CJUE | ARRÊT DU 19 MARS 2026 | C-526/24 | BRILLEN ROTTLER │
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE
Le raisonnement de la Cour parvient à un équilibre jurisprudentiel remarquable qui protège simultanément les responsables du traitement contre les abus du droit d’accès utilisé comme levier d’enrichissement artificiel et les personnes concernées légitimes dont le droit d’accès est illicitement violé ; il s’inscrit dans la continuité de l’arrêt Österreichische Datenschutzbehörde — Demandes excessives (C-416/23, 9 janvier 2025) et de l’arrêt Agentsia po vpisvaniyata (C-200/23, 4 octobre 2024), tout en y ajoutant la théorie de la rupture du lien de causalité, empruntée par analogie à la jurisprudence sur la responsabilité extracontractuelle de l’Union (WS e.a. — Frontex, C-679/23 P, 18 décembre 2025), et appelle pour les délégués à la protection des données et les directions juridiques des entreprises une double vigilance : renforcer les dispositifs de détection et de documentation des demandes abusives, et garantir que les demandes légitimes reçoivent toujours une réponse complète et dans les délais prescrits par le règlement.
DÉFINITION DU DROIT D’ACCÈS ET DE SES LIMITES
1. LA CONSOLIDATION DÉFINITIVE DE LA THÈSE QUALITATIVE
L’apport de l’arrêt C-526/24 en matière de droit d’accès est d’une portée considérable : il met fin à une controverse doctrinale et jurisprudentielle fondamentale en affirmant sans équivoque qu’une première demande d’accès peut être qualifiée d’excessive au sens de l’article 12, §5, du RGPD. Ce faisant, la Cour substitue définitivement à la conception purement quantitative du caractère excessif — fondée sur la répétition des demandes — une conception qualitative fondée sur la finalité réelle de la demande.
Cette construction est d’autant plus significative qu’elle intervient dans un contexte où plusieurs juridictions nationales, notamment allemandes et autrichiennes, avaient refusé de qualifier de premières demandes d’accès d’excessives, au motif que le terme « répétitif » employé à l’article 12, §5, du RGPD impliquait nécessairement une pluralité préalable de demandes. La Cour ferme désormais cette voie d’interprétation et impose à l’ensemble des juridictions nationales de l’Union une grille de lecture unifiée.
La portée pratique de cette clarification est immense : elle met en place un mécanisme de défense opérationnel pour les responsables du traitement confrontés au phénomène du DSAR farming, tout en veillant à ce que ce mécanisme demeure exceptionnel et strictement encadré par la double exigence de preuve (éléments objectif et subjectif) et de démonstration non équivoque de l’intention abusive.
2. LA PROTECTION DE L’EXERCICE LÉGITIME DU DROIT D’ACCÈS
Il est capital de souligner que la Cour préserve intégralement le droit d’accès des personnes concernées de bonne foi. L’interprétation restrictive imposée par la Cour à l’exception du caractère excessif garantit que les responsables du traitement ne pourront pas instrumentaliser la jurisprudence C-526/24 pour se soustraire à leurs obligations de transparence. Deux garde-fous structurels sont mis en place :
—-La charge de la preuve pèse intégralement sur le responsable du traitement (article 12, §5, second alinéa, du RGPD), qui doit démontrer de manière « non équivoque » l’intention abusive de la personne concernée ;
—-Les critères d’appréciation de l’abus sont élevés et cumulatifs : le responsable du traitement doit établir à la fois un élément objectif (la non-atteinte de l’objectif de l’article 15 du RGPD) et un élément subjectif (une intention abusive spécifiquement dirigée vers la création artificielle des conditions d’une réparation).
DROIT À RÉPARATION (ARTICLE 82 DU RGPD)
1. L’EXTENSION DU CHAMP D’APPLICATION RATIONAE MATERIAE DE L’ARTICLE 82
La réponse de la Cour aux cinquième et sixième questions — selon laquelle le droit à réparation prévu à l’article 82, §1, du RGPD couvre les violations du droit d’accès même en l’absence de tout traitement illicite — est une révolution silencieuse dans la construction du droit de la responsabilité civile sous l’empire du RGPD. Elle clôt définitivement le débat qui opposait, d’une part, les tenants d’une interprétation restrictive fondée sur l’article 82, §2, et le considérant 146, et, d’autre part, les partisans d’une interprétation large fondée sur le libellé de l’article 82, §1.
La portée de cette clarification dépasse les seules violations du droit d’accès : toute violation d’une disposition du RGPD — droit à l’effacement, droit à la limitation, droit à la portabilité, droit d’opposition, obligations d’information — peut désormais fonder un droit à réparation au titre de l’article 82, §1, dès lors que la personne concernée établit avoir subi un dommage matériel ou moral en lien de causalité avec cette violation, sans qu’il soit nécessaire de démontrer l’existence d’un traitement illicite distinct.
2. LA NEUTRALISATION DE L’ABUS DE DROIT PAR LA RUPTURE CAUSALE
La théorie de la rupture du lien de causalité développée aux §§ 64-66 de l’arrêt représente l’une des constructions doctrinales les plus originales de la jurisprudence RGPD. En choisissant la voie de la neutralisation causale — plutôt que celle de la sanction comportementale par déchéance du droit à réparation — la Cour adopte une technique qui présente plusieurs avantages :
—-Elle ne nie pas la violation du RGPD commise par le responsable du traitement (qui a effectivement refusé de répondre à une demande d’accès valide sur le plan formel) ; elle en prive seulement la personne abusive de toute réparation ;
—-Elle maintient la cohérence avec le système de responsabilité civile classique, où le comportement fautif de la victime interrompt le cours normal de la causalité ;
—-Elle évite tout effet dissuasif sur l’exercice légitime du droit d’accès, en concentrant la sanction sur le seul comportement artificiellement créateur de dommage.
Cette approche est directement inspirée de la jurisprudence sur la responsabilité extracontractuelle de l’Union (WS e.a./Frontex, C-679/23 P, ECLI:EU:C:2025:976, points 151-152), dont la Cour transpose le raisonnement au contentieux horizontal entre responsable du traitement et personne concernée.
PREUVE
1. LES STANDARDS DE PREUVE APPLICABLES
L’arrêt C-526/24 établit un régime probatoire clair et équilibré pour les litiges relatifs à l’abus du droit d’accès :
—-La charge de la preuve du caractère excessif incombe intégralement au responsable du traitement (article 12, §5, second alinéa, du RGPD) ;
—-Le standard de preuve est élevé : la démonstration doit être réalisée « de façon non équivoque » (§ 41 de l’arrêt), ce qui exclut toute présomption ou toute preuve par simple vraisemblance ;
—-Les informations publiques sur le comportement systémique de la personne concernée sont recevables comme indice, mais ne suffisent pas à elles seules ; elles doivent être corroborées par d’autres éléments tirés de l’espèce (§ 43 de l’arrêt).
2. LE RÔLE DE LA JURIDICTION NATIONALE
La Cour précise que « il incombe à la juridiction de renvoi de vérifier si, compte tenu de l’ensemble des circonstances pertinentes, Brillen Rottler a établi l’existence d’une intention abusive de la part de TC » (§ 44 de l’arrêt). Ce faisant, elle confie aux juridictions nationales un pouvoir souverain d’appréciation des faits, qu’elle n’exerce pas elle-même, tout en leur fournissant un cadre d’analyse précis et exhaustif. La juridiction nationale devra notamment apprécier :
—-Si les données ont été fournies sans contrainte (§ 42) ;
—-Quel était le but déclaré ou implicite de leur fourniture (§ 42) ;
—-Si le délai de treize jours entre l’inscription et la demande d’accès est significatif (§ 42) ;
—-Si les informations publiques sur le comportement de TC sont corroborées par d’autres éléments pertinents (§ 43).
HARMONISATION DU DROIT DE L’UNION
L’arrêt C-526/24 contribue significativement à l’harmonisation du droit des États membres en matière de protection des données. Il met fin aux divergences jurisprudentielles nationales — particulièrement prononcées en Allemagne et en Autriche — sur deux questions fondamentales : la définition du caractère excessif d’une demande d’accès et la portée du droit à réparation de l’article 82. Cette harmonisation est d’autant plus nécessaire que le phénomène du DSAR farming a une dimension transfrontière : dans l’affaire en cause, la personne concernée résidait en Autriche et avait adressé sa demande à une entreprise allemande, ce qui illustre la nécessité d’une réponse juridique uniforme à l’échelle de l’Union.
La portée de l’arrêt est également significative pour les entreprises opérant dans l’espace numérique européen : les services de newsletter, les plateformes de commerce en ligne et, plus généralement, tout responsable du traitement qui collecte des données dans le cadre d’une relation commerciale ou d’un abonnement devra désormais intégrer dans sa politique de gestion des demandes d’accès (DSAR policy) les critères dégagés par la Cour pour identifier et documenter les demandes potentiellement abusives.
COMPORTEMENT
1. L’IMPACT SUR LE PHÉNOMÈNE DSAR FARMING
L’arrêt constitue un signal fort à l’encontre des pratiques de prédation juridique exploitant le RGPD comme instrument de profit. En légitimant le refus d’une première demande d’accès lorsqu’elle s’inscrit dans un schéma artificiel de création des conditions d’une réparation, la Cour dissuade les comportements stratégiquement abusifs sans pour autant priver les personnes concernées légitimes de la protection effective de leurs droits. On peut anticiper que cette jurisprudence réduira significativement le volume des litiges issus du DSAR farming dans les États membres, notamment en Allemagne et en Autriche où le phénomène était le plus développé.
2. LES OBLIGATIONS ACCRUES POUR LES RESPONSABLES DU TRAITEMENT
Paradoxalement, si l’arrêt offre aux responsables du traitement un outil défensif contre les abus, il leur impose également des obligations de documentation accrues : pour pouvoir se prévaloir valablement de l’exception de l’article 12, §5, ils devront constituer et conserver un dossier probatoire incluant les informations publiques sur le comportement systémique de la personne concernée, les circonstances de la fourniture des données, le délai entre fourniture et demande d’accès, et tout autre élément corroborant l’intention abusive.
CONTEXTUALISATION DANS LE PRISME DES JURISPRUDENCES POSTÉRIEURES
La portée de l’arrêt C-526/24 doit être appréciée en tenant compte du dialogue jurisprudentiel qu’il entretient avec les développements contemporains et postérieurs. L’arrêt Österreichische Datenschutzbehörde — Demandes excessives (C-416/23, 9 janvier 2025) avait tracé la voie en matière d’abus du droit de réclamation auprès des autorités de contrôle ; C-526/24 transpose ce raisonnement au contentieux horizontal entre responsables du traitement et personnes concernées, créant ainsi une cohérence systémique dans l’ensemble du dispositif RGPD. L’affaire C-205/25 (Bayerisches Landesamt für Datenschutzaufsicht), dont les conclusions ont été présentées le 16 avril 2026 par l’avocat général, soulève des questions proches en ce qui concerne les limitations du droit d’accès au dossier des autorités de contrôle au titre de l’article 23 du RGPD, et sera l’occasion pour la Cour de compléter cet édifice. À terme, l’ensemble de ces décisions contribue à l’émergence d’un droit de l’accès aux données cohérent et équilibré, qui garantit simultanément la transparence des traitements et la loyauté de l’exercice des droits que le RGPD confère aux personnes concernées.
L’affaire C-526/24 Brillen Rottler GmbH & Co. KG contre TC est un arrêt de renvoi préjudiciel rendu le 19 mars 2026 par la quatrième chambre de la Cour de justice, en réponse à huit questions posées par l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg, Allemagne). Le litige au principal opposait une entreprise familiale d’optique établie à Arnsberg à un particulier autrichien qui, treize jours après son inscription volontaire à la lettre d’information commerciale de cette entreprise, avait formulé une demande d’accès à ses données personnelles au titre de l’article 15 du RGPD, puis, face au refus de l’entreprise, réclamé une indemnisation de 1 000 euros pour dommage moral sur le fondement de l’article 82 du même règlement ; l’entreprise soutenait disposer d’informations accessibles au public attestant d’un comportement systématique et abusif de ce particulier, consistant à s’inscrire délibérément à des services de diverses entreprises pour déclencher des demandes d’accès suivies de réclamations d’indemnisation, et la Cour répond sur trois points essentiels d’une portée excédant très largement les faits de l’espèce.
17.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN – Avocat DPO