1.

L’article 57, paragraphe 4, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ( 2 ) (ci-après le « RGPD »), offre aux autorités de contrôle, lorsqu’elles sont confrontées à des demandes manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, la possibilité d’exiger le paiement de frais raisonnables basés sur les coûts administratifs ou de refuser de donner suite à ces demandes.

2.

La logique qui sous-tend cet instrument procédural repose sur l’idée selon laquelle, si les personnes concernées doivent certes pouvoir réclamer facilement auprès des autorités de contrôle le respect des droits qu’elles tirent du RGPD, celles-ci doivent pouvoir, quant à elles, réserver un traitement spécifique aux demandes excessives afin de garantir leur bon fonctionnement et de préserver leur aptitude à exercer pleinement leurs missions.

3.

Encore faut-il définir en quoi consiste l’excès en la matière. Tel est le problème principal que soulève la présente demande de décision préjudicielle.

4.

Cette demande a été présentée dans le cadre d’un litige opposant l’Österreichische Datenschutzbehörde (autorité de protection des données, Autriche) (ci-après la « DSB ») à F R, au sujet du refus de cette autorité, fondé sur l’article 57, paragraphe 4, du RGPD, de donner suite à une réclamation introduite par F R en vertu de l’article 77, paragraphe 1, de ce règlement.

5.

Le 17 février 2020, F R a introduit auprès de la DSB une réclamation en vertu de l’article 77, paragraphe 1, du RGPD pour violation de son droit d’accès au titre de l’article 15 de ce règlement, au motif que le responsable du traitement n’aurait pas répondu à sa demande d’accès dans un délai d’un mois.

6.

Sur le fondement de l’article 57, paragraphe 4, dudit règlement, la DSB a refusé, par décision du 22 avril 2020, de donner suite à cette réclamation, en la qualifiant d’« excessive ». À cet égard, elle a notamment relevé que l’intéressé lui avait adressé, dans un intervalle d’environ 20 mois, 77 réclamations visant à contester l’absence de réponse dans le délai d’un mois, de la part de différents responsables du traitement, à ses demandes d’accès ou d’effacement ( 3 ). En outre, F R a contacté régulièrement cette autorité par téléphone afin d’exposer des faits supplémentaires et de la consulter en vue de l’introduction éventuelle d’autres réclamations.

7.

F R a formé un recours contre cette décision auprès du Bundesverwaltungsgericht (tribunal administratif fédéral, Autriche). Par arrêt du 22 décembre 2022, cette juridiction a accueilli ce recours en annulant ladite décision. Elle a jugé, en substance, que le caractère excessif au sens de l’article 57, paragraphe 4, du RGPD suppose non seulement une répétition fréquente de demandes, mais aussi un caractère manifestement vexatoire ou abusif de celles-ci. Or, selon ladite juridiction, la motivation retenue par la DSB pour refuser de traiter la réclamation de F R ne ferait pas ressortir l’existence d’une démarche abusive de la part de ce dernier. Par ailleurs, cette autorité ne pourrait pas choisir à sa convenance entre l’imposition du paiement de frais raisonnables pour une demande « excessive » et le refus de traiter une telle demande. Ce choix devrait être justifié par ladite autorité, ce qui ne serait pas le cas en l’espèce.

8.

Saisi par la DSB d’un recours en Revision contre cet arrêt, le Verwaltungsgerichtshof (Cour administrative, Autriche), qui est la juridiction de renvoi dans la présente affaire, se demande, en premier lieu, si la notion de « réclamation » figurant à l’article 77, paragraphe 1, du RGPD peut être assimilée à celle de « demande(s) », au sens de l’article 57, paragraphe 4, de ce règlement.

9.

À cet égard, cette juridiction relève qu’une réponse négative à cette question aurait pour conséquence qu’une autorité de contrôle ne pourrait pas refuser, sur le fondement de cette disposition, de donner suite à des réclamations ou exiger le paiement de frais raisonnables pour le traitement de celles-ci, et ce indépendamment de leur éventuel caractère infondé ou excessif. Or, selon ladite juridiction, les arguments les plus solides plaideraient en faveur de l’inclusion des réclamations mentionnées à l’article 77, paragraphe 1, du RGPD dans le champ d’application de l’article 57, paragraphe 4, de ce règlement.

10.

En deuxième lieu, la juridiction de renvoi nourrit des doutes quant à la signification à donner à la notion de « demandes excessives », au sens de cette dernière disposition. En particulier, cette juridiction indique que, si le caractère répétitif des demandes est cité comme exemple de demandes excessives, il conviendrait de tenir compte du fait que la possibilité pour une autorité de contrôle de refuser de donner suite à une réclamation conduit à une atteinte importante à la protection dont les personnes concernées peuvent se prévaloir en application du RGPD. Cela irait ainsi à l’encontre de l’objectif de ce règlement d’assurer un niveau élevé de protection des données à caractère personnel. En tant qu’exception à l’obligation des autorités de contrôle de traiter les réclamations qui leur sont soumises, la possibilité de refuser d’agir à la suite d’une réclamation devrait être interprétée de façon étroite.

11.

Ainsi, ladite juridiction doute que le simple fait pour une personne concernée d’utiliser les possibilités offertes par le RGPD en introduisant un nombre très élevé de réclamations par rapport à d’autres personnes, notamment lorsque ces réclamations concernent différents responsables du traitement, puisse suffire à qualifier des demandes d’« excessives », à défaut d’autres circonstances démontrant l’existence d’une intention abusive.

12.

