CJUE | ARRÊT DU 19 MARS 2026 | C-526/24 | BRILLEN ROTTLER
POINTS ESSENTIELS
L’affaire C-526/24 Brillen Rottler GmbH & Co. KG contre TC est un arrêt de renvoi préjudiciel rendu le 19 mars 2026 par la quatrième chambre de la Cour de justice, en réponse à huit questions posées par l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg, Allemagne).
Le litige au principal opposait une entreprise familiale d’optique établie à Arnsberg à un particulier autrichien qui, treize jours après son inscription volontaire à la lettre d’information commerciale de cette entreprise, avait formulé une demande d’accès à ses données personnelles au titre de l’article 15 du RGPD, puis, face au refus de l’entreprise, réclamé une indemnisation de 1 000 euros pour dommage moral sur le fondement de l’article 82 du même règlement ;
L’entreprise soutenait disposer d’informations accessibles au public attestant d’un comportement systématique et abusif de ce particulier, consistant à s’inscrire délibérément à des services de diverses entreprises pour déclencher des demandes d’accès suivies de réclamations d’indemnisation, et la Cour répond sur trois points essentiels d’une portée excédant très largement les faits de l’espèce.
Le raisonnement de la Cour parvient à un équilibre jurisprudentiel remarquable qui protège simultanément les responsables du traitement contre les abus du droit d’accès utilisé comme levier d’enrichissement artificiel et les personnes concernées légitimes dont le droit d’accès est illicitement violé ;
Cette jurisprudence s’inscrit dans la continuité de l’arrêt Österreichische Datenschutzbehörde — Demandes excessives (C-416/23, 9 janvier 2025) et de l’arrêt Agentsia po vpisvaniyata (C-200/23, 4 octobre 2024), tout en y ajoutant la théorie de la rupture du lien de causalité, empruntée par analogie à la jurisprudence sur la responsabilité extracontractuelle de l’Union (WS e.a. — Frontex, C-679/23 P, 18 décembre 2025), et appelle pour les délégués à la protection des données et les directions juridiques des entreprises une double vigilance : renforcer les dispositifs de détection et de documentation des demandes abusives, et garantir que les demandes légitimes reçoivent toujours une réponse complète et dans les délais prescrits par le règlement.
CONSEILS AUX RESPONSABLES DE TRAITEMENT
1. NE REFUSEZ JAMAIS UNE DEMANDE D’ACCÈS SANS UN DOSSIER PROBATOIRE SOLIDE
L’arrêt autorise le responsable du traitement à refuser une première demande d’accès lorsqu’il peut démontrer que cette demande s’inscrit dans une intention abusive consistant à créer artificiellement les conditions requises pour l’obtention d’une réparation. Mais la Cour est intransigeante : la démonstration doit être réalisée de façon non équivoque (§ 41 de l’arrêt), et la charge de cette preuve pèse intégralement sur le responsable du traitement (article 12, §5, second alinéa, du RGPD). Un simple sentiment de méfiance ou l’absence de relation commerciale longue avec la personne concernée ne suffit pas. Le dossier probatoire doit documenter précisément :
----le délai entre la fourniture volontaire des données et la demande d’accès (treize jours dans l’espèce) ;
----les informations publiquement accessibles faisant état d’un modus operandi comparable dans d’autres entreprises (articles de presse, blogs spécialisés, bulletins d’avocats) ;
----l’absence de toute raison légitime apparente de vérifier le traitement des données ;
----les circonstances de la fourniture des données (formulaire d’inscription, consentement exprès, but déclaré).
2. CONSTITUEZ ET MAINTENEZ UN REGISTRE HORODATÉ DES DEMANDES D’ACCÈS
La sécurité juridique du responsable du traitement repose sur sa capacité à démontrer qu’il a traité chaque demande d’accès dans les délais et selon les formes prescrits par l’article 12, §3, du RGPD (délai d’un mois, prorogeable de deux mois supplémentaires en cas de complexité ou de volume). Un registre des demandes d’accès reçues, des réponses apportées et des délais respectés constitue la première ligne de défense contentieuse. À défaut, le responsable du traitement s’expose à l’action en réparation fondée sur l’article 82, §1, du RGPD que l’arrêt étend désormais à toute violation du droit d’accès, même en l’absence de tout traitement illicite des données.
L’une des circonstances que la Cour cite comme pertinentes pour apprécier l’intention abusive est le fait que la personne concernée a fourni ses données « sans y être contrainte » et « le but de la fourniture » de ces données (§ 42 de l’arrêt). Cette précision incite les responsables du traitement à améliorer la documentation de leurs processus d’inscription : le formulaire d’inscription doit clairement indiquer la finalité du traitement, et la preuve du consentement donné par la personne concernée au moment de l’inscription doit être conservée. Cette documentation sera précieuse pour établir, en cas de litige, que la personne concernée avait une finalité déclarée distincte de toute intention d’obtenir une réparation ultérieure.
4. METTRE EN PLACE UNE PROCÉDURE DE DÉCISION POUR LES DEMANDES SUSPECTES
Le refus d’une demande d’accès au motif d’abus de droit est une décision juridique complexe qui ne peut pas être prise de manière automatique ou par des équipes non formées. Elle doit impliquer, au minimum, le délégué à la protection des données et, dans les cas sérieux, un avis juridique externe. Un protocole de traitement des demandes suspectes, préalablement formalisé et communiqué aux équipes en charge des droits des personnes concernées, permettra d’éviter des prises de décision précipitées ou mal documentées. Ce protocole devra notamment préciser : les critères d’identification d’une demande suspecte, les étapes de constitution du dossier probatoire, les modalités de notification au délégué à la protection des données, et les conditions dans lesquelles un refus peut être formalisé.
5. NE PAS INSTRUMENTALISER LA JURISPRUDENCE POUR ÉCHAPPER AUX OBLIGATIONS DE TRANSPARENCE
La Cour insiste à plusieurs reprises sur le fait que « les critères pour qualifier une première demande d’accès d’excessive doivent être élevés » et que « le responsable du traitement ne peut se prévaloir de ce caractère excessif qu’à titre exceptionnel » (§ 29 de l’arrêt, renvoyant à C-416/23). L’exception d’abus de droit ne saurait devenir une règle générale permettant aux responsables du traitement de se soustraire systématiquement à leurs obligations de transparence. Toute tentative d’utilisation systématique de l’arrêt Brillen Rottler pour refuser des demandes d’accès légitimes constituerait elle-même une violation de l’article 15 du RGPD et exposerait l’entreprise à des actions en réparation, à des plaintes devant les autorités de contrôle et à des sanctions administratives.
6. ANTICIPER LE PHÉNOMÈNE DSAR FARMING DANS LA POLITIQUE DE CONFORMITÉ RGPD
L’arrêt C-526/24 doit conduire chaque responsable du traitement à intégrer dans sa politique de gestion des demandes des personnes concernées (DSAR policy) une procédure spécifique d’identification et de traitement des demandes potentiellement abusives. Cette politique doit être régulièrement mise à jour au regard des évolutions jurisprudentielles et des nouvelles formes d’abus identifiées. Elle doit également tenir compte des obligations de coopération avec les autorités de contrôle : en France, la Commission nationale de l’informatique et des libertés devra être associée en cas de doute sur la légitimité d’un refus, afin d’éviter tout risque de contrôle a posteriori de la légalité de la décision de refus.
CONSEILS AUX PERSONNES CONCERNEES
1. EXERCEZ VOTRE DROIT D’ACCÈS AVEC UN OBJECTIF LÉGITIME DOCUMENTÉ
L’arrêt ne remet pas en cause le droit d’accès des personnes concernées qui l’exercent de bonne foi dans le but de « prendre connaissance du traitement de leurs données et d’en vérifier la licéité » (article 15, lu à la lumière du considérant 63 du RGPD). Si vous souhaitez exercer votre droit d’accès, assurez-vous que votre demande correspond à un objectif légitime réel : vérifier que vos données ne sont pas utilisées à des fins que vous n’avez pas autorisées, contrôler les destinataires de vos données, ou préparer l’exercice d’un droit de rectification ou d’effacement. Conservez la trace de cet objectif légitime, notamment en formulant clairement, dans votre demande, la raison pour laquelle vous souhaitez accéder à vos données.
2. VOTRE DROIT À RÉPARATION EST RENFORCÉ EN CAS DE REFUS ILLÉGITIME
La clarification apportée par l’arrêt sur la portée de l’article 82, §1, du RGPD est particulièrement favorable aux personnes concernées légitimes : si un responsable du traitement refuse ou omet de répondre à votre demande d’accès légitime dans le délai d’un mois prévu par l’article 12, §3, vous disposez désormais d’un droit à réparation fondé sur l’article 82, sans avoir à démontrer l’existence d’un traitement illicite des données. La simple violation de l’obligation de réponse peut suffire, dès lors que vous démontrez avoir effectivement subi un dommage moral — tel que l’incertitude quant au traitement de vos données ou la perte de contrôle sur celles-ci.
3. DOCUMENTER VOTRE DOMMAGE MORAL DE MANIÈRE EFFECTIVE
La Cour rappelle fermement que le dommage moral « ne saurait seulement être présumé en raison de la survenance de la violation » (renvoi à C-300/21, point 42). Pour obtenir réparation, vous devez démontrer que vous avez effectivement subi un dommage, même minime — l’arrêt Gemeinde Ummendorf (C-456/22) ayant définitivement écarté tout seuil de minimis. Ce dommage peut prendre la forme :
----d’une incertitude effective quant au point de savoir si vos données ont été transmises à des tiers ;
----d’une crainte fondée d’un usage abusif de vos données, que vous devrez documenter concrètement ;
----d’une perturbation dans l’exercice de vos autres droits (rectification, effacement, opposition) résultant directement du refus d’accès.
4. EN CAS DE REFUS, ADRESSEZ UNE PLAINTE À LA CNIL
Si votre demande d’accès légitime est refusée ou demeure sans réponse dans le délai légal, vous disposez de deux voies de recours complémentaires :
----La plainte auprès de la Commission nationale de l’informatique et des libertés (CNIL) au titre de l’article 77 du RGPD, qui peut conduire à une investigation et à une mise en demeure du responsable du traitement ;
----L’action en réparation devant les juridictions civiles au titre de l’article 82, §1, du RGPD, en justifiant du dommage moral subi.
Ces deux voies sont cumulables et non exclusives l’une de l’autre. La plainte devant la CNIL présente l’avantage d’être gratuite et d’engager les pouvoirs d’investigation de l’autorité de contrôle, qui pourra accéder à des éléments de preuve que vous ne pourriez pas obtenir directement.
5. NE CRÉEZ PAS ARTIFICIELLEMENT LES CONDITIONS D’UN LITIGE
L’arrêt C-526/24 consacre la règle selon laquelle la personne qui « provoque elle-même sa perte de contrôle sur ses données » en soumettant ses données à un responsable du traitement dans le seul but de déclencher le mécanisme d’indemnisation ne peut pas obtenir réparation pour ce préjudice. Son comportement constitue « la cause déterminante du dommage », ce qui rompt le lien de causalité entre la violation reprochée au responsable du traitement et le préjudice allégué. Cette règle est d’une application stricte : si vous exercez votre droit d’accès à des fins spéculatives ou dans le but exclusif d’obtenir une indemnisation, vous vous exposez à un rejet de votre demande de réparation et à la qualification de votre demande d’accès elle-même comme excessive, justifiant le refus du responsable du traitement de vous répondre.
Armand-Ari BETTAN & Dominique KARPISEK-BETTAN
Avocats au Barreau des Hauts-de-Seine
Pas de contribution, soyez le premier