Publié le 11/06/2026

#FAQ | #RGPD | Exercer son droit d'accès aux données personnelles | Attention aux abus

Article juridique - Droit de la protection des données personnelles

Avertissement liminaire. Les réponses ci-après sont fondées sur les enseignements de l’arrêt Brillen Rottler (C-526/24) et ont une portée générale et pédagogique. Elles ne constituent pas une consultation juridique individualisée et ne sauraient se substituer à l’avis d’un avocat saisi de votre situation particulière.

I. EXERCER SON DROIT D’ACCÈS : LE CADRE GÉNÉRAL

FAQ 1 — JE ME SUIS INSCRIT À LA NEWSLETTER D’UN SITE DE COMMERCE EN LIGNE. QUELQUES JOURS PLUS TARD, JE SOUHAITE SAVOIR QUELLES DONNÉES CETTE ENTREPRISE DÉTIENT SUR MOI. AI-JE LE DROIT DE LE LUI DEMANDER ?

Oui, ce droit est absolu dans son principe. Toute personne physique dispose d’un droit d’accès à ses données personnelles consacré par l’article 15, §1, du Règlement général sur la protection des données (RGPD). Ce droit vous permet d’obtenir la confirmation que des données vous concernant sont traitées et, le cas échéant, d’en connaître la nature, les finalités, les destinataires et la durée de conservation. Ce droit est gratuit : l’entreprise ne peut, en principe, vous facturer aucun frais pour y répondre. Elle dispose d’un délai d’un mois pour vous apporter une réponse complète.

FAQ 2 — L’ENTREPRISE À LAQUELLE J’AI ADRESSÉ MA DEMANDE D’ACCÈS PEUT-ELLE ME DEMANDER DE JUSTIFIER LES RAISONS DE CETTE DEMANDE AVANT D’Y RÉPONDRE ?

Non. Le RGPD ne conditionne pas l’exercice du droit d’accès à la fourniture d’une justification préalable. Selon la Cour de justice, l’objectif de ce droit est de permettre à toute personne concernée de prendre connaissance du traitement de ses données et d’en vérifier la licéité, afin de pouvoir, le cas échéant, exercer ses droits à la rectification, à l’effacement ou à l’opposition. Il n’appartient pas à l’entreprise de vous imposer de motiver votre demande. En revanche, vous devrez établir votre identité si l’entreprise a un doute légitime sur l’identité du demandeur.

FAQ 3 — QUE DOIT EXACTEMENT ME COMMUNIQUER L’ENTREPRISE EN RÉPONSE À MA DEMANDE D’ACCÈS ?

L’entreprise doit vous transmettre, en réponse à votre demande : la confirmation que des données vous concernant sont traitées, la liste des données traitées, les finalités du traitement, les catégories de données concernées, les destinataires auxquels elles ont été ou seront communiquées (y compris dans des pays tiers), la durée de conservation envisagée, l’existence de vos droits à la rectification, à l’effacement et à l’opposition, et — si applicable — l’existence d’une prise de décision automatisée ou d’un profilage vous concernant. L’entreprise doit également vous fournir une copie de vos données personnelles faisant l’objet d’un traitement.

FAQ 4 — L’ENTREPRISE A TARDÉ À RÉPONDRE À MA DEMANDE D’ACCÈS. PASSÉ LE DÉLAI D’UN MOIS, QUE PUIS-JE FAIRE ?

Passé le délai légal d’un mois — prorogeable d’un mois supplémentaire en cas de complexité ou de volume important de demandes, sous réserve que l’entreprise vous en informe dans le premier mois —, le défaut de réponse constitue une violation de l’article 15 du RGPD. Vous pouvez alors : (1) déposer une plainte auprès de la CNIL (Commission nationale de l’informatique et des libertés) au titre de l’article 77 du RGPD ; (2) saisir les juridictions civiles compétentes pour obtenir l’exécution forcée de votre droit d’accès et, si vous démontrez avoir subi un préjudice réel, une indemnisation sur le fondement de l’article 82, §1, du RGPD — et ce, même en l’absence de tout traitement illicite des données.

FAQ 5 — COMBIEN PUIS-JE ESPÉRER OBTENIR EN INDEMNISATION SI UNE ENTREPRISE REFUSE ILLICITEMENT DE RÉPONDRE À MA DEMANDE D’ACCÈS ?

La Cour de justice a confirmé que le droit à réparation prévu à l’article 82, §1, du RGPD s’applique à toute violation du droit d’accès, sans qu’il soit nécessaire de démontrer un traitement illicite des données. En revanche, vous devez impérativement démontrer : (1) que vous avez effectivement subi un dommage — même moral, aussi minime soit-il —, tel que l’incertitude quant au point de savoir si vos données ont fait l’objet d’un traitement, ou la perte de contrôle sur vos données ; (2) un lien de causalité entre ce dommage et le refus de l’entreprise. Le montant n’est pas fixé par le RGPD : il appartient aux juridictions nationales de l’apprécier au cas par cas. Il n’existe pas de seuil minimal, mais le dommage ne peut être simplement présumé de la seule violation.

II. LIMITES AU DROIT D’ACCÈS : LA NOTION D’ABUS DE DROIT

FAQ 6 — J’AI RÉCEMMENT ENVOYÉ UNE DEMANDE D’ACCÈS À UNE ENTREPRISE DONT JE SUIS CLIENT DEPUIS PEU. ELLE M’A RÉPONDU QUE MA DEMANDE ÉTAIT « ABUSIVE » ET A REFUSÉ D’Y DONNER SUITE. EST-CE LÉGAL ?

En principe, non — mais sous conditions très strictes, oui. Le RGPD prévoit une exception à l’article 12, §5 : l’entreprise peut refuser de donner suite à une demande manifestement infondée ou excessive. Cependant, cette exception doit être interprétée de manière restrictive et les critères pour la retenir doivent être élevés. L’entreprise doit être en mesure de démontrer, de façon non équivoque, que votre demande a été introduite non pas pour connaître le traitement de vos données, mais dans une intention abusive — par exemple, dans le seul but de créer les conditions d’une demande d’indemnisation. La simple relation commerciale récente ne suffit pas à qualifier une demande d’abusive. Si vous estimez ce refus injustifié, vous pouvez saisir la CNIL ou les tribunaux.

FAQ 7 — L’ENTREPRISE ME DIT QU’ELLE A TROUVÉ SUR INTERNET DES ARTICLES OU DES FORUMS MENTIONNANT QUE J’AURAIS DÉJÀ ADRESSÉ DES DEMANDES SIMILAIRES À D’AUTRES ENTREPRISES. PEUT-ELLE UTILISER CES INFORMATIONS POUR REFUSER MA DEMANDE ?

Oui, mais sous des conditions très encadrées. La Cour de justice a admis que des informations accessibles au public faisant état d’un comportement similaire répété — inscription à divers services, demandes d’accès rapides suivies de réclamations d’indemnisation — peuvent être prises en compte pour établir l’existence d’une intention abusive. Toutefois, ces informations publiques ne constituent qu’un indice parmi d’autres : elles doivent être corroborées par d’autres éléments pertinents propres à votre situation. L’existence seule d’articles en ligne ne saurait suffire à qualifier votre demande d’abusive si les autres circonstances de l’espèce ne confirment pas cette intention.

FAQ 8 — JE N’AI ADRESSÉ QU’UNE SEULE DEMANDE D’ACCÈS À CETTE ENTREPRISE. LE REFUS PEUT-IL NÉANMOINS ÊTRE OPPOSÉ À UNE PREMIÈRE DEMANDE ?

Oui, c’est l’une des innovations majeures de l’arrêt Brillen Rottler. La Cour de justice a expressément jugé qu’une première demande d’accès peut être qualifiée d’excessive, même si elle est unique. Le caractère répétitif des demandes, mentionné à l’article 12, §5, du RGPD, n’est en effet qu’un indice et non une condition. Ce qui compte, c’est la démonstration d’une intention abusive : si l’entreprise établit que vous avez délibérément fourni vos données dans le seul but de déclencher une demande d’accès et d’obtenir ensuite une indemnisation, la qualification d’abusive peut s’appliquer dès la première demande. Cette qualification reste exceptionnelle et soumise à un standard de preuve exigeant.

FAQ 9 — COMMENT L’ENTREPRISE PEUT-ELLE PROUVER QUE MA DEMANDE EST ABUSIVE ? QUELS ÉLÉMENTS PEUT-ELLE INVOQUER ?

La Cour de justice a précisé que l’entreprise doit établir l’intention abusive au regard de l’ensemble des circonstances, en tenant compte notamment de : (1) le fait que vous avez fourni vos données personnelles sans y être contraint ; (2) le but pour lequel vous les avez fournies ; (3) le délai très court écoulé entre votre inscription ou l’acte de fourniture des données et votre demande d’accès ; (4) votre comportement général, y compris toute information publiquement accessible faisant état d’un modus operandi comparable. L’entreprise doit démontrer, à partir de ce faisceau d’indices, que votre demande avait pour véritable finalité non pas la vérification du traitement de vos données, mais la création artificielle des conditions d’une indemnisation.

FAQ 10 — JE RECONNAIS AVOIR ADRESSÉ DES DEMANDES D’ACCÈS À PLUSIEURS ENTREPRISES PAR LE PASSÉ, SUIVIES DE RÉCLAMATIONS D’INDEMNISATION. CELA SIGNIFIE-T-IL QUE TOUTES MES FUTURES DEMANDES D’ACCÈS SERONT AUTOMATIQUEMENT REJETÉES ?

Non, absolument pas. L’existence de demandes antérieures suivies de réclamations est un indice susceptible d’être pris en compte, mais elle ne crée aucune présomption irréfragable d’abus de droit. Chaque demande d’accès doit être appréciée individuellement, au regard de l’ensemble des circonstances pertinentes propres à chaque situation. Si vous avez un intérêt réel et légitime à accéder à vos données auprès d’une entreprise donnée — par exemple pour vérifier si des données inexactes vous concernant ont été partagées avec des tiers —, votre demande ne saurait être rejetée au seul motif de votre comportement passé vis-à-vis d’autres entreprises.

III. L’INDEMNISATION : CONDITIONS ET LIMITES

FAQ 11 — UNE ENTREPRISE A REFUSÉ DE ME RÉPONDRE EN M’ACCUSANT D’ÊTRE DE MAUVAISE FOI. J’ÉTAIS POURTANT DE BONNE FOI. PUIS-JE QUAND MÊME OBTENIR UNE INDEMNISATION ?

Oui, si vous pouvez démontrer votre bonne foi et votre préjudice. Si le refus opposé par l’entreprise n’est pas légalement justifié — notamment si l’entreprise ne parvient pas à établir de façon non équivoque votre intention abusive —, ce refus constitue une violation de l’article 15, §1, du RGPD ouvrant droit à réparation sur le fondement de l’article 82, §1. Vous devrez démontrer : (1) que la demande d’accès avait une finalité légitime ; (2) que vous avez effectivement subi un dommage moral — tel que l’incertitude sur le traitement de vos données ou la perte de contrôle sur celles-ci ; (3) un lien de causalité entre ce dommage et le refus illicite de l’entreprise.

FAQ 12 — JE SOUFFRE D’UNE ANGOISSE RÉELLE DEPUIS QUE JE SAIS QU’UNE ENTREPRISE POSSÈDE DES DONNÉES SUR MOI ET REFUSE DE ME LES COMMUNIQUER. CE PRÉJUDICE PSYCHOLOGIQUE EST-IL INDEMNISABLE ?

Oui, sous réserve de le démontrer. La Cour de justice reconnaît que le dommage moral au sens de l’article 82, §1, du RGPD englobe notamment la perte de contrôle sur ses données personnelles et l’incertitude quant à la question de savoir si ses données font l’objet d’un traitement. Il n’existe pas de seuil minimal de gravité : même un dommage peu important est, en principe, réparable. Toutefois, la simple invocation d’une angoisse ou d’une crainte ne suffit pas : vous devez établir que cette crainte est fondée au regard de votre situation personnelle concrète, et qu’elle constitue un préjudice distinct de la simple violation formelle du RGPD. La juridiction appréciera souverainement ce point.

