d’exclure le caractère excessif de la demande (§ 39).
En ce qui concerne l’élément subjectif, la Cour impose au responsable du traitement de démontrer « de façon non équivoque » que la personne concernée a introduit sa demande « afin non pas de prendre connaissance de ce traitement, mais de créer artificiellement les conditions requises pour l’obtention d’une réparation » (§ 41). Les éléments à prendre en compte comprennent :
« notamment le fait que la personne concernée a fourni des données à caractère personnel sans y être contrainte, le but de la fourniture de ces données, le temps écoulé entre celle-ci et la demande d’accès ainsi que le comportement de cette personne. » (§ 42 de l’arrêt)
3. LA VALEUR PROBANTE DES INFORMATIONS PUBLIQUES SUR LE COMPORTEMENT SYSTÉMIQUE
L’un des apports les plus pratiques de l’arrêt concerne la valeur probante des informations publiquement accessibles révélant un modus operandi systémique de la personne concernée. La Cour répond ici à la troisième question préjudicielle en énonçant :
« [C]et élément peut, certes, être pris en considération afin d’établir des intentions abusives de la personne concernée, pour autant qu’il soit corroboré par d’autres éléments pertinents. » (§ 43 de l’arrêt)
Il ne s’agit donc pas d’une preuve suffisante à elle seule, mais d’un indice sérieux qui doit être mis en regard avec l’ensemble des circonstances de l’espèce. La Cour fait ainsi preuve d’une prudence remarquable, évitant de consacrer une sorte de « liste noire » des personnes qui exercent leurs droits RGPD de manière vigoureuse.
LA PORTÉE DE L’ARTICLE 82, §1 : LE DROIT À RÉPARATION INDÉPENDANT D’UN TRAITEMENT
1. L’EXTENSION DU CHAMP D’APPLICATION RATIONAE MATERIAE DE LA RÉPARATION
La quatrième et sixième questions préjudicielles interrogeaient la Cour sur le point de savoir si le droit à réparation prévu à l’article 82, §1, du RGPD est conditionné à l’existence d’un « traitement » au sens de l’article 4, point 2, du même règlement. La Cour répond par la négative, avec une clarté qui dissipe les ambiguïtés de la jurisprudence antérieure :
« Il ressort du libellé de l’article 82, §1, du RGPD qu’une personne ayant subi un dommage matériel ou moral du fait d’une violation de ce règlement a le droit d’obtenir du responsable du traitement une réparation du préjudice subi. Force est de constater que cette disposition ne contient aucune référence au ‘traitement’, de sorte que ce droit à réparation ne saurait être limité aux dommages résultant d’un traitement de données à caractère personnel. » (§ 48 de l’arrêt)
Cette interprétation est corroborée par une lecture contextuelle et téléologique de l’article 82, §1, du RGPD, que la Cour conduit en deux temps : d’abord, par le renvoi au considérant 141 qui garantit un « droit à un recours juridictionnel effectif » pour toute violation des droits conférés par le règlement (§ 49) ; ensuite, par la référence au considérant 11 qui énonce l’objectif de « renforcer les droits des personnes concernées » (§ 53), ces droits incluant précisément le droit d’accès dont la violation ne comporte pas, en elle-même, un « traitement » au sens strict.
2. LA QUATRIÈME QUESTION : SANS OBJET EN RAISON DE LA RÉPONSE AUX QUESTIONS 5 ET 6
La Cour décide, conformément à sa méthode habituelle, de ne pas répondre à la quatrième question préjudicielle — relative à la qualification de la demande d’accès elle-même comme « traitement » — dès lors que sa réponse aux cinquième et sixième questions la rend sans objet (§ 56). Cette économie de moyens préserve néanmoins la question de savoir si la demande d’accès constitue intrinsèquement un traitement de données personnelles, question qui demeure ouverte pour de futures affaires.
LES CONDITIONS DU DOMMAGE MORAL ET LA RUPTURE DU LIEN DE CAUSALITÉ
1. LA NOTION DE DOMMAGE MORAL : PERTE DE CONTRÔLE ET INCERTITUDE
La huitième question préjudicielle portait sur le contenu de la notion de « dommage moral » dans un contexte où la violation invoquée est le refus d’accès, et non un traitement illicite proprement dit. La Cour rappelle sa jurisprudence constante relative au considérant 85 du RGPD :
« [L]e législateur de l’Union a entendu inclure dans ces notions, notamment, la simple perte de contrôle sur leurs propres données à caractère personnel, à la suite d’une violation de ce règlement, quand bien même un usage abusif des données en cause ne se serait pas produit concrètement. » (§ 61, renvoyant à l’arrêt Agentsia po vpisvaniyata, C-200/23, ECLI:EU:C:2024:827, point 145)
La Cour rappelle également que « la notion de dommage moral ne saurait être circonscrite aux seuls dommages d’une certaine gravité » et qu’aucun seuil de minimis ne peut être fixé par la réglementation nationale (§ 62, renvoyant à l’arrêt Gemeinde Ummendorf, C-456/22, ECLI:EU:C:2023:988, points 22 et 23). Mais elle souligne que la personne concernée doit démontrer, d’une part, « qu’elle a effectivement subi un tel dommage, aussi minime fût-il », et d’autre part, « que les conséquences de cette violation qu’elle prétend avoir subies sont constitutives d’un préjudice distinct de la simple violation des dispositions de ce règlement » (§ 62).
