CJUE | ARRÊT DU 19 MARS 2026 | C-526/24 | BRILLEN ROTTLER │
DSAR FARMING & ABUS DU DROIT D’ACCES AUX DONNEES PERSONNELLES
UNE DEMANDE D’ACCÈS À SES DONNÉES À CARACTÈRE PERSONNEL POURRAIT ÊTRE QUALIFIÉE D’ABUSIVE ET REFUSÉE SI ET SEULEMENT SI LE RESPONSABLE DE TRAITEMENT EST EN MESURE DE DÉMONTRER, SANS NUL DOUTE POSSIBLE, QUE CETTE DEMANDE A ÉTÉ INTRODUITE DANS LE SEUL BUT D’OBTENIR DES DOMMAGES-INTÉRÊTS EN CAS DE DÉFAILLANCE
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I.
De quoi s’agit-il ?
L’affaire C-526/24 est un arrêt rendu le 19 mars 2026 par la Cour de justice de l’Union européenne, dans lequel la Cour apporte des réponses décisives à deux questions qui préoccupent l’ensemble des entreprises depuis plusieurs années : peut-on refuser de répondre à une demande d’accès aux données personnelles si cette demande est manifestement faite de mauvaise foi ? Et dans quelles conditions une entreprise peut-elle être condamnée à verser une indemnisation pour avoir refusé une demande d’accès à ses données ?
Le point de départ est une histoire simple mais révélatrice d’un phénomène croissant. Un particulier autrichien s’inscrit au bulletin d’information d’une petite entreprise d’optique allemande — Brillen Rottler, établie à Arnsberg. Treize jours plus tard seulement, il envoie à l’entreprise une demande d’accès à ses données personnelles. L’entreprise refuse, estimant que cette demande est abusive : selon des informations publiques, ce même individu avait adopté le même comportement avec de nombreuses autres entreprises, en s’inscrivant à leurs services, en demandant l’accès à ses données, puis en réclamant des indemnités lorsque les entreprises ne répondaient pas parfaitement. Il réclamait en l’espèce 1 000 euros de dommages et intérêts. La Cour de justice valide l’approche de Brillen Rottler et précise les règles du jeu pour toutes les entreprises.
II.
Ce que la Cour a décidé, point par point
Sur le droit de refuser une demande abusive. La Cour confirme qu’une entreprise peut refuser de répondre à une demande d’accès aux données personnelles si elle peut démontrer que cette demande n’a pas pour but réel de prendre connaissance du traitement des données, mais a été introduite uniquement pour créer artificiellement les conditions d’une indemnisation. Cette possibilité existe même s’il s’agit de la toute première demande adressée à cette entreprise. Le fait que la personne ait soumis auparavant des demandes similaires à d’autres entreprises, suivi de réclamations d’indemnisation, et que cela soit documenté dans des articles publics ou des bulletins d’avocats, est un indice sérieux que la Cour autorise à prendre en compte. Mais attention : l’entreprise doit être capable de prouver cette intention abusive. Elle ne peut pas se contenter de le supposer.
Sur le droit à réparation pour violation du droit d’accès. La Cour confirme, à l’inverse, qu’une entreprise qui refuse à tort une demande d’accès légitime peut être condamnée à indemniser la personne concernée, même si aucune donnée personnelle n’a été transmise à des tiers ou utilisée de manière illicite. La simple violation de l’obligation de réponse à la demande d’accès peut suffire à ouvrir un droit à réparation, si la personne concernée démontre avoir subi un préjudice réel — comme le fait de ne pas savoir si ses données ont été traitées.
Sur les limites du droit à réparation en cas de comportement abusif. La Cour pose une règle d’équité fondamentale : si la personne concernée a délibérément créé elle-même la situation à l’origine de son préjudice prétendu — en inscrivant ses données à la seule fin de provoquer ensuite un refus d’accès et de toucher une indemnisation — elle ne peut pas obtenir réparation pour la perte de contrôle sur ses données. Son propre comportement a causé le préjudice qu’elle invoque.
III.
Ce que cela change concrètement pour votre entreprise
La première alerte concerne les demandes d’accès reçues très peu de temps après une inscription volontaire (quelques jours, voire quelques semaines), notamment lorsqu’il n’existe aucune relation commerciale développée avec la personne. Un délai très court entre l’inscription et la demande d’accès, combiné à l’absence de toute raison apparente de vouloir vérifier le traitement de ses données, constitue un signal d’alerte justifiant une vérification approfondie avant de répondre.
La deuxième alerte porte sur la réponse aux demandes légitimes. Cet arrêt ne vous autorise pas à négliger les demandes d’accès. Il précise simplement les conditions dans lesquelles un refus peut être justifié. Si votre entreprise ne répond pas dans le délai légal d’un mois à une demande d’accès légitime, vous vous exposez désormais clairement à une condamnation à verser des dommages et intérêts, sans que la personne concernée ait à prouver que ses données ont été mal utilisées. Un registre des demandes d’accès reçues, des réponses apportées et des délais respectés est indispensable.
La troisième alerte concerne la constitution d’un dossier probatoire. Si vous estimez qu’une demande est abusive, ne vous contentez pas de la rejeter verbalement ou de façon succincte. Documentez précisément les raisons de votre refus : le délai entre l’inscription et la demande, les informations publiques disponibles sur le comportement de la personne concernée, et l’absence de toute raison légitime apparente de vouloir accéder à ses données. Ce dossier sera votre principal outil de défense en cas de contentieux.
IV.
Implications pratiques à l’attention des Directions générales et des Directions des ressources humaines
Direction générale. Cet arrêt vous confère une protection juridique nouvelle contre les réclamants professionnels qui utilisent le RGPD comme instrument d’enrichissement. Mais cette protection n’est pas automatique : elle suppose que vous soyez en mesure de prouver l’intention abusive de la personne concernée. Investir dans une procédure de traitement des demandes d’accès documentée et dans la veille sur les comportements suspects est désormais une nécessité opérationnelle, non une simple précaution.
Direction des ressources humaines. Dans le contexte des relations de travail, les demandes d’accès émanant de salariés ou d’anciens salariés constituent un terrain sensible. L’arrêt Brillen Rottler ne s’applique pas directement aux situations de travail, dans lesquelles l’employé a nécessairement fourni ses données dans le cadre de l’exécution du contrat de travail et dispose d’un intérêt légitime évident à vérifier leur traitement. Toute demande d’accès émanant d’un salarié ou d’un ancien salarié doit faire l’objet d’une réponse complète et dans les délais. Le refus, même partiel, doit être soigneusement motivé et documenté pour éviter toute exposition au titre de l’article 82 du RGPD.
Délégué à la protection des données. Votre rôle est double : d’un côté, mettre en place et maintenir un processus de traitement des demandes d’accès conforme et traçable ; de l’autre, développer une capacité de détection précoce des demandes suspectes, sans pour autant tomber dans le piège d’une présomption systématique d’abus qui exposerait l’entreprise à des sanctions de l’autorité de contrôle pour non-respect des droits des personnes concernées.
POINTS ESSENTIELS
L’affaire C-526/24 Brillen Rottler GmbH & Co. KG contre TC est un arrêt de renvoi préjudiciel rendu le 19 mars 2026 par la quatrième chambre de la Cour de justice, en réponse à huit questions posées par l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg, Allemagne).
Le litige au principal opposait une entreprise familiale d’optique établie à Arnsberg à un particulier autrichien qui, treize jours après son inscription volontaire à la lettre d’information commerciale de cette entreprise, avait formulé une demande d’accès à ses données personnelles au titre de l’article 15 du RGPD, puis, face au refus de l’entreprise, réclamé une indemnisation de 1 000 euros pour dommage moral sur le fondement de l’article 82 du même règlement ;
L’entreprise soutenait disposer d’informations accessibles au public attestant d’un comportement systématique et abusif de ce particulier, consistant à s’inscrire délibérément à des services de diverses entreprises pour déclencher des demandes d’accès suivies de réclamations d’indemnisation, et la Cour répond sur trois points essentiels d’une portée excédant très largement les faits de l’espèce.
Le raisonnement de la Cour parvient à un équilibre jurisprudentiel remarquable qui protège simultanément les responsables du traitement contre les abus du droit d’accès utilisé comme levier d’enrichissement artificiel et les personnes concernées légitimes dont le droit d’accès est illicitement violé ;
Cette jurisprudence s’inscrit dans la continuité de l’arrêt Österreichische Datenschutzbehörde — Demandes excessives (C-416/23, 9 janvier 2025) et de l’arrêt Agentsia po vpisvaniyata (C-200/23, 4 octobre 2024), tout en y ajoutant la théorie de la rupture du lien de causalité, empruntée par analogie à la jurisprudence sur la responsabilité extracontractuelle de l’Union (WS e.a. — Frontex, C-679/23 P, 18 décembre 2025), et appelle pour les délégués à la protection des données et les directions juridiques des entreprises une double vigilance : renforcer les dispositifs de détection et de documentation des demandes abusives, et garantir que les demandes légitimes reçoivent toujours une réponse complète et dans les délais prescrits par le règlement.
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats