Droit d’accès aux données personnelles : gare aux demandes abusives !

Dans sa décision Brillen Rottler du 19 mars 2026 , la Cour de justice de l’Union Européenne (CJUE) apporte une précision sur les conditions d’exercice du droit d’accès aux données personnelles de l’article 15 du RGPD.

Une demande d’accès peut être qualifiée d’abusive si elle est exercée dans un but détourné, notamment pour obtenir artificiellement une indemnisation.

En l’espèce, une personne physique résidant en Autriche s’est inscrite à la newsletter d’une entreprise en fournissant ses données personnelles et en consentant à leur traitement. Treize jours plus tard, elle a exercé son droit d’accès. Le responsable du traitement a refusé d’y donner suite, estimant la demande abusive au sens de l’article 12§5 du RGPD, au regard du comportement systématique du demandeur consistant à s’inscrire à des services, à exercer son droit d’accès, puis à réclamer une indemnisation au titre d’une prétendue violation du RGPD.

Les enseignements de l’arrêt Brillen Rottler

L’exercice du droit d’accès aux données personnelles n’est, par principe, soumis à aucune condition de motivation. Son titulaire peut en user librement, sans avoir à justifier de l’objet de sa demande. Cette liberté n’est toutefois pas sans limite : l’article 12, paragraphe 5, du RGPD autorise le responsable du traitement à refuser de donner suite aux demandes « manifestement infondées ou excessives ».

Saisie d’une question préjudicielle par le tribunal de district d’Arnsberg, la Cour a été invitée à déterminer si une demande d’accès peut être qualifiée d’excessive au sens de cet article dès sa première occurrence, et si des circonstances externes à la demande peuvent être prises en compte pour cette qualification. La CJUE a ainsi été amenée à préciser la définition de l’abus ainsi que les indices permettant de l’établir…

Les contours de la notion de demande « excessive »

La Cour a écarté une lecture strictement quantitative de la notion de demande excessive. Le caractère répétitif des demandes n’est ainsi pas le seul critère permettant de qualifier l’abus.

En l’absence de définition précise de la notion de « demande excessive » à l’article 12 du RGPD, la CJUE s’attache au sens ordinaire du terme. Est alors « excessif » ce qui dépasse la mesure ordinaire, raisonnable, souhaitable ou permise¹. La notion revêt une dimension tant quantitative que qualitative. Le seul caractère répétitif d’une demande n’est donc pas une condition nécessaire à la qualification d’abus : une première demande peut, en elle-même, déjà excéder la mesure permise.

Le critère retenu par la CJUE est celui de l’intention. Une demande est abusive dès lors que, au regard des circonstances de l’espèce, il est établi qu’elle n’a pas été introduite afin de permettre à la personne concernée de prendre connaissance du traitement de ses données et d’en vérifier la licéité, mais dans une intention détournée. Tel est notamment le cas lorsqu’une demande de droit d’accès vise à créer artificiellement les conditions nécessaires à l’obtention d’un avantage tiré du RGPD, en particulier une indemnisation sur le fondement de l’article 82.²

La Cour a souligné à cet égard que l’appréciation doit reposer sur un examen concret et circonstancié, et non sur des critères purement formels. Parmi les éléments pouvant être pris en compte : le fait que la personne concernée a communiqué des données personnelles sans y être contrainte, le but poursuivi lors de cette fourniture, le délai bref séparant l’inscription de la demande d’accès, ainsi que le comportement général de l’intéressé.³

Le comportement systématique comme indice de l’intention abusive

Si une première demande peut suffire à caractériser l’abus, encore faut-il en rapporter la preuve, laquelle pèse intégralement sur le responsable du traitement.

À cet égard, et dans la lignée de sa jurisprudence récente⁴, la Cour admet que le comportement systématique de la personne concernée puisse constituer un indice particulièrement significatif. Le fait qu’elle ait, selon des informations accessibles au public, adressé plusieurs demandes d’accès suivies de demandes de réparation à différents responsables du traitement peut être pris en considération pour établir l’existence d’une intention abusive.

Cet indice n’est toutefois pas suffisant à lui seul : il fait partie d’un faisceau d’indices qui, apprécié globalement, permet de traduire une intention abusive.

En application du principe général du droit de l’Union selon lequel nul ne peut se prévaloir abusivement des droits qu’il tire de celui-ci, l’abus suppose une intention malveillante ou détournée, visant un avantage indu⁵ plutôt que l’exercice loyal du droit d’accès.

Cet arrêt fournit, pour la première fois, un exemple concret sur lequel les responsables du traitement peuvent s’appuyer pour s’opposer à des demandes d’accès présentées de mauvaise foi, notamment dans le contexte du développement de pratiques opportunistes visant à générer des indemnisations au titre du RGPD. La charge de la preuve de cette intention abusive incombe toutefois au responsable du traitement, ce qui en limite nécessairement la portée pratique.

Quel parallèle avec les autres demandes de droit d’accès ?

L’hypothèse d’abus reconnue dans cette nouvelle décision ouvre la voie à d’autres applications éventuelles, et plus particulièrement la pratique, répandue en France, des demandes d’accès exercées par des salariés ou ex-salariés afin d’accentuer la pression sur l’employeur en marge d’un contentieux ou pré-contentieux prud’homal.

Le droit d’accès du salarié, levier stratégique

Les salariés français ont ainsi très largement recours à ce droit pour obtenir les données personnelles les concernant traitées par leur employeur ou ancien employeur, à commencer par les courriels professionnels qu’ils ont émis et/ou reçus.

La Cour de cassation a ainsi considéré que ces courriels constituaient bien des données à caractère personnel au sens du RGPD et plus précisément de l’article 15 : l’employeur doit alors en fournir le contenu, mais aussi les métadonnées (horodatage, destinataires), sous réserve des droits et libertés d’autrui (droit à la vie privée, secret des affaires, secret des correspondances).⁶

Cette position a néanmoins été nuancée par la Cour d’appel de Paris quelques mois plus tard.⁷

La CNIL, quant à elle, n’a pas fait évoluer sa doctrine en ce qui concerne le droit d’accès des salariés à leurs courriels professionnels.

La transposition de l’arrêt Brillen Rottler au contexte des demandes d’accès des salariés ou anciens salariés doit être abordée avec prudence.

Invoquer une intention abusive du salarié pour rejeter ou différer une telle demande suppose une démarche argumentée et documentée et ne permet pas d’opposer un simple refus immédiat.

En effet :

• Conformément à la solution rendue par la CJUE dans l’affaire Brillen Rottler, la charge de la preuve de l’intention abusive du demandeur pèse sur le responsable de traitement. Ainsi, l’employeur auquel une demande de droit d’accès est adressée ne peut refuser d’y donner suite qu’à condition d’établir que l’objectif réel de la demande n’a pour but que de faire pression sur l’employeur et créer le terreau d’une indemnisation sur le fondement du RGPD.

En pratique, cette preuve est difficile à rapporter : la CJUE ne reconnaît pas à l’employeur la faculté de conditionner le traitement d’une demande de droit d’accès à l’invocation, par le salarié, de motifs la justifiant.⁸ Un refus non étayé expose ainsi l’employeur à une plainte de la personne concernée auprès de la CNIL et donc à une éventuelle sanction.

• Par ailleurs, la doctrine de la CNIL est constante : le droit d’accès est un droit fondamental qui ne peut être écarté qu’exceptionnellement.

Elle rappelle régulièrement à cet égard que l’exercice du droit d’accès n’étant pas conditionné, une personne n’a pas à motiver sa demande et peut exercer son droit d’accès en parallèle d’une procédure contentieuse⁹.

Ce double verrou commande que tout refus ou limitation de réponse soit précédé d’une analyse approfondie et jamais décidé dans l’urgence ou par réflexe défensif.

Si l’arrêt Brillen Rottler offre aux responsables de traitement une nouvelle grille d’analyse pour résister à des demandes d’accès dont la finalité réelle est étrangère à l’objet du droit, sa transposition à toute autre demande fondée sur l’article 15 du RGPD nécessite une grande rigueur. En l’état, la doctrine CNIL demeure favorable aux salariés désireux d’obtenir un avantage probatoire dans le cadre d’un éventuel conflit professionnel.

Recommandations pratiques

À titre de recommandations pratiques, plusieurs réflexes s’imposent au responsable de traitement confronté à une demande d’accès :

1. Documenter le contexte dès la réception de la demande : date de réception, existence d’échanges ou contexte pré-contentieux avec le demandeur… Cette chronologie constituera le socle de toute argumentation ultérieure. Il va sans dire que cette documentation doit être constituée avant toute décision prise par le responsable de traitement, et non a posteriori.
2. Constituer un faisceau d’indices cohérents et objectifs pour démontrer l’abus : concomitance entre la demande et l’ouverture d’un litige, formulation très ciblée, ou encore demandes successives visant à élargir progressivement le périmètre de la réponse. Chaque indice doit être daté, sourcé et mis en relation avec les autres : un élément isolé ne saurait suffire.
3. Dans l’hypothèse où le responsable de traitement décide de différer ou de limiter sa réponse, il doit impérativement le faire par écrit et de manière motivée, en s’appuyant exclusivement sur les motifs reconnus par la CNIL.
4. Associer le DPO lors de l’analyse de la demande. C’est lui qui doit apprécier si les éléments réunis atteignent le seuil requis pour caractériser un abus manifeste au sens du RGPD, et guider la réponse du responsable de traitement en conséquence.
5. Plus fondamentalement, la meilleure protection demeure en amont : une procédure interne de traitement des demandes d’accès, documentée, connue du DPO, assortie d’un registre des demandes reçues et des réponses apportées, permettra de démontrer la bonne foi du responsable de traitement et constituera un élément de défense précieux en cas de contestation.

À ce stade, l’argument tiré de l’arrêt Brillen Rottler sera vraisemblablement plus utile comme levier d’argumentation devant le juge que comme fondement d’un refus pur et simple…

Footnotes

1. Voir en ce sens CJUE, 9 janvier 2025, aff. C-416/23, Österreichische Datenschutzbehörde (point 43).

2. Points, 36, 41, 66 de l’arrêt Brillen Rottler.

3. Point 42 de l’arrêt Brillen Rottler.

4. Voir en ce sens CJUE, 9 janvier 2025, aff. C-416/23, Österreichische Datenschutzbehörde (point 57).

5. Dans cette affaire, l’indemnisation au titre de l’article 82 du RGPD. Il peut également s’agir de l’exercice d’une pression sur le responsable de traitement, de l’obtention de preuves dans le cadre d’un litige, etc…

7. Cour d’appel de Paris18 décembre 2025 – RG n° 25/04270 https://www.courdecassation.fr/decision/69450ecb75782d5f06ade99c

8. CJUE, 27 mai 2024, aff. C-312/23, Addiko Bank d.d. c. Agencija za zaštitu osobnih podataka.

9. CNIL, « Professionnels : comment répondre à une demande de droit d’accès », 13 juin 2017 ; CNIL, « Le droit d’accès des salariés à leurs données et aux courriels professionnels », 05 janvier 2022.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.