Le droit d’accès consacré par l’article 15 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) constitue l’un des piliers de la protection des données à caractère personnel, en ce qu’il garantit à toute personne concernée un contrôle effectif sur les traitements dont ses données font l’objet.
NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

À travers ce droit, le législateur européen a entendu instaurer un mécanisme de transparence permettant non seulement la vérification de la licéité des traitements, mais également l’exercice d’autres prérogatives essentielles, telles que les droits de rectification, d’effacement ou encore d’opposition. Toutefois, l’effectivité de ce droit fondamental se heurte, en pratique, à des usages détournés qui interrogent les limites de sa protection.

C’est précisément dans ce contexte que s’inscrit l’arrêt rendu le 19 mars 2026 par la Cour de justice de l’Union européenne dans l’affaire C-526/24, Brillen Rottler, qui marque une étape déterminante dans la construction d’un encadrement jurisprudentiel du droit d’accès. Saisie d’un renvoi préjudiciel par une juridiction allemande, la Cour était appelée à déterminer si, et dans quelles conditions, un responsable de traitement peut refuser de donner suite à une demande d’accès au motif que celle-ci serait abusive, y compris lorsqu’il s’agit d’une première demande.

---

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

---

Les faits à l’origine du litige révèlent une instrumentalisation singulière du droit d’accès. Une personne physique, après s’être inscrite à la newsletter d’une société allemande d’optique en fournissant ses données personnelles, a exercé, treize jours plus tard, son droit d’accès avant de solliciter une indemnisation d’au moins 1 000 euros pour le refus opposé à sa demande. La société mise en cause a alors opposé un abus de droit, soutenant que le demandeur s’inscrivait systématiquement à des services en ligne dans le seul but de multiplier les demandes d’accès et d’engager ensuite des actions indemnitaires.

Derrière cette situation factuelle se dessine une problématique plus large tenant à la finalité du droit d’accès : celui-ci peut-il être mobilisé à des fins exclusivement contentieuses, voire lucratives, sans compromettre l’équilibre du système instauré par le RGPD ? Si le texte prévoit, à son article 12, paragraphe 5, la possibilité de refuser des demandes « manifestement infondées ou excessives », il demeure silencieux quant à la notion d’abus de droit et à son application à une première demande, laissant ainsi à la jurisprudence le soin d’en préciser les contours.

L’arrêt Brillen Rottler apporte à cet égard des clarifications majeures. D’une part, la Cour admet qu’un abus de droit peut être caractérisé même en l’absence de répétition, dès lors que la demande poursuit une finalité étrangère à l’objectif de transparence du RGPD. D’autre part, elle consacre une approche qualitative de l’excès, fondée sur l’intention du demandeur et le contexte global de son comportement. Toutefois, afin de préserver l’effectivité du droit d’accès, elle encadre strictement cette possibilité en exigeant du responsable de traitement la preuve d’éléments objectifs et concordants établissant la mauvaise foi du demandeur.

Ainsi, l’arrêt met en lumière un équilibre délicat entre la protection d’un droit fondamental et la nécessité de prévenir son instrumentalisation. Il invite à repenser les conditions d’exercice du droit d’accès ainsi que les obligations pesant sur les responsables de traitement face à des demandes potentiellement abusives.

Dans cette perspective, il convient de s’interroger sur la manière dont la Cour consacre la notion d’abus de droit en matière d’accès aux données personnelles (I), avant d’en analyser les implications sur le régime du droit d’accès et le droit à réparation (II).

I – La reconnaissance de l’abus de droit d’accès par la CJUE

A – L’admission d’un abus dès la première demande

En premier lieu, la Cour de justice affirme de manière explicite qu’une demande d’accès à ses données personnelles peut être qualifiée d’« abusive » et, partant, refusée, y compris lorsqu’il s’agit de la première demande formulée par la personne concernée.

