CJUE ARRÊT DU 19 MARS 2026 C-526/24 BRILLEN ROTTLER

FAITS & PROCEDURE |  MOTIFS & DISPOSITIF     

PORTEE DE L'AFFAIRE |  JURISPRUDENCE       

ANALYSE  |  CONSEILS         

 

POINTS ESSENTIELS

1. Une première demande d’accès peut être qualifiée d’abusive. La Cour dit pour droit que l’article 12, paragraphe 5, du RGPD n’exige pas un caractère répétitif des demandes pour les qualifier d’excessives. Même une première demande d’accès peut être refusée si le responsable du traitement démontre, au vu de l’ensemble des circonstances, que la personne concernée l’a introduite non pas pour prendre connaissance du traitement de ses données et en vérifier la licéité, mais dans une intention abusive telle que la création artificielle des conditions d’une indemnisation. Le caractère répétitif des demandes auprès d’autres responsables du traitement constitue un indice pertinent mais non suffisant à lui seul.

2. La charge de la preuve pèse sur le responsable du traitement. Il appartient au responsable du traitement de démontrer de façon non équivoque l’existence d’une intention abusive, en établissant deux éléments cumulatifs : un élément objectif (l’objectif de transparence du droit d’accès n’a pas été poursuivi malgré le respect formel des conditions) et un élément subjectif (intention délibérée de créer artificiellement les conditions d’une réparation). Les critères d’appréciation doivent être élevés et le refus n’est admis qu’à titre exceptionnel et d’interprétation restrictive.

3. Le droit à réparation de l’article 82 s’applique aux violations du droit d’accès, indépendamment de tout traitement illicite. La Cour clarifie que l’article 82, paragraphe 1, du RGPD ne contient aucune référence au « traitement » comme condition du droit à réparation. Un refus injustifié de donner suite à une demande d’accès légitime ouvre un droit à réparation au titre du seul dommage moral subi, sans que la personne concernée soit tenue de prouver l’existence d’un traitement illicite sous-jacent. Cette clarification met fin à une divergence jurisprudentielle profonde entre juridictions nationales.

4. La perte de contrôle sur ses données constitue un dommage moral indemnisable, sous réserve de preuve. Confirmant sa jurisprudence constante, la Cour rappelle que la perte de contrôle sur ses données à caractère personnel ou l’incertitude quant à leur traitement constituent un dommage moral au sens de l’article 82, paragraphe 1. La personne concernée doit cependant démontrer qu’elle a effectivement subi ce dommage — la simple allégation d’une crainte ne suffit pas. Aucun seuil de minimis ne peut être opposé à ce dommage.

5. Le comportement abusif de la personne concernée rompt le lien de causalité et fait obstacle à l’indemnisation. Innovation jurisprudentielle majeure : la Cour consacre la théorie de la rupture du lien de causalité par le comportement de la personne concernée. Lorsque la perte de contrôle ou l’incertitude alléguées comme dommage moral ont pour cause déterminante la décision de la personne concernée elle-même de soumettre ses données dans le seul but de déclencher le mécanisme d’indemnisation, le lien causal entre la violation reprochée au responsable du traitement et le préjudice invoqué est rompu — et le droit à réparation est exclu.

 

I- CONSEILS AUX PERSONNES CONCERNÉES

1. EXERCEZ VOTRE DROIT D’ACCÈS AVEC UN OBJECTIF LÉGITIME DOCUMENTÉ

L’arrêt ne remet pas en cause le droit d’accès des personnes concernées qui l’exercent de bonne foi dans le but de « prendre connaissance du traitement de leurs données et d’en vérifier la licéité » (article 15, lu à la lumière du considérant 63 du RGPD). Si vous souhaitez exercer votre droit d’accès, assurez-vous que votre demande correspond à un objectif légitime réel : vérifier que vos données ne sont pas utilisées à des fins que vous n’avez pas autorisées, contrôler les destinataires de vos données, ou préparer l’exercice d’un droit de rectification ou d’effacement. Conservez la trace de cet objectif légitime, notamment en formulant clairement, dans votre demande, la raison pour laquelle vous souhaitez accéder à vos données.

 

2. VOTRE DROIT À RÉPARATION EST RENFORCÉ EN CAS DE REFUS ILLÉGITIME

La clarification apportée par l’arrêt sur la portée de l’article 82, §1, du RGPD est particulièrement favorable aux personnes concernées légitimes : si un responsable du traitement refuse ou omet de répondre à votre demande d’accès légitime dans le délai d’un mois prévu par l’article 12, §3, vous disposez désormais d’un droit à réparation fondé sur l’article 82, sans avoir à démontrer l’existence d’un traitement illicite des données. La simple violation de l’obligation de réponse peut suffire, dès lors que vous démontrez avoir effectivement subi un dommage moral — tel que l’incertitude quant au traitement de vos données ou la perte de contrôle sur celles-ci.

 

3. DOCUMENTER VOTRE DOMMAGE MORAL DE MANIÈRE EFFECTIVE

La Cour rappelle fermement que le dommage moral « ne saurait seulement être présumé en raison de la survenance de la violation » (renvoi à C-300/21, point 42). Pour obtenir réparation, vous devez démontrer que vous avez effectivement subi un dommage, même minime — l’arrêt Gemeinde Ummendorf (C-456/22) ayant définitivement écarté tout seuil de minimis. Ce dommage peut prendre la forme :

----d’une incertitude effective quant au point de savoir si vos données ont été transmises à des tiers ; ----d’une crainte fondée d’un usage abusif de vos données, que vous devrez documenter concrètement ; ----d’une perturbation dans l’exercice de vos autres droits (rectification, effacement, opposition) résultant directement du refus d’accès.

 

4. EN CAS DE REFUS, ADRESSEZ UNE PLAINTE À LA CNIL

Si votre demande d’accès légitime est refusée ou demeure sans réponse dans le délai légal, vous disposez de deux voies de recours complémentaires :

----La plainte auprès de la Commission nationale de l’informatique et des libertés (CNIL) au titre de l’article 77 du RGPD, qui peut conduire à une investigation et à une mise en demeure du responsable du traitement ; ----L’action en réparation devant les juridictions civiles au titre de l’article 82, §1, du RGPD, en justifiant du dommage moral subi.

Ces deux voies sont cumulables et non exclusives l’une de l’autre. La plainte devant la CNIL présente l’avantage d’être gratuite et d’engager les pouvoirs d’investigation de l’autorité de contrôle, qui pourra accéder à des éléments de preuve que vous ne pourriez pas obtenir directement.

 

5. NE CRÉEZ PAS ARTIFICIELLEMENT LES CONDITIONS D’UN LITIGE

L’arrêt C-526/24 consacre la règle selon laquelle la personne qui « provoque elle-même sa perte de contrôle sur ses données » en soumettant ses données à un responsable du traitement dans le seul but de déclencher le mécanisme d’indemnisation ne peut pas obtenir réparation pour ce préjudice. Son comportement constitue « la cause déterminante du dommage », ce qui rompt le lien de causalité entre la violation reprochée au responsable du traitement et le préjudice allégué. Cette règle est d’une application stricte : si vous exercez votre droit d’accès à des fins spéculatives ou dans le but exclusif d’obtenir une indemnisation, vous vous exposez à un rejet de votre demande de réparation et à la qualification de votre demande d’accès elle-même comme excessive, justifiant le refus du responsable du traitement de vous répondre.

 

II- CONSEILS AUX RESPONSABLES DU TRAITEMENT

1. NE REFUSEZ JAMAIS UNE DEMANDE D’ACCÈS SANS UN DOSSIER PROBATOIRE SOLIDE

L’arrêt autorise le responsable du traitement à refuser une première demande d’accès lorsqu’il peut démontrer que cette demande s’inscrit dans une intention abusive consistant à créer artificiellement les conditions requises pour l’obtention d’une réparation. Mais la Cour est intransigeante : la démonstration doit être réalisée de façon non équivoque (§ 41 de l’arrêt), et la charge de cette preuve pèse intégralement sur le responsable du traitement (article 12, §5, second alinéa, du RGPD). Un simple sentiment de méfiance ou l’absence de relation commerciale longue avec la personne concernée ne suffit pas. Le dossier probatoire doit documenter précisément :

----le délai entre la fourniture volontaire des données et la demande d’accès (treize jours dans l’espèce) ; ----les informations publiquement accessibles faisant état d’un modus operandi comparable dans d’autres entreprises (articles de presse, blogs spécialisés, bulletins d’avocats) ; ----l’absence de toute raison légitime apparente de vérifier le traitement des données ; ----les circonstances de la fourniture des données (formulaire d’inscription, consentement exprès, but déclaré).

