Par un arrêt du 19 mars 2026, la Cour de justice de l’Union européenne (quatrième chambre), statuant sur renvoi préjudiciel de l’Amtsgericht Arnsberg (Allemagne), juge qu’une première demande d’accès aux données à caractère personnel peut déjà, sous certaines circonstances, être considérée comme « excessive » au sens de l’article 12, paragraphe 5, du règlement général sur la protection des données (RGPD), et être donc constitutive d’un abus de droit. La Cour précise en outre qu’il n’est pas possible d’obtenir la réparation d’un dommage en vertu du RGPD si le propre comportement du demandeur constitue la cause déterminante du préjudice.
Les faits à l’origine du litige sont aussi simples que révélateurs. En mars 2023, TC, un particulier résidant en Autriche, s’est abonné au bulletin d’information de Brillen Rottler, une entreprise familiale d’optique établie à Arnsberg, en communiquant certaines données à caractère personnel. Treize jours plus tard seulement, il a adressé à cette société une demande d’accès au titre de l’article 15 du RGPD. Brillen Rottler a refusé d’y donner suite, estimant la demande abusive au sens de l’article 12, paragraphe 5. TC ayant maintenu sa demande et réclamé une indemnité de 1.000 euros au titre de l’article 82 du RGPD, l’entreprise a saisi la juridiction de renvoi d’une action en constatation négative. Elle faisait valoir, à l’appui de reportages et d’articles de blog, que TC introduisait systématiquement des demandes d’accès auprès de multiples responsables du traitement selon un modus operandi identique : s’inscrire à un bulletin d’information, formuler une demande d’accès, puis réclamer une indemnité.
Confrontée à huit questions préjudicielles, la Cour les regroupe en trois ensembles. C’est toutefois sur le premier d’entre eux — la possibilité de qualifier d’« excessive » une première demande d’accès et les conditions d’un tel constat — que réside l’apport déterminant de la décision, complété par la précision relative à la rupture du lien de causalité lorsque la personne concernée est elle-même à l’origine du dommage qu’elle invoque.
Sur le plan littéral, la Cour relève que l’adjectif « excessif », au sens courant, désigne ce qui excède la mesure ordinaire ou raisonnable et revêt une dimension tant qualitative que quantitative. Le caractère répétitif, mentionné à l’article 12, paragraphe 5, du RGPD, n’est cité qu’à titre indicatif par l’emploi de l’adverbe « notamment ». Dès lors, la qualification d’une demande d’accès d’« excessive » ne requiert pas nécessairement que cette demande s’inscrive dans le contexte de la soumission de plusieurs demandes par la même personne. Le seul emploi de cet adjectif ne permet donc pas d’exclure qu’une première demande d’accès soit excessive.
L’interprétation contextuelle conforte cette analyse. L’article 12, paragraphe 5, du RGPD institue une exception à l’obligation de facilitation du droit d’accès prévue au paragraphe 2 de ce même article, qui doit être interprétée de façon restrictive. Cependant, la Cour souligne que cette disposition constitue une expression du principe général du droit de l’Union en vertu duquel les justiciables ne sauraient frauduleusement ou abusivement se prévaloir des normes de l’Union. Elle rappelle que le droit à la protection des données n’est pas un droit absolu (considérant 4 du RGPD) et qu’il doit être mis en balance avec d’autres droits fondamentaux. Les mécanismes permettant de trouver un juste équilibre entre les différents droits et intérêts en présence sont inscrits dans le règlement lui-même, et l’article 12, paragraphe 5, en est précisément l’un des instruments.
L’intérêt majeur de l’arrêt réside dans la transposition explicite au contentieux du RGPD de la théorie générale de l’abus de droit. La Cour énonce que la preuve d’une pratique abusive nécessite la réunion de deux éléments. L’élément objectif suppose que, malgré un respect formel des conditions prévues par la réglementation, l’objectif poursuivi par celle-ci n’a pas été atteint. L’élément subjectif consiste en la volonté d’obtenir un avantage résultant de la réglementation en créant artificiellement les conditions requises pour son obtention. Appliqué au cas d’espèce, cela signifie que le responsable du traitement doit démontrer de façon non équivoque que la personne concernée a introduit sa demande d’accès non pas pour prendre connaissance du traitement de ses données et en vérifier la licéité, mais dans l’intention de créer artificiellement les conditions requises pour l’obtention d’une réparation.
Elle précise que l’ensemble des éléments de l’espèce doit être pris en compte, incluant le fait que la personne concernée a fourni volontairement ses données, la finalité de cette communication, le délai — très bref en l’occurrence — entre celle-ci et la demande d’accès, ainsi que le comportement général de cette personne. Surtout, elle juge que les informations accessibles au public faisant état de l’introduction systématique, par la personne concernée, de demandes d’accès suivies de demandes de réparation auprès de différents responsables du traitement peuvent être prises en considération, pour autant qu’elles soient corroborées par d’autres éléments. Cette précision est bienvenue : elle permet aux responsables du traitement de se défendre contre des stratégies contentieuses délibérées, tout en maintenant un seuil de preuve élevé pour éviter que l’exception ne devienne la règle.
Le second apport décisif de l’arrêt concerne la rupture du lien de causalité. La Cour, après avoir rappelé que le droit à réparation au titre de l’article 82, paragraphe 1, du RGPD suppose la réunion de trois conditions cumulatives — une violation du règlement, un dommage effectif et un lien de causalité entre les deux —, juge que ce lien peut être rompu par le comportement de la personne concernée, lorsque celui-ci constitue la cause déterminante du préjudice. Ainsi, la personne qui soumet délibérément ses données à un responsable du traitement dans le seul but de créer artificiellement les conditions de l’application de l’article 82 ne saurait se prévaloir de la perte de contrôle sur ses données ou de l’incertitude quant à leur traitement qu’elle a elle-même provoquées.
La portée de cet arrêt dépasse largement le cas d’espèce. La Cour y élabore un cadre cohérent de lutte contre l’instrumentalisation du RGPD à des fins lucratives, phénomène dont les juridictions nationales avaient déjà signalé l’ampleur croissante. En admettant qu’une première demande d’accès puisse être qualifiée d’excessive dès lors qu’une intention abusive est démontrée, et en neutralisant le droit à réparation lorsque le demandeur a lui-même provoqué le dommage, la Cour renforce les mécanismes d’équilibre inscrits dans le règlement. Ce double verrou — l’abus de droit au stade de la demande, la rupture du lien de causalité au stade de la réparation — constitue désormais un arsenal complet à la disposition des responsables du traitement confrontés à des demandes manifestement opportunistes, tout en préservant l’exercice légitime du droit d’accès, pierre angulaire de la protection des données à caractère personnel.