S’écartant d’une lecture purement littérale et quantitative de l’article 12, paragraphe 5, RGPD, la Cour juge qu’une première demande peut être « excessive » au sens de cette disposition lorsque, malgré le respect formel des conditions posées par le règlement (forme de la demande, identification du demandeur, délai, etc.), elle poursuivrait une finalité étrangère à l’objectif de transparence et de contrôle du traitement des données.

La notion de « demande excessive » n’est donc pas réservée aux hypothèses de répétition ou de volume excessif d’informations, mais peut englober des situations où l’excès tient à la finalité dévoyée de la demande.

Pour parvenir à cette conclusion, la CJUE mobilise implicitement la théorie générale de l’abus de droit en droit de l’Union, selon laquelle les justiciables ne peuvent se prévaloir des règles de l’Union pour des fins manifestement étrangères à leur objet et consistant à obtenir un avantage indu. Elle transpose ce raisonnement au champ du RGPD en considérant que l’exercice du droit d’accès, loin d’être neutre, doit s’inscrire dans la finalité poursuivie par le règlement, à savoir permettre à la personne concernée de prendre connaissance du traitement et d’en vérifier la licéité. Lorsque cette finalité est absente et que la demande est introduite « dans le seul but » de créer artificiellement les conditions d’une violation et d’en tirer un bénéfice indemnitaire, l’abus de droit est caractérisé.

La Cour prend soin d’encadrer strictement cette possibilité pour éviter toute banalisation de l’exception. Elle rappelle, dans le sillage de l’avis de l’avocat général Szpunar, que l’abus de droit doit être réservé à des « circonstances exceptionnelles », compte tenu de la nature fondamentale du droit d’accès. Le simple fait qu’une demande puisse potentiellement conduire à une action en réparation ne suffit pas à la qualifier d’abusive, dès lors que la mise en œuvre de la responsabilité prévue à l’article 82 RGPD est elle‑même un mécanisme légitime de sanction des violations. Le basculement dans l’abus suppose que la perspective indemnitaire devienne la finalité exclusive poursuivie par la personne concernée, au détriment de l’objectif de transparence et de contrôle du traitement.

B- L’identification d’une finalité détournée du droit d’accès

En second lieu, la Cour détaille les indices permettant de caractériser l’intention abusive du demandeur et de fonder, le cas échéant, le refus du responsable de traitement de donner suite à la demande. Elle indique tout d’abord que le caractère « excessif » de la demande doit être apprécié qualitativement, à la lumière des circonstances concrètes de l’espèce, et non sur le seul critère de la répétition ou du volume des données sollicitées.

Sont ainsi pertinents, notamment, le comportement antérieur du demandeur, les schémas récurrents de demandes d’accès suivies d’actions indemnitaires, le très court laps de temps entre l’inscription au service et la demande d’accès, ou encore l’existence de communications publiques décrivant une stratégie systématique de mise en cause des responsables de traitement.

La Cour admet que le responsable peut se fonder sur des informations librement accessibles, telles que des reportages, des articles de blog ou des bulletins d’avocats, pour démontrer l’existence d’une intention abusive, dès lors que ces éléments sont objectifs, fiables et concordants.

Dans l’affaire Brillen Rottler, ces différentes sources faisaient apparaître que TC avait, à plusieurs reprises, adopté le même schéma consistant à s’abonner à des newsletters, introduire rapidement une demande d’accès, puis réclamer une indemnisation pour violation prétendue du RGPD. La répétition de ce comportement, couplée à l’absence d’intérêt réel démontré pour la licéité du traitement et à la focalisation sur l’obtention d’une somme forfaitaire au titre d’un dommage moral, a conduit la Cour à considérer que la demande en cause poursuivait une finalité abusive.

La charge de la preuve de l’abus incombe toutefois au responsable de traitement, qui doit documenter l’analyse ayant conduit à qualifier la demande d’excessive et à refuser d’y donner suite. Il lui appartient, concrètement, de réunir des éléments démontrant que la demande ne vise pas à prendre connaissance du traitement ni à en vérifier la licéité, mais à créer artificiellement les conditions d’une violation ou à obtenir un avantage indu.

Le simple caractère « gênant » de la demande ou le fait qu’elle puisse entraîner une charge de travail importante ne suffit pas à caractériser l’abus, sauf à vider de sa substance le droit d’accès garanti par l’article 15 RGPD.

II – L’encadrement strict de l’abus et ses effets juridiques

A – Les exigences probatoires pesant sur le responsable de traitement

Si l’arrêt Brillen Rottler ouvre la voie à un refus de droit d’accès en présence d’un demandeur de mauvaise foi, il réaffirme tout aussi fermement la nature fondamentale du droit d’accès et l’exigence d’un contrôle de proportionnalité des limitations qui lui sont apportées. La Cour rappelle que le droit d’accès constitue le socle du contrôle exercé par la personne concernée sur ses données personnelles, en ce qu’il conditionne la capacité de cette dernière à vérifier la licéité du traitement, à en contester les éventuelles irrégularités et à exercer d’autres droits prévus par le RGPD. De ce point de vue, l’application de l’article 12, paragraphe 5, ne peut aboutir à neutraliser le droit d’accès ni à instaurer une présomption d’abus dès que la demande apparaît susceptible de déboucher sur un contentieux.

L’arrêt incite donc les responsables de traitement à mettre en place des procédures internes de gestion des demandes d’accès qui intègrent une analyse structurée de l’éventuel abus, tout en respectant un principe de faveur pour l’exercice du droit.

Concrètement, cela suppose de documenter systématiquement les demandes, d’identifier les indices objectifs pouvant laisser présumer une intention abusive et de conserver la trace de la motivation en cas de refus fondé sur l’article 12, paragraphe 5. Cette exigence de traçabilité est d’autant plus importante que le refus d’accès lui‑même peut faire l’objet d’un recours devant les autorités de contrôle ou les juridictions nationales, lesquelles devront vérifier la réalité de l’abus allégué au regard des critères dégagés par la CJUE.

Par ailleurs, l’arrêt Brillen Rottler coexiste avec une jurisprudence et des positions doctrinales qui, dans d’autres contextes, ont admis un usage large du droit d’accès, y compris à des fins probatoires, sans que cela soit pour autant assimilé à un détournement de finalité. La Cour ne remet nullement en cause la possibilité pour une personne concernée de se prévaloir de l’article 15 RGPD pour obtenir des informations susceptibles d’être utilisées dans un litige, par exemple en matière de relations de travail ou de consommation, dès lors que la demande s’inscrit dans la finalité de transparence et de contrôle du traitement. La frontière entre usage légitime et abusif ne se situe donc pas dans la seule perspective contentieuse, mais bien dans l’intention prédominante de créer artificiellement une situation contentieuse en l’absence de tout intérêt réel pour la protection des données.

B – Les conséquences sur le droit à réparation et la responsabilité

Enfin, l’arrêt du 19 mars 2026 emporte des conséquences importantes pour l’articulation entre le régime du droit d’accès et le droit à réparation prévu à l’article 82 RGPD. La Cour avait déjà eu l’occasion de préciser que le droit à réparation couvre les dommages matériels et moraux résultant d’une violation du RGPD, notamment en cas de perte de contrôle sur les données personnelles due à un traitement illicite ou à un manquement aux obligations de transparence. L’affaire Brillen Rottler se singularise en ce que le demandeur invoquait un dommage moral résultant non pas d’un traitement illicite, mais du refus opposé par le responsable à sa demande d’accès, en estimant que ce refus constituait en lui‑même une violation du RGPD ouvrant droit à indemnisation.

La Cour adopte une approche prudente et équilibrée. D’une part, elle confirme que la violation du droit d’accès peut, en principe, ouvrir droit à réparation au titre de l’article 82, y compris lorsque le dommage invoqué est un préjudice moral lié à la perte de contrôle sur les données ou à l’atteinte à la confiance dans la protection de celles‑ci.

D’autre part, elle souligne que le droit à réparation n’instaure pas un régime de responsabilité de plein droit : il appartient toujours au demandeur de démontrer la réalité du dommage subi et le lien de causalité avec la violation alléguée. La seule existence d’un refus irrégulier de donner suite à une demande d’accès ne suffit donc pas, en elle‑même, à justifier une indemnisation automatique, ce qui évite de transformer le RGPD en un mécanisme de pénalisation systématique de toute irrégularité formelle.

Dans l’hypothèse spécifique d’un demandeur de mauvaise foi, la Cour va plus loin en considérant que le comportement abusif de la personne concernée peut rompre le lien de causalité entre la violation éventuelle du RGPD et le dommage invoqué. Lorsque la demande d’accès est elle‑même abusive et poursuit exclusivement une finalité de captation d’une indemnité, le refus opposé par le responsable, même s’il devait s’avérer ultérieurement irrégulier, ne saurait être à l’origine d’un préjudice indemnisable, dès lors que la situation dommageable trouve sa source dans la stratégie contentieuse artificiellement créée par le demandeur. L’arrêt ouvre ainsi la voie, pour les juridictions nationales, à une prise en compte renforcée de la mauvaise foi du demandeur dans l’appréciation de la responsabilité civile du responsable de traitement.

Pour les responsables de traitement, la décision impose donc une double vigilance.

D’un côté, ils doivent être en mesure de justifier tout refus de droit d’accès par des éléments objectifs démontrant l’abus de droit, sous peine de voir ce refus qualifié de violation du RGPD et d’exposer l’organisme à un risque de sanction administrative ou judiciaire.

De l’autre, l’arrêt leur offre un outil pour se défendre contre des stratégies de contentieux systématiques, en articulant la qualification d’abus de droit et la rupture du lien de causalité dans le cadre des demandes indemnitaires fondées sur l’article 82. Cette articulation contribue à préserver la cohérence d’ensemble du RGPD : l’effectivité des droits des personnes concernées demeure garantie, tandis que la tentation de faire de ces droits un instrument de « contentieux d’aubaine » se trouve encadrée par un contrôle strict de la bonne foi du demandeur.

Pour lire une version plus complète de cet article sur le droit d’accès à ses données privées, cliquez

Sources

[1] [PDF] Judgment of the Court in Case C-526/24 Brillen Rottler – curia https://curia.europa.eu/site/upload/docs/application/pdf/2026-03/cp260038en.pdf
[2] CJUE, n° C-526_RES/24, Arrêt de la Cour, Brillen Rottler … https://www.doctrine.fr/d/CJUE/2026/CJUE62024CJ0526_RES
[3] CJUE : refus de droit d’accès au titre du RGPD pour le … https://lhermet.com/actualites/cjue-refus-de-droit-dacces-au-titre-du-rgpd-pour-le-demandeur-de-mauvaise-foi
[4] CJUE, n° C-526/24, Arrêt de la Cour, Brillen Rottler GmbH & Co. KG … https://www.doctrine.fr/d/CJUE/2026/CJUE62024CJ0526
[5] Can you reject a GDPR access request? Prove it! – Cranium https://www.cranium.eu/can-you-reject-a-gdpr-access-request-prove-it/
[6] Refusal to provide information upon initial request for access https://www.taylorwessing.com/fr/insights-and-events/insights/2025/09/refusal-to-provide-information-upon-initial-request-for-access
[7]CURIA https://infocuria.curia.europa.eu/tabs/tout?searchTerm=C+526%2F24&lang=fr&sort=ALL_DATES-DESC
[8] Le droit d’accès aux courriels professionnels à des fins probatoires https://www.village-justice.com/articles/droit-acces-aux-courriels-professionnels-des-fins-probatoires-reel-detournement,56418.html