← Tous les articles

consultant

CJUE 19 mars 2026 (Brillen Rottler) : premier accès refusé pour abus

La CJUE admet qu’une première demande d’accès (art. 15 RGPD) puisse être refusée comme « excessive » en cas d’intention abusive prouvée (art. 12(5)). Le refus reste exceptionnel, motivé et dans les délais.

Par Expertise Luxgap 16/05/2026

Arrêt CJUE Brillen Rottler (C‑526/24, 19 mars 2026) : la Cour admet qu’une première demande d’accès fondée sur l’article 15 du RGPD puisse être qualifiée d’« excessive » et refusée si le responsable démontre une intention abusive, au sens de l’article 12(5). Le refus doit être dûment motivé et notifié dans les délais.

L’affaire

Le 19 mars 2026, la Cour de justice de l’Union européenne a rendu l’arrêt Brillen Rottler (C‑526/24), saisi par l’Amtsgericht Arnsberg (Allemagne). La Cour juge qu’une première demande d’accès (article 15 RGPD) peut être considérée comme excessive si elle est animée d’une intention abusive prouvée, au sens de l’article 12(5) RGPD. L’arrêt précise aussi l’articulation avec l’article 82 (dommages‑intérêts), notamment lorsque le droit d’accès est invoqué pour obtenir ensuite une indemnisation pour un manquement allégué. Voir le communiqué officiel de la Cour (19.03.2026) et la fiche InfoCuria : Communiqué n° 38/26 et InfoCuria (ECLI:EU:C:2026:216).

Le raisonnement juridique

  • Base juridique. L’article 12(5) RGPD prévoit que lorsque les demandes d’une personne concernée sont « manifestement infondées ou excessives, notamment en raison de leur caractère répétitif », le responsable peut exiger des frais raisonnables ou refuser d’y donner suite. Texte officiel : EUR‑Lex (Règlement 2016/679). Pour un rappel pratique du cadre, voir notre page RGPD (articles 12 et 15).
  • Apport de l’arrêt. La CJUE consacre la possibilité de refuser une première demande si elle est abusive, en s’appuyant sur le principe d’interdiction de l’abus de droit. L’exception de l’article 12(5) doit être interprétée strictement : charge de la preuve de l’abus sur le responsable ; refus motivé, notifié dans le délai de l’article 12(3) (un mois, prolongeable de deux). Source : Communiqué CJUE n° 38/26.
  • Articulation avec l’article 15. Le droit d’accès demeure large : confirmation du traitement, accès aux données et informations listées (art. 15(1)), et obtention d’une copie (art. 15(3)), sous réserve des droits d’autrui (art. 15(4)). Le refus n’est possible que si la demande est « manifestement » abusive/excessive, au sens strict. Source : EUR‑Lex, art. 15 RGPD.
  • Cohérence avec l’EDPB. Les Lignes directrices 01/2022 confirment que les cas « manifestement infondés ou excessifs » sont d’interprétation étroite ; le caractère répétitif n’est qu’un exemple. L’arrêt précise que l’excès peut résulter d’une intention instrumentalisant le droit (abus), même à la première demande. Sources : EDPB Guidelines 01/2022 et actualité EDPB.
  • Référentiel CNPD. La CNPD rappelle l’étendue du droit d’accès et les obligations de réponse ; l’arrêt encadre, côté responsables, la possibilité de refus pour abus sans dénaturer le droit. Source : CNPD – Le droit d’accès.

Ce que ça change concrètement

Pour les organisations au Luxembourg (entreprises, administrations, PSF, santé, opérateurs NIS2), l’arrêt apporte un outil de maîtrise des demandes détournées de leur finalité. Pour une approche opérationnelle au Luxembourg, voir également RGPD Luxembourg et conformité CNPD.

  • Refus possible même à la première demande si l’abus est démontré (p. ex., demande visant uniquement à générer un contentieux indemnitaire – art. 82(1) RGPD – sans réelle volonté d’exercer le droit d’accès, ou assortie de menaces systématiques sans lien avec la protection des données). Exception à documenter. Source : CJUE, Brillen Rottler (C‑526/24).
  • Procédure DSAR : intégrer un « test d’abus/excès » fondé sur des critères objectifs (finalité apparente, ampleur déraisonnable, absence de lien avec des traitements effectifs, instrumentalisation prouvée). Les critères EDPB demeurent la boussole. Source : EDPB Guidelines 01/2022. Implique souvent une supervision dédiée ; un mandat DPO certifié peut renforcer la traçabilité et la décision motivée.
  • Délais inchangés : réponse sous un mois (art. 12(3)), prolongeable de deux mois en cas de complexité, avec information de la personne ; en cas de refus, indiquer le motif, la possibilité de réclamation CNPD et le recours juridictionnel. Source : EUR‑Lex, art. 12 RGPD.
  • Contrôle des autorités : en audit/contrôle, l’autorité examinera la traçabilité : registre des demandes, grille d’analyse, éléments probants de l’abus, décision motivée, supervision du DPO. La CNPD reste alignée sur l’EDPB ; l’arrêt devient un jalon jurisprudentiel mobilisable.

Exemples concrets (Luxembourg/Grande Région)

  • Ex‑salarié exigeant « toutes les communications l’évoquant depuis 10 ans, sous 5 jours, sinon 5 000 € » : possible excès si demande disproportionnée et utilisée comme levier indemnitaire ; demander une précision, proposer un périmètre proportionné ; refuser in fine si l’abus est démontré et motivé.
  • Client envoyant 50 demandes identiques via modèles automatisés la même semaine, sans lien avec un traitement effectif : excès manifeste (répétitif, intention de saturation).
  • Demande ciblée et légitime (dossier santé, données RH, logs de sécurité liés à un incident) : pas d’abus ; répondre pleinement, y compris aux métadonnées pertinentes, sous réserve des droits d’autrui (art. 15(4)).

Pièges fréquents

  1. Refuser par principe les demandes larges. L’arrêt n’autorise pas des refus génériques ; l’abus doit être démontré au cas par cas. Sources : EDPB 01/2022 ; CJUE Brillen Rottler (19.03.2026).
  2. Oublier la motivation et l’information en cas de refus. Les articles 12(4) et 12(3) imposent d’expliquer le motif, les voies de recours et de respecter le délai d’un mois. Source : EUR‑Lex, art. 12 RGPD.
  3. Confondre « lourd à traiter » et « abusif ». La charge opérationnelle seule n’est pas un abus ; privilégier la clarification du périmètre et, si besoin, la prolongation du délai. Sources : EDPB 01/2022 ; EUR‑Lex, art. 12(3).
  4. Ignorer l’identification. En cas de doute légitime (art. 12(6)), demander des informations supplémentaires proportionnées. Source : EUR‑Lex, art. 12(6) RGPD.
  5. Omettre la protection des droits d’autrui. En fournissant une copie (art. 15(3)), protéger secrets d’affaires et données de tiers (art. 15(4)).

Sources officielles

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

expertise reglementaire rgpd cjeu droit-d-acces edpb cnpd
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos donnees ne sont jamais partagees. Conformite RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →