CJUE | ARRÊT DU 19 MARS 2026 | C-526/24 | BRILLEN ROTTLER │
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE
L’affaire C-526/24 Brillen Rottler GmbH & Co. KG contre TC est un arrêt de renvoi préjudiciel rendu le 19 mars 2026 par la quatrième chambre de la Cour de justice, en réponse à huit questions posées par l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg, Allemagne). Le litige au principal opposait une entreprise familiale d’optique établie à Arnsberg à un particulier autrichien qui, treize jours après son inscription volontaire à la lettre d’information commerciale de cette entreprise, avait formulé une demande d’accès à ses données personnelles au titre de l’article 15 du RGPD, puis, face au refus de l’entreprise, réclamé une indemnisation de 1 000 euros pour dommage moral sur le fondement de l’article 82 du même règlement ; l’entreprise soutenait disposer d’informations accessibles au public attestant d’un comportement systématique et abusif de ce particulier, consistant à s’inscrire délibérément à des services de diverses entreprises pour déclencher des demandes d’accès suivies de réclamations d’indemnisation, et la Cour répond sur trois points essentiels d’une portée excédant très largement les faits de l’espèce.
Le raisonnement de la Cour parvient à un équilibre jurisprudentiel remarquable qui protège simultanément les responsables du traitement contre les abus du droit d’accès utilisé comme levier d’enrichissement artificiel et les personnes concernées légitimes dont le droit d’accès est illicitement violé ; il s’inscrit dans la continuité de l’arrêt Österreichische Datenschutzbehörde — Demandes excessives (C-416/23, 9 janvier 2025) et de l’arrêt Agentsia po vpisvaniyata (C-200/23, 4 octobre 2024), tout en y ajoutant la théorie de la rupture du lien de causalité, empruntée par analogie à la jurisprudence sur la responsabilité extracontractuelle de l’Union (WS e.a. — Frontex, C-679/23 P, 18 décembre 2025), et appelle pour les délégués à la protection des données et les directions juridiques des entreprises une double vigilance : renforcer les dispositifs de détection et de documentation des demandes abusives, et garantir que les demandes légitimes reçoivent toujours une réponse complète et dans les délais prescrits par le règlement.
TABLEAU RÉCAPITULATIF DE LA JURISPRUDENCE CITÉE
| Référence | Affaire | Date | Thème | §§ de l’arrêt C-526/24 | Extrait pertinent |
|---|---|---|---|---|---|
| C-416/23 | Österreichische Datenschutzbehörde — Demandes excessives | 9 janvier 2025 | Abus de droit — demandes excessives à l’autorité de contrôle — art. 12, §5 RGPD | §§ 29, 30, 31, 36, 40, 43 | « L’adjectif “excessif” désigne quelque chose qui excède la mesure ordinaire ou raisonnable » (§ 43 de l’arrêt C-416/23) ; « le caractère répétitif […] peut […] être un indice de leur caractère excessif » (§ 57) |
| C-236/23 | Matmut | 19 septembre 2024 | Principe général d’interdiction de l’abus de droit en droit de l’Union — relations privées | § 30 | « les justiciables ne sauraient frauduleusement ou abusivement se prévaloir des normes du droit de l’Union » (point 52 de l’arrêt Matmut) |
| C-38/21, C-47/21 et C-232/21 | BMW Bank e.a. | 9 novembre 2023 | Structure de l’abus de droit : éléments objectif et subjectif | § 36 | Éléments constitutifs classiques de la pratique abusive : respect formel + intention de créer artificiellement les conditions d’un avantage |
| C-154/21 | Österreichische Post — Droit d’accès | 12 janvier 2023 | Finalité et portée du droit d’accès — art. 15 RGPD — destinataires | §§ 37, 38 | « prendre connaissance du traitement de ces données et d’en vérifier la licéité » (points 37 et 38) |
| C-200/23 | Agentsia po vpisvaniyata | 4 octobre 2024 | Dommage moral — perte de contrôle sur les données personnelles — art. 82 §1 RGPD | § 61 | « le législateur de l’Union a entendu inclure dans ces notions, notamment, la simple perte de contrôle sur leurs propres données à caractère personnel » (point 145) |
| C-456/22 | Gemeinde Ummendorf | 14 décembre 2023 | Dommage moral — absence de seuil de minimis — art. 82 §1 RGPD | § 62 | « cette notion ne saurait être circonscrite aux seuls dommages d’une certaine gravité » ; « aucun seuil de minimis » (points 22 et 23) |
| C-679/23 P | WS e.a. / Frontex | 18 décembre 2025 | Rupture du lien de causalité par le comportement de la personne lésée — responsabilité extracontractuelle UE | § 65 | « le lien de causalité entre la violation alléguée et le prétendu dommage peut être rompu par le comportement de la personne concernée » (points 151 et 152) |
| C-655/23 | Quirin Privatbank | 4 septembre 2025 | Droit à réparation dommage moral — conditions du droit à réparation | Conclusions Avocat Général, § 3 | Conditions d’identification du dommage réparable ; lien entre violation et préjudice |
| C-300/21 | Österreichische Post — Préjudice moral | 4 mai 2023 | Dommage moral — exigence de preuve effective — absence de présomption | § 62 (indirect) | « [le dommage] ne saurait donc seulement être présumé en raison de la survenance de la violation » (point 42) |
| C-741/21 | juris GmbH | 11 avril 2024 | Dommage moral — nécessité de démontrer le dommage distinct de la violation | § 62 (indirect) | « la simple violation des dispositions [du RGPD] ne suffit pas pour conférer un droit à réparation » (point 35) |
| C-590/22 | PS — Adresse erronée | 20 juin 2024 | Crainte d’usage abusif comme dommage moral — art. 82 RGPD | § 61 (indirect) | La crainte d’un potentiel usage abusif « est susceptible, à elle seule, de constituer un dommage moral » (point 32) |
| C-340/21 | Natsionalna agentsia za prihodite | 14 décembre 2023 | Crainte d’usage abusif — conditions de la réparation du dommage moral | § 62 (indirect) | « la personne saisie doit vérifier que cette crainte peut être considérée comme étant fondée » (point 85) |
| C-307/22 | FT — Copies du dossier médical | 26 octobre 2023 | Portée du droit d’accès — contenu — art. 15 RGPD | § 37 (indirect) | Étendue du droit d’accès aux informations médicales (point 31) |
| C-118/22 | Direktor na Glavna direktsia — MVR Sofia | 30 janvier 2024 | Traitement de données — définition | Conclusions Avocat Général, note 61 | Définition du traitement incluant la collecte et la conservation (point 65) |
ANALYSE THÉMATIQUE DE LA JURISPRUDENCE CITÉE
1. LE CORPUS JURISPRUDENTIEL SUR L’ABUS DE DROIT
La jurisprudence sur l’abus de droit citée dans l’arrêt C-526/24 constitue un corpus cohérent qui révèle la volonté de la Cour d’unifier les conditions d’identification de l’abus dans l’ensemble du droit de l’Union. L’arrêt Österreichische Datenschutzbehörde — Demandes excessives (C-416/23) occupe une place centrale, puisque la Cour y avait déjà posé les fondements de la qualification d’excessive dans le contexte des demandes adressées aux autorités de contrôle. L’arrêt C-526/24 étend ce raisonnement aux demandes d’accès adressées directement aux responsables du traitement.
L’arrêt Matmut (C-236/23) apporte la référence au principe général d’interdiction de l’abus de droit en droit de l’Union dans les relations de droit privé, ancrant ainsi la jurisprudence RGPD dans le droit commun de l’Union. L’arrêt BMW Bank e.a. (C-38/21, C-47/21 et C-232/21) fournit la structure binaire classique de l’abus de droit (éléments objectif et subjectif), que la Cour transpose mécaniquement dans le contexte du droit d’accès.
2. LE CORPUS JURISPRUDENTIEL SUR LE DOMMAGE MORAL ET L’ARTICLE 82
Le corpus jurisprudentiel relatif à l’article 82 du RGPD, mobilisé dans l’arrêt C-526/24, s’articule autour de trois axes complémentaires :
L’axe de la définition extensive du dommage moral : les arrêts Agentsia po vpisvaniyata (C-200/23), Natsionalna agentsia za prihodite (C-340/21), PS — Adresse erronée (C-590/22) et Gemeinde Ummendorf (C-456/22) établissent que le dommage moral peut consister en une simple perte de contrôle sur les données ou en une crainte d’usage abusif, sans qu’aucun seuil de gravité ne soit exigé.
L’axe de l’exigence de preuve effective : les arrêts Österreichische Post — Préjudice moral (C-300/21) et juris GmbH (C-741/21) rappellent que le dommage ne se présume pas et doit être démontré par la personne concernée comme distinct de la simple violation du règlement.
L’axe novateur de la rupture causale : l’arrêt WS e.a./Frontex (C-679/23 P), qui porte sur la responsabilité extracontractuelle de l’Union, apporte la théorie de la cause déterminante que la Cour transpose pour la première fois dans un contentieux RGPD horizontal. Cette transposition constitue l’un des apports les plus originaux de l’arrêt C-526/24.
3. LE CORPUS JURISPRUDENTIEL SUR LA FINALITÉ ET LA PORTÉE DU DROIT D’ACCÈS
L’arrêt Österreichische Post — Droit d’accès (C-154/21) est cité pour sa formulation canonique de la finalité du droit d’accès : « prendre connaissance du traitement de ces données et d’en vérifier la licéité ». Cette formulation est au cœur du raisonnement sur l’élément objectif de l’abus de droit : dès lors que la personne concernée n’a pas pour intention de prendre connaissance du traitement, mais de créer artificiellement des conditions d’indemnisation, l’objectif de l’article 15 du RGPD n’est pas atteint, ce qui constitue l’élément objectif de la pratique abusive.
JURISPRUDENCE CITÉE DANS LES CONCLUSIONS DE L’AVOCAT GÉNÉRAL SZPUNAR (COMPLÉMENTS)
Au-delà des arrêts repris dans la motivation de la Cour, les conclusions de l’avocat général Szpunar citent plusieurs décisions complémentaires qui enrichissent le contexte doctrinal :
| Référence | Affaire | Thème | Passage des conclusions |
|---|---|---|---|
| C-655/23 | Quirin Privatbank | Empêchement de la réitération d’un traitement illicite — droit à réparation | Note 113 des conclusions |
| C-768/21 | Land Hessen — Obligation d’agir | Obligation d’agir de l’autorité de contrôle — art. 58 RGPD | Note 114 des conclusions |
| C-26/22 et C-64/22 | SCHUFA Holding — Libération de reliquat de dette | Contenu du droit d’accès aux décisions automatisées | Notes 114, 120 des conclusions |
| C-757/22 | Meta Platforms Ireland — Action représentative | Recevabilité des réclamations fondées sur les articles 12 et 15 RGPD | Note 116 des conclusions |
| C-414/24 | D e.a. — Articulation des recours | Articulation entre réclamation administrative et recours juridictionnel | Note 118 des conclusions |
| C-40/25 | CRIF | Obligation d’abstention de transmission illicite de données | Note 113 des conclusions (affaire pendante) |
17.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN – Avocat DPO