Le 19 mars 2026, la Cour de justice de l’Union européenne a rendu un arrêt structurant dans l’affaire C-526/24 (Brillen Rottler). Pour la première fois, la Cour admet explicitement qu’une demande d’accès aux données personnelles, même s’il s’agit de la toute première formulée par une personne concernée, peut être qualifiée d’excessive et refusée lorsqu’elle vise uniquement à provoquer artificiellement une violation du RGPD pour en réclamer réparation. Par ailleurs, la Cour pose une règle inédite en droit RGPD : la personne dont le propre comportement est la cause déterminante du préjudice ne peut pas obtenir indemnisation. Deux apports majeurs que tout responsable de traitement doit maîtriser.
Les faits : un scénario répétitif et documenté
Un individu résidant en Autriche s’inscrit, de sa propre initiative, à la newsletter de Brillen Rottler, une entreprise familiale d’optique établie à Arnsberg, en Allemagne. Il renseigne volontairement ses données personnelles dans le formulaire d’inscription disponible sur le site Internet de l’entreprise.
Treize jours après cette inscription, il adresse à l’entreprise une demande d’accès à ses données en vertu de l’article 15 du RGPD. Brillen Rottler refuse. L’entreprise s’appuie sur des reportages, articles de blog et bulletins professionnels qui établissent que cet individu pratique systématiquement le même scénario :
- inscription à la newsletter d’une entreprise ;
- envoi d’une demande d’accès aux données dans un délai très court ;
- dépôt d’une demande de réparation sur le fondement de l’article 82 du RGPD.
L’individu réclame une indemnité d’au moins 1 000 euros pour le dommage moral qu’il prétend avoir subi du fait du rejet de sa demande d’accès. Le tribunal de district d’Arnsberg saisit la Cour de justice de deux questions préjudicielles : une première demande d’accès peut-elle être « excessive » au sens du RGPD ? La personne peut-elle obtenir réparation pour violation de son droit d’accès ?
Premier apport : même une première demande peut être excessive
L’article 12, paragraphe 5, du RGPD autorise le responsable de traitement à refuser de donner suite aux demandes « excessives ». Jusqu’à présent, cette notion était généralement associée à des demandes répétitives émanant d’une même personne. La Cour franchit un pas décisif : même une première demande peut, sous certaines circonstances, être qualifiée d’excessive.
2.1 La clé d’entrée : l’intention
La Cour pose une condition centrale : le responsable de traitement doit démontrer que la demande n’a pas été introduite dans le but légitime de prendre connaissance des traitements effectués et d’en vérifier la liceité au sens de l’article 15, mais avec l’intention de créer artificiellement les conditions requises pour obtenir une réparation au titre de l’article 82 du RGPD. C’est ce que la Cour qualifie d’ « intention abusive ».
| ⚠️ Point clé — Charge de la preuve |
| La charge de la preuve du caractère abusif repose entièrement sur le responsable de traitement. Il lui appartient de rassembler et de conserver les éléments circonstanciés qui établissent l’intention détournée. Un simple soupçon ne suffit pas. |
2.2 La grille d’analyse fournie par la Cour
La Cour établit une liste d’éléments à prendre en compte conjointement. Aucun de ces éléments n’est à lui seul déterminant : c’est leur accumulation qui fonde la démonstration.
| Élément à analyser | Ce que cela révèle dans l’affaire |
| Fourniture volontaire des données | L’individu s’est inscrit sans y être contraint |
| But de la fourniture des données | Inscription à une newsletter, finalité purement commerciale |
| Délai entre collecte et demande | 13 jours seulement, incompatible avec un besoin réel de contrôle |
| Comportement global de la personne | Schéma identique répété auprès de nombreuses entreprises |
| Informations publiquement accessibles | Reportages, articles, bulletins professionnels documentant la pratique |
Sur ce dernier point, la Cour admet explicitement que les informations accessibles au public sur le comportement de la personne concernée — reportages de presse, articles spécialisés, bulletins professionnels — peuvent être versées au dossier pour étayer la démonstration.
Second apport : la faute de la victime comme obstacle à la réparation
C’est l’apport le plus novateur de cet arrêt. La Cour précise deux conditions distinctes pour obtenir réparation au titre de l’article 82 du RGPD.
3.1 La preuve d’un dommage réel
La personne qui invoque une violation de son droit d’accès doit démontrer qu’elle a effectivement subi un dommage. La Cour rappelle que la simple existence d’une violation alléguée ne suffit pas, position déjà affirmée dans l’arrêt C-300/21 (UI / Österreichische Post). Elle précise par ailleurs que le dommage moral englobe en principe la perte de contrôle sur ses données ou l’incertitude quant à leur traitement.
3.2 Le comportement de la personne comme cause déterminante du préjudice
C’est ici que la Cour introduit une règle inédite en droit RGPD : la personne concernée ne peut pas obtenir réparation si son propre comportement constitue la cause déterminante du préjudice qu’elle invoque. En d’autres termes, celui qui crée artificiellement la situation dont il tire grief ne peut pas s’en prévaloir pour obtenir indemnisation.
| ℹ️ Ce que cela change |
| Ce principe de « faute de la victime » appliqué au RGPD constitue un verrou normatif concret contre les stratégies de RGPD-baiting. Il s’applique quelle que soit la nature du dommage invoqué, matériel ou moral. |
Ce que cet arrêt ne signifie pas
Cet arrêt ne doit pas être interprété comme une autorisation générale de rejeter les demandes d’accès au motif qu’elles pourraient être opportunistes. Le droit d’accès prévu par l’article 15 du RGPD reste un droit fondamental de la personne concernée.
La Cour encadre strictement les conditions du refus :
- le responsable de traitement doit démontrer, avec des éléments circonstanciés, l’existence d’une intention abusive ;
- l’analyse doit porter sur l’ensemble des circonstances, jamais sur un critère isolé ;
- tout refus doit être motivé par écrit, en citant expressément l’article 12, paragraphe 5, du RGPD ;
- le refus doit être notifié dans le délai d’un mois prévu par l’article 12, paragraphe 3.
Un refus mal fondé, non motivé ou tardif exposerait le responsable de traitement à une véritable violation du droit d’accès, et donc au risque de réparation qu’il cherchait précisément à éviter.
Implications pratiques pour les responsables de traitement
Cet arrêt commande une mise à niveau de la procédure de gestion des droits. Cinq mesures concrètes s’imposent.
| Mesure | Modalité opérationnelle |
| Documenter les circonstances de chaque demande dès la collecte | Horodater la création du compte ou de l’inscription, le canal utilisé et le caractère volontaire de la fourniture des données. |
| Mettre en place une veille sectorielle | Conserver les signalements de presse, bulletins professionnels et alertes sectorielles documentant des comportements répétitifs. |
| Créer un registre interne des demandes d’exercice de droits | Croiser les demandes reçues pour identifier un éventuel caractère systémique et constituer un dossier probant. |
| Motiver tout refus par écrit | Citer l’article 12§5 du RGPD, détailler les éléments de fait qui établissent l’intention abusive, notifier dans le délai légal d’un mois. |
| Consulter le DPO avant tout refus | Le DPO doit valider l’analyse et l’argumentation avant notification du refus. Sa traçabilité dans le dossier est un élément de preuve supplémentaire. |
Et donc ?
L’arrêt Brillen Rottler marque un rééquilibrage bienvenu dans la mise en oeuvre du RGPD. La Cour rappelle avec force que le droit d’accès est un outil de transparence et de contrôle au service de la personne concernée, non un levier contentieux à usage commercial. Elle offre aux responsables de traitement un appui normatif concret pour rejeter les demandes manifestement abusives, à condition d’en apporter la preuve.
Elle pose en parallèle un principe inédit : on ne peut pas construire artificiellement sa propre victimisation pour en tirer profit au titre du RGPD. Ce verrou, combiné à la confirmation que tout dommage doit être démontré concrètement, consolide la cohérence d’ensemble du système de responsabilité du RGPD.
Il revient désormais au tribunal de district d’Arnsberg de trancher le litige en tenant compte de ces réponses.
| Références |
| CJUE, 19 mars 2026, affaire C-526/24, Brillen Rottler |
| RGPD, article 12, paragraphe 5 : traitement des demandes excessives |
| RGPD, article 15 : droit d’accès de la personne concernée |
| RGPD, article 82 : responsabilité et droit à réparation |
| CJUE, 4 mai 2023, affaire C-300/21, UI / Österreichische Post (exigence de preuve du dommage) |
| Texte intégral de l’arrêt disponible sur curia.europa.eu |
