Aristotelis Zervos
Aristotelis Zervos, directeur de la rédaction de 2B Advice, allie expertise juridique et journalistique en Protection des données, la conformité informatique et la réglementation de l'IA.
Dans l'arrêt „Brillen Rottler“, la CJCE a défini les limites du droit d'accès découlant de l'art. 15 RGPD concrétise et définit en même temps les contours de la réparation des dommages en droit de l'Union selon l'article 82 RGPD a été affinée. Selon la CJCE, même une première demande de renseignements peut être „excessive“ au sens de l'article 12, paragraphe 5. RGPD être si le Responsable démontre que la demande n'a pas pour but de contrôler le traitement des données, mais qu'elle est introduite de manière abusive afin de créer artificiellement des droits à réparation.
Demande de renseignements rejetée pour cause d'excès
Dans la pratique, les droits à l'information selon l'art. 15 RGPD sur les principaux droits des personnes concernées. Pour Responsable ils représentent cependant régulièrement une zone de tension. D'une part, le Droit d'accès un instrument central de transparence et une condition préalable à la perception effective d'autres Droits des personnes concernées. D'autre part, il y a de plus en plus de cas où les demandes de renseignements ne sont manifestement pas motivées en premier lieu par des raisons de sécurité. Transparence, Le but n'est pas de faire pression sur les entreprises, mais de générer des coûts ou des demandes d'indemnisation.
La CJCE devait maintenant se prononcer sur un renvoi de l'AG Arnsberg. Le site concernés Une personne s'était abonnée à la newsletter d'une entreprise d'optique et avait données à caractère personnel dans le formulaire en ligne. Treize jours plus tard, elle a introduit une demande d'accès conformément à l'article 15 de la loi sur la protection des données. RGPD. L'entreprise Brillen Rottler a rejeté la demande au motif qu'elle était abusive. Il ressort de différents articles de presse, de contributions à des blogs et de rapports d'avocats que le demandeur s'abonne systématiquement à des newsletters de différentes entreprises, puis demande des renseignements et enfin réclame des dommages et intérêts. Le site concernés En revanche, Person a estimé que sa demande était légitime et a réclamé au moins 1.000 euros de dommages et intérêts moraux pour avoir refusé de fournir des informations.
La Cour a ainsi dû répondre à deux questions d'une grande importance pratique : dans quelles conditions une demande d'information peut-elle être rejetée comme excessive et abusive ? Et la violation du droit d'accès en tant que telle peut-elle donner lieu à une demande de dommages et intérêts en vertu de l'article 82 de la Convention européenne des droits de l'homme ? RGPD justifier ?
La première demande de renseignements peut être excessive
La première conclusion centrale de la CJCE est qu'il n'est pas nécessaire qu'une demande d'information soit répétée pour être considérée comme excessive au sens de l'article 12, paragraphe 5. RGPD s'appliquent. Certes, la norme mentionne expressément la „répétition fréquente“, mais uniquement à titre d'exemple. La Cour rejette donc toute vision schématique selon laquelle une première demande ne pourrait jamais être excessive d'un point de vue conceptuel.
Par sa décision, la CJCE se rattache au texte et à l'économie de la directive. RGPD an. Dans le langage courant, le terme „excessif“ décrit un comportement qui dépasse la mesure raisonnable ou admissible. Il n'en découle toutefois pas que seuls les excès quantitatifs pourraient être visés. Une demande qualitativement abusive peut également être excessive. Parallèlement, la Cour souligne que l'article 12, paragraphe 5 RGPD en tant qu'exception à l'exercice en principe gratuit et facilité de la Droits des personnes concernées doit être interprétée de manière stricte. Des critères élevés s'appliquent donc à l'hypothèse d'une demande initiale excessive.
Ce qui est particulièrement important pour la pratique, c'est que la CJCE a considéré que l'art. 12, al. 5 RGPD s'inscrit dans le cadre du principe général de l'abus de droit de l'Union. Droits des personnes concernées ne doivent pas être instrumentalisées de manière frauduleuse ou abusive. L'arrêt renforce ainsi les responsables là où les demandes ne servent manifestement pas au contrôle de la protection des données, mais à la production de revendications formelles.
Preuve de l'intention d'abuser requise
Pour conclure à l'existence d'une demande abusive et excessive, la Cour exige une appréciation globale de toutes les circonstances pertinentes. L'élément déterminant est de savoir si la demande correspond effectivement à l'objectif de l'article 15 RGPD sert, à savoir la prise de conscience de la Traitement et le contrôle de leur légalité. Si cet objectif fait défaut et qu'il s'agit au contraire de créer artificiellement les conditions d'un avantage financier de la RGPD de créer, il peut y avoir abus.
La CJCE identifie plusieurs circonstances qui peuvent entrer en ligne de compte dans cette appréciation :
- la fourniture volontaire des données,
- la finalité de cette mise à disposition,
- le court laps de temps entre la fourniture des données et la demande d'informations, et
- le comportement global de la personne concernée.
Il convient de souligner en particulier que les informations accessibles au public sur une approche systématique peuvent également être prises en compte. De telles informations ne suffisent toutefois pas isolément. Elles peuvent constituer un indice, mais doivent être confirmées par d'autres circonstances. Cela correspond également au caractère exceptionnel de l'article 12, paragraphe 5. RGPD. Selon la CJCE, une première demande peut être abusive si elle n'est pas soumise au contrôle de la Traitement, Il ne s'agit pas d'un acte de violence, mais uniquement d'un acte visant à créer les conditions d'une indemnisation. Plusieurs cas similaires peuvent constituer un indice à cet égard.
