1.1. L’arrêt rendu par la Cour de justice de l’Union européenne (CJUE) le 9 janvier 2025, dans l’affaire C-416/23, traite de l’interprétation de l’article 57, paragraphe 4, et de l’article 77, paragraphe 1, du Règlement Général sur la Protection des Données (RGPD). Cette affaire se concentre sur les notions de “demandes manifestement infondées ou excessives” et leur articulation avec les missions des autorités de contrôle.
1.2. Le litige au cœur de cette affaire oppose M. F R, une personne physique, à l’Österreichische Datenschutzbehörde (DSB), l’autorité autrichienne de protection des données (APD). M. F R avait introduit une réclamation auprès de la DSB, arguant que son droit d’accès, garanti par l’article 15 du RGPD, avait été violé par un responsable de traitement.
1.3. La DSB, invoquant l’article 57, paragraphe 4, du RGPD, avait refusé de traiter cette réclamation, arguant qu’elle était excessive. L’intéressé avait en effet introduit 77 réclamations similaires dans un intervalle de 20 mois contre divers responsables de traitement. Ce refus avait conduit à un recours devant les juridictions autrichiennes, lesquelles ont saisi la CJUE pour des éclaircissements sur l’interprétation des dispositions invoquées.
2. Questions Préjudicielles Posées par la Juridiction de Renvoi
2.1. Première question : L’article 57, paragraphe 4, du RGPD, qui mentionne la notion de “demande”, inclut-il également les “réclamations” prévues par l’article 77, paragraphe 1, du RGPD ?
2.2. Deuxième question : Le simple fait qu’une personne introduise un grand nombre de demandes peut-il suffire à les qualifier d’”excessives”, ou faut-il en outre prouver une intention abusive de la part du demandeur ?
2.3. Troisième question : Lorsque des demandes sont considérées comme “manifestement infondées ou excessives”, l’autorité de contrôle peut-elle choisir librement entre exiger un “paiement de frais raisonnables” ou “refuser de donner suite”, ou ce choix doit-il être guidé par des critères spécifiques ?
3. Analyse Juridique et Réponses de la CJUE
3.1. Sur la première question : Inclusion des réclamations dans la notion de “demandes”
3.1.1. La Cour considère que les réclamations introduites en vertu de l’article 77, paragraphe 1, relèvent bien de la notion de “demandes” au sens de l’article 57, paragraphe 4. Pour ce faire, elle s’appuie sur une analyse littérale, contextuelle et téléologique.
3.1.2. La notion de “demande” étant interprétée largement dans le langage commun, la Cour estime qu’elle couvre toute sollicitation adressée à une autorité de contrôle, y compris les réclamations visant à faire respecter les droits des personnes concernées.
3.1.3. Contexte juridique : L’article 57, paragraphe 4, constitue une exception au principe de gratuité des missions des autorités de contrôle établi à l’article 57, paragraphe 3. L’inclusion des réclamations dans cette exception vise à permettre aux autorités de contrôle de gérer efficacement leurs ressources face à des sollicitations manifestement abusives.
3.1.4. La Cour souligne que l’objectif du RGPD — garantir un niveau élevé de protection des données personnelles — reste compatible avec cette interprétation. L’exercice abusif du droit de réclamation pourrait entraver le bon fonctionnement des autorités de contrôle, compromettant ainsi leur capacité à protéger efficacement les droits des personnes.
3.2. Sur la deuxième question : Critères de qualification d’une demande comme “excessive”
3.2.1. Interprétation de la notion d’”excessivité” :
La CJUE affirme que l’excès ne peut être déduit du seul nombre de demandes introduites. Une demande ne peut être qualifiée d’excessive qu’en cas de comportement abusif, lequel implique une finalité détournée, étrangère à la protection des droits garantis par le RGPD.
3.2.2. Caractère répétitif : Si une demande répétitive peut constituer un indice d’excessivité, elle ne suffit pas à elle seule. L’autorité de contrôle doit démontrer une intention abusive, par exemple lorsque le but du demandeur est de perturber le fonctionnement de l’autorité.
3.2.3. Encadrement stricte de l’abus de droit :
La Cour rappelle que l’utilisation abusive des mécanismes du droit de l’Union, notamment en multipliant les réclamations sans nécessité légitime, n’est pas tolérée. Cependant, l’autorité de contrôle doit toujours justifier sa décision avec des preuves adéquates et objectives.
3.3. Sur la troisième question : Liberté de choix entre frais ou rejet de la demande
3.3.1. La CJUE indique que l’autorité de contrôle peut choisir librement entre demander le paiement de frais raisonnables ou refuser de traiter une demande manifestement infondée ou excessive. Ce choix doit toutefois être fondé sur des critères de proportionnalité, nécessité et adéquation.
3.3.2. Hiérarchisation des options : Bien que l’article 57, paragraphe 4, n’établisse pas de hiérarchie formelle entre les deux options, la Cour considère qu’exiger des frais raisonnables est généralement moins contraignant pour les droits de la personne concernée que de refuser directement le traitement de la demande.
3.3.3. Motivation de la décision : L’autorité doit motiver sa décision, en tenant compte de la nature de la demande et des circonstances spécifiques, pour garantir que ses choix respectent un juste équilibre entre la protection des droits individuels et ses capacités administratives.
4. Conclusion et Dispositif de l’Arrêt
4.1. Réponse à la première question : L’article 57, paragraphe 4, du RGPD couvre les réclamations introduites en vertu de l’article 77, paragraphe 1. Les autorités de contrôle peuvent donc invoquer ce cadre pour rejeter des réclamations infondées ou excessives.
4.2. Réponse à la deuxième question : Une demande ne peut être qualifiée d’excessive uniquement en raison de son nombre. L’autorité doit prouver l’existence d’une intention abusive.
4.3. Réponse à la troisième question : Les autorités de contrôle peuvent librement choisir entre exiger des frais raisonnables ou refuser une demande excessive, à condition que cette décision soit motivée et proportionnée.
4.4. Portée de la décision : Cet arrêt équilibre les impératifs de protection des droits individuels et la gestion des ressources des autorités de contrôle, en renforçant les exigences de justification pour éviter tout abus ou dévoiement du RGPD.
En conclusion, cet arrêt illustre l’effort constant de la CJUE pour harmoniser l’interprétation du RGPD tout en recherchant un point d’équilibre entre l’exercice des droits des personnes concernées et l’efficacité opérationnelle des autorités compétentes. L’analyse approfondie des notions de “demande excessive” et d'”abus de droit” renforce la cohérence et la prévisibilité du système de protection des données dans l’Union européenne.