CJUE | ARRÊT DU 19 MARS 2026 | C-526/24 | BRILLEN ROTTLER │
UNE DEMANDE D’ACCÈS À SES DONNÉES À CARACTÈRE PERSONNEL PEUT ÊTRE QUALIFIÉE D’ABUSIVE ET REFUSÉE SI ELLE EST INTRODUITE DANS LE SEUL BUT DE DEMANDER ENSUITE UNE RÉPARATION POUR PRÉTENDUE VIOLATION DU RGPD
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I.
De quoi s’agit-il ?
L’affaire C-526/24 est un arrêt rendu le 19 mars 2026 par la Cour de justice de l’Union européenne, dans lequel la Cour apporte des réponses décisives à deux questions qui préoccupent l’ensemble des entreprises depuis plusieurs années : peut-on refuser de répondre à une demande d’accès aux données personnelles si cette demande est manifestement faite de mauvaise foi ? Et dans quelles conditions une entreprise peut-elle être condamnée à verser une indemnisation pour avoir refusé une demande d’accès à ses données ?
Le point de départ est une histoire simple mais révélatrice d’un phénomène croissant. Un particulier autrichien s’inscrit au bulletin d’information d’une petite entreprise d’optique allemande — Brillen Rottler, établie à Arnsberg. Treize jours plus tard seulement, il envoie à l’entreprise une demande d’accès à ses données personnelles. L’entreprise refuse, estimant que cette demande est abusive : selon des informations publiques, ce même individu avait adopté le même comportement avec de nombreuses autres entreprises, en s’inscrivant à leurs services, en demandant l’accès à ses données, puis en réclamant des indemnités lorsque les entreprises ne répondaient pas parfaitement. Il réclamait en l’espèce 1 000 euros de dommages et intérêts. La Cour de justice valide l’approche de Brillen Rottler et précise les règles du jeu pour toutes les entreprises.
II.
Ce que la Cour a décidé, point par point
Sur le droit de refuser une demande abusive. La Cour confirme qu’une entreprise peut refuser de répondre à une demande d’accès aux données personnelles si elle peut démontrer que cette demande n’a pas pour but réel de prendre connaissance du traitement des données, mais a été introduite uniquement pour créer artificiellement les conditions d’une indemnisation. Cette possibilité existe même s’il s’agit de la toute première demande adressée à cette entreprise. Le fait que la personne ait soumis auparavant des demandes similaires à d’autres entreprises, suivi de réclamations d’indemnisation, et que cela soit documenté dans des articles publics ou des bulletins d’avocats, est un indice sérieux que la Cour autorise à prendre en compte. Mais attention : l’entreprise doit être capable de prouver cette intention abusive. Elle ne peut pas se contenter de le supposer.
Sur le droit à réparation pour violation du droit d’accès. La Cour confirme, à l’inverse, qu’une entreprise qui refuse à tort une demande d’accès légitime peut être condamnée à indemniser la personne concernée, même si aucune donnée personnelle n’a été transmise à des tiers ou utilisée de manière illicite. La simple violation de l’obligation de réponse à la demande d’accès peut suffire à ouvrir un droit à réparation, si la personne concernée démontre avoir subi un préjudice réel — comme le fait de ne pas savoir si ses données ont été traitées.
Sur les limites du droit à réparation en cas de comportement abusif. La Cour pose une règle d’équité fondamentale : si la personne concernée a délibérément créé elle-même la situation à l’origine de son préjudice prétendu — en inscrivant ses données à la seule fin de provoquer ensuite un refus d’accès et de toucher une indemnisation — elle ne peut pas obtenir réparation pour la perte de contrôle sur ses données. Son propre comportement a causé le préjudice qu’elle invoque.
III.
Ce que cela change concrètement pour votre entreprise
La première alerte concerne les demandes d’accès reçues très peu de temps après une inscription volontaire (quelques jours, voire quelques semaines), notamment lorsqu’il n’existe aucune relation commerciale développée avec la personne. Un délai très court entre l’inscription et la demande d’accès, combiné à l’absence de toute raison apparente de vouloir vérifier le traitement de ses données, constitue un signal d’alerte justifiant une vérification approfondie avant de répondre.
La deuxième alerte porte sur la réponse aux demandes légitimes. Cet arrêt ne vous autorise pas à négliger les demandes d’accès. Il précise simplement les conditions dans lesquelles un refus peut être justifié. Si votre entreprise ne répond pas dans le délai légal d’un mois à une demande d’accès légitime, vous vous exposez désormais clairement à une condamnation à verser des dommages et intérêts, sans que la personne concernée ait à prouver que ses données ont été mal utilisées. Un registre des demandes d’accès reçues, des réponses apportées et des délais respectés est indispensable.
La troisième alerte concerne la constitution d’un dossier probatoire. Si vous estimez qu’une demande est abusive, ne vous contentez pas de la rejeter verbalement ou de façon succincte. Documentez précisément les raisons de votre refus : le délai entre l’inscription et la demande, les informations publiques disponibles sur le comportement de la personne concernée, et l’absence de toute raison légitime apparente de vouloir accéder à ses données. Ce dossier sera votre principal outil de défense en cas de contentieux.
IV.
Implications pratiques à l’attention des Directions générales et des Directions des ressources humaines
Direction générale. Cet arrêt vous confère une protection juridique nouvelle contre les réclamants professionnels qui utilisent le RGPD comme instrument d’enrichissement. Mais cette protection n’est pas automatique : elle suppose que vous soyez en mesure de prouver l’intention abusive de la personne concernée. Investir dans une procédure de traitement des demandes d’accès documentée et dans la veille sur les comportements suspects est désormais une nécessité opérationnelle, non une simple précaution.
Direction des ressources humaines. Dans le contexte des relations de travail, les demandes d’accès émanant de salariés ou d’anciens salariés constituent un terrain sensible. L’arrêt Brillen Rottler ne s’applique pas directement aux situations de travail, dans lesquelles l’employé a nécessairement fourni ses données dans le cadre de l’exécution du contrat de travail et dispose d’un intérêt légitime évident à vérifier leur traitement. Toute demande d’accès émanant d’un salarié ou d’un ancien salarié doit faire l’objet d’une réponse complète et dans les délais. Le refus, même partiel, doit être soigneusement motivé et documenté pour éviter toute exposition au titre de l’article 82 du RGPD.
Délégué à la protection des données. Votre rôle est double : d’un côté, mettre en place et maintenir un processus de traitement des demandes d’accès conforme et traçable ; de l’autre, développer une capacité de détection précoce des demandes suspectes, sans pour autant tomber dans le piège d’une présomption systématique d’abus qui exposerait l’entreprise à des sanctions de l’autorité de contrôle pour non-respect des droits des personnes concernées.
POINTS ESSENTIELS
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats