Refus de droit d’accès au titre du RGPD pour le demandeur de mauvaise foi

Comment un responsable de base de données informatique peut il  refuser une demande de droit d’accès ?

Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN.

L’arrêt rendu le 19 mars 2026 par la Cour de justice de l’Union européenne dans l’affaire C‑526/24, Brillen Rottler, marque une étape décisive dans l’encadrement du droit d’accès consacré par l’article 15 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD). [1]

Saisie d’un renvoi préjudiciel par l’Amtsgericht Arnsberg (Allemagne), la Cour était invitée à se prononcer sur une question particulièrement sensible : dans quelle mesure le responsable du traitement peut‑il opposer un abus de droit à une demande d’accès, y compris lorsqu’il s’agit d’une première demande, et refuser corrélativement de donner suite à l’exercice de ce droit fondamental, au motif que le demandeur agirait de mauvaise foi, dans une logique purement indemnitaire et non pour vérifier la licéité du traitement de ses données.

Les faits ayant conduit au litige illustrent de manière paradigmatique ce phénomène d’« instrumentalisation » du droit d’accès. Une personne physique résidant en Autriche, identifiée sous les initiales TC, s’est abonnée en mars 2023 au bulletin d’information d’une société allemande d’optique, Brillen Rottler GmbH & Co. KG, en renseignant ses données à caractère personnel via le formulaire d’inscription disponible sur le site internet de l’entreprise et en consentant au traitement correspondant. [2]

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Treize jours plus tard seulement, l’intéressé a adressé à cette société une demande d’accès à ses données à caractère personnel sur le fondement de l’article 15 RGPD, suivie d’une demande reconventionnelle tendant au versement d’une indemnité d’au moins 1 000 euros en réparation d’un prétendu dommage moral résultant du refus opposé par la société à sa demande d’accès.

Or, pour refuser de donner suite à cette demande, Brillen Rottler invoquait l’abus manifeste de droit, en se fondant notamment sur des reportages, billets de blog et newsletters d’avocats laissant apparaître que TC s’inscrivait systématiquement à des newsletters de différentes entreprises uniquement pour introduire ensuite des demandes d’accès puis des actions indemnitaires en cas de prétendue violation du RGPD. [3]

Autrement dit, la société soutenait que la finalité véritable de la demande n’était pas la prise de connaissance du traitement ni la vérification de sa licéité, mais la création artificielle des conditions d’une violation du RGPD en vue d’obtenir un avantage financier, ce qui caractériserait une intention abusive au sens de l’article 12, paragraphe 5, RGPD.

La problématique soulevée par cette affaire excède ainsi le seul cas d’espèce pour toucher à l’économie générale du régime des droits des personnes concernées. Le droit d’accès aux données, expressément garanti par l’article 15, paragraphe 1, RGPD, a déjà été reconnu par la Cour comme faisant partie intégrante du droit fondamental à la protection des données à caractère personnel, lui‑même ancré dans les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.

Il constitue le droit‑pivot permettant à la personne concernée d’exercer un contrôle effectif sur ses données, en ce qu’il conditionne l’exercice ultérieur d’autres droits (rectification, effacement, limitation, opposition, recours, etc.) et la possibilité de contester la licéité du traitement.

Toute limitation à ce droit doit donc, par principe, être interprétée strictement et satisfaire aux exigences de nécessité et de proportionnalité, de sorte qu’un refus de donner suite à une demande d’accès ne saurait être banalisé ni transformé en exception de routine.

C’est précisément dans ce contexte que prend place la question, délicate, de l’abus de droit en matière de RGPD. Le texte de l’article 12, paragraphe 5, RGPD prévoit expressément que, lorsque les demandes d’une personne concernée sont « manifestement infondées ou excessives, notamment en raison de leur caractère répétitif », le responsable du traitement peut soit exiger le paiement de frais raisonnables, soit refuser d’y donner suite. Mais le règlement demeure silencieux sur la notion d’« abus » en tant que telle et n’enferme pas le caractère « excessif » dans une définition purement quantitative, de sorte que la détermination des critères de l’abus – et a fortiori leur application à une première demande d’accès – relevait largement de l’interprétation jurisprudentielle.