 

2. CONSTITUEZ ET MAINTENEZ UN REGISTRE HORODATÉ DES DEMANDES D’ACCÈS

La sécurité juridique du responsable du traitement repose sur sa capacité à démontrer qu’il a traité chaque demande d’accès dans les délais et selon les formes prescrits par l’article 12, §3, du RGPD (délai d’un mois, prorogeable de deux mois supplémentaires en cas de complexité ou de volume). Un registre des demandes d’accès reçues, des réponses apportées et des délais respectés constitue la première ligne de défense contentieuse. À défaut, le responsable du traitement s’expose à l’action en réparation fondée sur l’article 82, §1, du RGPD que l’arrêt étend désormais à toute violation du droit d’accès, même en l’absence de tout traitement illicite des données.

 

3. RÉVISER LES PROCESSUS D’INSCRIPTION AUX SERVICES NUMÉRIQUES

L’une des circonstances que la Cour cite comme pertinentes pour apprécier l’intention abusive est le fait que la personne concernée a fourni ses données « sans y être contrainte » et « le but de la fourniture » de ces données (§ 42 de l’arrêt). Cette précision incite les responsables du traitement à améliorer la documentation de leurs processus d’inscription : le formulaire d’inscription doit clairement indiquer la finalité du traitement, et la preuve du consentement donné par la personne concernée au moment de l’inscription doit être conservée. Cette documentation sera précieuse pour établir, en cas de litige, que la personne concernée avait une finalité déclarée distincte de toute intention d’obtenir une réparation ultérieure.

 

4. METTRE EN PLACE UNE PROCÉDURE DE DÉCISION POUR LES DEMANDES SUSPECTES

Le refus d’une demande d’accès au motif d’abus de droit est une décision juridique complexe qui ne peut pas être prise de manière automatique ou par des équipes non formées. Elle doit impliquer, au minimum, le délégué à la protection des données et, dans les cas sérieux, un avis juridique externe. Un protocole de traitement des demandes suspectes, préalablement formalisé et communiqué aux équipes en charge des droits des personnes concernées, permettra d’éviter des prises de décision précipitées ou mal documentées. Ce protocole devra notamment préciser : les critères d’identification d’une demande suspecte, les étapes de constitution du dossier probatoire, les modalités de notification au délégué à la protection des données, et les conditions dans lesquelles un refus peut être formalisé.

 

5. NE PAS INSTRUMENTALISER LA JURISPRUDENCE POUR ÉCHAPPER AUX OBLIGATIONS DE TRANSPARENCE

La Cour insiste à plusieurs reprises sur le fait que « les critères pour qualifier une première demande d’accès d’excessive doivent être élevés » et que « le responsable du traitement ne peut se prévaloir de ce caractère excessif qu’à titre exceptionnel » (§ 29 de l’arrêt, renvoyant à C-416/23). L’exception d’abus de droit ne saurait devenir une règle générale permettant aux responsables du traitement de se soustraire systématiquement à leurs obligations de transparence. Toute tentative d’utilisation systématique de l’arrêt Brillen Rottler pour refuser des demandes d’accès légitimes constituerait elle-même une violation de l’article 15 du RGPD et exposerait l’entreprise à des actions en réparation, à des plaintes devant les autorités de contrôle et à des sanctions administratives.

 

6. ANTICIPER LE PHÉNOMÈNE DSAR FARMING DANS LA POLITIQUE DE CONFORMITÉ RGPD

L’arrêt C-526/24 doit conduire chaque responsable du traitement à intégrer dans sa politique de gestion des demandes des personnes concernées (DSAR policy) une procédure spécifique d’identification et de traitement des demandes potentiellement abusives. Cette politique doit être régulièrement mise à jour au regard des évolutions jurisprudentielles et des nouvelles formes d’abus identifiées. Elle doit également tenir compte des obligations de coopération avec les autorités de contrôle : en France, la Commission nationale de l’informatique et des libertés devra être associée en cas de doute sur la légitimité d’un refus, afin d’éviter tout risque de contrôle a posteriori de la légalité de la décision de refus.

Armand-Ari BETTAN & Dominique KARPISEK-BETTAN

Avocats au Barreau des Hauts-de-Seine