Dommages et intérêts en vertu de l'article 82 RGPD, même en cas de violation du droit d'accès
La deuxième partie de la décision est tout aussi importante. La CJCE précise que l'article 82, paragraphe 1, de la directive sur l'égalité raciale s'applique à tous les États membres. RGPD ne se limite pas aux dommages résultant directement d'un traitement de données. Par conséquent, une demande de dommages et intérêts peut également résulter d'une violation du droit d'accès prévu à l'article 15, paragraphe 1. RGPD naissent.
La Cour rejette ainsi une interprétation étroite et purement technique de l'article 82. RGPD en arrière. Le site RGPD ne protège pas seulement contre les infractions Traitement, mais accorde également des droits autonomes Droits des personnes concernées, dont l'application effective doit être garantie par le droit de l'Union. Si l'article 82 RGPD aux cas d'urgence immédiate Traitement la protection de ces droits deviendrait partiellement caduque. Par conséquent, une demande de dommages-intérêts peut également être introduite en cas de violation du droit d'accès à des informations concernant données à caractère personnel existent.
Pas d'automatisme : Violation ne suffit pas
Cependant, la CJCE précise également que tout le monde n'est pas obligé d'avoir un emploi. Violation contre les RGPD entraîne automatiquement une demande de dommages et intérêts. Les trois conditions connues restent nécessaires.
- Violation contre les RGPD,
- le préjudice matériel ou moral réel ; et
- Lien de causalité entre Violation et des dommages.
C'est précisément là que réside la fonction compensatoire de la décision. La Cour étend l'article 82 RGPD n'est pas sans limites. Certes, il confirme que la violation du droit d'accès peut également engager la responsabilité. Mais en même temps, il reste concernés personne doit exposer et prouver un préjudice réel. Une violation abstraite de la loi ne suffit pas. Cela correspond à la ligne suivie jusqu'à présent par la CJCE concernant l'art. 82 RGPD.
La perte de contrôle et l'incertitude comme préjudice moral
En ce qui concerne le préjudice moral, la Cour reconnaît que la perte de contrôle de données à caractère personnel ou le fait de ne pas savoir si des données ont été traitées peuvent en principe constituer un préjudice moral indemnisable. C'est précisément le Droit d'accès vise à éliminer les asymétries d'information et à donner aux personnes concernées un contrôle sur leurs données.
Toutefois, la CJCE reste nuancée sur ce point également. La simple affirmation d'une crainte ne suffit pas. Il faut prouver que le préjudice moral s'est effectivement produit. En outre, le lien de causalité peut être rompu si le propre comportement de la personne concernée a été la cause déterminante du préjudice invoqué.
Celui qui met sciemment des données à disposition dans l'intention de créer ensuite les conditions d'une demande de dommages et intérêts ne peut pas se prévaloir sans autre d'une perte de contrôle ainsi créée.
Conseil de lecture : L'OFSP estime que la “colère” causée par un retard d'information ne suffit pas pour obtenir des dommages et intérêts
Mise en perspective de la décision "Brillen Rottler" pour la pratique
La décision n'est ni une „carte blanche” pour rejeter les demandes d'information gênantes, ni une invitation à des demandes stratégiques de masse. Au contraire, elle marque une voie médiane bien équilibrée du point de vue du droit de l'Union.
Pour Responsable cela signifie tout d'abord que les obstacles à l'acceptation d'une première demande excessive restent élevés. Une invocation globale de l'abus n'est pas autorisée. Celui qui introduit une demande au titre de l'article 12, paragraphe 5 RGPD doit être en mesure de documenter de manière compréhensible les circonstances concrètes qui permettent de conclure que l'intéressé n'est pas en mesure de remplir les conditions requises. Personnes concernées justement pas la légitimité de la Traitement veut examiner. De simples suppositions, un scepticisme généralisé ou une poursuite de la revendication orientée vers le conflit ne suffisent pas.
En même temps, l'arrêt renforce les possibilités de défense dans des cas proches de l'abus. Dans les cas les plus flagrants, il convient de Responsable procéder à un examen structuré des abus. Des indicateurs pertinents peuvent être : un intervalle extrêmement court entre la saisie des données et la demande de renseignements, des constellations de contacts manifestement créées artificiellement, des modèles de revendications parallèles vis-à-vis de nombreux responsables ainsi que des indications publiques sur une procédure standardisée. L'élément décisif reste cependant toujours la vue d'ensemble.
Pour la pratique de traitement, l'arrêt signifie en outre que les refus doivent être motivés avec un soin particulier. Celui qui a recours à l'art. 12 al. 5 RGPD est responsable de la charge de la preuve. Ne serait-ce que pour cette raison, il est régulièrement recommandé de procéder à un examen documenté au cas par cas, avec la participation du service de protection des données et du service juridique.
Du côté des personnes concernées, la décision montre également des limites claires. La mise en œuvre judiciaire des droits à l'information reste légitime. La demande de dommages et intérêts n'est pas non plus abusive en soi. Il n'y a toutefois abus que si le Droit d'accès est utilisé de manière contraire à sa fonction. Elle ne correspond donc plus à l'objectif de protection de l'art. 15 de la Constitution. RGPD mais est simplement utilisé comme un véhicule pour générer artificiellement des revendications.
Source : Décision de la CJCE “Brillen Rottler” (C-526/24 du 19 mars 2026)
Aristotelis Zervos est directeur éditorial chez 2B Advice, juriste et journaliste avec un savoir-faire approfondi en matière de protection des données, RGPD, la conformité IT et la gouvernance de l'IA. Il publie régulièrement des articles approfondis sur la réglementation de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French