2. LA RUPTURE DU LIEN DE CAUSALITÉ PAR LE COMPORTEMENT FAUTIF DE LA PERSONNE CONCERNÉE
L’apport le plus novateur de cet arrêt en matière de droit à réparation réside dans l’affirmation que le lien de causalité peut être rompu par le comportement même de la personne concernée, dès lors que ce comportement constitue la « cause déterminante » du préjudice :
« [L]e lien de causalité entre la violation alléguée et le prétendu dommage peut être rompu par le comportement de la personne concernée, dès lors que ce comportement s’avère constituer la cause déterminante du préjudice. Un tel acte peut consister, entre autres, en une décision de la personne lésée, pour autant, toutefois, que cette décision ne s’imposait pas à elle. » (§ 65 de l’arrêt, par analogie avec l’arrêt WS e.a./Frontex, C-679/23 P, ECLI:EU:C:2025:976, points 151 et 152)
La Cour précise ensuite la conséquence concrète de ce principe dans le contexte de l’espèce :
« [L]a personne concernée ne saurait se voir accorder, au titre de cette disposition, une réparation des dommages prétendument subis du fait de la perte de contrôle sur ses données à caractère personnel ou de son incertitude quant à l’existence de leur traitement lorsque le lien de causalité est rompu en raison du comportement de cette personne dès lors que cette perte de contrôle ou cette incertitude ont été causées par la décision de ladite personne de soumettre ces données au responsable du traitement dans le but de créer artificiellement les conditions requises aux fins de l’application de ladite disposition. » (§ 66 de l’arrêt)
Cette construction est d’une grande rigueur dogmatique : la Cour n’exclut pas le droit à réparation en raison de l’abus de droit à proprement parler, mais le prive de base causale, ce qui est conceptuellement différent. Elle choisit la voie de la neutralisation causale plutôt que celle de la sanction comportementale.
APPRÉCIATION CRITIQUE
1. UNE INTERPRÉTATION RESTRICTIVE BIENVENUE MAIS POTENTIELLEMENT PÉRILLEUSE
La qualification d’« excessive » d’une première demande d’accès, si elle répond à un besoin pratique évident, soulève une difficulté structurelle : elle expose les personnes concernées de bonne foi au risque de voir leurs droits paralysés par des responsables du traitement opportunistes, qui invoqueraient abusivement cette jurisprudence pour se soustraire à leurs obligations de transparence. La Cour en est consciente puisqu’elle insiste sur le caractère restrictif de l’interprétation de l’article 12, §5, du RGPD (§ 35 et § 29) et sur la charge de la preuve pesant sur le responsable du traitement, qui doit démontrer le caractère excessif « de façon non équivoque » (§ 41).
2. L’INDICE DE COMPORTEMENT SYSTÉMIQUE : ENTRE PREUVE SÉRIEUSE ET RISQUE DE PROFILAGE JURIDIQUE
L’admission des informations publiques — reportages, articles de blogs, bulletins d’avocats — comme indice de comportement abusif est audacieuse. Elle permet certes d’objectiver une pratique systémique réelle, mais elle ouvre aussi la voie à une forme de profilage juridique des personnes exerçant leurs droits RGPD. La Cour prend soin d’exiger que cet indice soit « corroboré par d’autres éléments pertinents » (§ 43), mais la frontière entre l’exercice vigoureux et légitime d’un droit et l’abus reste ténue.
3. LA NEUTRALISATION DU LIEN CAUSAL : ORIGINALITÉ DOGMATIQUE
La rupture du lien de causalité fondée sur le comportement auto-induit de la personne concernée est une construction originale qui mérite attention. Elle permet à la Cour d’éviter de déclarer le droit à réparation ipso facto inexistant dans un contexte d’abus de droit, tout en empêchant la personne abusive d’en bénéficier. Cette approche est en harmonie avec le droit commun de la responsabilité civile des États membres.
CONTEXTUALISATION DANS LE PRISME DES JURISPRUDENCES POSTÉRIEURES ET PARALLÈLES
L’arrêt C-526/24 s’inscrit dans un courant jurisprudentiel que la Cour développe de manière cohérente depuis 2023. L’arrêt Österreichische Post (C-154/21, 12 janvier 2023) avait précisé les contours du droit d’accès en matière de destinataires ; l’arrêt sterreichische Datenschutzbehörde (C-416/23, 9 janvier 2025) avait consacré l’abus de droit dans le contexte des demandes excessives adressées aux autorités de contrôle ; l’arrêt Quirin Privatbank (C-655/23, 4 septembre 2025) avait à son tour clarifié les conditions du droit à réparation du dommage moral.
L’arrêt C-526/24 opère la synthèse de ces apports et les transpose au contentieux privé entre responsable du traitement et personne concernée, en affirmant que le droit à réparation prévu à l’article 82 du RGPD couvre les violations du droit d’accès quand bien même elles ne comportent pas de traitement illicite, mais que ce droit est privé de portée lorsque son invocation est elle-même constitutive d’un abus. Il convient encore d’observer que l’affaire C-205/25 (Bayerisches Landesamt für Datenschutzaufsicht), pendante au moment de la rédaction, porte sur des questions proches relatives à l’accès au dossier d’une autorité de contrôle, ce qui laisse augurer de nouveaux développements dans ce domaine.
Dispositif de l’arrêt (§§ 45, 55, 67) :
« 1. L’article 12, §5, du règlement 2016/679 doit être interprété en ce sens qu’une première demande d’accès aux données à caractère personnel introduite par la personne concernée auprès du responsable du traitement au titre de l’article 15 de ce règlement peut être considérée comme étant « excessive », au sens de cet article 12, §5, lorsque ce responsable du traitement démontre, au vu de l’ensemble des circonstances pertinentes de l’espèce, que, malgré un respect formel des conditions prévues par ces dispositions, cette demande a été introduite par la personne concernée non pas pour prendre connaissance du traitement de ces données et d’en vérifier la licéité, afin de pouvoir, par la suite, obtenir une protection des droits qu’elle tire dudit règlement, mais dans une intention abusive, telle que la création artificielle des conditions requises pour l’obtention d’un avantage résultant de ce même règlement. Le fait que, selon des informations accessibles au public, la personne concernée ait introduit plusieurs demandes d’accès à ses données à caractère personnel, suivies de demandes de réparation, auprès de différents responsables du traitement, peut être pris en considération afin d’établir l’existence d’une telle intention abusive.
2. L’article 82, §1, du règlement 2016/679 doit être interprété en ce sens qu’il confère à la personne concernée un droit à réparation du préjudice résultant d’une violation du droit d’accès prévu à l’article 15, §1, de ce règlement.
3. L’article 82, §1, du règlement 2016/679 doit être interprété en ce sens que le dommage moral subi par la personne concernée englobe la perte de contrôle sur ses données à caractère personnel ou son incertitude quant au point de savoir si ses données ont fait l’objet d’un traitement, pour autant qu’il est démontré, notamment, que cette personne a effectivement subi un tel dommage et que son comportement n’a pas constitué la cause déterminante de ce dommage. »
POINTS ESSENTIELS
L’affaire C-526/24 Brillen Rottler GmbH & Co. KG contre TC est un arrêt de renvoi préjudiciel rendu le 19 mars 2026 par la quatrième chambre de la Cour de justice, en réponse à huit questions posées par l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg, Allemagne).
Le litige au principal opposait une entreprise familiale d’optique établie à Arnsberg à un particulier autrichien qui, treize jours après son inscription volontaire à la lettre d’information commerciale de cette entreprise, avait formulé une demande d’accès à ses données personnelles au titre de l’article 15 du RGPD, puis, face au refus de l’entreprise, réclamé une indemnisation de 1 000 euros pour dommage moral sur le fondement de l’article 82 du même règlement ;
L’entreprise soutenait disposer d’informations accessibles au public attestant d’un comportement systématique et abusif de ce particulier, consistant à s’inscrire délibérément à des services de diverses entreprises pour déclencher des demandes d’accès suivies de réclamations d’indemnisation, et la Cour répond sur trois points essentiels d’une portée excédant très largement les faits de l’espèce.
Le raisonnement de la Cour parvient à un équilibre jurisprudentiel remarquable qui protège simultanément les responsables du traitement contre les abus du droit d’accès utilisé comme levier d’enrichissement artificiel et les personnes concernées légitimes dont le droit d’accès est illicitement violé ;
Cette jurisprudence s’inscrit dans la continuité de l’arrêt Österreichische Datenschutzbehörde — Demandes excessives (C-416/23, 9 janvier 2025) et de l’arrêt Agentsia po vpisvaniyata (C-200/23, 4 octobre 2024), tout en y ajoutant la théorie de la rupture du lien de causalité, empruntée par analogie à la jurisprudence sur la responsabilité extracontractuelle de l’Union (WS e.a. — Frontex, C-679/23 P, 18 décembre 2025), et appelle pour les délégués à la protection des données et les directions juridiques des entreprises une double vigilance : renforcer les dispositifs de détection et de documentation des demandes abusives, et garantir que les demandes légitimes reçoivent toujours une réponse complète et dans les délais prescrits par le règlement.
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats