À propos de l’arrêt CJUE, 19 mars 2026, C-526/24
🟠Une clarification attendue du cadre du RGPD
Le droit d’accès aux données personnelles, consacré à l’article 15 du RGPD, permet à toute personne concernée d’obtenir des informations sur les traitements mis en œuvre et sur les données la concernant.
Toutefois, l’article 12, §5 du RGPD prévoit que le responsable de traitement peut refuser de répondre à une demande lorsqu’elle est « manifestement infondée ou excessive », sans que ces notions ne soient précisément définies.
Saisie d’un renvoi préjudiciel, la CJUE vient, par l’arrêt Brillen Rottler, préciser les contours de cette faculté de refus.
🟠 Une appréciation au cas par cas encadrée par la charge de la preuve
Dans la continuité de CJUE, 9 janvier 2025, C-416/23, Österreichische Datenschutzbehörde, la Cour rappelle que :
- il appartient au responsable de traitement de démontrer le caractère excessif de la demande ;
- l’appréciation doit être concrète et contextualisée.
La Cour précise qu’une demande est excessive lorsqu’elle excède une mesure « ordinaire ou raisonnable » dans l’exercice du droit d’accès.
🟠 Les indices du caractère excessif
La décision identifie plusieurs éléments susceptibles de caractériser une demande excessive :
- la répétition des demandes, qui constitue un indice, sans être un critère suffisant à lui seul ;
- la multiplication des demandes auprès de différents responsables de traitement ;
- leur articulation avec des demandes indemnitaires systématiques.
La Cour souligne en particulier que le fait pour une personne d’introduire des demandes d’accès suivies de demandes de réparation auprès de plusieurs responsables peut révéler une démarche excessive.
🟠 Le rôle déterminant de la finalité poursuivie
L’apport principal de l’arrêt réside dans l’analyse de la finalité de la demande.
La CJUE considère qu’une demande peut être qualifiée d’excessive lorsque :
- elle ne vise pas à permettre à la personne concernée de prendre connaissance de ses données ;
- mais poursuit exclusivement un objectif indemnitaire.
En l’espèce, la personne concernée s’inscrivait à des services (notamment des newsletters), exerçait immédiatement son droit d’accès, puis introduisait des demandes de réparation.
La Cour valide le refus opposé par le responsable de traitement, estimant que le droit d’accès était
détourné de sa finalité.
🟠 Une articulation délicate avec le droit à réparation
L’arrêt rappelle que le droit à indemnisation, prévu à l’article 82 du RGPD, suppose :
- l’existence d’une violation du RGPD ;
- la preuve d’un préjudice.
Toutefois, la Cour semble intégrer la perspective indemnitaire dans l’analyse du caractère excessif de la demande d’accès, ce qui conduit à rapprocher deux mécanismes pourtant distincts.
🟠 Une solution discutée
La solution retenue appelle plusieurs observations critiques.
D’une part, elle tend à confondre le droit d’accès et le droit à réparation, qui obéissent à des régimes et à des finalités distincts.
D’autre part, l’introduction d’un critère tenant à l’intention de la personne concernée ne ressort pas expressément du texte du RGPD.
Enfin, cette lecture pourrait être perçue comme une atténuation de l’obligation, posée à l’article 12, §2, de faciliter l’exercice des droits.
🟠 Conclusion
Par cet arrêt, la CJUE encadre les usages abusifs du droit d’accès en consacrant une approche fondée sur la finalité de la demande.
Si cette solution permet de limiter certaines stratégies contentieuses, elle introduit également une zone d’incertitudequant à la frontière entre exercice légitime du droit d’accès et demande excessive.
L’enjeu sera désormais, pour les responsables de traitement comme pour les juridictions, de manier cette notion avec prudence afin de ne pas porter atteinte à l’effectivité des droits garantis par le RGPD.