CJUE | ARRÊT DU 19 MARS 2026 | C-526/24 | BRILLEN ROTTLER │
DSAR FARMING & ABUS DU DROIT D’ACCES AUX DONNEES PERSONNELLES
UNE DEMANDE D’ACCÈS À SES DONNÉES À CARACTÈRE PERSONNEL POURRAIT ÊTRE QUALIFIÉE D’ABUSIVE ET REFUSÉE SI ET SEULEMENT SI LE RESPONSABLE DE TRAITEMENT EST EN MESURE DE DÉMONTRER, SANS NUL DOUTE POSSIBLE, QUE CETTE DEMANDE A ÉTÉ INTRODUITE DANS LE SEUL BUT D’OBTENIR DES DOMMAGES-INTÉRÊTS EN CAS DE DÉFAILLANCE
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
CADRE FACTUEL
1. LES PARTIES ET LEUR SITUATION RESPECTIVE
La requérante, Brillen Rottler GmbH & Co. KG, est une entreprise familiale d’optique établie à Arnsberg, en Allemagne. À ce titre, elle exploite un site Internet depuis lequel elle propose notamment un service d’abonnement à un bulletin d’information (newsletter) auquel toute personne peut souscrire en renseignant ses données à caractère personnel dans un formulaire d’inscription en ligne.
Le défendeur, désigné sous les initiales TC dans la procédure, est une personne physique résidant en Autriche. Sa situation procédurale est à la fois celle de défendeur à la demande en constatation introduite par Brillen Rottler, et de demandeur reconventionnel en réparation fondé sur l’article 82 du RGPD.
2. LA CHRONOLOGIE DES FAITS
Les faits à l’origine du litige se sont déroulés au cours de l’année 2023 selon une séquence rigoureusement documentée :
—-Mars 2023 : TC s’abonne au bulletin d’information de Brillen Rottler en renseignant ses données à caractère personnel dans le formulaire d’inscription disponible sur le site Internet de l’entreprise et en consentant au traitement de ces données.
—-Treize jours plus tard : TC adresse à Brillen Rottler une demande d’accès à ses données à caractère personnel, fondée sur l’article 15 du RGPD.
—-Dans le délai légal d’un mois : Brillen Rottler rejette la demande d’accès, estimant qu’elle est abusive au sens de l’article 12, §5, premier alinéa, seconde phrase, du RGPD. L’entreprise somme TC de renoncer définitivement à sa demande.
—-Maintien de la demande par TC : TC maintient sa demande d’accès et y ajoute une demande de réparation au titre de l’article 82 du RGPD pour un montant de 1 000 euros, invoquant un dommage moral subi du fait du refus de lui donner accès à ses données.
3. LE MODUS OPERANDI ALLÉGUÉ
À l’appui de sa demande en justice, Brillen Rottler fait valoir que TC opère selon un schéma systémique et délibéré, documenté par des reportages publics, des articles de blogs spécialisés et des bulletins d’avocats. La Cour reprend cette description dans les termes suivants :
« Brillen Rottler fait valoir qu’il ressort de divers reportages, articles de blog et bulletins d’avocats que TC introduit systématiquement et abusivement des demandes d’accès à ses données à caractère personnel dans le seul but d’obtenir des indemnités au titre d’une prétendue violation, qu’il provoque délibérément, des droits qu’il tire du RGPD. Le modus operandi de TC consisterait, tout d’abord, à s’inscrire à un bulletin d’information, puis à introduire une demande d’accès et, enfin, à soumettre une demande de réparation. » (§ 15 de l’arrêt)
TC, de son côté, conteste devant la juridiction de renvoi que la demande d’accès soit abusive et soutient qu’elle constitue l’expression légitime du droit d’accès que lui confère l’article 15 du RGPD, ajoutant que Brillen Rottler cherche à restreindre illicitement les droits qui lui sont conférés par ce règlement (§ 16 de l’arrêt).
LA PROCÉDURE
1. SAISINE DE LA JURIDICTION DE RENVOI
Brillen Rottler a saisi l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg, Allemagne) d’une demande visant à faire constater que TC n’a droit à aucune réparation (§ 14 de l’arrêt). En parallèle, TC a formulé sa demande reconventionnelle tendant à la condamnation de Brillen Rottler au versement d’une indemnité d’au moins 1 000 euros.
2. LES INTERROGATIONS DE LA JURIDICTION DE RENVOI
La juridiction de renvoi exprime ses doutes sur trois registres distincts, qui structurent directement les questions préjudicielles qu’elle soumet à la Cour :
En premier lieu, elle s’interroge sur la possibilité de qualifier d’« excessive » une première demande d’accès et sur les circonstances permettant de constater un tel caractère excessif — en particulier sur la question de savoir si le responsable du traitement peut se fonder sur des informations publiques révélant un comportement systémique de la personne concernée auprès d’autres responsables (§ 17 de l’arrêt).
En deuxième lieu, elle pose la question de savoir si une demande d’accès au titre de l’article 15, §1, du RGPD et/ou la réponse à cette demande constituent un « traitement » au sens de l’article 4, point 2, du RGPD (§ 18 de l’arrêt).
En troisième lieu, elle nourrit des doutes sur les critères d’identification des dommages susceptibles de réparation au titre de l’article 82, §1, du RGPD — notamment sur le point de savoir si, même en l’absence d’un traitement, cet article confère un droit à réparation pour la seule violation du droit d’accès (§ 19 de l’arrêt).
3. LA DÉCISION DE RENVOI
Par décision du 31 juillet 2024, parvenue à la Cour le même jour, l’Amtsgericht Arnsberg a décidé de surseoir à statuer et de soumettre à la Cour de justice les huit questions préjudicielles suivantes :
QUESTIONS PRÉJUDICIELLES
Les questions préjudicielles soumises à la Cour par l’Amtsgericht Arnsberg sont libellées comme suit (§ 20 de l’arrêt et demande de décision préjudicielle, 62024CN0526) :
« 1. L’article 12, §5, premier alinéa, seconde phrase, du RGPD doit-il être interprété en ce sens que la première demande d’accès adressée par la personne concernée au responsable du traitement ne saurait être excessive ?
2. L’article 12, §5, premier alinéa, seconde phrase, du RGPD doit-il être interprété en ce sens que le responsable du traitement peut rejeter la demande d’accès de la personne concernée lorsque celle-ci l’a introduite pour pouvoir ensuite obtenir réparation de la part du responsable du traitement ?
3. L’article 12, §5, premier alinéa, seconde phrase, du RGPD doit-il être interprété en ce sens que le rejet de la demande d’accès est justifié s’il existe des informations sur la personne concernée qui sont accessibles au public et dont il ressort que, en présence d’une violation du droit à la protection des données, la personne concernée exerce dans de nombreux cas son droit à réparation à l’égard du responsable du traitement ?
4. L’article 4, point 2, du RGPD doit-il être interprété en ce sens que la demande d’accès adressée par la personne concernée au responsable du traitement au titre de l’article 15, §1, de ce règlement et/ou la réponse à cette demande constituent un traitement au sens de la première de ces dispositions ?
5. L’article 82, §1, du règlement 2016/679, lu à la lumière du considérant 146, première phrase, de ce règlement, doit-il être interprété en ce sens que seuls sont susceptibles de donner lieu à réparation les dommages subis par la personne concernée du fait d’un traitement ? Cela signifie-t-il que le droit à réparation prévu à l’article 82, §1, dudit règlement est subordonné à la condition que les données à caractère personnel de la personne concernée fassent l’objet d’un traitement — supposer que la personne concernée subisse un dommage du fait de ce traitement ?
6. En cas de réponse affirmative à la cinquième question — s’ensuit-il que l’article 82, §1, du règlement 2016/679 ne confère à la personne concernée aucun droit à réparation du fait de la seule violation du droit d’accès prévu à l’article 15, §1, de ce règlement — supposer que la personne concernée subisse un dommage du fait de cette violation ?
7. L’article 82, §1, du règlement 2016/679 doit-il être interprété en ce sens que, en vertu du droit de l’Union, le fait que la personne concernée ait provoqué le traitement de ses données à caractère personnel uniquement ou notamment aux fins d’exercer son droit à réparation ne peut pas être invoqué par le responsable du traitement pour s’opposer à la demande d’accès de la personne concernée au titre de l’abus de droit ?
8. En cas de réponse négative aux cinquième et sixième questions — la personne concernée subit-elle un dommage moral, au sens de l’article 82, §1, du RGPD, du seul fait de la perte de contrôle sur ses données à caractère personnel par suite de la violation de l’article 15, §1, de ce règlement et/ou de l’incertitude quant au point de savoir si ses données à caractère personnel ont fait l’objet d’un traitement, ou le dommage n’est-il caractérisé que si elle subit une restriction objective ou subjective et/ou un préjudice sensible supplémentaires ? »
OBSERVATIONS DES PARTIES ET DE LA COMMISSION
Dans la procédure devant la Cour, des observations écrites et orales ont été présentées par les représentants des deux parties au principal (Me J. Träber, Rechtsanwalt, pour Brillen Rottler ; Me P. Brandt, Rechtsanwalt, pour TC) ainsi que par la Commission européenne (représentée par MM. A. Bouchagiar, Mme M. Heller et M. H. Kranenborg en qualité d’agents). L’audience s’est tenue le 5 juin 2025 et les conclusions de l’avocat général M. Maciej Szpunar ont été présentées le 18 septembre 2025.
CADRE JURIDIQUE APPLICABLE
La demande de décision préjudicielle porte sur l’interprétation des dispositions suivantes du RGPD :
—-Article 4, point 2 (définition du traitement) : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel »
—-Article 12, §5 (transparence, communication et modalités de l’exercice des droits), et notamment la faculté de ne pas donner suite à des demandes manifestement non fondées ou excessives
—-Article 15, §1 (droit d’accès) : droit de la personne concernée d’obtenir confirmation de l’existence d’un traitement et accès aux données
—-Article 82, §1 (droit à réparation) : « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi »
Le considérant 63 du RGPD précise la finalité du droit d’accès :
« Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. »
Le considérant 85, premier phrase, du RGPD énonce que le dommage subi par une personne concernée peut englober « la perte de contrôle sur ses propres données à caractère personnel », et le considérant 146, qui est visé par la cinquième question préjudicielle, indique que « le responsable du traitement ou le sous-traitant devrait réparer tout dommage qu’une personne peut subir du fait d’un traitement effectué en violation du présent règlement ».
POINTS ESSENTIELS
L’affaire C-526/24 Brillen Rottler GmbH & Co. KG contre TC est un arrêt de renvoi préjudiciel rendu le 19 mars 2026 par la quatrième chambre de la Cour de justice, en réponse à huit questions posées par l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg, Allemagne).
Le litige au principal opposait une entreprise familiale d’optique établie à Arnsberg à un particulier autrichien qui, treize jours après son inscription volontaire à la lettre d’information commerciale de cette entreprise, avait formulé une demande d’accès à ses données personnelles au titre de l’article 15 du RGPD, puis, face au refus de l’entreprise, réclamé une indemnisation de 1 000 euros pour dommage moral sur le fondement de l’article 82 du même règlement ;
L’entreprise soutenait disposer d’informations accessibles au public attestant d’un comportement systématique et abusif de ce particulier, consistant à s’inscrire délibérément à des services de diverses entreprises pour déclencher des demandes d’accès suivies de réclamations d’indemnisation, et la Cour répond sur trois points essentiels d’une portée excédant très largement les faits de l’espèce.
Le raisonnement de la Cour parvient à un équilibre jurisprudentiel remarquable qui protège simultanément les responsables du traitement contre les abus du droit d’accès utilisé comme levier d’enrichissement artificiel et les personnes concernées légitimes dont le droit d’accès est illicitement violé ;
Cette jurisprudence s’inscrit dans la continuité de l’arrêt Österreichische Datenschutzbehörde — Demandes excessives (C-416/23, 9 janvier 2025) et de l’arrêt Agentsia po vpisvaniyata (C-200/23, 4 octobre 2024), tout en y ajoutant la théorie de la rupture du lien de causalité, empruntée par analogie à la jurisprudence sur la responsabilité extracontractuelle de l’Union (WS e.a. — Frontex, C-679/23 P, 18 décembre 2025), et appelle pour les délégués à la protection des données et les directions juridiques des entreprises une double vigilance : renforcer les dispositifs de détection et de documentation des demandes abusives, et garantir que les demandes légitimes reçoivent toujours une réponse complète et dans les délais prescrits par le règlement.
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats