RGPD : une première demande d’accès aux données personnelles peut-elle être abusive ?

RGPD : une première demande d’accès aux données personnelles peut-elle être abusive ?

Ce qu’il faut retenir

Le responsable du traitement peut refuser de donner suite à une demande d’accès aux données personnelles. Cependant, ce refus doit être documenté. Un refus non justifié eut ouvrir droit à réparation.


Parmi les droits de la personne concernée, le droit d’accès permet de savoir si nos données personnelles sont traitées et d’en obtenir la communication. Il s’agit de l’un des droits fondamentaux dont bénéficient les personnes concernées. Ce droit, défini à l’article 15 du RGPD, conditionne l’exercice des autres droits reconnus par le règlement.(1) 

Toutefois, ce droit n’est pas sans limites. Dans un arrêt rendu le 19 mars 2026, la cour de justice de l’Union européenne (CJUE) apporte des précisions sur les limites de ce droit et sur les conséquences d’un refus irrégulier. (2) 

En l’espèce, un particulier s’était abonné à la newsletter d’une entreprise d’optique allemande, avant d’introduire, treize jours plus tard, une demande d’accès à ses données à caractère personnel. Estimant que cette demande était abusive, l’entreprise avait refusé d’y donner suite. Le  particulier avait ensuite demandé une indemnisation, sur le fondement de l’article 82 du RGPD.

Le tribunal d’Arnsberg (Allemagne), saisi du litige, a interrogé la CJUE sur les deux questions suivantes : 1. Une première demande d’accès peut-elle être qualifiée d’excessive par le responsable du traitement ? 2. La personne concernée a-t-elle droit à réparation du dommage résultant d’une violation de son droit d’accès ?


1. Une première demande d’accès peut-elle être qualifiée d’excessive par le responsable du traitement ?

L’article 12 par.5 du RGPD permet au responsable du traitement, lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, soit d’exiger le paiement des frais raisonnables, soit de refuser d’y donner suite.

La question posée à la Cour était de savoir s’il était possible d’opposer un refus à une première demande d’accès. La Cour répond par l’affirmative, et précise que le caractère répétitif n’est mentionné dans le texte qu’à titre indicatif. Il ne constitue donc pas une condition nécessaire.

Pour autant, la possibilité de refuser de donner suite à une demande d’accès aux données personnelles est fortement encadrée. Le droit d’accès est l’un des droits fondamentaux dont bénéficient les personnes concernées. La CJUE rappelle que l’article 12 par.5 constitue une exception à l’obligation faite au responsable du traitement de faciliter l’exercice des droits de la personne concernée. Cette exception doit donc être interprétée de façon restrictive. 

Le caractère excessif ou abusif d’une demande d’accès ne saurait résulter de la seule difficulté pratique que le responsable du traitement éprouverait à y répondre. Il lui appartient d’établir que la demande n’a pas été faite pour permettre à la personne concernée de prendre connaissance du traitement et d’en vérifier la licéité, mais dans une intention abusive, par exemple pour créer artificiellement les conditions d’une demande de réparation.

Cette appréciation doit reposer sur un faisceau d’indices. Peuvent notamment être pris en compte : le fait que la personne concernée a fourni ses données sans y être contrainte, le but de la fourniture des données, le délai écoulé entre la communication des données et la demande d’accès, ainsi que le comportement global de la personne.

Des informations accessibles au public révélant que la personne concernée a introduit, auprès de plusieurs responsables du traitement, des demandes d’accès suivies de demandes de réparation selon un schéma comparable, peuvent être prises en considération. Ces informations doivent cependant être corroborées par d’autres éléments pertinents.


2. La personne concernée peut-elle obtenir réparation du dommage résultant d’une violation de son droit d’accès ?

Dans son arrêt du 19 mars 2026, la CJUE juge par ailleurs que l’article 82 par.1 du RGPD confère à la personne concernée un droit à réparation lorsque le préjudice allégué résulte d’une violation du droit d’accès prévu à l’article 15. Un tel droit à réparation n’est donc pas subordonné à l’existence d’un traitement illicite des données à caractère personnel. Il peut notamment être invoqué en cas de refus irrégulier du responsable du traitement d’y donner suite.

Le droit à réparation suppose la réunion de trois conditions cumulatives : une violation du RGPD, un dommage, et un lien de causalité entre les deux. Par exemple, la perte de contrôle sur les données à caractère personnel peut, dans certaines conditions, constituer un préjudice réparable. Toutefois, le dommage moral ne se présume pas du seul constat de la violation. La personne concernée doit établir qu’elle a effectivement subi un préjudice, même minime, distinct de la seule violation du règlement.

Enfin, la Cour indique que le comportement de la personne concernée peut rompre le lien de causalité s’il constitue la cause déterminante du dommage invoqué. Il en va ainsi, notamment, lorsqu’une personne fournit ses données au responsable du traitement dans le but de créer artificiellement les conditions d’une demande de réparation.


3. Quelles conséquences pour les responsables de traitement ?

L’intérêt de cet arrêt est de préciser les critères permettant aux responsables de traitement de s’opposer à une demande d’accès. 

Même si l’article 12 par.5 du RGPD permet au responsable du traitement de refuser de donner suite à une demande d’accès excessive, le refus ne peut être envisagé qu’à titre exceptionnel, sur la base d’éléments documentés permettant d’établir une intention abusive.

Ainsi, il est recommandé de mettre en place une procédure interne de traitement des demandes d’accès, comprenant les étapes suivantes : 
    - identification de la demande d’accès, 
    - vérification de l’identité du demandeur, 
    - qualification précise de son périmètre, 
    - centralisation des éléments de réponse, en application de l’article 15,
    - respect du délai de réponse à la demande 
    - et validation juridique en cas de difficulté. 

Documenter le traitement des demandes d’accès permet de justifier les refus éventuels. À défaut, le responsable du traitement s’expose non seulement à des poursuites pour violation du RGPD et à une demande de réparation par la personne concernée mais également à un contrôle de la CNIL.

On notera que des demandes d’accès répétées ne sont pas nécessairement abusives, en particulier si ces demandes sont faites à des intervalles raisonnables. (3)

* * * * * * * * * * *


(1) Dans un arrêt du 12 janvier 2023, la CJUE a rappelé que le droit d’accès doit permettre à la personne concernée d’exercer effectivement les autres droits prévus par le RGPD (droits de rectification, d’effacement, de limitation du traitement, d’opposition) pour éventuellement obtenir  les éléments nécessaires à une action judiciaire.

(2) CJUE 19 mars 2026, aff. C-526/24, Brillen Rottler GmbH & Co. KG

(3) Dans un autre arrêt de 2023, la CJUE a notamment précisé que le droit d’accès doit pouvoir être exercé facilement et à des intervalles raisonnables, afin de permettre un contrôle réel du traitement. (CJUE 26 octobre 2023, aff. C-307/22, FT c. DW)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2026

Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (8) adwords (3) ai (29) anssi (3) arcep (5) arcom (21) audiovisuel (4) audit (4) base de données (4) bitcoin (1) blockchain (8) cbpr (7) cgv (2) chine (1) cjue (2) cloud computing (3) cnil (24) commerce (6) communication (9) compliance (44) confidentialité (4) conformité (25) consommateurs (5) contrat (11) contrefaçon (10) cookies (8) copyright (5) cryptologie (1) csa (1) cybercriminalité (5) cybersquatting (3) data (1) data privacy framework (2) dma (4) données à caractère personnel (23) données personnelles (40) dpf (2) droit d'auteur (11) dsa (10) e-commerce (17) e-consommateurs (2) enfance (6) etats-unis (6) eu (26) europe (25) formation (4) fraude (3) gdpr (39) google (4) hébergeur (5) ia (20) ico (1) informatique (14) informatique et libertés (4) intelligence artificielle (19) internet (36) jeu vidéo (3) liberté d'expression (3) logiciel (13) loi informatique et libertés (5) loi sren (6) marque (3) métavers (3) méthode agile (2) monnaie électronique (1) moteur de recherche (7) nda (1) nft (4) nom de domaine (1) numérique (15) originalité (5) privacy shield (2) propriété intellectuelle (15) protection des données (16) publicité (6) référencement (4) réglementation (13) réseau (2) réseaux sociaux (11) responsabilité (10) responsable du traitement (15) rgpd (30) robotique (7) rpa (6) salariés (4) santé (1) santé publique (1) sécurité (8) singapour (8) site web (5) us (3) vie privée (23)