RGPD: une première demande d’accès peut être refusée pour abus (CJUE 19/03/2026)
La CJUE (C‑526/24) admet qu’une première demande d’accès RGPD peut être refusée pour abus au titre de l’article 12(5). Clé pratique: documenter l’intention abusive et un test de proportionnalité en deux branches.
Droit d’accès RGPD: la CJUE admet le refus pour « abus » (19 mars 2026)
La CJUE (19 mars 2026, C‑526/24 Brillen Rottler) juge qu’une première demande d’accès (art. 15 RGPD) peut être refusée si elle est « abusive » au sens de l’article 12(5). Enseignement clé: documenter l’intention abusive et le test de proportionnalité.
L’affaire
Le 19 mars 2026, la Cour de justice de l’Union européenne (CJUE) a rendu l’arrêt C‑526/24 Brillen Rottler GmbH & Co. KG v TC. Saisie d’un renvoi préjudiciel par l’Amtsgericht Arnsberg (Allemagne), la Cour devait dire si un responsable de traitement peut refuser une première demande d’accès au titre des articles 15 et 12(5) RGPD quand elle est « manifestement infondée ou excessive », en particulier en cas d’abus de droit. La CJUE répond positivement: « une première demande d’accès peut, dans certaines circonstances, être déjà considérée comme “excessive” » si elle poursuit un but étranger à l’information et au contrôle de la licéité du traitement, par exemple pour créer artificiellement les conditions d’une action indemnitaire (art. 82 RGPD). Source officielle: communiqué de presse CJUE n° 38/26 du 19/03/2026 et texte de l’arrêt (ECLI:EU:C:2026:216). Liens: https://curia.europa.eu/site/upload/docs/application/pdf/2026-03/cp260038en.pdf et https://juris.curia.europa.eu/juris/document/document.jsf?docid=310067&doclang=EN. (curia.europa.eu) (juris.curia.europa.eu)
Montant et sanction ne sont pas en cause ici: il s’agit d’un arrêt d’interprétation. Mais la Cour articule explicitement l’article 12(5) RGPD (demandes « manifestement infondées ou excessives ») avec le droit à réparation de l’article 82 RGPD, et pose un test en deux branches (éléments objectifs + intention subjective) pour caractériser l’abus. Extrait utile (traduction libre): preuve d’une pratique abusive requiert i) des circonstances objectives montrant que, malgré le respect formel des conditions du RGPD, la finalité de la règle n’est pas atteinte; et ii) un élément subjectif consistant en l’intention d’obtenir un avantage en créant artificiellement les conditions d’application. Voir résumé au § 36 de l’arrêt (lien ci‑dessus). (ipcuria.eu)
Le raisonnement juridique
- Base légale primaire: article 12(5) RGPD, qui autorise le responsable à refuser de donner suite à une demande lorsqu’elle est « manifestement infondée ou excessive ». La CJUE précise que « l’excessif » peut découler de l’abus de droit, même pour une première demande. Corrélats: article 15 (droit d’accès) et article 82 (droit à réparation). Texte consolidé: https://eur-lex.europa.eu/eli/reg/2016/679/oj. Pour un rappel des exigences locales, voir notre page RGPD.
- Test d’abus posé par la CJUE: combinaison d’éléments objectifs (finalité de transparence et de contrôle non atteinte) et subjectifs (intention d’obtenir un avantage indu, p.ex. préparer artificiellement un préjudice immatériel). La simple existence de contentieux parallèles ou un historique de demandes multiples ne suffit pas à lui seul; il faut apprécier le contexte, la chronologie et la finalité poursuivie. (juris.curia.europa.eu)
- Référence EDPB: les Lignes directrices 01/2022 « Right of access » (version finale 28 mars 2023) cadrent déjà l’article 12(5): l’« excessif » ne se réduit pas à la répétition; le responsable peut demander des précisions, vérifier l’identité, et doit documenter son appréciation. L’EDPB insiste sur une interprétation restrictive des refus et sur le fait qu’un motif de nuisance délibérée peut caractériser un abus. Lignes directrices: https://www.edpb.europa.eu/documents/guideline/guidelines-012022-on-data-subject-rights-right-of-access_en.
- Position CNPD: la CNPD rappelle la finalité du droit d’accès (information, contrôle) et fournit des ressources pratiques et un modèle de lettre. Sa fiche et ses pages d’information renvoient au délai d’un mois (art. 12(3)), aux limites (droits des tiers, art. 15(4)) et au cadre EDPB. Pour le Luxembourg, ces documents constituent le référentiel opérationnel de première ligne. Voir https://cnpd.public.lu/fr/particuliers/vos-droits/droit-acces.html et https://cnpd.public.lu/fr/actualites/national/2024/04/fiche-droit-acces.html.
Ce que ça change concrètement
- Refus possible mais encadré: vous pouvez refuser une première demande d’accès si, et seulement si, vous démontrez un « abus » au sens CJUE + art. 12(5). Exemple: un individu adresse une DSAR treize jours après un incident mineur, avant toute interaction, en menaçant d’une action indemnitaire standardisée et en refusant toute précision sur l’objet des données recherchées; des éléments publics montrent un « schéma » de demandes identiques destinées à monétiser l’article 82. Dans ce cas, un refus motivé et proportionné peut être justifié, après tentative de clarification. (juris.curia.europa.eu)
- Méthode probatoire: tenez un dossier DSAR complet: journal horodaté, échanges de clarification (art. 12(6) et 12(5)), vérification d’identité, extraction test, analyse « droits des tiers » (art. 15(4)), grille « manifestement infondé/excessif ». Renvoyez au besoin vers des données déjà fournies ou accessibles de manière sûre, conformément à l’EDPB 01/2022. (edpb.europa.eu). Pour structurer cette réponse, un mandat DPO peut sécuriser vos modèles et registres.
- Alignement CNPD/EDPB: la CNPD attend une réponse dans un mois, motivée, avec voies de recours. Un refus non documenté ou stéréotypé sera fragilisé en cas de contrôle CNPD ou contentieux. Liens CNPD supra. Pour un cadrage luxembourgeois, consultez notre page RGPD Luxembourg.
- Interactions avec la sécurité: les demandes d’accès massives post‑incident peuvent perturber l’investigation. La CJUE n’autorise pas un gel général du droit d’accès, mais ouvre la porte à écarter les demandes instrumentales visant seulement à forcer une reconnaissance de faute. Documentez les mesures de sécurité (art. 32), consignez l’état de l’enquête et fournissez des éléments sans compromettre la sécurité ni les droits des tiers. (edpb.europa.eu). Le soutien d’un CISO externalisé facilite l’arbitrage entre accès et intégrité des preuves.
Pièges fréquents
- Motifs « copier‑coller » sans test au cas par cas. Le simple soupçon de mauvaise foi ne suffit pas. Réalisez un test formalisé en deux étapes (éléments objectifs + intention), archivé au dossier. (juris.curia.europa.eu)
- Confusion entre « clarification » et « obstruction ». Demander des précisions ciblées est légitime (EDPB 01/2022), mais exiger des informations déraisonnables ou imposer des formulaires exclusifs peut être contraire à l’article 12(2). (edpb.europa.eu)
- Oublier les droits des tiers (art. 15(4)). Transmettre des logs ou documents bruts sans caviardage peut violer la confidentialité d’autrui. Appliquez un filtrage proportionné et expliquez‑le. CNPD/EDPB le rappellent. (cnpd.public.lu)
- Assimiler « répétitif » à « excessif » sans plus. La CJUE dit que l’« excessif » ne se réduit pas à la répétition. Une deuxième demande peut rester légitime (mises à jour de données, élargissement de périmètre). (juris.curia.europa.eu)
- Refuser sans proposer d’alternative. Même en cas d’abus établi, indiquez les voies de recours (art. 12(4)), les éléments déjà fournis, et — si pertinent — offrez un accès restreint protégeant les tiers. L’EDPB 01/2022 insiste sur la transparence de la réponse. (edpb.europa.eu)
Sources officielles
- CJUE — Communiqué de presse n° 38/26 (19 mars 2026), C‑526/24 Brillen Rottler: https://curia.europa.eu/site/upload/docs/application/pdf/2026-03/cp260038en.pdf
- CJUE — Arrêt du 19 mars 2026, C‑526/24 (ECLI:EU:C:2026:216): https://juris.curia.europa.eu/juris/document/document.jsf?docid=310067&doclang=EN
- EDPB — Guidelines 01/2022 on data subject rights – Right of access (version finale 28 mars 2023): https://www.edpb.europa.eu/documents/guideline/guidelines-012022-on-data-subject-rights-right-of-access_en
- CNPD Luxembourg — Droit d’accès (page d’information et fiche pratique): https://cnpd.public.lu/fr/particuliers/vos-droits/droit-acces.html et https://cnpd.public.lu/fr/actualites/national/2024/04/fiche-droit-acces.html
Enseignement pour le Luxembourg
À compter du 19 mars 2026, un refus d’accès peut être légal dès la première demande si vous prouvez l’abus au sens CJUE. Mais le standard de preuve et de motivation reste élevé. DPO et directions doivent ajuster leurs procédures DSAR (registre, check‑list « abus/excessif », modèles de réponses) pour concilier protection contre l’instrumentalisation et respect rigoureux du droit d’accès. En cas de besoin, nos services d’accompagnement DPO au Luxembourg contribuent à sécuriser ces mises à jour.
Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.
Une question sur ce sujet ?
Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.
Configurer mon devis →