Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CJUE, n° C-416_RES/23, Arrêt de la Cour, Österreichische Datenschutzbehörde contre F R et Bundesministerin für Justiz, 9 janvier 2025
CJUE, Arrêt 9 janvier 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Droit d'accès aux données personnelles

    La Cour a estimé que la notion de 'demande' inclut les réclamations et que l'autorité de contrôle doit traiter ces réclamations, sauf preuve d'une intention abusive de la part de la personne concernée.

  • Accepté
    Critères de qualification d'une demande comme excessive

    La Cour a précisé que le nombre de réclamations ne suffit pas à qualifier une demande d'excessive, et qu'il faut démontrer une intention abusive de la part de la personne concernée.

Résumé par Doctrine IA

Dans l'affaire C-416/23, la Cour de justice de l'Union européenne a été saisie d'une demande préjudicielle concernant l'interprétation du Règlement (UE) 2016/679 sur la protection des données. La question principale portait sur la définition des "demandes excessives" et les critères permettant aux autorités de contrôle de refuser de donner suite à de telles demandes ou d'exiger des frais. La Cour a conclu que la notion de "demande" inclut les réclamations et que les demandes ne peuvent être considérées comme excessives que si une intention abusive est démontrée. Elle a également précisé que les autorités de contrôle ont la liberté de choisir entre exiger des frais ou refuser les demandes excessives, tout en devant justifier leur décision.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CJUE, Cour, 9 janv. 2025, C-416_RES/23
Numéro(s) : C-416_RES/23
Arrêt de la Cour (première chambre) du 9 janvier 2025.#Österreichische Datenschutzbehörde contre F R et Bundesministerin für Justiz.#Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 57, paragraphe 1, sous f), et paragraphe 4 – Missions de l’autorité de contrôle – Notions de “demande” et de “demandes excessives” – Exigence de paiement de frais raisonnables ou refus de donner suite aux demandes en cas de demandes manifestement infondées ou excessives – Critères susceptibles de guider le choix de l’autorité de contrôle – Article 77, paragraphe 1 – Notion de “réclamation”.#Affaire C-416/23.
Identifiant CELEX : 62023CJ0416_RES
Identifiant européen : ECLI:EU:C:2025:3
Télécharger le PDF original fourni par la juridiction

Texte intégral

Affaire C-416/23

Österreichische Datenschutzbehörde

contre

F R

(demande de décision préjudicielle, introduite par le Verwaltungsgerichtshof)

Arrêt de la Cour(première chambre) du 9 janvier 2025

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 57, paragraphe 1, sous f), et paragraphe 4 – Missions de l’autorité de contrôle – Notions de “demande” et de “demandes excessives” – Exigence de paiement de frais raisonnables ou refus de donner suite aux demandes en cas de demandes manifestement infondées ou excessives – Critères susceptibles de guider le choix de l’autorité de contrôle – Article 77, paragraphe 1 – Notion de “réclamation” »

  1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Autorités nationales de contrôle – Missions – Traitement des demandes introduites par la personne concernée – Notion de demande – Réclamation susceptible d’être soumise à l’autorité de contrôle – Inclusion

    (Règlement du Parlement européen et du Conseil 2016/679, considérants 10 et 11 et art. 57 et 77, § 1)

    (voir points 29-41, disp. 1)

  2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Autorités nationales de contrôle – Missions – Traitement des demandes introduites par la personne concernée – Notion de demande excessive – Critères – Existence d’une intention abusive de la part de la personne concernée

    (Règlement du Parlement européen et du Conseil 2016/679, considérants 10 et 11 et art. 52, § 4, 57, § 4, et 77, § 1)

    (voir points 43, 44, 48-57, 59, disp. 2)

  3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Autorités nationales de contrôle – Missions – Traitement des demandes introduites par la personne concernée – Demandes manifestement infondées ou excessives – Liberté d’une autorité de contrôle de choisir entre l’exigence de paiement de frais raisonnables et le refus de donner suite auxdites demandes – Critères

    (Règlement du Parlement européen et du Conseil 2016/679, considérants 10, 11, 59 et 129 et art. 57, § 4)

    (voir points 61-70, disp. 3)

Résumé

Saisie à titre préjudiciel par le Verwaltungsgerichtshof (Cour administrative, Autriche), la Cour se prononce sur une série de questions inédites portant sur l’interprétation des dispositions du règlement général sur la protection des données (RGPD) ( 1 ) qui visent les missions des autorités de contrôle et leur marge d’appréciation afin de conclure à l’existence de demandes excessives et d’en tirer les conséquences.

En 2020, F R, une personne physique, a introduit une réclamation ( 2 ) auprès de l’Österreichische Datenschutzbehörde (Autorité de la protection des données, Autriche, ci-après la « DSB ») pour violation prétendument imputable à une société concernant le droit d’accès aux données à caractère personnel de cette personne physique ( 3 ). Cette autorité a refusé de donner suite à la réclamation de F R en raison de son caractère excessif ( 4 ). Elle a notamment relevé que, pendant un bref intervalle, F R lui avait adressé un nombre élevé de réclamations similaires.

En statuant sur le recours formé par F R, le Bundesverwaltungsgericht (tribunal administratif fédéral, Autriche) a annulé la décision de refus de la DSB. Saisie par la DSB d’un recours en Revision contre l’arrêt de ce tribunal, la juridiction de renvoi a adressé à la Cour trois questions portant sur la notion de « demande », sur la notion de « demande excessive » et sa portée ainsi que sur les conséquences juridiques à tirer en cas de demandes excessives dans le cadre du RGPD ( 5 ).

Appréciation de la Cour

Tout d’abord, s’agissant de la notion de « demande » utilisée à l’article 57, paragraphe 4, du RGPD, la Cour note que, au vu de l’interprétation large à donner à cette notion, elle recouvre une réclamation que la personne concernée est en droit d’introduire auprès d’une autorité de contrôle ( 6 ).

La Cour observe que cette conclusion est corroborée tant par le contexte dans lequel s’inscrit cette disposition que par les objectifs du RGPD.

Dans ce contexte, d’une part, la Cour souligne que, dans la mesure où l’article 57, paragraphe 4, du RGPD prévoit une exception au principe de gratuité des missions accomplies par les autorités de contrôle ( 7 ), il devrait également s’appliquer au traitement des réclamations visées dans le RGPD, d’autant plus que cette tâche constitue une mission essentielle de ces autorités. À l’inverse, l’interprétation selon laquelle la notion de « demande » figurant à cette disposition ne recouvrirait pas les réclamations visées dans le RGPD priverait ladite disposition d’une grande partie de son effet utile et irait à l’encontre de la protection effective des droits garantis par ce règlement.

D’autre part, elle relève que la poursuite de l’objectif d’assurer un niveau cohérent et élevé de protection des personnes physiques au sein de l’Union européenne visé par ce règlement requiert de garantir le bon fonctionnement des autorités de contrôle en évitant que celui-ci soit entravé en raison de l’introduction de réclamations manifestement infondées ou excessives, au sens de l’article 57, paragraphe 4, du RGPD. Cette disposition offre ainsi aux autorités de contrôle la possibilité d’une meilleure gestion de ces réclamations, en allégeant la charge que ces dernières sont susceptibles de faire peser sur elles. À cet égard, lorsqu’une autorité de contrôle se trouve confrontée à des réclamations manifestement infondées ou excessives, la possibilité d’exiger le paiement de frais raisonnables ou de refuser de donner suite à de telles réclamations est de nature à assurer un niveau élevé de protection des données à caractère personnel.

Ensuite, la Cour considère que les demandes adressées par la personne concernée à l’autorité de contrôle ne peuvent être qualifiées d’« excessives », au sens de l’article 57, paragraphe 4, du RGPD, uniquement en raison de leur nombre pendant une période déterminée, l’exercice de la faculté prévue à cette disposition étant subordonné à la démonstration, par cette autorité, de l’existence d’une intention abusive de la part d’une telle personne.

La Cour précise que l’existence d’une intention abusive peut être constatée lorsqu’une personne introduit des réclamations sans que cela soit objectivement nécessaire à la protection des droits qu’elle tire du RGPD.

Dans ce cadre, elle fait également observer que les États membres sont tenus de fournir aux autorités de contrôle les moyens adaptés au traitement de toutes les réclamations dont elles sont saisies, le cas échéant en augmentant ces moyens en vue de les adapter à l’utilisation que les personnes concernées font de leur droit d’introduire des réclamations. En ce sens, une autorité de contrôle ne saurait tirer argument, pour refuser de donner suite à une réclamation, du fait qu’une personne qui introduit un nombre de réclamations sensiblement supérieur au nombre moyen de réclamations introduites par chaque personne concernée mobilise de façon importante les ressources de cette autorité, au détriment du traitement d’autres réclamations soumises par d’autres personnes.

Par ailleurs, la Cour indique que les réclamations introduites en vertu du RGPD contribuent de manière importante à assurer un niveau cohérent et élevé de protection des personnes physiques au sein de l’Union ainsi qu’à renforcer et à préciser les droits de ces personnes. Ainsi, permettre aux autorités de contrôle de constater le caractère excessif de réclamations au seul motif que leur nombre est important serait de nature à compromettre la réalisation de cet objectif. En effet, un nombre important de réclamations peut être la conséquence directe d’un nombre élevé d’absences de réponse ou de refus de faire droit, de la part d’un ou de plusieurs responsables du traitement, à des demandes formulées par une personne afin de protéger ses droits.

La Cour en conclut que, sur la base des circonstances propres à chaque cas d’espèce, il incombe à l’autorité de contrôle de démontrer que le nombre important de réclamations dont elle est saisie s’explique non par la volonté de la personne concernée d’obtenir une protection des droits qu’elle tire du RGPD, mais par une finalité autre, sans lien avec cette protection. Il en va ainsi, en particulier, lorsque ces circonstances révèlent que l’introduction de réclamations vise à entraver le bon fonctionnement de cette autorité en mobilisant ses ressources de manière abusive. Tel peut être le cas, par exemple, lorsqu’une personne introduit un nombre à ce point élevé de réclamations, en visant une multitude de responsables du traitement avec lesquels elle n’a pas nécessairement de lien, que cet usage démesuré de son droit de soumettre des réclamations met en évidence, en lien avec d’autres éléments tels que le contenu de ces réclamations, son intention de paralyser le fonctionnement de cette autorité en la saturant de demandes.

Enfin, la Cour constate que, lorsque l’autorité de contrôle est confrontée à des demandes excessives, elle peut, en vertu de l’article 57, paragraphe 4, du RGPD, choisir, par une décision motivée, entre exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à ces demandes, en tenant compte de l’ensemble des circonstances pertinentes et en s’assurant du caractère approprié, nécessaire et proportionné de l’option choisie.

En effet, cette constatation est corroborée par les termes de l’article 57, paragraphe 4, du RGPD, qui semblent conférer à l’autorité de contrôle la liberté de choisir, en cas d’établissement du caractère abusif des demandes qui lui sont soumises, une des deux options y visées. En outre, un choix en faveur de l’une des deux options peut être fait si, en tout état de cause, l’exercice effectif du droit d’introduire des réclamations est assuré. De plus, compte tenu de l’importance que revêt le droit d’introduire des réclamations au regard de l’objectif visant à garantir un niveau élevé de protection des données à caractère personnel, de la place essentielle que le traitement de ces réclamations occupe parmi les missions qui sont attribuées aux autorités de contrôle et de l’obligation qui incombe à ces autorités de procéder au traitement desdites réclamations avec toute la diligence requise, il appartient auxdites autorités de prendre en compte toutes les circonstances pertinentes et de s’assurer du caractère approprié, nécessaire et proportionné de l’option choisie.

( 1 ) Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).

( 2 ) En vertu de l’article 77, paragraphe 1, du RGPD.

( 3 ) Droit visé à l’article 15 du RPGD.

( 4 ) Refus fondé sur l’article 57, paragraphe 4, du RGPD qui prévoit que « [l]orsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l’autorité de contrôle peut exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à la demande. Il incombe à l’autorité de contrôle de démontrer le caractère manifestement infondé ou excessif de la demande ».

( 5 ) Article 57, paragraphe 4, et article 77, paragraphe 1, du RGPD.

( 6 ) La référence est faite à la notion de « réclamation » employée à l’article 57, paragraphe 1, sous f), et à l’article 77, paragraphe 1, du RGPD.

( 7 ) Principe énoncé à l’article 57, paragraphe 3, du RGPD.

Décisions similaires

Citées dans les mêmes commentaires3

  • Électricité ·
  • Recette ·
  • Énergie ·
  • Producteur ·
  • Etats membres ·
  • Marché intérieur ·
  • Réglementation nationale ·
  • Houille ·
  • Prix ·
  • Directive
  • Rapprochement des législations ·
  • Libre prestation des services ·
  • Liberté d'établissement ·
  • Spécification technique ·
  • Directive ·
  • Pouvoir adjudicateur ·
  • Marchés publics ·
  • Référence ·
  • Opérateur ·
  • Concurrence ·
  • Public ·
  • Pouvoir ·
  • Norme nationale
7 commentaires
  • Spécification technique ·
  • Directive ·
  • Marchés publics ·
  • Pouvoir adjudicateur ·
  • Référence ·
  • Rapprochement des législations ·
  • Parlement européen ·
  • Parlement ·
  • Concurrence ·
  • Mentions

Citant les mêmes articles de loi3

  • Tva ·
  • Livraison ·
  • Directive ·
  • Prestation ·
  • Remboursement ·
  • Service ·
  • Biens ·
  • Acheteur ·
  • Gestion ·
  • Exonérations
  • Tva ·
  • Prestation ·
  • Acheteur ·
  • Service ·
  • Exportation ·
  • Gestion ·
  • Livraison ·
  • Remboursement ·
  • Directive ·
  • Exonérations
  • Taxe sur la valeur ajoutée ·
  • Fiscalité ·
  • Tva ·
  • Droit à déduction ·
  • Directive ·
  • Imposition ·
  • Pandémie ·
  • Enregistrement ·
  • Déclaration ·
  • Forclusion ·
  • Jurisprudence ·
  • Neutralité

De référence sur les mêmes thèmes3

  • Sécurité sociale ·
  • Etats membres ·
  • Règlement ·
  • Certificat ·
  • Travailleur ·
  • Entrepreneur ·
  • Document ·
  • Législation ·
  • Conciliation ·
  • Juridiction
1 commentaire
  • Directive ·
  • Cour suprême ·
  • Marchés publics ·
  • Juridiction ·
  • Accord-cadre ·
  • Électricité ·
  • Question ·
  • Contrats ·
  • Charte ·
  • Renvoi
5 commentaires
  • Recette ·
  • Électricité ·
  • Producteur ·
  • Marches ·
  • Etats membres ·
  • Réglementation nationale ·
  • Directive ·
  • Prix ·
  • Énergie renouvelable ·
  • Investissement
1 commentaire

Sur les mêmes thèmes3

  • Logement ·
  • Directive ·
  • Zone d'habitation ·
  • Immigré ·
  • Discrimination ·
  • Pays ·
  • Critère ·
  • Descendant ·
  • Danemark ·
  • Origine
18 commentaires
  • Directive ·
  • Discrimination ·
  • Zone d'habitation ·
  • Égalité de traitement ·
  • Immigré ·
  • Logement ·
  • Origine ·
  • Groupe ethnique ·
  • Pays ·
  • Danemark
  • Libre circulation des capitaux ·
  • Non-discrimination ·
  • Droits de timbre ·
  • Etats membres ·
  • Portugal ·
  • Tribunal arbitral ·
  • Capital ·
  • Trésorerie ·
  • Sentence ·
  • Exonérations ·
  • Centre d'arbitrage ·
  • Restriction
1 commentaire

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CJUE, n° C-416_RES/23, Arrêt de la Cour, Österreichische Datenschutzbehörde contre F R et Bundesministerin für Justiz, 9 janvier 2025
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CJUE, Cour, 9 janv. 2025, C-416_RES/23
Contactez notre service commercial au 01 84 80 33 48