Introduction
L’affaire C-526/24 Brillen Rottler aborde un sujet brûlant en matière de la vie privée (surtout si vous suivez le package Digital Omnibus), à savoir quand une demande d’accès faite en vertu du RGPD franchit la ligne de l’abus, et ce que les responsables du traitement peuvent faire à ce sujet.
Le différend est survenu après qu’une personne se soit abonnée à la newsletter d’un opticien, puis ait soumis peu après une demande d’accès fondée sur l’Article 15. Le responsable du traitement a refusé d’agir, argumentant que la demande faisait partie d’une stratégie abusive, déclenchant délibérément des infractions au RGPD afin de réclamer une indemnisation. La cour allemande a demandé à la CJUE de clarifier jusqu’où les responsables du traitement peuvent aller pour contrer un tel comportement, et si un refus de se conformer à l’Article 15 peut justifier une demande de dommages et intérêts.
Contexte
Article 15 du RGPD : droit d’accès
L’Article 15 du RGPD donne à la personne concernée le droit de savoir si le responsable du traitement traite ses données personnelles et, le cas échéant, d’obtenir l’accès à ces données et à des informations sur la manière dont elles sont traitées. Dans Brillen Rottler, l’Article 15 est le point de départ de l’ensemble du litige. La personne concernée s’est abonnée à la newsletter de l’entreprise et, 13 jours plus tard, a soumis une demande d’accès.
Le responsable du traitement a jugé cela excessif et a refusé de s’y conformer. Cette affaire ne porte pas sur l’existence du droit d’accès, mais sur la question de savoir si, dans ce contexte concret, le responsable du traitement pourrait légalement refuser d’agir sur la demande parce qu’il la considérait comme abusive ou excessive.
Article 12(5) du RGPD – demandes manifestement infondées ou excessives
L’article 12(5) du RGPD constitue la principale défense du responsable du traitement dans cette affaire. Elle stipule qu’en principe, les informations et actions entreprises en vertu des articles 15 à 22 doivent être fournies gratuitement. Mais lorsqu’une demande est manifestement infondée ou excessive, notamment parce qu’elle est répétitive, le responsable du traitement peut soit facturer des honoraires raisonnables, soit refuser d’agir. La charge de la preuve incombe au responsable du traitement.
Le responsable du traitement a refusé la demande d’accès au motif qu’il considérait la demande comme abusive. Selon le responsable du traitement, la personne concernée s’abonnait délibérément à des services puis déposait des demandes d’accès dans le but de déclencher des infractions au RGPD et de réclamer des dommages et intérêts. Bien que ce fût la première demande de la personne concernée, le responsable du traitement l’a tout de même jugée excessive.
Ce qui soulève une question importante : l’intention de la personne concernée compte-t-elle pour déterminer si une demande est excessive ?
Article 82 du RGPD : indemnisation
L’article 82 du RGPD établit le droit à une indemnisation pour les dommages résultant d’une infraction au RGPD. Toute personne subissant un dommage matériel ou non matériel en conséquence a le droit de recevoir une compensation du responsable du traitement ou du sous-traitant responsable.
Cette disposition est devenue l’un des principaux moteurs de l’application privée du RGPD. Les individus combinent de plus en plus les demandes de données avec des demandes de dommages et intérêts. Au cours des dernières années, la CJUE a clarifié plusieurs aspects de cette disposition, notamment les conditions pour un dommage non matériel et l’exigence d’un lien de causalité entre la violation et le dommage.
Dans le présent cas, l’individu a non seulement maintenu la demande d’accès, mais a également réclamé une indemnisation de 1 000 EUR pour dommages non matériels, argumentant que le refus de la société de se conformer à l’Article 15 violait le RGPD et que cette infraction lui avait causé un préjudice.
Pertinence
Bien que la base de l’affaire soit simple, les implications vont bien plus loin. Puisque les personnes concernées exercent de plus en plus (de bonne ou mauvaise foi) leurs droits (par exemple dans un contexte professionnel, des litiges de consommation, etc.), les responsables du traitement ne savent souvent pas exactement quand une demande peut être refusée parce qu’elle est excessive.
Sur cette base, les demandes d’indemnisation fondées sur le RGPD sont également en hausse. La culture de l’indemnisation varie selon les États membres, mais l’incertitude juridique affecte partout les responsables du traitement et les personnes concernées. Plus de clarté sur ce sujet serait bénéfique pour les deux parties.
Décision de la CJUE
La Cour a précisé que l’Article 12(5) du RGPD ne se limite pas aux demandes répétées. Bien que la disposition mentionne des requêtes « répétées » à titre d’exemple, cela n’est qu’illustratif, ce qui signifie qu’un responsable du traitement peut considérer même une première demande d’accès comme excessive, à condition que les bonnes conditions soient remplies.
Le droit d’accès n’est pas absolu : le considérant 4 du RGPD précise qu’il doit être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Alors, que signifie « excessif » dans ce contexte ?
Qu’est-ce qu’un abus de droits ?
Le point de départ de la Cour est un principe fondamental : les personnes ne peuvent pas abuser du droit de l’UE pour obtenir un avantage injuste. Une demande peut être qualifiée d’« excessive » au sens de l’article 12(5) du RGPD si elle constitue essentiellement un abus du droit d’accès. Pour qualifier une demande de cette façon, le responsable du traitement doit prouver deux éléments :
- La partie objective : en examinant tous les faits, la demande n’a en réalité pas été faite pour la raison pour laquelle le droit d’accès existe, même si elle coche toutes les cases formelles sur le papier.
- La partie subjective : la personne a délibérément orchestré la situation pour pouvoir invoquer le RGPD et en tirer un avantage.
En résumé, une demande est abusive si la personne ne cherchait pas réellement à savoir comment ses données sont utilisées ou à vérifier si elles sont traitées légalement. Au lieu de cela, ils utilisaient la demande pour, par exemple, monter une demande d’indemnisation contre le responsable du traitement.
Que devrait faire un responsable du traitement ?
La charge de la preuve incombe au responsable du traitement.
Pour refuser ou facturer une demande au motif qu’elle est excessive, le responsable doit démontrer sans ambiguïté que la personne concernée a soumis la demande d’accès afin de créer artificiellement les conditions nécessaires à l’obtention d’une indemnisation, plutôt que pour un objectif légitime de protection des données.
C’est un seuil très élevé à atteindre pour le responsable du traitement. Les facteurs pouvant étayer cette conclusion incluent :
- Un très court délai entre l’inscription à une activité de traitement et le dépôt d’une demande ;
- La personne concernée a un historique de demandes similaires auprès de plusieurs responsables du traitement (comme dans cette affaire) ;
- La demande s’inscrit dans un litige plus vaste en cours, sans lien avec la protection des données.
Conclusion
Ce jugement apporte davantage de clarté. La Cour a confirmé qu’une seule demande peut être excessive, ce qui signifie que les responsables du traitement ne sont pas impuissants face à ce qui semble être un comportement de mauvaise foi, même s’il s’agit d’une première demande.
En pratique, le seuil reste élevé. Les responsables du traitement ont besoin de preuves concrètes pointant vers un motif caché et doivent documenter ces preuves avec soin avant de refuser d’agir.
La leçon plus générale est que le RGPD ne peut pas être utilisé comme une arme, mais prouver les abus au cas par cas reste une tâche difficile pour les responsables du traitement. Cette décision change peu la pratique quotidienne mais elle confirme que la porte n’est pas complètement fermée et que, dans des circonstances très spécifiques et bien documentées, le refus est juridiquement défendable.
