Étude de cas RGPD : jusqu’où une entreprise peut-elle refuser une demande d’accès abusive ?

# Étude de cas RGPD : jusqu’où une entreprise peut-elle refuser une demande d’accès abusive ? ![demande_acces_abusive_lt1mb](https://hackmd.io/_uploads/rJ4iEW_sbx.jpg) *Demande d’accès abusive : la CJUE rappelle que le RGPD a aussi des limites* ***TL;DR —** L’arrêt CJUE, 19 mars 2026, C-526/24, Brillen Rottler rappelle qu’une demande d’accès peut être refusée comme excessive, même lorsqu’il s’agit d’une première demande, mais seulement si l’entreprise prouve concrètement l’abus. En parallèle, la Cour confirme qu’un refus irrégulier du droit d’accès peut engager la responsabilité indemnitaire au titre de l’article 82 du RGPD, y compris sans traitement illicite distinct. Pour les entreprises, le message est clair : le refus reste l’exception, doit être solidement documenté, et la gestion des droits des personnes doit être traitée comme un véritable risque juridique et contentieux. Pour les DPO, la priorité est donc une procédure tracée, escaladée, motivée et défendable.* --- ### Le droit d’accès est souvent présenté comme un droit quasi-intouchable du RGPD. Et il l’est, en principe. Mais une décision récente de la Cour de justice de l’Union européenne du 19 mars 2026, C-526/24, Brillen Rottler, vient rappeler une nuance essentielle : une demande d’accès, y compris une première demande, peut être qualifiée d’excessive et donc refusée, si le responsable de traitement démontre un abus. Dans le même temps, la Cour rappelle aussi qu’un refus irrégulier du droit d’accès peut ouvrir droit à indemnisation au titre de l’article 82 du RGPD. Autrement dit : la décision n’est pas un permis de refuser, mais un rappel exigeant des conditions du refus. --- ### 1.Les faits : une demande d’accès après une simple inscription à une newsletter L’affaire naît d’une situation en apparence banale. En mars 2023, une personne résidant en Autriche s’inscrit à la newsletter d’un opticien allemand, Brillen Rottler, en renseignant ses données dans le formulaire du site. Treize jours plus tard, cette personne adresse à l’entreprise une demande d’accès au titre de l’article 15 du RGPD. L’entreprise refuse dans le délai d’un mois en considérant la demande comme abusive au sens de l’article 12, paragraphe 5, du RGPD. Le demandeur maintient ensuite sa position et ajoute une demande indemnitaire de 1 000 euros au titre de l’article 82. L’entreprise soutenait que cette personne suivait un schéma récurrent : s’inscrire volontairement à des newsletters, formuler ensuite une demande d’accès, puis réclamer une indemnisation en cas de refus ou d’irrégularité. La juridiction allemande a donc interrogé la Cour de justice sur plusieurs points, notamment la possibilité de considérer comme excessive une première demande d’accès, l’utilisation d’informations publiques pour démontrer un abus, et les conditions d’un éventuel droit à réparation. > ***Astuce DPO n°1 :*** mettez en place une fiche de qualification des demandes d’exercice de droits. > Elle doit permettre, dès réception d’une demande, de distinguer : > • la demande ordinaire et légitime ; > • la demande imprécise qui appelle un échange de clarification ; > • la demande manifestement infondée ou potentiellement excessive, qui exige une analyse renforcée et une validation juridique/documentée avant toute décision. En pratique, ce simple tri évite que des réponses sensibles soient improvisées par le support, le marketing ou les RH. --- ### 2. Ce que dit la CJUE : une première demande peut être excessive, mais seulement si l’abus est démontré La Cour rappelle d’abord que l’article 12, paragraphe 5, du RGPD permet au responsable de traitement de refuser d’agir lorsque les demandes sont manifestement infondées ou excessives, et que la charge de la preuve pèse sur le responsable de traitement. Elle ajoute qu’une première demande d’accès n’est pas, par nature, immunisée contre cette qualification. En revanche, le refus n’est possible que si le responsable démontre, à la lumière de toutes les circonstances pertinentes, que la demande n’a pas été formulée pour connaître les traitements et en vérifier la licéité, mais avec une intention abusive, par exemple pour créer artificiellement les conditions d’un avantage tiré du RGPD. La Cour précise aussi qu’il est possible de tenir compte d’éléments publics montrant que la personne concernée a multiplié des demandes d’accès suivies de demandes indemnitaires auprès de nombreux responsables de traitement. Mais ces éléments publics ne suffisent pas seuls mécaniquement : ils doivent être corroborés par d’autres éléments pertinents du dossier. Autrement dit, la décision protège contre les stratégies manifestement instrumentales, mais elle ne permet absolument pas de transformer la moindre demande “dérangeante” en demande abusive. > ***Astuce DPO n°2 :*** n’utilisez jamais la notion d’“abus” comme formule réflexe. > Avant tout refus, vérifiez et documentez au minimum : > 1. le contexte dans lequel les données ont été fournies ; > 2. le délai entre la collecte et la demande ; > 3. le comportement du demandeur ; > 4. l’existence éventuelle d’indices publics cohérents ; > 5. les raisons concrètes pour lesquelles vous estimez que l’objectif n’est pas l’exercice normal du droit d’accès. Sans ce faisceau d’indices, le refus devient très risqué. --- ### 3. La leçon majeure pour les entreprises : le refus reste l’exception, pas la stratégie La portée pratique de cet arrêt est importante. Beaucoup d’organisations reçoivent aujourd’hui des demandes d’accès très techniques, très volumineuses, parfois conflictuelles, parfois manifestement précontentieuses. La tentation est grande de considérer que, dès lors qu’une demande semble “piège”, elle peut être écartée. C’est faux. La Cour n’ouvre pas une nouvelle liberté de refus. Elle rappelle seulement qu’un usage frauduleux ou détourné d’un droit fondamental n’est pas protégé de la même manière qu’un exercice loyal de ce droit. Mais comme le RGPD impose au responsable de traitement de faciliter l’exercice des droits et de prouver le caractère manifestement infondé ou excessif de la demande, l’entreprise qui refuse sans dossier probant s’expose elle-même. ***Pour un DPO, la bonne lecture de l’arrêt est donc la suivante :*** oui, l’abus peut exister ; non, il ne se présume pas ; oui, il faut être capable de le démontrer de manière très solide. > ***Astuce DPO n°3 :*** formalisez une procédure d’escalade interne pour les cas sensibles. > Une demande d’accès ne devrait jamais être refusée par un service isolé. Prévoyez un circuit simple : > • niveau 1 : réception et authentification ; > • niveau 2 : collecte des données et appréciation du périmètre ; > • niveau 3 : revue DPO/juridique si un refus, une limitation ou une requalification est envisagé. Cette gouvernance réduit le risque d’un refus hâtif et mal motivé. --- ### 4. Deuxième enseignement décisif : le droit à indemnisation ne concerne pas seulement un “mauvais traitement” des données L’arrêt est particulièrement intéressant sur un second point. La Cour juge que l’article 82, paragraphe 1, du RGPD peut ouvrir un droit à réparation pour le dommage résultant d’une atteinte au droit d’accès prévu à l’article 15, même lorsque l’infraction ne consiste pas, à proprement parler, en une opération de traitement illicite. La Cour souligne que limiter la réparation aux seuls dommages découlant d’un traitement en tant que tel viderait en partie de leur effectivité les droits du chapitre III du RGPD, dont le droit d’accès fait partie. C’est un point fondamental pour les entreprises : une mauvaise gestion des droits des personnes n’est pas seulement un irritant procédural ou une source de plainte auprès de la CNIL. Elle peut aussi devenir un terrain indemnitaire. > ***Astuce DPO n°4 :*** traitez les demandes d’exercice de droits comme un risque contentieux à part entière, pas comme une simple tâche administrative. > Concrètement : > • journalisez les dates de réception et de réponse ; > • conservez la preuve de l’analyse réalisée ; > • archivez le contenu exact de la réponse envoyée ; > • gardez la traçabilité des échanges de clarification et de vérification d’identité. En cas de litige, ce dossier chronologique devient votre meilleure défense. --- ### 5. Le dommage moral n’est pas automatique, mais il n’exige pas non plus un seuil de gravité élevé La Cour rappelle ensuite un point de plus en plus stable dans sa jurisprudence : toute violation du RGPD ne donne pas automatiquement lieu à réparation. Il faut toujours réunir trois éléments cumulatifs : une violation, un dommage réel, et un lien de causalité entre les deux. Le dommage moral ne se présume donc pas du seul fait qu’un droit a été méconnu. Mais la Cour confirme également que la notion de dommage immatériel peut inclure une perte de contrôle sur ses données ou une incertitude sur leur traitement, à condition que ce dommage soit effectivement démontré. Elle rappelle en outre qu’un seuil minimal de gravité ne peut pas être exigé par les droits nationaux. En revanche, une simple allégation abstraite de crainte ou d’inquiétude ne suffit pas. Le juge doit vérifier si cette crainte est fondée dans les circonstances concrètes. ***Encore plus intéressant :*** la Cour ajoute que le lien de causalité peut être rompu par le comportement même de la personne concernée si celui-ci a été la cause déterminante du dommage allégué, notamment lorsque cette personne a elle-même soumis ses données au responsable avec l’objectif d’artificiellement créer les conditions d’une action indemnitaire. > ***Astuce DPO n°5 :*** dans vos réponses, évitez les formulations vagues ou défensives qui créent justement l’incertitude que le demandeur invoquera ensuite. > Une bonne réponse d’accès doit dire clairement : > • si des données sont traitées ou non ; > • quelles catégories de données sont concernées ; > • pour quelles finalités ; > • sur quelle base juridique ; > • avec quels destinataires ; > • pour quelles durées ou critères de conservation ; > • et quels droits restent ouverts. > Plus votre réponse est précise, moins vous laissez d’espace à un grief de “perte de contrôle”. --- ### 6. Ce que les DPO doivent retenir de cette affaire Cette décision intéressera particulièrement les DPO parce qu’elle agit comme un double rappel. D’un côté, elle montre que le RGPD n’est pas désarmé face aux usages stratégiques ou opportunistes du droit d’accès. Une demande peut être qualifiée d’excessive, même lorsqu’elle est la première, si l’entreprise démontre un véritable abus au regard de l’ensemble des circonstances. De l’autre, elle confirme qu’un refus mal géré peut coûter cher, parce qu’une atteinte au droit d’accès peut, à elle seule, servir de base à une demande indemnitaire si un dommage est démontré. En réalité, l’arrêt Brillen Rottler ne simplifie pas la vie des entreprises ; il les oblige à être plus rigoureuses. Il faut désormais savoir faire deux choses à la fois : • ne pas céder à l’idée que toute demande doit être acceptée aveuglément ; • ne jamais refuser sans méthode, sans preuve et sans doctrine interne. > ***Astuce DPO n°6 :*** créez une matrice de réponse aux demandes d’accès avec quatre issues possibles : > 1. réponse complète ; > 2. demande de précision sur le périmètre ; > 3. prorogation motivée dans les cas complexes ; > 4. refus exceptionnel, motivé et validé juridiquement. Cette matrice doit être connue des équipes support, RH, marketing et relation client. --- ### 7. Plan d’action concret pour une mise en conformité opérationnelle À la lumière de cette jurisprudence, un DPO peut recommander immédiatement cinq actions simples et très concrètes. **Premièrement**, mettre à jour la procédure interne de gestion des droits pour intégrer explicitement l’hypothèse des demandes manifestement infondées ou excessives, avec critères d’analyse et circuit de validation. Cette action est directement cohérente avec l’article 12, paragraphe 5, tel qu’interprété par la Cour. **Deuxièmement**, former les équipes de premier contact. Dans beaucoup d’organisations, le premier risque vient d’une réponse improvisée ou incomplète envoyée par un service non juridique. Or, ici, c’est précisément la qualité de la réaction de l’entreprise qui conditionne une partie du risque. Cette recommandation est une inférence pratique tirée de l’arrêt. **Troisièmement**, créer un dossier probatoire standardisé pour chaque demande d’exercice de droits : identité vérifiée, date de réception, analyse, pièces consultées, décision, date de réponse, pièces transmises. C’est ce qui permettra, en cas de contrôle ou de contentieux, de démontrer soit la bonne exécution du droit, soit le caractère réellement excessif de la demande. Cette recommandation est également une inférence pratique à partir de la charge de la preuve rappelée par la Cour. **Quatrièmement**, travailler la qualité des mentions d’information et du registre des traitements. Une organisation qui connaît mal ses traitements répond mal aux demandes d’accès. Et une organisation qui répond mal fabrique elle-même son risque. Cette recommandation est une conséquence opérationnelle directe de l’articulation entre article 15 et article 82 retenue par la Cour. **Cinquièmement**, prévoir une revue trimestrielle des demandes reçues. Cette revue permet d’identifier les typologies, les délais réels de réponse, les blocages récurrents, les demandes contentieuses et les besoins de correction documentaire ou technique. C’est une bonne pratique de gouvernance déduite de la logique d’accountability et du besoin de preuve mis en lumière par l’arrêt. --- ### Conclusion L’arrêt Brillen Rottler du 19 mars 2026 est une décision précieuse, parce qu’il refuse les lectures simplistes du RGPD. Non, le droit d’accès n’est pas un outil intouchable quelle que soit l’intention de celui qui l’exerce. Mais non plus, le responsable de traitement ne peut pas se réfugier derrière une impression d’abus pour esquiver ses obligations. La logique de la Cour est exigeante : le refus est possible, mais il doit être prouvé ; la réparation est possible, mais le dommage doit être démontré. Pour les DPO, la leçon est limpide : en matière de droits des personnes, la meilleure conformité reste une conformité procédurée, traçable et défendable. C’est moins spectaculaire qu’un grand principe. Mais c’est souvent ce qui fait la différence entre une organisation qui subit le RGPD et une organisation qui sait le piloter. --- D'autres articles sur : [https://hackmd.io/@MATsxm](https://hackmd.io/@MATsxm) --- #TiwazConsulting #RGPD #ProtectionDesDonnees #DroitDAccess #CJUE #Jurisprudence #ConformiteRGPD #DPO #DataProtection #Privacy #Article15RGPD #Article82RGPD #GouvernanceDesDonnees #ExerciceDesDroits #ResponsableDeTraitement #Accountability