FAQ 13 — J’AI APPRIS QUE L’ENTREPRISE A PARTAGÉ MES DONNÉES AVEC DES PARTENAIRES COMMERCIAUX SANS M’EN INFORMER. PUIS-JE DEMANDER RÉPARATION, MÊME SI JE N’AI PAS ENCORE SUBI DE PRÉJUDICE CONCRET ?

Oui, si vous démontrez une perte de contrôle réelle sur vos données. La Cour de justice a confirmé que la perte de contrôle sur ses données personnelles, découlant d’une violation du RGPD, peut constituer un dommage moral réparable. Vous n’êtes pas tenu de démontrer qu’un usage abusif de vos données s’est effectivement produit. En revanche, vous devez établir que cette perte de contrôle a été effectivement subie, et non seulement redoutée de façon hypothétique. Si vous pouvez démontrer que vous n’avez pas été informé de ces partages et que cela a engendré une incertitude réelle et fondée quant à l’utilisation de vos données, votre demande de réparation est recevable.

FAQ 14 — JE ME SUIS INSCRIT À UN SERVICE EN LIGNE UNIQUEMENT POUR TESTER SES FONCTIONNALITÉS, ET J’AI ENSUITE ENVOYÉ UNE DEMANDE D’ACCÈS À MES DONNÉES. L’ENTREPRISE PEUT-ELLE INVOQUER CELA POUR REFUSER ?

Non, en règle générale. Le fait de s’inscrire à un service pour en tester les fonctionnalités constitue un usage légitime du service, et la demande d’accès qui s’ensuit peut avoir une finalité tout aussi légitime — vérifier quelles données ont été collectées lors de cette inscription et dans quel but. Pour que ce contexte puisse fonder un refus, l’entreprise devrait démontrer que votre inscription avait pour seul et unique but de créer artificiellement les conditions d’une indemnisation, et non de bénéficier du service. La charge de cette preuve pèse intégralement sur l’entreprise.

FAQ 15 — L’ENTREPRISE ME REPROCHE D’AVOIR PROVOQUÉ MOI-MÊME LA SITUATION QUI EST À L’ORIGINE DE MON PRÉJUDICE. QU’EST-CE QUE CELA SIGNIFIE ET QUELLES CONSÉQUENCES CELA A-T-IL SUR MON DROIT À INDEMNISATION ?

C’est l’un des enseignements les plus importants de l’arrêt Brillen Rottler. La Cour de justice a consacré la notion de rupture du lien de causalité par le comportement de la personne concernée : si la perte de contrôle ou l’incertitude que vous invoquez comme dommage moral ont été causées par votre propre décision délibérée de fournir vos données dans le seul but de déclencher artificiellement le mécanisme d’indemnisation, vous ne pouvez pas obtenir réparation. La logique est celle de l’équité : nul ne peut se prévaloir de son propre comportement abusif pour en réclamer réparation. Votre comportement doit constituer la cause déterminante du dommage allégué pour que cette règle s’applique.

IV. SITUATIONS PRATIQUES PROFESSIONNELLES ET PERSONNELLES

FAQ 16 — MON EMPLOYEUR COLLECTE DE NOMBREUSES DONNÉES ME CONCERNANT DANS LE CADRE DE MON CONTRAT DE TRAVAIL. PUIS-JE LUI ADRESSER UNE DEMANDE D’ACCÈS POUR SAVOIR CE QU’IL DÉTIENT SUR MOI ?

Oui, pleinement. L’employeur est un responsable du traitement au sens du RGPD et à ce titre soumis à l’ensemble des obligations du règlement, y compris le droit d’accès de l’article 15. Vous pouvez lui demander communication de l’ensemble des données personnelles vous concernant : données d’identification, données d’évaluation, historique disciplinaire, données de géolocalisation, messagerie professionnelle le cas échéant, etc. L’employeur dispose d’un mois pour répondre. Un refus ou une réponse partielle injustifiée constitue une violation du RGPD ouvrant droit à plainte devant la CNIL et, si un préjudice réel est démontré, à une action en réparation.

FAQ 17 — DANS LE CADRE D’UN LITIGE PRUD’HOMAL, MON ANCIEN EMPLOYEUR DÉTIENT DES PIÈCES CONTENANT MES DONNÉES PERSONNELLES. PUIS-JE LES OBTENIR VIA UNE DEMANDE D’ACCÈS RGPD AVANT DE SAISIR LE CONSEIL DE PRUD’HOMMES ?

Oui, c’est une pratique légalement fondée. Le droit d’accès prévu à l’article 15 du RGPD est un droit autonome, indépendant de toute procédure contentieuse. Adresser une demande d’accès à votre ancien employeur afin d’obtenir communication de données vous concernant — évaluations, courriels, notes de réunion, données RH — constitue un exercice légitime de ce droit, même dans un contexte pré-contentieux. Cependant, il est impératif que votre demande soit motivée par une volonté réelle de prendre connaissance du traitement de vos données, et non exclusivement par la collecte de preuves en vue d’un futur litige (ce qui pourrait, dans certains cas extrêmes, nourrir un argument d’abus de droit). La demande d’accès et la démarche contentieuse restent deux voies distinctes qui peuvent être menées de façon complémentaire.

FAQ 18 — J’AI RÉCEMMENT SOUSCRIT À UN ABONNEMENT TÉLÉPHONIQUE OU INTERNET ET JE SOUHAITE EXERCER MON DROIT D’ACCÈS AUPRÈS DE L’OPÉRATEUR. CELUI-CI PEUT-IL M’OPPOSER UN REFUS EN RAISON DE LA BRIÈVETÉ DE LA RELATION CONTRACTUELLE ?

Non. La durée de la relation contractuelle ne constitue pas, en soi, un motif légal de refus. L’opérateur est tenu de répondre à votre demande d’accès dans le délai d’un mois, quelle que soit l’ancienneté de votre contrat. La brièveté de la relation peut, dans un contexte particulier et corroboré par d’autres éléments, constituer un indice de comportement potentiellement abusif — comme dans l’affaire Brillen Rottler où la demande avait été adressée treize jours seulement après l’inscription. Mais cet indice ne suffit pas, à lui seul, à fonder un refus légal. L’opérateur devrait pouvoir établir une intention abusive clairement caractérisée, ce qui est une condition très difficile à remplir dans le cadre d’une relation contractuelle ordinaire.

FAQ 19 — J’AI DÉCOUVERT QUE MES DONNÉES PERSONNELLES ONT ÉTÉ UTILISÉES PAR UNE ENTREPRISE À DES FINS DE PROFILAGE COMMERCIAL À MON INSU. QUELS DROITS PUIS-JE EXERCER ET DANS QUEL ORDRE ?

Vous disposez de plusieurs droits cumulables que vous pouvez exercer simultanément ou successivement : (1) le droit d’accès (article 15), pour obtenir confirmation du traitement et copie de vos données ; (2) le droit d’opposition (article 21, §2), qui est absolu lorsque vos données sont traitées à des fins de prospection — l’entreprise ne peut en principe s’y opposer ; (3) le droit à l’effacement (article 17), si le traitement n’est pas fondé sur une base légale valide ; (4) le dépôt d’une plainte auprès de la CNIL ; (5) une action en réparation devant les tribunaux sur le fondement de l’article 82, si vous démontrez un préjudice réel lié à l’utilisation à votre insu de vos données à des fins de profilage.

FAQ 20 — J’AI EXERCÉ MON DROIT D’ACCÈS, OBTENU COMMUNICATION DE MES DONNÉES, ET CONSTATÉ QU’ELLES SONT INEXACTES OU INCOMPLÈTES. QUE PUIS-JE FAIRE ENSUITE ?

L’exercice du droit d’accès n’est qu’une première étape. Si les données que vous avez obtenues s’avèrent inexactes, vous pouvez immédiatement exercer votre droit à la rectification (article 16 du RGPD), en demandant à l’entreprise de les corriger dans les meilleurs délais. Si ces données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, ou si vous retirez votre consentement et qu’il n’existe pas d’autre base légale au traitement, vous pouvez exercer votre droit à l’effacement (article 17). En attendant que l’entreprise statue sur votre demande de rectification ou d’effacement, vous pouvez également demander la limitation du traitement (article 18), afin que vos données ne soient plus utilisées pendant cette période.

Armand-Ari BETTAN & Dominique KARPISEK-BETTAN | Avocats au Barreau des Hauts-de-Seine