De même, selon la juridiction de renvoi, la seule circonstance que le traitement de certaines réclamations constitue, pour l’autorité de contrôle, une charge en termes de travail et de temps allant au-delà de la moyenne ne saurait justifier la perception de frais ou le refus d’y donner suite en application de l’article 57, paragraphe 4, du RGPD.

13.

En troisième lieu, cette juridiction se demande si une autorité de contrôle peut librement choisir, en cas de demandes manifestement infondées ou excessives, entre exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à ces demandes.

14.

Dans ces conditions, le Verwaltungsgerichtshof (Cour administrative) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

15.

Des observations écrites ont été déposées par F R, la DSB, le Bundesministerin für Justiz (ministre fédéral de la Justice, Autriche), les gouvernements autrichien et tchèque ainsi que la Commission européenne.

16.

Par sa première question, la juridiction de renvoi demande, en substance, à la Cour si la notion de « demande(s) » figurant à l’article 57, paragraphe 4, du RGPD recouvre les « réclamations » visées à l’article 57, paragraphe 1, sous f), et à l’article 77, paragraphe 1, de ce règlement ( 4 ).

17.

En effet, en refusant, conformément à l’article 57, paragraphe 4, du RGPD, de donner suite à la réclamation introduite par F R en raison de la violation alléguée de son droit d’accès au titre de l’article 15 de ce règlement, la DSB a adopté une décision qui repose sur l’hypothèse selon laquelle les réclamations des personnes concernées formulées au titre de l’article 77, paragraphe 1, dudit règlement doivent être assimilées à des « demandes », au sens de l’article 57, paragraphe 4, du même règlement.

18.

La juridiction de renvoi considère qu’il est nécessaire de vérifier auprès de la Cour si cette hypothèse est correcte puisque, si tel n’est pas le cas, une autorité de contrôle se trouverait empêchée de refuser de donner suite à des réclamations ou d’exiger le paiement de frais raisonnables pour le traitement de celles-ci en application de l’article 57, paragraphe 4, du RGPD.

19.

À titre liminaire, il y a lieu de rappeler, d’une part, que, conformément à une jurisprudence constante de la Cour, les termes d’une disposition du droit de l’Union qui ne comporte aucun renvoi exprès au droit des États membres pour déterminer son sens et sa portée doivent normalement trouver, dans toute l’Union, une interprétation autonome et uniforme ( 5 ). D’autre part, afin d’interpréter une disposition du droit de l’Union, il convient de tenir compte non seulement des termes de celle-ci, conformément à leur sens habituel dans le langage courant, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie ( 6 ).

20.

L’interprétation littérale, contextuelle et téléologique de l’article 57, paragraphe 4, du RGPD me conduit à considérer que la notion de « demande(s) » visée à cette disposition recouvre les « réclamations » visées à l’article 57, paragraphe 1, sous f), et à l’article 77, paragraphe 1, de ce règlement.

21.

S’agissant, en premier lieu, du libellé de l’article 57, paragraphe 4, du RGPD, cette disposition énonce que, « [l]orsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l’autorité de contrôle peut exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à la demande. Il incombe à l’autorité de contrôle de démontrer le caractère manifestement infondé ou excessif de la demande ».

22.

L’article 77, paragraphe 1, du RGPD dispose, pour sa part, que, « [s]ans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement ».

23.

Aucune disposition du RGPD ne définit la notion de « demande(s) », au sens de l’article 57, paragraphe 4, de ce règlement. Si je me réfère au sens habituel de cette notion dans le langage courant, celle-ci est particulièrement large. Elle englobe potentiellement toute sollicitation formulée par une personne ou une entité. Le dictionnaire Larousse définit ainsi la notion de « demande » comme étant l’« action de faire savoir que l’on désire obtenir quelque chose ; fait de demander ; écrit qui l’exprime », en citant, parmi ses synonymes, le terme « réclamation ». Les réclamations formulées au titre de l’article 77, paragraphe 1, du RGPD constituent donc, à mon avis, une catégorie de « demande(s) », au sens de l’article 57, paragraphe 4, de ce règlement.

24.

Cette analyse textuelle est corroborée, en deuxième lieu, par le contexte dans lequel s’inscrit cette disposition. À cet égard, je constate que l’article 57 du RGPD décrit les missions des autorités de contrôle et leurs conditions d’exercice. Parmi ces missions :

25.

Aux termes de l’article 57, paragraphe 2, du RGPD, « [c]haque autorité de contrôle facilite l’introduction des réclamations visées au paragraphe 1, [sous] f), par des mesures telles que la fourniture d’un formulaire de réclamation qui peut aussi être rempli par voie électronique, sans que d’autres moyens de communication ne soient exclus » ( 9 ).

26.

Par ailleurs, l’article 57, paragraphe 3, de ce règlement pose le principe selon lequel « [l]’accomplissement des missions de chaque autorité de contrôle est gratuit pour la personne concernée et, le cas échéant, pour le délégué à la protection des données ».

27.

En prévoyant la possibilité pour les autorités de contrôle, lorsqu’elles sont confrontées à des demandes qui sont manifestement infondées ou excessives, d’exiger le paiement de frais raisonnables basés sur les coûts administratifs ou de refuser de donner suite à une demande, l’article 57, paragraphe 4, dudit règlement prévoit une exception au principe de gratuité posé à l’article 57, paragraphe 3, du même règlement ainsi qu’à l’obligation qui incombe à ces autorités de donner suite aux demandes qui leur sont soumises.

28.

Contrairement à ce que soutient F R, il ne saurait, à mon avis, être déduit de la juxtaposition de ces différentes dispositions que l’article 57, paragraphe 4, du RGPD, dans la mesure où il utilise la notion de « demande(s) », devrait être appliqué uniquement aux demandes visées à l’article 57, paragraphe 1, sous e), de ce règlement. Autrement dit, je ne crois pas qu’il puisse être déduit du constat selon lequel la notion de « demande(s) » est employée dans cette disposition que le champ d’application de l’article 57, paragraphe 4, dudit règlement devrait être limité à la mission des autorités de contrôle que celle-ci prévoit. Par ailleurs, le constat selon lequel l’article 57, paragraphe 2, du même règlement vise les « réclamations » ne signifie pas qu’il s’agit de la seule disposition destinée à régir les conditions d’introduction des réclamations auprès des autorités de contrôle.

29.

En effet, je relève que l’article 57, paragraphe 3, du RGPD, qui pose le principe de gratuité de l’accomplissement par les autorités de contrôle de leurs missions, s’applique à l’ensemble des missions de celles-ci, y compris au traitement des réclamations prévu à l’article 57, paragraphe 1, sous f), de ce règlement. En toute logique et par symétrie, l’article 57, paragraphe 4, dudit règlement, dans la mesure où il prévoit une exception à ce principe de gratuité, sans la restreindre à certaines missions particulières de ces autorités, devrait également s’appliquer à ce traitement des réclamations.

30.

Il en va d’autant plus ainsi que le traitement des réclamations, qui est prévu à l’article 57, paragraphe 1, sous f), du RGPD, constitue une mission essentielle des autorités de contrôle ( 10 ). Le principe de gratuité et l’obligation de faciliter l’introduction des réclamations, prévus à l’article 57, paragraphes 2 et 3, de ce règlement, sont d’ailleurs destinés à permettre à toute personne concernée de réclamer auprès d’une autorité de contrôle le respect des droits qu’elle tire dudit règlement.

31.

Dès lors, l’interprétation selon laquelle la notion de « demande(s) » visée à l’article 57, paragraphe 4, du RGPD ne couvrirait que les demandes relevant de l’article 57, paragraphe 1, sous e), de ce règlement et non pas les réclamations visées à l’article 57, paragraphe 1, sous f), et à l’article 77, paragraphe 1, dudit règlement priverait la première de ces dispositions d’une grande partie de son effet utile.

32.

Par ailleurs, les réclamations visées à l’article 57, paragraphe 1, sous f), et à l’article 77, paragraphe 1, du RGPD me paraissent davantage pouvoir être qualifiées, le cas échéant, de « manifestement infondées » que les demandes faites au titre de l’article 57, paragraphe 1, sous e), de ce règlement, par lesquelles les personnes concernées cherchent à obtenir auprès des autorités de contrôle des informations sur l’exercice des droits que leur confère ledit règlement.

33.

J’ajoute que l’interprétation selon laquelle l’article 57, paragraphe 4, du RGPD vise également le traitement des réclamations introduites au titre de l’article 77, paragraphe 1, de ce règlement est retenue par le Comité européen de la protection des données (EDPB), qui se réfère à la première de ces dispositions à propos de la recevabilité des réclamations ( 11 ).

34.

Par conséquent, s’il est vrai que, dans la mesure où il prévoit une exception au principe de gratuité et à l’obligation qui incombe aux autorités de contrôle de donner suite aux demandes qui leur sont soumises, l’article 57, paragraphe 4, dudit règlement doit faire l’objet d’une interprétation stricte ( 12 ), cela ne peut cependant, selon moi, avoir pour effet d’exclure l’application de cette disposition aux réclamations introduites au titre du même règlement.

35.

En troisième lieu, l’interprétation que je suggère à la Cour de retenir permet, à mon avis, d’atteindre les objectifs poursuivis par le RGPD. Il convient, à cet égard, de relever que ce règlement a pour finalité, ainsi que l’indiquent ses considérants 10 et 11, d’assurer un niveau cohérent et élevé de protection des personnes physiques au sein de l’Union ainsi que de renforcer et de préciser les droits des personnes concernées ( 13 ).

36.

Certes, comme le souligne la juridiction de renvoi, l’interprétation selon laquelle les réclamations sont incluses dans le champ d’application de l’article 57, paragraphe 4, du RGPD pourrait, à première vue, paraître en contradiction avec ces objectifs et avec les obligations qui pèsent sur les autorités de contrôle.

37.

En effet, comme je l’ai indiqué précédemment, en vertu de l’article 57, paragraphe 1, sous f), du RGPD, chaque autorité de contrôle est tenue, sur son territoire, de traiter les réclamations que toute personne est en droit d’introduire, conformément à l’article 77, paragraphe 1, de ce règlement, lorsque celle-ci considère qu’un traitement de données à caractère personnel la concernant constitue une violation dudit règlement, et d’en examiner l’objet dans la mesure du nécessaire. L’autorité de contrôle doit procéder au traitement de ces réclamations avec toute la diligence requise ( 14 ).

38.

Ainsi, la procédure de réclamation est conçue comme un mécanisme apte à sauvegarder de manière efficace les droits et les intérêts des personnes concernées ( 15 ).

39.

Dès lors, l’inclusion des réclamations dans le champ d’application de l’article 57, paragraphe 4, du RGPD a pour conséquence de donner aux autorités de contrôle la faculté de restreindre l’obligation qui pèse sur elles de traiter ces réclamations et d’appliquer au traitement de celles-ci le principe de gratuité.

40.

Cependant, lorsqu’une autorité de contrôle se trouve confrontée à des demandes manifestement infondées ou excessives, la possibilité d’exiger le paiement de frais raisonnables ou de refuser de donner suite à une demande est, selon moi, de nature à assurer un niveau élevé de protection des données à caractère personnel.

41.

En effet, la poursuite de cet objectif requiert de garantir le bon fonctionnement des autorités de contrôle en évitant que celui-ci soit entravé en raison de l’introduction de réclamations manifestement infondées ou excessives, au sens de l’article 57, paragraphe 4, du RGPD. Cette disposition offre ainsi aux autorités de contrôle la possibilité de traiter de façon spécifique ces réclamations, en allégeant la charge que ces dernières sont susceptibles de faire peser sur elles. Ces autorités peuvent, dès lors, décider de ne pas soumettre les réclamations manifestement infondées ou excessives à un traitement normal qui, en mobilisant sans motif légitime les ressources dont lesdites autorités disposent, pourrait avoir des effets négatifs sur la durée et la qualité de traitement des demandes qui sont introduites parallèlement par d’autres personnes concernées, et donc sur le niveau de protection qui doit leur être garanti.

42.

Ainsi, compte tenu de l’importance que revêt le droit d’introduire des réclamations au regard de l’objectif visant à garantir un niveau élevé de protection des données à caractère personnel et de la place essentielle qu’occupe le traitement de ces réclamations dans les missions qui sont attribuées aux autorités de contrôle, il importe d’éviter un usage manifestement infondé ou excessif de ce droit, qui pourrait avoir pour effet, en l’absence de la possibilité d’utiliser les instruments procéduraux prévus à l’article 57, paragraphe 4, du RGPD, d’empêcher les autorités de contrôle de mener à bien leurs missions. Il s’ensuit qu’une interprétation excluant les réclamations du champ d’application de cette disposition pourrait être de nature à compromettre le bon fonctionnement des autorités de contrôle et, par voie de conséquence, l’objectif consistant à garantir un niveau élevé de protection des droits que les personnes concernées tirent de ce règlement.

43.

Par ailleurs, je note que l’application de ladite disposition est assortie de garanties procédurales qui permettent d’encadrer strictement sa mise en œuvre par les autorités de contrôle. Ainsi, la charge de prouver le caractère manifestement infondé ou excessif de demandes incombe à l’autorité de contrôle. De plus, la décision de cette autorité d’exiger le paiement de frais raisonnables ou de refuser de donner suite à des demandes peut faire l’objet d’un recours juridictionnel effectif, en application de l’article 78, paragraphe 1, du RGPD. De même, lorsqu’une autorité de contrôle ne traite pas une réclamation, sans prendre de décision à cet égard, la personne concernée a le droit de former un recours juridictionnel effectif, conformément à ce que prévoit l’article 78, paragraphe 2, de ce règlement.

44.

En outre, chaque personne concernée a droit, en vertu de l’article 79, paragraphe 1, du RGPD, à un recours juridictionnel effectif si elle considère que les droits que lui confère ce règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation dudit règlement.

45.

Comme la Cour l’a jugé dans son arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság ( 16 ), l’article 77, paragraphe 1, l’article 78, paragraphe 1, et l’article 79, paragraphe 1, du RGPD, lus à la lumière de l’article 47 de la charte des droits fondamentaux de l’Union européenne, doivent être interprétés en ce sens qu’ils permettent un exercice concurrent et indépendant des voies de recours prévues, d’une part, à cet article 77, paragraphe 1, et à cet article 78, paragraphe 1, ainsi que, d’autre part, à cet article 79, paragraphe 1 ( 17 ).

46.

Au vu de ces éléments, je propose à la Cour de répondre à la première question préjudicielle que la notion de « demande(s) » figurant à l’article 57, paragraphe 4, du RGPD recouvre les « réclamations » visées à l’article 57, paragraphe 1, sous f), et à l’article 77, paragraphe 1, de ce règlement.

47.

Par sa deuxième question, la juridiction de renvoi demande, en substance, à la Cour si des demandes peuvent être qualifiées d’« excessives », au sens de l’article 57, paragraphe 4, du RGPD, uniquement en raison de leur nombre pendant une période donnée ou bien s’il faut également que soit démontrée une intention abusive de la part de la personne qui soumet de telles demandes à une autorité de contrôle.

48.

Afin de répondre à cette question, je commencerai par examiner le libellé de cette disposition, sur la base duquel je tire les constats suivants.

49.

En premier lieu, la notion de « demandes excessives » n’étant pas définie dans le RGPD, il convient de se référer au sens habituel de cette notion dans le langage courant. Ainsi l’adjectif « excessif » désigne quelque chose qui excède la mesure ordinaire ou raisonnable (dictionnaire Larousse), ou qui dépasse la mesure souhaitable ou permise (dictionnaire Le Robert). Faire une chose avec excès signifie faire une chose sans mesure.

50.

En deuxième lieu, il convient de souligner que le libellé de l’article 57, paragraphe 4, du RGPD n’est toutefois pas exempt d’indications puisque, en mentionnant les « demandes […] excessives, en raison, notamment, de leur caractère répétitif », cette disposition laisse entendre que ce caractère répétitif permet de caractériser l’existence de demandes excessives.

51.

En troisième lieu et en lien avec ce qui vient d’être exposé, dans la mesure où l’adverbe « notamment » indique que le caractère répétitif des demandes ne constitue qu’un exemple de demandes excessives, cela signifie que ces dernières recouvrent d’autres cas de figure que le nombre de demandes.

52.

Cela étant, il ne me paraît pas nécessaire d’envisager ici de manière exhaustive tous les cas de figure dans lesquels des demandes pourraient être qualifiées d’« excessives ». Je concentrerai plutôt mon analyse sur la question spécifique que la juridiction de renvoi soumet à la Cour, qui tend à obtenir des précisions sur la portée qu’il convient de donner à cette mention du caractère répétitif des demandes comme étant un exemple de demandes excessives. Il s’agit ainsi de déterminer si un nombre élevé de réclamations suffit, par lui-même, pour qualifier des demandes d’« excessives » en raison de leur caractère répétitif.

53.

En effet, il ressort des éléments dont la Cour dispose, que c’est bien en se fondant sur le nombre de réclamations introduites par F R au cours d’une période donnée que la DSB a refusé, en considérant que ce nombre était trop élevé, de donner suite à une réclamation en la qualifiant d’« excessive ». En somme, cette autorité a estimé qu’un seuil quantitatif acceptable de réclamations avait été atteint, de sorte qu’il convenait de ne plus donner suite aux réclamations qui lui étaient soumises par F R. Ladite autorité a justifié également sa décision par la crainte que F R continue à introduire un nombre important de réclamations à l’avenir. Toutefois, elle n’a nullement remis en cause le bien-fondé des réclamations qui lui avaient été présentées par F R jusqu’alors.

54.

À l’instar de F R, du ministre fédéral de la Justice, du gouvernement autrichien et de la Commission, je considère que le nombre de demandes introduites par une personne concernée auprès d’une autorité de contrôle, pour important qu’il soit, ne saurait, à lui seul et contrairement à ce qui pourrait être déduit, à première vue, du libellé de l’article 57, paragraphe 4, du RGPD, constituer un critère suffisant pour conclure à l’existence de « demandes excessives », au sens de cette disposition. Je fonde cette opinion sur l’examen du contexte dans lequel ladite disposition s’inscrit et sur les objectifs que poursuit ce règlement.

55.

S’agissant du contexte dans lequel s’inscrit l’article 57, paragraphe 4, du RGPD, je relève que l’article 12 de ce règlement énonce des obligations générales incombant au responsable du traitement en ce qui concerne la transparence des informations et des communications, ainsi que les modalités de l’exercice des droits de la personne concernée.

56.

L’article 15 du RGPD, relevant du chapitre III, section 2, qui porte sur l’information et l’accès aux données à caractère personnel, complète le cadre de transparence de ce règlement en octroyant à la personne concernée un droit d’accès à ses données à caractère personnel et un droit d’information sur le traitement de ces données.

57.

En particulier, l’article 15, paragraphe 1, dudit règlement prévoit que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès à ces données à caractère personnel ainsi que les informations relatives, notamment, aux finalités du traitement et aux destinataires ou catégories de destinataires auxquels lesdites données à caractère personnel ont été ou seront communiquées.

58.

Ce droit d’accès doit permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite ( 18 ).

59.

Comme la Cour l’a précisé, le droit d’accès prévu à l’article 15 du RGPD est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli ») et son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16 à 18 de ce règlement, son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 dudit règlement, ainsi que son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du même règlement ( 19 ).

60.

Par conséquent, l’article 15 du RGPD fait partie des dispositions destinées à garantir ce droit d’accès ainsi que la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée, transparence sans laquelle celle-ci ne serait pas en mesure d’apprécier la licéité du traitement de ses données et d’exercer les prérogatives prévues notamment aux articles 16 à 18, 21, 79 et 82 de ce règlement ( 20 ).

61.

C’est dans cette optique que la Cour a déjà indiqué que le principe de la gratuité de la première copie des données ainsi que l’absence de nécessité d’invoquer un motif spécifique justifiant la demande d’accès contribuent nécessairement à faciliter l’exercice par la personne concernée des droits qui lui sont conférés par le RGPD ( 21 ).

62.

Étant donné l’importance que ce règlement attribue au droit d’accéder aux données à caractère personnel faisant l’objet d’un traitement, tel qu’il est garanti à l’article 15, paragraphe 1, dudit règlement, pour atteindre les objectifs poursuivis par celui-ci, l’exercice de ce droit ne saurait être soumis à des conditions trop strictes.

63.

À mon avis, il doit en aller de même s’agissant du droit des personnes concernées d’introduire des réclamations au titre de l’article 77, paragraphe 1, du RGPD.

64.

En effet, conformément à ce que prévoit l’article 12, paragraphe 3, de ce règlement, le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dudit règlement dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Si le responsable du traitement ne respecte pas cette obligation, la personne qui a formulé une demande auprès de lui doit pouvoir introduire une réclamation auprès d’une autorité de contrôle, afin que celle-ci puisse, le cas échéant, ordonner au responsable du traitement, conformément à ce que prévoit l’article 58, paragraphe 2, sous c), du même règlement, de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du RGPD.

65.

Lorsqu’une personne a adressé une demande d’accès ou d’effacement à plusieurs responsables du traitement, comme cela semble être le cas en l’espèce, le nombre de réclamations soumises à une autorité de contrôle doit pouvoir être potentiellement identique au nombre de refus que ces responsables du traitement ont opposés à cette personne. En décider autrement, en fixant un seuil au-delà duquel ces réclamations pourraient, uniquement en raison de leur nombre, être qualifiées d’« excessives » par une autorité de contrôle, porterait atteinte aux droits garantis par le RGPD que j’ai précédemment énumérés.

66.

Je relève d’ailleurs que, comme l’indique le considérant 63 du RGPD, ce règlement accorde expressément aux personnes concernées le droit d’accéder aux données à caractère personnel qui ont été collectées à leur sujet et d’exercer ce droit facilement et à des intervalles raisonnables. Cela signifie, à mon avis, que ces personnes peuvent exercer à plusieurs reprises ce droit auprès du même responsable du traitement, sans que le caractère répété d’une demande puisse, en tant que tel, être qualifié d’« excessif ». Dans l’hypothèse où ledit droit serait méconnu par le ou les responsable(s) du traitement saisi(s) à plusieurs reprises, lesdites personnes devraient, selon moi, pouvoir soumettre à une autorité de contrôle plusieurs réclamations visant ce ou ces responsable(s) du traitement au titre de l’article 77, paragraphe 1, du RGPD.

