Limitation du droit d’accès abusif aux données personnelles

Le droit d’accès aux données personnelles : un droit finalisé, non absolu

L’article 15 du RGPD confère à toute personne concernée le droit d’obtenir du responsable du traitement la confirmation que ses données font l’objet d’un traitement, la communication de ces données, et des informations relatives aux finalités du traitement et aux droits dont elle dispose.

Toutefois, la CJUE rappelle que ce droit d’accès aux données personnelles poursuit une finalité précise : permettre à la personne concernée de vérifier la licéité du traitement et, le cas échéant, d’exercer ses autres droits — rectification, effacement, limitation ou opposition. Il ne constitue donc pas un droit absolu et ne saurait être mobilisé à des fins étrangères à cet objectif.

L’abus de droit : une demande excessive même à titre inaugural

Les faits à l’origine de l’arrêt illustrent une pratique préoccupante. Un particulier résidant en Autriche s’est inscrit à la newsletter d’une entreprise allemande d’optique, Brillen Rottler, en renseignant ses données personnelles. Treize jours plus tard, il adresse une demande d’accès à ses données. L’entreprise la refuse, estimant qu’il ressort de divers reportages et publications que cet individu s’inscrit systématiquement à des newsletters de différentes entreprises avant d’introduire une demande d’accès puis une demande de réparation. Le requérant réclame en conséquence une indemnité d’au moins 1 000 euros pour le dommage moral prétendument subi du fait du refus.

Saisie à titre préjudiciel, la Cour affirme qu’une demande d’accès peut être qualifiée d’excessive, et donc abusive, lorsque le responsable du traitement démontre qu’elle a été introduite non pas pour vérifier la licéité du traitement, mais dans l’intention de créer artificiellement les conditions requises pour obtenir une réparation en vertu du RGPD. Point essentiel : cet excès n’est pas nécessairement d’ordre quantitatif. Il peut être qualitatif, et se révéler dès la première demande.

Par conséquent, le fait qu’une personne ait, selon des informations accessibles au public, introduit plusieurs demandes d’accès suivies de demandes de réparation auprès de différents responsables du traitement constitue un indice de l’intention abusive que le responsable du traitement peut utilement invoquer pour refuser de donner suite à la demande.

Vers la remise en cause de l’usage probatoire du droit d’accès ?

La portée de cet arrêt dépasse largement les faits de l’espèce. Elle ouvre en particulier une voie nouvelle dans le contentieux du travail, où la pratique de l’usage probatoire du droit d’accès s’est développée de manière significative.

La chambre sociale de la Cour de cassation a en effet jugé, dans un arrêt du 18 juin 2025 (n° 23-19022), que les courriels émis ou reçus par un salarié via sa messagerie professionnelle constituent des données à caractère personnel au sens de l’article 4 du RGPD, et que le salarié dispose du droit d’y accéder — contenu et métadonnées inclus — notamment pour faire la preuve d’heures supplémentaires.

Toutefois, à la lumière de l’arrêt Brillen Rottler, un employeur pourrait désormais opposer l’abus de droit au salarié dont la demande d’accès vise manifestement à collecter des éléments de preuve destinés à être utilisés dans un contentieux en cours ou à venir. Il lui faudra toutefois en apporter la preuve, l’employeur ne pouvant pas, conformément à la jurisprudence de la Cour (CJUE, 27 mai 2024, aff. C-312/23, Addiko Bank), subordonner la réponse à la demande à l’invocation d’un motif de la part du salarié. Certaines juridictions du fond se sont d’ores et déjà montrées hostiles à l’utilisation du droit d’accès à des fins probatoires (CA Paris, 13 novembre 2025, n° 25/03115 ; CA Paris, 18 décembre 2025, n° 25/04270), ce qui laisse présager un accueil favorable à ce moyen de défense.

Le droit à réparation : une preuve du préjudice réel exigée

L’arrêt apporte également des précisions déterminantes sur le droit à réparation prévu à l’article 82 du RGPD. La Cour réaffirme qu’une violation du RGPD n’ouvre pas, à elle seule, un droit à indemnisation. La personne concernée doit démontrer l’existence d’un dommage réel, matériel ou moral, ainsi qu’un lien de causalité avec la violation alléguée.

Un dommage moral peut être caractérisé, notamment lorsqu’il porte sur la perte de contrôle de ses données ou à une incertitude quant à leur traitement, privant ainsi la personne de la possibilité d’exercer ses. En revanche, aucune réparation n’est envisageable lorsque le comportement de la personne concernée constitue la cause déterminante du préjudice invoqué. C’est-à-dire que celui qui crée artificiellement les conditions de sa propre violation ne saurait en tirer profit.

Conclusion

L’arrêt Brillen Rottler marque un tournant dans l’interprétation du droit d’accès aux données personnelles. En consacrant explicitement la notion d’abus de droit dans l’exercice des prérogatives du RGPD, la CJUE rééquilibre un rapport de force qui s’était progressivement penché en faveur des personnes concernées. Les responsables du traitement disposent désormais d’un outil jurisprudentiel pour résister aux demandes dont la finalité réelle est étrangère à la protection des données. Enfin, l’exigence de preuve d’un préjudice réel pour obtenir réparation renforce la cohérence du dispositif et limite le risque de voir le RGPD instrumentalisé comme vecteur de contentieux indemnitaires systématiques.

---

Avec la collaboration de Eléonore Renucci, avocate, collaboratrice du département Contentieux et expertise informatique.