CJUE (19 mars 2026): un accès peut être refusé s’il est abusif

La CJUE, dans l’arrêt Brillen Rottler (C‑526/24, 19 mars 2026), admet qu’une première demande d’accès (art. 15 RGPD) peut être refusée sur le fondement de l’article 12(5) si elle est « abusive », c’est‑à‑dire présentée dans le seul but d’obtenir une indemnisation, sans finalité d’information ni de contrôle du traitement. La Cour rappelle aussi que l’indemnisation (art. 82) exige une violation, un dommage et un lien de causalité.

Sources officielles: Communiqué CJUE n° 38/26 (FR) • Communiqué (EN) • Fiche InfoCuria C‑526/24.

L’affaire

Un individu, à la suite d’un litige commercial, adresse une demande d’accès à Brillen Rottler GmbH & Co. KG (opticien, DE), puis réclame des dommages et intérêts pour « perte de contrôle ». Saisie par l’Amtsgericht Arnsberg, la CJUE juge qu’une demande exclusivement indemnitaire peut être qualifiée d’abusive et rejetée au titre de l’art. 12(5) RGPD. La Cour réaffirme par ailleurs que la simple violation ne suffit pas pour l’art. 82 (cf. CJUE, C‑300/21, Österreichische Post).

Le raisonnement juridique

• Base RGPD. Le droit d’accès (art. 15) se met en œuvre via l’art. 12, qui autorise un refus lorsque les demandes sont « manifestement infondées ou excessives » (art. 12(5)). Texte intégral: EUR‑Lex — RGPD.
• Notion d’abus. La recherche exclusive d’un avantage indemnitaire, sans finalité d’information ni de vérification, peut caractériser un abus de droit rendant la demande « manifestement infondée » au sens de l’art. 12(5). La charge de la preuve du caractère abusif incombe au responsable, qui doit motiver et documenter (art. 5(2) et 24).
• Réparation (art. 82). Le droit à indemnisation requiert cumulativement: (i) violation du RGPD, (ii) dommage, y compris moral, (iii) lien de causalité. La simple violation ne suffit pas (C‑300/21, 4 mai 2023).
• Cohérence EDPB. Les lignes directrices EDPB 01/2022 et l’action coordonnée 2024 insistent sur la réponse « sans retard excessif » dans le mois, l’identification proportionnée et la motivation des refus. Voir EDPB — Guidelines 01/2022 et EDPB — CEF 2024.
• Position CNPD. La CNPD détaille le droit d’accès, les cas de limitation et fournit des modèles, notamment dans sa fiche pratique 2024: Le droit d’accès et Fiche pratique (04/2024).

Ce que ça change concrètement

1. Filtrer les demandes instrumentalisées. Un fondement jurisprudentiel existe pour rejeter les demandes visant uniquement une indemnisation. Examiner le contexte (chronologie, modèles standardisés, absence d’intérêt à l’information) et, si besoin, solliciter des précisions utiles (art. 12(6)). Pour cadrer ces flux, un mandat DPO certifié peut professionnaliser l’analyse et la réponse.
2. Motivation et traçabilité. Un refus sur art. 12(5) doit être circonstancié, rappeler les voies de recours (plainte CNPD, art. 77; recours juridictionnel, art. 79) et s’appuyer sur des éléments probants.
3. Dommages et intérêts. L’issue indemnitaire exige un dommage et un lien causal. Les organisations doivent journaliser les traitements, conserver les preuves de complétude et de délais, et documenter toute limitation. Pour réviser les bases, voir les articles 12, 15 et 82 du RGPD.

Exemples

• Services financiers (Luxembourg/PSF): séries de demandes copiées-collées post‑litige visant « établir une violation et demander 500 € ». Procédure: accusé de réception, demande de précision, puis décision motivée de refus si l’intention indemnitaire exclusive est démontrée (art. 12(5)) avec information CNPD.
• RH transfrontaliers: « tous les e‑mails où mon nom apparaît depuis 2016 » avec menace d’indemnité hors délai. Réponse: périmètre proportionné (EDPB §153‑173), accès ciblé, exclusion des données de tiers, motivation des restrictions, éviter l’étiquette « abusive » si l’objectif reste informationnel.

Pièges fréquents

1. Refuser trop vite sans dossier. La CJUE vise l’intention exclusivement indemnitaire. Sans éléments objectifs, le refus sera fragile (art. 12(5); C‑526/24, 19/03/2026).
2. Oublier le délai d’un mois. Des prolongations motivées (+2 mois) sont possibles, à notifier (EDPB 01/2022).
3. Vérification d’identité insuffisante. L’art. 12(6) exige une identification proportionnée; un défaut peut entraîner une divulgation à un tiers et un risque indemnitaire (art. 82).
4. Refuser sans alternative. Même en cas de suspicion d’abus, proposer une précision de portée, une consultation sur place, ou limiter aux données fournies par la personne (EDPB §164‑173).
5. Omettre les voies de recours. Mentionner la CNPD (art. 77) et le recours juridictionnel (art. 79). Références CNPD ci‑dessus.

À mettre en place dès maintenant

• Decision tree droit d’accès aligné EDPB/CJUE: réception, vérification d’identité, clarification, extraction, restrictions, contrôle abus/manifestement infondé, réponse sous 1 mois, voies de recours. Un cadre RGPD Luxembourg facilite l’implémentation opérationnelle.
• Dossier probatoire « abus de droit »: grille d’indices, conservation des échanges, procès‑verbal interne, avis DPO.
• Gouvernance data et sécurité: cartographie, extraction outillée, masquage des tiers, coffre‑fort de preuves (art. 32). En appui, nos équipes CISO externalisées peuvent structurer la journalisation et les contrôles.
• Suivi des délais: registre et KPI « time‑to‑access », en ligne avec l’action coordonnée EDPB/CNPD (CEF 2024).

Sources officielles

• CJUE — Communiqué n° 38/26, 19 mars 2026 (Brillen Rottler, C‑526/24): FR • EN ; Fiche InfoCuria: C‑526/24
• RGPD (EUR‑Lex), articles 12, 15 et 82: EUR‑Lex
• CJUE — Österreichische Post (C‑300/21), 4 mai 2023, communiqué: lien
• EDPB — Guidelines 01/2022 Right of access (17/04/2023): lien
• EDPB — CEF 2024: lien
• CNPD — Le droit d’accès (FR): lien ; Fiche pratique (2024): lien

Remarque locale: la CNPD attend une mise en œuvre opérationnelle, traçable et proportionnée du droit d’accès. L’arrêt CJUE du 19 mars 2026 n’en réduit pas la portée; il encadre seulement les demandes instrumentalisées — à manier avec rigueur probatoire.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.