La CJUE était saisie de trois questions préjudicielles portant sur l’interprétation de l’article 57, paragraphe 4, et de l’article 77, paragraphe 1, du RGPD.
La problématique centrale concernait les notions de “demande” et de “demande excessive” au sens du RGPD et les mesures que les autorités de contrôle peuvent adopter à cet égard, notamment lorsqu’elles sont confrontées à un nombre élevé de réclamations de la part d’une même personne.
La juridiction de renvoi autrichienne interrogeait la Cour sur l’inclusion des “réclamations” dans la notion de “demandes”, la qualification de demandes “excessives” sur la seule base de leur volume, et la liberté de choix des autorités de contrôle entre exiger des frais raisonnables ou refuser de traiter ces demandes.
La première question posée par le Verwaltungsgerichtshof (Cour administrative) autrichienne dans l’affaire C-416/23 portait sur l’interprétation de la notion de “demande” figurant à l’article 57, paragraphe 4, du RGPD. Cette question visait à déterminer si cette notion inclut également les “réclamations” introduites en vertu de l’article 77, paragraphe 1, du RGPD. La CJUE a répondu par l’affirmative, en recourant à une analyse articulée autour des dimensions textuelle, contextuelle, et téléologique.
I. Fondements textuels : une interprétation extensive de la notion de “demande”
L’article 57, paragraphe 4, permet aux autorités de contrôle de refuser une demande ou d’exiger des frais si celle-ci est manifestement infondée ou excessive. Cependant, le texte ne définit pas précisément ce qu’entend le RGPD par “demande”. La Cour a suivi une logique textuelle en explorant le sens courant de ce terme. Selon elle, la notion de “demande” est suffisamment large dans son acception naturelle pour inclure les réclamations prévues par l’article 77, paragraphe 1, du RGPD.
L’analyse textuelle de la Cour repose sur deux observations principales :
1. Premièrement, le mot “demande”, dans son usage quotidien, couvre tout type de sollicitation adressée à une autorité. En s’appuyant sur cette généralité, la CJUE a pu établir que le terme “demande” n’exclut pas les réclamations.
2. Deuxièmement, aucune disposition du RGPD n’établit une distinction stricte entre les demandes d’information (article 57, paragraphe 1, sous e)) et les réclamations (article 57, paragraphe 1, sous f)). La CJUE en conclut que l’interprétation littérale autorise leur assimilation.
L’approche textuelle de la Cour manque parfois de nuance. Bien que le terme “demande” puisse être compris dans un sens large, aucune analyse n’est fournie sur les implications pratiques de cette inclusion. Par ailleurs, en négligeant la distinction fonctionnelle entre une “demande d’information” et une “réclamation” qui vise un redressement en cas de violation des droits, la Cour risque de brouiller les lignes entre deux mécanismes procéduraux distincts dans leur objet et leur portée.
II. Analyse contextuelle : les missions des autorités encadrées par le RGPD
La Cour a ensuite placé cette interprétation dans le contexte plus large des missions des autorités de contrôle, définies à l’article 57 du RGPD. Ces missions incluent, entre autres, l’obligation de traiter les réclamations (paragraphe 1, sous f)) et de fournir des informations (paragraphe 1, sous e)).
La CJUE a soutenu que :
– D’une part, l’article 57, paragraphe 3, établit un principe de gratuité pour toutes les missions des autorités, sans distinction entre les types de demandes ou réclamations.
– D’autre part, l’article 57, paragraphe 4, prévoit une dérogation générale à ce principe en cas de demandes manifestement infondées ou excessives. Cette dérogation doit logiquement couvrir toutes les activités des autorités, y compris le traitement des réclamations.
De plus, la Cour a insisté sur le rôle central des réclamations dans les missions des autorités de contrôle. En rejeter l’inclusion dans le champ d’application de l’article 57, paragraphe 4, priverait cette disposition d’une grande partie de son effet utile. La CJUE observe que permettre aux autorités de contrôler les réclamations manifestement infondées ou excessives garantit une meilleure allocation des ressources administratives, et donc, la protection globale des droits.
L’argument contextuel de la Cour repose sur une interprétation téléologique très large de l’article 57, paragraphe 4. Toutefois, cette extension risque de causer des déséquilibres, notamment parce que les réclamations relèvent d’un droit de recours. En les soumettant aux mêmes restrictions que des “demandes” plus ordinaires, la Cour pourrait encourager des pratiques administratives dissuasives, en contradiction avec le principe de gratuité et les objectifs du RGPD.
III. Objectif téléologique : concilier protection des données et efficacité administrative
Sur le plan téléologique, la CJUE a souligné que le RGPD vise à garantir un niveau élevé et cohérent de protection des données à travers l’Union européenne. Cependant, la Cour a également mis l’accent sur la nécessité de préserver l’efficacité des autorités de contrôle. Selon elle, permettre aux autorités de filtrer les réclamations manifestement infondées ou excessives constitue un mécanisme essentiel pour éviter qu’une surcharge de travail injustifiée ne compromette la protection effective des droits.
La Cour s’appuie également sur les garanties procédurales prévues par le RGPD pour modérer les possibles abus de pouvoir par les autorités. Elle rappelle que :
1. L’autorité de contrôle doit démontrer que la demande ou réclamation est manifestement infondée ou excessive.
2. La décision de refuser une réclamation ou d’exiger des frais peut faire l’objet d’un contrôle juridictionnel effectif (article 78, paragraphe 1).
En outre, la CJUE souligne que la possibilité d’exiger des frais ou de refuser une réclamation excessive ne doit être utilisée qu’en dernier ressort. Cela garantit que ce mécanisme reste une exception et ne devienne pas un outil généralisé pour limiter le droit de réclamation.
Bien que cet équilibre soit défendable, il reste difficile à mettre en œuvre, notamment en raison des imprécisions dans la définition des critères d'”excessivité”. En outre, la charge de la preuve imposée aux autorités de contrôle peut être lourde à porter, ce qui pourrait limiter leur recours effectif à l’article 57, paragraphe 4. La surprotection des autorités pourrait aussi engendrer une limitation des droits fondamentaux des citoyens, notamment dans les cas où les conditions d'”abus” ou de “manifestation infondée” seraient interprétées de manière trop souple.
Conclusion : une interprétation justifiable mais à nuancer
La réponse affirmative de la CJUE à la première question préjudicielle reflète une approche pragmatique visant à protéger les capacités opérationnelles des autorités de contrôle tout en respectant les droits fondamentaux de protection des données. Cependant, l’intégration des réclamations dans le champ des “demandes” au sens de l’article 57, paragraphe 4, alourdit potentiellement les contraintes procédurales sur les individus souhaitant exercer leurs droits.
Cette décision appelle à une vigilance accrue sur la mise en œuvre pratique de ces notions. Si la CJUE tente de concilier efficacité administrative et droits fondamentaux, elle laisse plusieurs zones d’ombre, notamment sur les critères permettant de qualifier une réclamation de manifestement infondée ou excessive. Au final, cette interprétation pourrait requérir des ajustements par le Comité Européen de la Protection des Données (EDPB) ou le législateur européen pour éviter des applications divergentes à travers l’Union.
La deuxième question préjudicielle soumise par le Verwaltungsgerichtshof (Autriche) portait sur les critères permettant de qualifier une demande comme “excessive” au sens de l’article 57, paragraphe 4, du RGPD. La juridiction européenne était appelée à déterminer si le simple fait qu’une personne ait introduit un grand nombre de demandes suffisait à établir leur caractère excessif, ou si une telle qualification nécessitait également la preuve d’une intention abusive.
Dans sa décision, la CJUE a répondu de manière nuancée et élaborée, opérant un équilibre entre la protection des droits individuels et les limites posées par les contraintes administratives des autorités de contrôle. Cette analyse critique vise à examiner en profondeur les motifs invoqués par la Cour, ainsi que leur pertinence et leurs implications.
I. L’analyse textuelle : les limites du critère du nombre
La CJUE commence par une analyse littérale de l’article 57, paragraphe 4, du RGPD. Elle constate que cette disposition mentionne explicitement le “caractère répétitif” comme exemple de demandes pouvant être qualifiées d’excessives. Toutefois, elle note que le texte ne formule pas clairement si ce caractère répétitif, ou le simple fait qu’un grand nombre de demandes soient introduites, suffit à fonder une telle qualification.
La Cour rappelle que le terme “excessif”, dans son acception habituelle, renvoie à une notion de disproportion ou de dépassement des limites raisonnables. Cela implique qu’une demande ne saurait être qualifiée ainsi que si elle excède des standards ordinaires ou raisonnables. Par conséquent, dans une interprétation littérale stricte, le critère du seul nombre ne peut pas suffire à qualifier une demande d’excessive.
L’approche textuelle adoptée par la Cour est judicieuse pour éviter une lecture restrictive et automatisée de l’article 57, paragraphe 4. Cependant, en limitant le critère d’excessivité à une analyse qualitative, la décision laisse les autorités de contrôle dans une incertitude interprétative concernant la gestion des cas où le nombre des demandes est objectivement problématique, mais où aucune intention abusive ne peut être facilement démontrée.
II. L’exigence contextuelle et téléologique d’une intention abusive
En s’appuyant sur une interprétation contextuelle et téléologique, la CJUE affirme que l’article 57, paragraphe 4, doit être appliqué comme une exception strictement encadrée, conformément aux objectifs du RGPD. Elle précise que cette disposition ne peut être utilisée pour restreindre arbitrairement le droit d’introduire une réclamation, garanti par l’article 77, paragraphe 1, du RGPD.
La Cour introduit donc une condition essentielle : pour qu’une demande soit qualifiée d’excessive, il est nécessaire de démontrer une intention abusive de la part de la personne concernée. Selon la CJUE, cette intention peut être reconnue lorsqu’une personne utilise le mécanisme de réclamation à des fins étrangères à la protection des droits garantis par le RGPD, par exemple pour entraver le fonctionnement normal de l’autorité de contrôle.
La Cour insiste sur le fait que le nombre élevé de réclamations ne constitue qu’un indice de l’excessivité d’une demande. Ce volume doit être corrélé à d’autres éléments, tels que la finalité poursuivie par le requérant ou le contenu des demandes, afin de démontrer une intention abusive.
L’exigence d’une intention abusive reflète une volonté de la Cour de ne pas compromettre l’accès au droit de réclamation. Cependant, ce critère est difficile à établir en pratique, notamment en raison de la charge de la preuve qu’il impose aux autorités de contrôle. Cette exigence pourrait limiter leur capacité à invoquer l’article 57, paragraphe 4, dans des situations où les demandes, bien que objectivement répétitives ou nombreuses, ne présentent pas de preuve manifeste d’un comportement abusif.
III. Les implications des garanties procédurales
La Cour souligne que l’interprétation stricte de l’article 57, paragraphe 4, est compensée par des garanties procédurales robustes, destinées à protéger les droits des individus tout en préservant la bonne gestion des autorités. Premièrement, il incombe à l’autorité de contrôle de démontrer le caractère manifestement infondé ou excessif d’une demande ou série de demandes. Deuxièmement, toute décision de refuser le traitement d’une demande ou d’exiger des frais peut faire l’objet d’un recours juridictionnel effectif, conformément à l’article 78 du RGPD.
La Cour rappelle également que les États membres ont une obligation, en vertu de l’article 52, paragraphe 4, du RGPD, de fournir aux autorités de contrôle les ressources humaines et financières nécessaires pour traiter efficacement les réclamations. Cela implique logiquement que les autorités ne peuvent invoquer des limitations budgétaires pour justifier des refus systématiques ou abusifs.
Les garanties procédurales énoncées par la Cour renforcent la légitimité de son raisonnement, mais elles soulèvent également des défis pratiques. La charge probatoire qui pèse sur les autorités peut constituer un obstacle significatif à une application effective de l’article 57, paragraphe 4, dans des contextes où le caractère abusif des demandes repose sur des indices indirects ou sur une accumulation de comportements perturbateurs.
IV. La mise en balance des intérêts en présence
La décision de la CJUE met en lumière une tension structurelle entre, d’une part, le droit fondamental des individus à exercer un recours effectif, et, d’autre part, la nécessité de protéger les ressources opérationnelles des autorités de contrôle contre des abus potentiels.
En exigeant la démonstration d’une intention abusive, la Cour a choisi de privilégier une approche garantiste du droit de réclamation. Cependant, cette approche risque de créer une charge disproportionnée sur les autorités de contrôle, qui pourraient être acculées par des réclamations répétitives sans avoir les moyens d’y faire face rapidement.
Au-delà de cette tension, la décision pourrait avoir des implications pratiques importantes. Notamment, le critère d’intention abusive pourrait conduire à des divergences dans l’application de l’article 57, paragraphe 4, entre les États membres, en l’absence de critères uniformes établis par l’Union européenne ou le Comité Européen de la Protection des Données (CEPD).
V. Conclusion
La CJUE, par sa réponse à la deuxième question préjudicielle, a cherché à établir un cadre équilibré pour l’interprétation de l’article 57, paragraphe 4, du RGPD. Si elle met en avant des critères exigeants pour restreindre les droits des personnes concernées, cette exigence pourrait limiter l’applicabilité pratique de cette disposition, surtout face à des réclamations répétées et volumineuses.
La condition d’une intention abusive, bien qu’elle reflète les principes téléologiques du RGPD, pourrait nécessiter un encadrement plus précis à l’avenir, notamment via des lignes directrices du CEPD. En l’état, la décision de la CJUE souligne l’importance d’un traitement nuancé et proportionné des réclamations, tout en laissant aux juridictions nationales une large marge d’interprétation pour mettre en œuvre les critères établis.
La troisième question préjudicielle soumise par le Verwaltungsgerichtshof (Cour administrative, Autriche) portait sur la liberté de choix conférée aux autorités de contrôle par l’article 57, paragraphe 4, du RGPD. La juridiction nationale sollicitait l’interprétation de cette disposition : une autorité de contrôle peut-elle librement décider d’exiger le paiement de frais raisonnables ou de refuser de traiter une demande manifestement infondée ou excessive ? Cette question était cruciale pour déterminer si la gestion de telles demandes devait nécessairement respecter un principe de proportionnalité et s’appuyer sur des critères objectifs et des justifications spécifiques.
Dans sa décision, la Cour de justice de l’Union européenne (CJUE) a procédé à une analyse dense et nuancée, s’appuyant principalement sur une interprétation littérale, contextuelle et téléologique des termes de cette disposition. La présente analyse approfondie critique les arguments développés par la Cour, tout en soulignant les éventuelles zones d’ombre ou faiblesses qu’elle laisse ouvertes.
I. La structure textuelle de l’article 57, paragraphe 4 : la liberté apparente de choix
La CJUE commence par examiner le libellé de l’article 57, paragraphe 4, du RGPD. Cette disposition énonce que les autorités de contrôle peuvent, en cas de demandes manifestement infondées ou excessives, soit exiger des frais raisonnables, soit refuser de donner suite à ces demandes. Ces deux options sont explicitement séparées par la conjonction “ou”, ce qui, selon la lecture littérale de la Cour, suggère une absence d’ordre de priorité entre les deux mesures. Autrement dit, le texte ne contient aucune indication hiérarchique ou contrainte explicite dictant une préférence entre l’exigence de frais et le refus pur et simple d’intervention.
En attribuant aux autorités une telle latitude, la CJUE semble mettre en lumière la flexibilité offerte par cette disposition. Elle conclut que, en principe, l’article 57, paragraphe 4, accorde aux autorités une liberté de choix quant à la mesure appropriée, à condition toutefois que cette décision soit motivée, proportionnée aux circonstances de l’affaire et conforme aux finalités générales du RGPD.
L’approche textuelle de la CJUE est cohérente, mais elle ouvre la porte à des interprétations divergentes quant à l’application pratique de cette liberté. En insistant sur une absence de hiérarchie textuelle, la Cour omet d’adresser directement des préoccupations telles que le risque d’abus de discrétion par les autorités ou les implications potentielles pour les droits des personnes concernées. En l’absence de balises claires dans le texte, cette latitude pourrait être utilisée de manière restrictive pour décourager certaines réclamations, surtout dans des contextes administratifs contraints.
II. L’interprétation contextuelle et les garanties procédurales
La CJUE replace ensuite l’article 57, paragraphe 4, dans le contexte de l’ensemble des dispositions du RGPD, et notamment de l’article 57, paragraphe 3, qui établit le principe de gratuité pour les missions des autorités de contrôle. En identifiant l’article 57, paragraphe 4, comme une exception à ce principe, la Cour insiste sur la nécessité de le restreindre strictement. Elle souligne que chaque décision prise en vertu de cette disposition doit être dûment motivée, et qu’elle est soumise au contrôle juridictionnel établi par l’article 78 du RGPD.
Pour corroborer cette analyse, la CJUE fait référence au considérant 129 du RGPD, qui impose que les mesures prises par les autorités doivent être appropriées, nécessaires et proportionnées. Ainsi, bien que l’article 57, paragraphe 4, semble offrir une liberté de choix entre les deux options, cette liberté est encadrée par une obligation d’analyse contextuelle et d’évaluation des conséquences proportionnelles. Par exemple, refuser de traiter une demande pourrait représenter une atteinte plus sévère aux droits des individus que d’exiger le paiement de frais raisonnables.
La Cour insiste également sur la finalité des options disponibles dans l’article 57, paragraphe 4 : elles visent à protéger les ressources administratives des autorités tout en veillant à éviter les abus. Toutefois, dans son raisonnement, la CJUE s’abstient d’imposer aux autorités une obligation stricte de recourir prioritairement à la mesure la moins contraignante (exigence de frais), précisant que ce choix demeure situationnel.
L’insistance sur les garanties procédurales et la proportionnalité renforce la cohérence du cadre juridique du RGPD, mais expose en même temps une tension. La liberté laissée aux autorités pourrait être perçue comme un manque de clarté susceptible de conduire à des pratiques hétérogènes au sein de l’Union européenne. Certains États membres pourraient privilégier systématiquement le refus de traitement, tandis que d’autres imposeraient des frais sans justification claire, créant une incertitude pour les personnes concernées.
III. Une interprétation téléologique conciliant protection et efficacité
Sur le plan téléologique, la CJUE rappelle que le RGPD vise à assurer un niveau élevé et cohérent de protection des données dans l’Union européenne, conformément aux considérants 10 et 11. Toutefois, la Cour reconnaît aussi la nécessité de préserver le bon fonctionnement des autorités de contrôle, lesquelles pourraient être paralysées par une gestion inefficace des demandes manifestement infondées ou excessives.
La CJUE souligne que l’article 57, paragraphe 4, doit être appliqué de manière à maintenir cet équilibre entre deux objectifs contradictoires :
1. Garantir les droits fondamentaux des personnes concernées, en évitant des restrictions excessives, notamment pour les individus vulnérables.
2. Préserver les ressources administratives des autorités de contrôle, afin qu’elles puissent continuer à protéger les droits de l’ensemble des citoyens.
Pour atteindre cet équilibre, la Cour propose que le recours à la perception de frais raisonnables soit envisagé en priorité, dans les cas où une telle mesure est possible et où elle atteint les objectifs de gestion administrative sans restreindre de manière excessive les droits des justiciables. Toutefois, elle s’abstient de rendre cette hiérarchie contraignante, laissant aux autorités de contrôle la possibilité d’évaluer au cas par cas la mesure la plus appropriée.
L’approche téléologique de la CJUE est équilibrée, mais elle présente des faiblesses pratiques. En ne définissant pas explicitement des critères uniformes pour guider le choix entre frais et refus, la Cour laisse une large marge d’appréciation qui pourrait engendrer des disparités dans la mise en œuvre au sein des États membres. Une hiérarchisation plus claire, établissant une présomption en faveur de la mesure la moins intrusive (frais), aurait pu renforcer la sécurité juridique et limiter les abus potentiels.
IV. Limites et ambiguïtés de la position adoptée par la CJUE
La décision de la CJUE, bien qu’équilibrée, présente certaines ambiguïtés qui pourraient poser des problèmes dans son application pratique :
– La liberté laissée aux autorités pourrait être perçue comme une forme de discrétion excessive, sans mécanismes opérationnels clairement définis pour en encadrer l’usage.
– L’absence d’une hiérarchie formelle entre les deux options laisse la porte ouverte à des pratiques divergentes, notamment dans les juridictions moins bien dotées où le refus de traitement pourrait devenir systématique.
– La notion de “frais raisonnables” reste elle-même floue et pourrait donner lieu à des abus, notamment si elle est utilisée comme une barrière dissuasive pour limiter l’accès des citoyens à leurs droits.
V. Conclusion
Dans sa réponse à la troisième question préjudicielle, la CJUE a cherché à concilier les exigences d’efficacité administrative des autorités de contrôle avec la protection des droits fondamentaux des personnes concernées. En confirmant la liberté de choix des autorités tout en insistant sur les garanties procédurales et la proportionnalité, elle privilégie une approche pragmatique intégrant le contexte de chaque demande.
Cependant, cette liberté, bien qu’encadrée, génère des incertitudes potentielles en raison de l’absence de critères détaillés ou de hiérarchisation explicite entre les options. Une clarification complémentaire par le Comité Européen de la Protection des Données (CEPD) ou les juridictions nationales pourrait être nécessaire pour garantir une mise en œuvre uniforme et respectueuse des droits dans l’ensemble de l’Union.