📩 Le scénario
Un particulier s’abonne à la newsletter d’une entreprise.
Treize jours plus tard, il exerce son droit d’accès aux données personnelles.
L’entreprise refuse.
Le demandeur réclame alors 1 000 € de dommages-intérêts pour violation du RGPD.
Ce type de situation n’est plus marginal.
Dans certains secteurs, il s’agit même d’une stratégie contentieuse documentée.
L’affaire est finalement portée devant la CJUE.
⚖️ L’arrêt du 19 mars 2026 (CJUE, aff. C-526/24, Brillen Rottler)
La Cour clarifie sa position : 👉 Le droit d’accès prévu par le RGPD peut être refusé lorsqu’il est exercé de manière abusive.
1️ Une première demande peut déjà être abusive
L’article 12 §5 du RGPD autorise le refus des demandes :
• manifestement infondées
• ou excessives.
La CJUE précise que le caractère répétitif n’est qu’un indice.
Une demande unique peut déjà être abusive si elle détourne l’objectif du droit d’accès.
2️ La CJUE structure la notion d’abus de droit
Comme souvent en droit de l’Union, l’abus repose sur deux éléments cumulés.
▪ Élément objectif
La demande respecte formellement les conditions du droit d’accès (article 15 RGPD), mais la finalité du texte n’est pas respectée.
Or ce droit poursuit un objectif précis : permettre à une personne de vérifier la licéité du traitement de ses données, pas de créer artificiellement un contentieux.
▪ Élément subjectif
Il doit apparaître que la personne cherche à obtenir un avantage indu.
Dans cette affaire, provoquer un refus pour réclamer ensuite une indemnisation.
3️ Les indices révélateurs d’un détournement du RGPD
La CJUE identifie plusieurs signaux d’alerte :
▪ les données ont été communiquées volontairement
▪ la demande intervient très peu de temps après leur transmission
▪ la personne adopte le même comportement auprès de plusieurs entreprises
Pris isolément, ces éléments ne suffisent pas, mais leur combinaison peut révéler une instrumentalisation du droit d’accès.
Point important : la charge de la preuve de l’abus repose sur le responsable de traitement.
4️ La clarification sur le droit à indemnisation
La Cour rappelle les conditions du droit à réparation prévu par l’article 82 RGPD :
1️ une violation du règlement
2️ un dommage réel
3️ un lien de causalité
Mais si la personne a elle-même provoqué la situation litigieuse, ce lien de causalité peut être rompu.
Dans ce cas, l’indemnisation n’est pas due.
🧠 Ce que cet arrêt révèle pour les entreprises
Le RGPD reste un instrument majeur de protection des données, mais la CJUE rappelle ici un principe : un droit fondamental ne peut pas être détourné de sa finalité.
Pour les entreprises, la difficulté est moins juridique qu’organisationnelle : identifier rapidement les demandes légitimes…et celles qui relèvent d’une stratégie contentieuse.
Source : https://www.droit-technologie.org/wp-content/uploads/2026/03/CJUE-Arret-rendu.pdf