Avant l’arrêt Brillen Rottler, la doctrine et les autorités de contrôle avaient certes admis que le droit d’accès pouvait être exercé pour des finalités variées, y compris probatoires, sans que cela suffise à caractériser un détournement de finalité ou un abus, comme l’illustrent les prises de position relatives à l’usage du droit d’accès pour obtenir des emails professionnels à des fins de preuve. La CJUE elle‑même, dans des décisions antérieures, rappelait la centralité du droit d’accès et la nécessité d’un examen attentif de toute limitation, sans toutefois trancher frontalement la question de l’abus en cas de première demande. D’où l’importance particulière de l’avis de l’avocat général Szpunar dans l’affaire C‑526/24, lequel soulignait déjà qu’un abus de droit doit rester cantonné à des « circonstances exceptionnelles », compte tenu de la nature fondamentale du droit d’accès, tout en reconnaissant la possibilité théorique qu’une première demande puisse être abusive.

L’arrêt du 19 mars 2026 confirme cette approche nuancée, mais franchit un pas supplémentaire.

D’une part, la Cour affirme que l’exercice du droit d’accès peut, dans certaines circonstances, constituer un abus de droit, y compris lorsqu’il s’agit de la première demande de la personne concernée, dès lors que le responsable parvient à démontrer que la demande ne poursuit pas la finalité protégée par le RGPD, mais vise exclusivement à créer artificiellement les conditions d’une violation afin d’obtenir une réparation.

D’autre part, la Cour précise que le caractère « excessif » de la demande doit être apprécié qualitativement, à la lumière de l’intention de la personne concernée et du contexte global (notamment les comportements répétés semblables vis‑à‑vis d’autres responsables), et non uniquement au regard de critères quantitatifs comme la répétition ou le volume de données demandées.[4]

Ce faisant, la CJUE consacre explicitement la figure du « demandeur de mauvaise foi » en matière de droit d’accès, tout en encadrant strictement les conditions dans lesquelles un responsable de traitement peut lui opposer l’abus de droit pour refuser de satisfaire sa demande. La Cour insiste sur la nécessité, pour le responsable, d’apporter des éléments objectifs et concordants permettant d’établir l’intention abusive, à partir, le cas échéant, d’informations librement accessibles démontrant un schéma répétitif de demandes suivies de recours indemnitaires.

Elle rappelle toutefois que cette possibilité ne doit pas conduire à une remise en cause générale du droit d’accès ni à une présomption d’abus lorsque la demande est exercée de manière ordinaire, le seuil probatoire demeurant élevé afin de préserver l’effectivité du droit fondamental garanti par le RGPD.[5]

En arrière‑plan, se dessine un équilibre délicat entre, d’un côté, la protection du droit d’accès en tant qu’instrument central de la gouvernance des données personnelles et, de l’autre, la nécessité de préserver les responsables de traitement contre des stratégies contentieuses systématiques susceptibles de dévoyer l’esprit du RGPD et de faire du droit d’accès un simple prétexte lucratif.

L’arrêt Brillen Rottler invite ainsi les praticiens à repenser les politiques internes de gestion des demandes d’accès, la documentation de l’analyse de l’« abus de droit » et la maîtrise du risque contentieux, tout en intégrant la dimension indemnitaire liée à l’article 82 RGPD, notamment lorsque le préjudice moral est invoqué au titre d’une prétendue perte de contrôle sur les données.

Dans cette perspective, l’étude de l’arrêt du 19 mars 2026 (aff. C‑526/24) suppose de s’interroger, d’une part, sur la manière dont la Cour construit, dans le cadre du RGPD, la figure du demandeur de mauvaise foi et les conditions d’un refus de droit d’accès fondé sur l’abus de droit (I), et, d’autre part, sur les conséquences de cette construction tant pour le régime général du droit d’accès et la pratique des responsables de traitement que pour le droit à réparation au titre de l’article 82 RGPD (II).

I – La consécration par la CJUE d’un abus de droit d’accès caractérisant le demandeur de mauvaise foi

A – La reconnaissance de la possibilité d’un abus dès la première demande d’accès

En premier lieu, la Cour de justice affirme de manière explicite qu’une demande d’accès à ses données personnelles peut être qualifiée d’« abusive » et, partant, refusée, y compris lorsqu’il s’agit de la première demande formulée par la personne concernée.

S’écartant d’une lecture purement littérale et quantitative de l’article 12, paragraphe 5, RGPD, la Cour juge qu’une première demande peut être « excessive » au sens de cette disposition lorsque, malgré le respect formel des conditions posées par le règlement (forme de la demande, identification du demandeur, délai, etc.), elle poursuivrait une finalité étrangère à l’objectif de transparence et de contrôle du traitement des données.

La notion de « demande excessive » n’est donc pas réservée aux hypothèses de répétition ou de volume excessif d’informations, mais peut englober des situations où l’excès tient à la finalité dévoyée de la demande.[6]

Pour parvenir à cette conclusion, la CJUE mobilise implicitement la théorie générale de l’abus de droit en droit de l’Union, selon laquelle les justiciables ne peuvent se prévaloir des règles de l’Union pour des fins manifestement étrangères à leur objet et consistant à obtenir un avantage indu.

Elle transpose ce raisonnement au champ du RGPD en considérant que l’exercice du droit d’accès, loin d’être neutre, doit s’inscrire dans la finalité poursuivie par le règlement, à savoir permettre à la personne concernée de prendre connaissance du traitement et d’en vérifier la licéité. Lorsque cette finalité est absente et que la demande est introduite « dans le seul but » de créer artificiellement les conditions d’une violation et d’en tirer un bénéfice indemnitaire, l’abus de droit est caractérisé.[7]

La Cour prend soin d’encadrer strictement cette possibilité pour éviter toute banalisation de l’exception. Elle rappelle, dans le sillage de l’avis de l’avocat général Szpunar, que l’abus de droit doit être réservé à des « circonstances exceptionnelles », compte tenu de la nature fondamentale du droit d’accès.

Le simple fait qu’une demande puisse potentiellement conduire à une action en réparation ne suffit pas à la qualifier d’abusive, dès lors que la mise en œuvre de la responsabilité prévue à l’article 82 RGPD est elle‑même un mécanisme légitime de sanction des violations. Le basculement dans l’abus suppose que la perspective indemnitaire devienne la finalité exclusive poursuivie par la personne concernée, au détriment de l’objectif de transparence et de contrôle du traitement.

B – Les critères d’identification de l’intention abusive du demandeur

En second lieu, la Cour détaille les indices permettant de caractériser l’intention abusive du demandeur et de fonder, le cas échéant, le refus du responsable de traitement de donner suite à la demande. Elle indique tout d’abord que le caractère « excessif » de la demande doit être apprécié qualitativement, à la lumière des circonstances concrètes de l’espèce, et non sur le seul critère de la répétition ou du volume des données sollicitées.

Sont ainsi pertinents, notamment, le comportement antérieur du demandeur, les schémas récurrents de demandes d’accès suivies d’actions indemnitaires, le très court laps de temps entre l’inscription au service et la demande d’accès, ou encore l’existence de communications publiques décrivant une stratégie systématique de mise en cause des responsables de traitement.

La Cour admet que le responsable peut se fonder sur des informations librement accessibles, telles que des reportages, des articles de blog ou des bulletins d’avocats, pour démontrer l’existence d’une intention abusive, dès lors que ces éléments sont objectifs, fiables et concordants.

Dans l’affaire Brillen Rottler, ces différentes sources faisaient apparaître que TC avait, à plusieurs reprises, adopté le même schéma consistant à s’abonner à des newsletters, introduire rapidement une demande d’accès, puis réclamer une indemnisation pour violation prétendue du RGPD. La répétition de ce comportement, couplée à l’absence d’intérêt réel démontré pour la licéité du traitement et à la focalisation sur l’obtention d’une somme forfaitaire au titre d’un dommage moral, a conduit la Cour à considérer que la demande en cause poursuivait une finalité abusive.

La charge de la preuve de l’abus incombe toutefois au responsable de traitement, qui doit documenter l’analyse ayant conduit à qualifier la demande d’excessive et à refuser d’y donner suite. Il lui appartient, concrètement, de réunir des éléments démontrant que la demande ne vise pas à prendre connaissance du traitement ni à en vérifier la licéité, mais à créer artificiellement les conditions d’une violation ou à obtenir un avantage indu.

Le simple caractère « gênant » de la demande ou le fait qu’elle puisse entraîner une charge de travail importante ne suffit pas à caractériser l’abus, sauf à vider de sa substance le droit d’accès garanti par l’article 15 RGPD.

II – Les incidences de l’arrêt sur le régime du droit d’accès et du droit à réparation

A – La préservation d’un droit d’accès fondamental soumis à un contrôle de proportionnalité

Si l’arrêt Brillen Rottler ouvre la voie à un refus de droit d’accès en présence d’un demandeur de mauvaise foi, il réaffirme tout aussi fermement la nature fondamentale du droit d’accès et l’exigence d’un contrôle de proportionnalité des limitations qui lui sont apportées. La Cour rappelle que le droit d’accès constitue le socle du contrôle exercé par la personne concernée sur ses données personnelles, en ce qu’il conditionne la capacité de cette dernière à vérifier la licéité du traitement, à en contester les éventuelles irrégularités et à exercer d’autres droits prévus par le RGPD. De ce point de vue, l’application de l’article 12, paragraphe 5, ne peut aboutir à neutraliser le droit d’accès ni à instaurer une présomption d’abus dès que la demande apparaît susceptible de déboucher sur un contentieux.

L’arrêt incite donc les responsables de traitement à mettre en place des procédures internes de gestion des demandes d’accès qui intègrent une analyse structurée de l’éventuel abus, tout en respectant un principe de faveur pour l’exercice du droit.

Concrètement, cela suppose de documenter systématiquement les demandes, d’identifier les indices objectifs pouvant laisser présumer une intention abusive et de conserver la trace de la motivation en cas de refus fondé sur l’article 12, paragraphe 5. Cette exigence de traçabilité est d’autant plus importante que le refus d’accès lui‑même peut faire l’objet d’un recours devant les autorités de contrôle ou les juridictions nationales, lesquelles devront vérifier la réalité de l’abus allégué au regard des critères dégagés par la CJUE.

Par ailleurs, l’arrêt Brillen Rottler coexiste avec une jurisprudence et des positions doctrinales qui, dans d’autres contextes, ont admis un usage large du droit d’accès, y compris à des fins probatoires, sans que cela soit pour autant assimilé à un détournement de finalité.

La Cour ne remet nullement en cause la possibilité pour une personne concernée de se prévaloir de l’article 15 RGPD pour obtenir des informations susceptibles d’être utilisées dans un litige, par exemple en matière de relations de travail ou de consommation, dès lors que la demande s’inscrit dans la finalité de transparence et de contrôle du traitement.

La frontière entre usage légitime et abusif ne se situe donc pas dans la seule perspective contentieuse, mais bien dans l’intention prédominante de créer artificiellement une situation contentieuse en l’absence de tout intérêt réel pour la protection des données.[8]

B – Les conséquences sur le droit à réparation et la responsabilité du responsable de traitement

Enfin, l’arrêt du 19 mars 2026 emporte des conséquences importantes pour l’articulation entre le régime du droit d’accès et le droit à réparation prévu à l’article 82 RGPD. La Cour avait déjà eu l’occasion de préciser que le droit à réparation couvre les dommages matériels et moraux résultant d’une violation du RGPD, notamment en cas de perte de contrôle sur les données personnelles due à un traitement illicite ou à un manquement aux obligations de transparence.

L’affaire Brillen Rottler se singularise en ce que le demandeur invoquait un dommage moral résultant non pas d’un traitement illicite, mais du refus opposé par le responsable à sa demande d’accès, en estimant que ce refus constituait en lui‑même une violation du RGPD ouvrant droit à indemnisation.

La Cour adopte une approche prudente et équilibrée. D’une part, elle confirme que la violation du droit d’accès peut, en principe, ouvrir droit à réparation au titre de l’article 82, y compris lorsque le dommage invoqué est un préjudice moral lié à la perte de contrôle sur les données ou à l’atteinte à la confiance dans la protection de celles‑ci.

D’autre part, elle souligne que le droit à réparation n’instaure pas un régime de responsabilité de plein droit : il appartient toujours au demandeur de démontrer la réalité du dommage subi et le lien de causalité avec la violation alléguée. La seule existence d’un refus irrégulier de donner suite à une demande d’accès ne suffit donc pas, en elle‑même, à justifier une indemnisation automatique, ce qui évite de transformer le RGPD en un mécanisme de pénalisation systématique de toute irrégularité formelle.

Dans l’hypothèse spécifique d’un demandeur de mauvaise foi, la Cour va plus loin en considérant que le comportement abusif de la personne concernée peut rompre le lien de causalité entre la violation éventuelle du RGPD et le dommage invoqué.

Lorsque la demande d’accès est elle‑même abusive et poursuit exclusivement une finalité de captation d’une indemnité, le refus opposé par le responsable, même s’il devait s’avérer ultérieurement irrégulier, ne saurait être à l’origine d’un préjudice indemnisable, dès lors que la situation dommageable trouve sa source dans la stratégie contentieuse artificiellement créée par le demandeur. L’arrêt ouvre ainsi la voie, pour les juridictions nationales, à une prise en compte renforcée de la mauvaise foi du demandeur dans l’appréciation de la responsabilité civile du responsable de traitement.

Pour les responsables de traitement, la décision impose donc une double vigilance.

D’un côté, ils doivent être en mesure de justifier tout refus de droit d’accès par des éléments objectifs démontrant l’abus de droit, sous peine de voir ce refus qualifié de violation du RGPD et d’exposer l’organisme à un risque de sanction administrative ou judiciaire.

De l’autre, l’arrêt leur offre un outil pour se défendre contre des stratégies de contentieux systématiques, en articulant la qualification d’abus de droit et la rupture du lien de causalité dans le cadre des demandes indemnitaires fondées sur l’article 82. Cette articulation contribue à préserver la cohérence d’ensemble du RGPD : l’effectivité des droits des personnes concernées demeure garantie, tandis que la tentation de faire de ces droits un instrument de « contentieux d’aubaine » se trouve encadrée par un contrôle strict de la bonne foi du demandeur.

Pour lire une version plus courte de cet article sur le droit d’accès à ses données privées, cliquez

Sources

[1] [PDF] Judgment of the Court in Case C-526/24 Brillen Rottler – curia https://curia.europa.eu/site/upload/docs/application/pdf/2026-03/cp260038en.pdf
[2] CJUE, n° C-526_RES/24, Arrêt de la Cour, Brillen Rottler … https://www.doctrine.fr/d/CJUE/2026/CJUE62024CJ0526_RES
[3] CJUE : refus de droit d’accès au titre du RGPD pour le … https://lhermet.com/actualites/cjue-refus-de-droit-dacces-au-titre-du-rgpd-pour-le-demandeur-de-mauvaise-foi
[4] CJUE, n° C-526/24, Arrêt de la Cour, Brillen Rottler GmbH & Co. KG … https://www.doctrine.fr/d/CJUE/2026/CJUE62024CJ0526
[5] Can you reject a GDPR access request? Prove it! – Cranium https://www.cranium.eu/can-you-reject-a-gdpr-access-request-prove-it/
[6] Refusal to provide information upon initial request for access https://www.taylorwessing.com/fr/insights-and-events/insights/2025/09/refusal-to-provide-information-upon-initial-request-for-access
[7] CURIA https://infocuria.curia.europa.eu/tabs/tout?searchTerm=C+526%2F24&lang=fr&sort=ALL_DATES-DESC
[8] Le droit d’accès aux courriels professionnels à des fins probatoires https://www.village-justice.com/articles/droit-acces-aux-courriels-professionnels-des-fins-probatoires-reel-detournement,56418.html