67.

Par ailleurs, je note qu’une disposition analogue à l’article 57, paragraphe 4, de ce règlement figure à l’article 12, paragraphe 5, dudit règlement, qui accorde de manière similaire, cette fois-ci au responsable du traitement lorsqu’il se trouve confronté à des demandes qui sont manifestement infondées ou excessives, la possibilité soit d’exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées, soit de refuser de donner suite à ces demandes ( 22 ).

68.

Dans son arrêt du 26 octobre 2023, FT (Copies du dossier médical) ( 23 ), la Cour a indiqué que l’article 12, paragraphe 5, du RGPD pose le principe selon lequel l’exercice du droit d’accès de la personne concernée à ses données faisant l’objet d’un traitement et aux informations y afférentes n’entraîne aucuns frais pour la personne concernée. Par ailleurs, cette disposition envisage deux raisons pour lesquelles un responsable du traitement peut soit facturer des frais raisonnables tenant compte des coûts administratifs, soit refuser de donner suite à une demande. Selon la Cour, ces raisons ont trait à des cas d’abus de droit ( 24 ). Sur la base de ce constat, la Cour a relevé que, selon la juridiction de renvoi, la demande de la personne concernée n’était pas abusive ( 25 ).

69.

Dans la mesure où l’article 12, paragraphe 5, et l’article 57, paragraphe 4, du RGPD sont rédigés d’une manière analogue et reposent sur la même logique, qui consiste à éviter de faire peser, selon le cas, sur le responsable du traitement ou sur l’autorité de contrôle, une charge disproportionnée de nature à entraver leur bon fonctionnement, je suis d’avis que ces deux dispositions devraient recevoir la même interprétation.

70.

J’en déduis que, afin de recourir à la faculté offerte par l’article 57, paragraphe 4, de ce règlement, l’autorité de contrôle doit établir, au vu de l’ensemble des circonstances pertinentes de chaque cas d’espèce, l’existence d’une démarche abusive de la part de la personne concernée ( 26 ), le nombre de réclamations introduites par celle-ci n’étant pas, à lui seul, suffisant.

71.

De ce point de vue, tant l’article 12, paragraphe 5, du RGPD que l’article 57, paragraphe 4, de ce règlement reflètent la jurisprudence constante de la Cour selon laquelle il existe, dans le droit de l’Union, un principe général de droit en vertu duquel les justiciables ne sauraient frauduleusement ou abusivement se prévaloir des normes de l’Union ( 27 ). Dans le contexte de cette dernière disposition, l’existence d’une démarche abusive peut être constatée lorsqu’une personne introduit des réclamations sans que cela soit objectivement nécessaire à la protection des droits qu’elle tire dudit règlement.

72.

L’article 57, paragraphe 4, du RGPD constitue ainsi une expression du principe de proportionnalité : si les autorités de contrôle sont, en principe, tenues d’examiner chaque réclamation avec toute la diligence requise, il ne peut leur être imposé une telle charge au-delà de ce qui est nécessaire pour protéger les droits que les personnes concernées tirent de ce règlement. Cette disposition permet, dès lors, à ces autorités de concilier les intérêts du demandeur et ceux d’une bonne administration.

73.

J’ajoute que, comme je l’ai indiqué précédemment, l’article 57, paragraphe 4, du RGPD doit recevoir une interprétation stricte, ce qui signifie qu’il convient de limiter sa mise en œuvre à ce qui est strictement nécessaire afin d’éviter d’entraver le bon fonctionnement des autorités de contrôle, qui constitue l’objectif visé par cette disposition. Or, une telle interprétation stricte me paraît exclure que la seule prise en compte du nombre de réclamations, pour important qu’il soit, suffise à justifier la mise en œuvre de ladite disposition par une autorité de contrôle.

74.

En effet, conformément à l’article 8, paragraphe 3, de la charte des droits fondamentaux, le respect des règles en matière de protection des données à caractère personnel est soumis au contrôle d’une autorité indépendante. Dans ce contexte, les États membres sont tenus, en vertu de l’article 52, paragraphe 4, du RGPD, de veiller à ce que chaque autorité de contrôle dispose des ressources humaines, techniques et financières ainsi que des locaux et de l’infrastructure nécessaires à l’exercice effectif de ses missions et de ses pouvoirs. Il s’ensuit que ces ressources doivent être adaptées à l’utilisation que les personnes concernées font de leur droit d’introduire des réclamations auprès des autorités de contrôle. Il serait paradoxal que, alors même que le législateur de l’Union a souhaité, comme cela ressort de l’article 57, paragraphe 2, de ce règlement, faciliter l’introduction de ces réclamations, ce qui revient à les encourager, il ait, dans le même temps, permis à ces autorités de refuser de donner suite auxdites réclamations lorsqu’elles estiment que leur nombre est trop important.

75.

Ainsi, afin d’établir l’existence de demandes excessives en raison de leur caractère répétitif, il ne suffit pas qu’une autorité de contrôle soit saisie par une personne concernée d’un nombre de réclamations sensiblement supérieur au nombre moyen de réclamations introduites par chaque personne concernée, entraînant ainsi une lourde charge de traitement, supérieure à la moyenne, pour cette autorité. En effet, il incombe aux États membres de fournir aux autorités de contrôle les moyens adaptés au traitement de toutes les réclamations dont elles sont saisies, le cas échéant en augmentant ces moyens en vue de les adapter à l’utilisation que les personnes concernées font de leur droit d’introduire des réclamations au titre de l’article 77, paragraphe 1, du RGPD. Une autorité de contrôle ne saurait, dès lors, tirer argument, au soutien de son refus de donner suite à une réclamation en application de l’article 57, paragraphe 4, de ce règlement, du fait qu’une personne concernée qui introduit un nombre élevé de réclamations mobilise de façon importante les ressources de cette autorité, au détriment du traitement d’autres réclamations soumises par d’autres personnes.

76.

De plus, les réclamations au titre de l’article 77, paragraphe 1, du RGPD jouent un rôle important dans la connaissance que peuvent avoir les autorités de contrôle de violations des droits protégés par ce règlement ( 28 ). Elles sont donc essentielles à la bonne conduite de leur mission consistant à assurer la bonne application dudit règlement. Ces réclamations contribuent, dès lors, de manière importante à garantir un niveau cohérent et élevé de protection des personnes concernées au sein de l’Union ainsi qu’à renforcer et à préciser les droits de ces personnes.

77.

Par conséquent, permettre aux autorités de contrôle de constater le caractère excessif des réclamations au seul motif que leur nombre est important serait, selon moi, de nature à compromettre la réalisation de cet objectif. En effet, comme je l’ai indiqué précédemment, un nombre important de réclamations peut être la conséquence directe d’un nombre important d’absences de réponse ou de refus de la part d’un ou de plusieurs responsable(s) du traitement à des demandes d’accès qui sont formulées par une personne concernée afin de protéger ses droits. En outre, il est difficile de fixer un seuil quantitatif au-delà duquel des réclamations pourraient être qualifiées, en raison de leur nombre, d’« excessives ». À cet égard, une prise en compte isolée du nombre de réclamations pourrait conduire à une atteinte arbitraire à la protection juridique qu’une personne concernée tire du RGPD. C’est pourquoi il convient, à mon avis, de soumettre le constat de l’existence de demandes excessives à la condition que soit démontrée une intention abusive de la part de la personne qui introduit de telles réclamations.

78.

Il découle des éléments qui précèdent que, dans la mesure où le traitement par les autorités de contrôle des réclamations qui leur sont soumises avec toute la diligence requise est la règle, ces autorités ne devraient, selon moi, être autorisées à faire usage de l’article 57, paragraphe 4, du RGPD que dans des cas exceptionnels, et ce d’autant plus que la prise en compte de la charge de travail requise par l’exercice du droit d’introduire des réclamations au titre de l’article 77, paragraphe 1, de ce règlement et de l’intérêt de la personne concernée n’est en principe pas pertinente pour moduler l’exercice de ce droit ( 29 ). Les dérogations à cette obligation de traitement des réclamations par les autorités de contrôle devraient, par conséquent, être interprétées de façon restrictive, de manière à mettre en balance l’intérêt public servi par le traitement des réclamations et l’intérêt servi par le refus de traiter ces dernières ( 30 ).

79.

Sur la base des circonstances propres à chaque cas d’espèce, il incombe donc à l’autorité de contrôle qui est saisie d’un nombre important de réclamations de démontrer que ce nombre se justifie non pas par la volonté de la personne concernée d’obtenir une protection des droits qu’elle tire du RGPD, mais par une finalité autre, sans lien avec cette protection. Il en va ainsi, en particulier, lorsque ces circonstances révèlent que le nombre élevé de réclamations vise à entraver le bon fonctionnement de cette autorité en mobilisant les ressources de celle-ci sans motif légitime.

80.

À cet égard, la multiplication des réclamations peut être un indice de demandes excessives de la part d’une personne concernée lorsqu’il apparaît que ces réclamations ne sont pas objectivement justifiées par des considérations relatives à la protection des droits que cette personne tire du RGPD. Tel peut être le cas, par exemple, si des réclamations visent le même responsable du traitement, ont toutes le même contenu, concernent les mêmes obligations imposées par ce règlement et sont introduites à des intervalles exagérément courts sans qu’un changement dans les circonstances factuelles le justifie, démontrant ainsi une intention de la personne concernée de nuire au bon fonctionnement de l’autorité de contrôle, plutôt que de rechercher la protection des droits que ledit règlement lui confère. Un autre cas de demandes excessives en raison de leur caractère répétitif pourrait concerner la situation dans laquelle une personne introduit un nombre tellement élevé de réclamations auprès d’une autorité de contrôle, en visant une multitude de responsables du traitement avec lesquels elle n’a pas nécessairement de lien, que cet usage démesuré de son droit de soumettre des réclamations démontre, en lien avec d’autres éléments tels que le contenu de ces réclamations, son intention de paralyser le fonctionnement de cette autorité en la saturant de demandes.

81.

Sur la base de ces indications, il incombe à la juridiction de renvoi de vérifier si la DSB a pu, à bon droit, constater l’existence de « demandes excessives », au sens de l’article 57, paragraphe 4, du RGPD.

82.

Je rappelle, à cet égard, que les réclamations introduites par F R, qui sont au nombre de 77, font suite à des demandes d’accès ou d’effacement faites par cette personne auprès de différents responsables du traitement et qui sont restées pour la plupart sans réponse après un délai d’un mois. À ce constat s’ajoute celui de contacts réguliers de F R par téléphone avec la DSB afin de savoir si certains faits pourraient donner lieu à des réclamations.

83.

Selon la DSB, en introduisant constamment de nouvelles réclamations dont le nombre total est, selon elle, considérable, l’intéressé accaparerait à son avantage, dans une mesure disproportionnée par rapport aux demandeurs qui soumettent moins de réclamations, les ressources limitées en termes de personnel de cette autorité depuis environ un an et demi. De plus, le nombre croissant de réclamations et les conversations téléphoniques entre F R et la DSB laisseraient présager un recours massif à cette autorité à l’avenir. Les 77 réclamations présentées devaient donc être qualifiées de « demandes excessives », au sens de l’article 57, paragraphe 4, du RGPD.

84.

Je doute que cette motivation soit suffisante pour justifier une telle qualification, dans la mesure où elle ne fait pas ressortir l’existence d’une démarche abusive de la part de F R, c’est-à-dire une démarche qui viserait non pas à obtenir la protection des droits que celui-ci tire du RGPD, mais une finalité autre, consistant à perturber le bon fonctionnement de l’autorité de contrôle. De même, les prévisions de cette autorité quant au nombre important de réclamations que F R pourrait introduire dans le futur et le constat de ses ressources limitées en personnel ne me paraissent pas pertinentes.

85.

Il résulte des éléments qui précèdent que l’article 57, paragraphe 4, du RGPD doit, selon moi, être interprété en ce sens que des demandes ne peuvent pas être qualifiées d’« excessives », au sens de cette disposition, uniquement en raison de leur nombre pendant une période donnée, dans la mesure où il appartient également à l’autorité de contrôle de démontrer une intention abusive de la part de la personne qui introduit ces demandes.

86.

Par sa troisième question, la juridiction de renvoi demande, en substance, si l’article 57, paragraphe 4, du RGPD doit être interprété en ce sens que, lorsqu’elle est confrontée à des demandes excessives, l’autorité de contrôle peut librement choisir entre exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser d’y donner suite. En cas de réponse négative, cette juridiction s’interroge sur les critères à prendre en compte par l’autorité de contrôle et, en particulier, sur la question de savoir si cette autorité est tenue d’exiger par priorité le paiement de ces frais, avant de refuser de donner suite à une telle demande.

87.

L’examen du libellé de cette disposition m’amène à constater que les options que constituent, d’une part, le paiement de frais raisonnables basés sur les coûts administratifs et, d’autre part, le refus de donner suite à des demandes excessives sont énumérées de manière successive et séparées par la conjonction de coordination « ou », sans qu’il soit possible de déduire de la formulation retenue un ordre de priorité entre l’une ou l’autre de ces options ( 31 ).

88.

Ainsi, ce libellé, en mettant sur un pied d’égalité les deux options dont dispose l’autorité de contrôle, semble plaider en faveur de l’interprétation selon laquelle cette autorité a, une fois qu’elle a établi le caractère excessif des demandes qui lui sont soumises, la liberté de choisir entre exiger le paiement de frais raisonnables et refuser de donner suite à de telles demandes.

89.

Cela étant, au vu du contexte dans lequel s’inscrit l’article 57, paragraphe 4, du RGPD et des objectifs que poursuit ce règlement, une autorité de contrôle ne saurait exercer ce choix de façon discrétionnaire et non motivée. En effet, compte tenu de l’importance que revêt le droit d’introduire des réclamations au regard de l’objectif visant à garantir un niveau élevé de protection des données à caractère personnel, de la place essentielle que le traitement de ces réclamations occupe parmi les missions qui sont attribuées aux autorités de contrôle et de l’obligation qui incombe à ces autorités de procéder au traitement desdites réclamations avec toute la diligence requise, il incombe auxdites autorités de prendre en compte toutes les circonstances pertinentes et de s’assurer du caractère approprié et proportionné de l’option choisie. Ces éléments d’appréciation doivent figurer dans la motivation de la décision de l’autorité de contrôle saisie.

90.

À cet égard, une autorité de contrôle pourrait estimer approprié, en fonction des circonstances pertinentes et afin de mettre un coup d’arrêt à une pratique abusive qui est susceptible de nuire à son bon fonctionnement, d’exiger le paiement de frais raisonnables basés sur les coûts administratifs de la surcharge de travail engendrée par des réclamations excessives. En effet, la fonction dissuasive de cette option pourrait conduire cette autorité à privilégier celle-ci plutôt que de refuser d’emblée de donner suite à ces réclamations.

91.

J’ajoute que le principe de proportionnalité ainsi que l’objectif visant à assurer un niveau élevé de protection des données à caractère personnel devraient également inciter les autorités de contrôle à envisager le paiement de frais raisonnables basés sur les coûts administratifs avant de refuser de donner suite à des réclamations, dans la mesure où il s’agit d’une mesure qui porte une atteinte moindre aux droits que les personnes concernées tirent du RGPD.

92.

Cependant, l’article 57, paragraphe 4, du RGPD ne me paraît pas pouvoir être interprété comme allant jusqu’à obliger dans tous les cas une autorité de contrôle à appliquer en priorité l’option consistant à exiger le paiement de frais raisonnables.

93.

Par conséquent, je suis d’avis que l’article 57, paragraphe 4, du RGPD doit être interprété en ce sens que, lorsqu’elle est confrontée à des demandes excessives, une autorité de contrôle peut choisir, par une décision motivée, entre exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser d’y donner suite, en tenant compte de l’ensemble des circonstances pertinentes et en s’assurant du caractère approprié et proportionné de l’option choisie, sans qu’il existe un rapport de priorité entre ces deux options.

94.

Eu égard à l’ensemble des considérations qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par le Verwaltungsgerichtshof (Cour administrative, Autriche) de la manière suivante :

L’article 57, paragraphe 4, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :