CJUE | ARRÊT DU 19 MARS 2026 | C-526/24 | BRILLEN ROTTLER

 
   

FAITS & PROCEDURE      MOTIFS & DISPOSITIF       PORTEE DE L'AFFAIRE      JURISPRUDENCE       ANALYSE      CONSEILS      

   

1. Une première demande d’accès peut être qualifiée d’abusive. La Cour dit pour droit que l’article 12, paragraphe 5, du RGPD n’exige pas un caractère répétitif des demandes pour les qualifier d’excessives. Même une première demande d’accès peut être refusée si le responsable du traitement démontre, au vu de l’ensemble des circonstances, que la personne concernée l’a introduite non pas pour prendre connaissance du traitement de ses données et en vérifier la licéité, mais dans une intention abusive telle que la création artificielle des conditions d’une indemnisation. Le caractère répétitif des demandes auprès d’autres responsables du traitement constitue un indice pertinent mais non suffisant à lui seul.

2. La charge de la preuve pèse sur le responsable du traitement. Il appartient au responsable du traitement de démontrer de façon non équivoque l’existence d’une intention abusive, en établissant deux éléments cumulatifs : un élément objectif (l’objectif de transparence du droit d’accès n’a pas été poursuivi malgré le respect formel des conditions) et un élément subjectif (intention délibérée de créer artificiellement les conditions d’une réparation). Les critères d’appréciation doivent être élevés et le refus n’est admis qu’à titre exceptionnel et d’interprétation restrictive.

3. Le droit à réparation de l’article 82 s’applique aux violations du droit d’accès, indépendamment de tout traitement illicite. La Cour clarifie que l’article 82, paragraphe 1, du RGPD ne contient aucune référence au « traitement » comme condition du droit à réparation. Un refus injustifié de donner suite à une demande d’accès légitime ouvre un droit à réparation au titre du seul dommage moral subi, sans que la personne concernée soit tenue de prouver l’existence d’un traitement illicite sous-jacent. Cette clarification met fin à une divergence jurisprudentielle profonde entre juridictions nationales.

4. La perte de contrôle sur ses données constitue un dommage moral indemnisable, sous réserve de preuve. Confirmant sa jurisprudence constante, la Cour rappelle que la perte de contrôle sur ses données à caractère personnel ou l’incertitude quant à leur traitement constituent un dommage moral au sens de l’article 82, paragraphe 1. La personne concernée doit cependant démontrer qu’elle a effectivement subi ce dommage — la simple allégation d’une crainte ne suffit pas. Aucun seuil de minimis ne peut être opposé à ce dommage.

5. Le comportement abusif de la personne concernée rompt le lien de causalité et fait obstacle à l’indemnisation. Innovation jurisprudentielle majeure : la Cour consacre la théorie de la rupture du lien de causalité par le comportement de la personne concernée. Lorsque la perte de contrôle ou l’incertitude alléguées comme dommage moral ont pour cause déterminante la décision de la personne concernée elle-même de soumettre ses données dans le seul but de déclencher le mécanisme d’indemnisation, le lien causal entre la violation reprochée au responsable du traitement et le préjudice invoqué est rompu — et le droit à réparation est exclu.

     
POINTS ESSENTIELS

L’affaire C-526/24 Brillen Rottler GmbH & Co. KG contre TC est un arrêt de renvoi préjudiciel rendu le 19 mars 2026 par la quatrième chambre de la Cour de justice, en réponse à huit questions posées par l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg, Allemagne).

Le litige au principal opposait une entreprise familiale d’optique établie à Arnsberg à un particulier autrichien qui, treize jours après son inscription volontaire à la lettre d’information commerciale de cette entreprise, avait formulé une demande d’accès à ses données personnelles au titre de l’article 15 du RGPD, puis, face au refus de l’entreprise, réclamé une indemnisation de 1 000 euros pour dommage moral sur le fondement de l’article 82 du même règlement ;

L’entreprise soutenait disposer d’informations accessibles au public attestant d’un comportement systématique et abusif de ce particulier, consistant à s’inscrire délibérément à des services de diverses entreprises pour déclencher des demandes d’accès suivies de réclamations d’indemnisation, et la Cour répond sur trois points essentiels d’une portée excédant très largement les faits de l’espèce.

Le raisonnement de la Cour parvient à un équilibre jurisprudentiel remarquable qui protège simultanément les responsables du traitement contre les abus du droit d’accès utilisé comme levier d’enrichissement artificiel et les personnes concernées légitimes dont le droit d’accès est illicitement violé ;

Cette jurisprudence s’inscrit dans la continuité de l’arrêt Österreichische Datenschutzbehörde — Demandes excessives (C-416/23, 9 janvier 2025) et de l’arrêt Agentsia po vpisvaniyata (C-200/23, 4 octobre 2024), tout en y ajoutant la théorie de la rupture du lien de causalité, empruntée par analogie à la jurisprudence sur la responsabilité extracontractuelle de l’Union (WS e.a. — Frontex, C-679/23 P, 18 décembre 2025), et appelle pour les délégués à la protection des données et les directions juridiques des entreprises une double vigilance : renforcer les dispositifs de détection et de documentation des demandes abusives, et garantir que les demandes légitimes reçoivent toujours une réponse complète et dans les délais prescrits par le règlement.