Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MACIEJ SZPUNAR

présentées le 18 septembre 2025 (1)

Affaire C-526/24

Brillen Rottler GmbH & Co. KG

contre

TC

[demande de décision préjudicielle formée par l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg, Allemagne)]

« Renvoi préjudiciel – Règlement (UE) 2016/679 – Protection des données à caractère personnel – Demande d’accès de la personne concernée aux données à caractère personnel la concernant – Droit du responsable du traitement de refuser de donner suite à la demande – Caractère excessif de la demande – Abus de droit – Droit à réparation – Fait générateur du dommage »

I. Introduction

1. Lorsque l’ordre juridique confère à un particulier un droit subjectif, l’exercice de ce droit doit, par principe, être considéré comme licite. Toutefois, si la manière selon laquelle ce droit est exercé n’est pas conciliable avec les objectifs de la disposition le consacrant, des limites peuvent être imposées par l’ordre juridique, notamment, à travers le mécanisme de l’abus de droit (2).

2. Dans ce même ordre d’idées, il existe, dans le droit de l’Union, un principe général de droit selon lequel les justiciables ne sauraient frauduleusement ou abusivement se prévaloir des normes du droit de l’Union, qui s’applique également dans des relations de droit privé (3).

3. La présente affaire porte sur une expression spécifique de ce principe en droit dérivé et, plus particulièrement, dans le cadre du private enforcement du règlement (UE) 2016/679 (4) (ci-après le « RGPD »). La Cour est invitée à préciser, notamment, les limites à l’exercice du droit d’accès et du droit à réparation qu’une personne concernée invoque, de manière prétendument abusive, à l’égard d’une entreprise de droit privé en tant que responsable du traitement.

II. Le droit de l’Union : le RGPD

4. Les considérants 10, 11, 60, 63, 141 et 146 du RGPD énoncent :

« (10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. […]

(11) Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel […]

[…]

(60) Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. […]

[…]

(63) Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. […] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. […]

[…]

(141) Toute personne concernée devrait avoir le droit d’introduire une réclamation auprès d’une seule autorité de contrôle, en particulier dans l’État membre où elle a sa résidence habituelle, et disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la [charte des droits fondamentaux de l’Union européenne] si elle estime que les droits que lui confère le présent règlement sont violés […]

[…]

(146) Le responsable du traitement ou le sous-traitant devrait réparer tout dommage qu’une personne peut subir du fait d’un traitement effectué en violation du présent règlement. Le responsable du traitement ou le sous-traitant devrait être exonéré de sa responsabilité s’il prouve que le dommage ne lui est nullement imputable. La notion de “dommage” devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du présent règlement. […] Les personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi. […] »

5. L’article 4, point 2, de ce règlement définit la notion de « traitement » comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

6. L’article 12 dudit règlement, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », prévoit, à ses paragraphes 1 et 5 :

« 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée […].

[…]

5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :

a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou

b) refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

[…] »

7. L’article 15 du même règlement, intitulé « Droit d’accès de la personne concernée », dispose, à son paragraphe 1 :

« La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel […] »

8. L’article 57 du RGPD, intitulé « Missions », dispose, à son paragraphe 4 :

« Lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l’autorité de contrôle peut exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à la demande. Il incombe à l’autorité de contrôle de démontrer le caractère manifestement infondé ou excessif de la demande. »

9. L’article 79 de ce règlement, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », prévoit, à son paragraphe 1 :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. […] »

10. L’article 80 dudit règlement, intitulé « Représentation des personnes concernées », prévoit, à son paragraphe 2 :

« Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du fait du traitement. »

11. L’article 82 du même règlement, intitulé « Droit à réparation et responsabilité », dispose, à ses paragraphes 1 à 3 :

« 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable. »

III. Le litige au principal, les questions préjudicielles et la procédure devant la Cour

12. Au mois de mars 2023, TC, le défendeur au principal, un particulier vivant à Vienne (Autriche), s’est abonné au bulletin d’information de Brillen Rottler GmbH & Co. KG (ci-après « Brillen Rottler »), une entreprise familiale d’optique établie à Arnsberg (Allemagne). Il a renseigné ses données à caractère personnel dans le formulaire d’inscription figurant sur le site Internet de l’entreprise et a consenti au traitement de ces données. Treize jours plus tard, le défendeur au principal a adressé à Brillen Rottler une demande d’accès au titre de l’article 15 du RGPD.

13. Brillen Rottler a rejeté cette demande dans les délais, la considérant abusive aux termes de l’article 12, paragraphe 5, deuxième phrase, du RGPD, et a sommé le défendeur au principal d’y renoncer définitivement. Celui-ci a maintenu sa demande d’accès et y a joint une demande de réparation, au titre de l’article 82 de ce règlement, s’élevant à un montant de 1 000 euros.

14. Brillen Rottler a saisi la juridiction de renvoi d’une demande visant à constater que le défendeur au principal n’était pas en droit de réclamer une indemnité. Elle a fait valoir qu’il ressortait de divers reportages en ligne et articles de blogs d’avocats que le défendeur au principal introduisait systématiquement et abusivement des demandes d’accès dans le seul but d’obtenir des indemnités en invoquant une violation du RGPD qu’il provoquait délibérément selon le même modus operandi : s’inscrire à un bulletin d’information, introduire tout d’abord une demande d’accès, puis une demande de réparation.

15. Le 25 septembre 2023, le défendeur a introduit une demande reconventionnelle devant la juridiction de renvoi visant à condamner Brillen Rottler à lui donner accès aux informations relatives au traitement de ses données et à lui verser une indemnité au titre de l’article 82 du RGPD pour le dommage moral subi. Il a fait valoir que le droit d’accès que lui confère l’article 15 de ce règlement peut être exercé de manière inconditionnelle et qu’il séjournait régulièrement en Allemagne, de sorte qu’il avait un intérêt légitime à s’inscrire au bulletin d’information de Brillen Rottler.

16. La juridiction de renvoi considère que, eu égard au principe de transparence du traitement des données à caractère personnel, une limitation du droit d’accès dans le cas d’une première demande devrait demeurer exceptionnelle et que le fait que l’intention du demandeur soit de pouvoir ensuite obtenir réparation du dommage ne saurait être un motif de refus suffisant. Selon cette juridiction, compte tenu du risque que le responsable du traitement puisse abuser de cette possibilité de refus, le recours à des informations publiques démontrant que la personne concernée est l’auteur de nombreuses demandes ne saurait suffire, en soi, à justifier le rejet de la demande d’accès.

17. S’agissant du droit à réparation, la juridiction de renvoi estime que toute violation du RGPD par le responsable du traitement est susceptible de donner un droit à réparation, même en l’absence d’un traitement de données. La personne concernée serait donc susceptible de tirer également un droit à réparation, au titre de l’article 82, paragraphe 1, du RGPD, de la violation de son droit d’accès.

18. C’est dans ce contexte que l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg, Allemagne) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) L’article 12, paragraphe 5, deuxième phrase, du [RGPD] doit-il être interprété en ce sens que la première demande d’accès adressée par la personne concernée au responsable du traitement ne saurait être excessive ?

2) L’article 12, paragraphe 5, deuxième phrase, du [RGPD] doit-il être interprété en ce sens que le responsable du traitement peut rejeter la demande d’accès de la personne concernée lorsque celle-ci l’a introduite pour pouvoir ensuite obtenir réparation du responsable du traitement ?

3) L’article 12, paragraphe 5, deuxième phrase, du [RGPD] doit-il être interprété en ce sens que le rejet de la demande d’accès est justifié s’il existe des informations sur la personne concernée qui sont accessibles au public et dont il ressort que, en présence d’une violation du droit de la protection des données, la personne concernée exerce dans de nombreux cas son droit à réparation à l’encontre du responsable du traitement ?

4) L’article 4, point 2, du [RGPD] doit-il être interprété en ce sens que la demande d’accès adressée par la personne concernée au responsable du traitement au titre de l’article 15, paragraphe 1, de ce règlement et/ou la réponse à cette demande constituent un “traitement” au sens de l’article 4, point 2, dudit règlement ?

5) L’article 82, paragraphe 1, du [RGPD], lu à la lumière du considérant 146, première phrase, de ce règlement, doit-il être interprété en ce sens que seuls sont susceptibles de donner lieu à réparation les dommages subis par la personne concernée du fait d’un traitement ? Cela signifie-t-il que le droit à réparation prévu à l’article 82, paragraphe 1, dudit règlement est subordonné à la condition que les données à caractère personnel de la personne concernée fassent l’objet d’un traitement (à supposer que la personne concernée subisse un dommage du fait de ce traitement) ?

6) En cas de réponse affirmative à la cinquième question : s’ensuit-il que l’article 82, paragraphe 1, du [RGPD] ne confère à la personne concernée aucun droit à réparation du fait de la seule violation du droit d’accès prévu à l’article 15, paragraphe 1, de ce règlement (à supposer que la personne concernée subisse un dommage du fait de cette violation) ?

7) L’article 82, paragraphe 1, du [RGPD] doit-il être interprété en ce sens que, en vertu du droit de l’Union, le fait que la personne concernée ait provoqué le traitement de ses données à caractère personnel uniquement ou notamment aux fins d’exercer son droit à réparation ne peut pas être invoqué par le responsable du traitement pour s’opposer à la demande d’accès de la personne concernée au titre de l’abus de droit ?

8) En cas de réponse négative aux cinquième et sixième questions : la personne concernée subit-elle un dommage moral, au sens de l’article 82, paragraphe 1, du [RGPD], du seul fait de la perte de contrôle sur ses données à caractère personnel par suite de la violation de l’article 15, paragraphe 1, de ce règlement et/ou de l’incertitude quant au point de savoir si ses données à caractère personnel ont fait l’objet d’un traitement, ou le dommage n’est-il caractérisé que si elle subit une restriction (objective ou subjective) et/ou un préjudice (sensible) supplémentaires ? »

19. Brillen Rottler, le défendeur au principal ainsi que la Commission européenne ont présenté des observations écrites et ont participé à l’audience qui s’est tenue le 5 juin 2025.

20. Conformément à la demande de la Cour, les présentes conclusions se concentreront sur l’analyse des première à septième questions préjudicielles.

IV. Analyse

A. Sur les première, deuxième, troisième et septième questions préjudicielles

1. Sur la reformulation des questions

21. Par ses première, deuxième et troisième questions, qui peuvent, selon moi, être traitées ensemble, la juridiction de renvoi souhaite savoir, en substance, si une première demande d’accès peut être qualifiée d’« excessive », au sens de l’article 12, paragraphe 5, deuxième phrase, du RGPD, lorsque la personne concernée l’a introduite pour pouvoir ensuite obtenir réparation du responsable du traitement et qu’il ressort d’informations accessibles au public que, en présence d’une violation du droit de la protection des données, la personne concernée a exercé dans de nombreux cas son droit à réparation à l’encontre d’un responsable du traitement.

22. Par sa septième question, cette juridiction demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le fait que la personne concernée ait provoqué le traitement de ses données à caractère personnel uniquement ou notamment aux fins d’exercer son droit à réparation ne peut pas être invoqué par le responsable du traitement pour s’opposer à la demande d’accès de la personne concernée au titre de l’abus de droit.

23. Bien que cette question vise formellement l’interprétation de l’article 82, paragraphe 1, du RGPD, je suis d’avis qu’elle n’a pas pour objet d’interpréter les conditions du droit à réparation, consacré à cette disposition. En effet, elle ne fait référence à aucune de ces conditions, à la différence des quatrième, cinquième, sixième et huitième questions préjudicielles qui portent précisément sur ladite disposition. Telle que formulée, la septième question préjudicielle vise, selon moi, à clarifier si un responsable de traitement peut invoquer le caractère excessif d’une demande d’accès, au sens de l’article 12, paragraphe 5, deuxième phrase, de ce règlement, lorsque l’intention de la personne concernée est de « provoquer » le traitement de ses données afin de faire valoir des demandes de réparation.

24. Par conséquent, il y a lieu de considérer que, par la septième question, la juridiction de renvoi vise le « mode opératoire » allégué par Brillen Rottler à l’encontre du défendeur au principal, à savoir le fait de donner son consentement au traitement de ses données en s’inscrivant à un bulletin d’information pour pouvoir introduire une demande d’accès et faire ensuite une demande de réparation. Sous cet angle, cette question concerne l’interprétation de l’article 12, paragraphe 5, deuxième phrase, du RGPD, visée par les première, deuxième et troisième questions préjudicielles.

25. Partant, je propose de traiter les première, deuxième, troisième et septième questions préjudicielles ensemble comme visant à déterminer si l’article 12, paragraphe 5, deuxième phrase, du RGPD doit être interprété en ce sens qu’une première demande d’accès, introduite au titre de l’article 15 de ce règlement auprès d’un responsable du traitement, peut être qualifiée d’« excessive » lorsque :

– la personne concernée a donné son consentement au traitement de ses données pour pouvoir introduire cette demande d’accès et faire ensuite une demande de réparation ;

– il ressort d’informations accessibles au public que, en présence d’une violation du droit de la protection des données, la personne concernée a exercé dans de nombreux cas son droit à réparation à l’encontre d’un responsable du traitement.

2. Analyse

a) Sur le caractère excessif d’une première demande d’accès

26. En vertu de l’article 12, paragraphe 5, première phrase, du RGPD, « [a]ucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34 ». Comme la Cour l’a relevé dans l’arrêt FT (Copies du dossier médical) (5), cette disposition pose le principe selon lequel l’exercice, notamment, du droit d’accès de la personne concernée à ses données faisant l’objet d’un traitement et aux informations y afférentes, au titre de l’article 15 de ce règlement, n’entraîne aucun frais pour la personne concernée.

27. L’article 12, paragraphe 5, deuxième et troisième phrases, du RGPD prévoit ensuite deux raisons pour lesquelles un responsable du traitement peut soit facturer des frais raisonnables tenant compte des coûts administratifs, soit refuser de donner suite à une demande d’accès : lorsqu’il démontre que les demandes de la personne concernée sont « manifestement infondées ou excessives, notamment en raison de leur caractère répétitif ».

28. Il ressort ainsi du libellé de cette disposition que ce n’est pas uniquement en cas de soumission de plusieurs demandes qu’une demande d’accès peut être « excessive », car le caractère répétitif n’est indiqué qu’à titre indicatif.

29. S’il ne saurait donc, à mon sens, être exclu qu’une première demande d’accès puisse être considérée comme excessive, je partage toutefois l’avis de la juridiction de renvoi selon lequel un responsable du traitement ne peut se prévaloir d’un tel caractère excessif qu’à titre exceptionnel.

30. En premier lieu, dans la mesure où la deuxième phrase de l’article 12, paragraphe 5, du RGPD instaure une exception au principe de gratuité de l’exercice du droit d’accès, la faculté pour le responsable du traitement de facturer des frais raisonnables ou de refuser de donner suite à une demande d’accès doit être interprétée, selon un principe général d’interprétation (6), de façon stricte (7).

31. En deuxième lieu, je rappelle l’importance fondamentale que revêt le droit d’accès prévu à l’article 15 du RGPD pour assurer la transparence des modalités de traitement des données à caractère personnel et, partant, l’exercice de nombreux autres droits octroyés aux personnes concernées par ce règlement (8). En outre, l’article 8, paragraphe 2, deuxième phrase de la charte des droits fondamentaux consacre le principe selon lequel « [t]oute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification ». Partant, l’exercice du droit d’accès ne saurait être soumis à des conditions trop strictes (9).

32. En effet, le droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli ») et son droit à la limitation du traitement, qui sont reconnus, respectivement, aux articles 16 à 18 du RGPD, son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 de ce règlement, ainsi que son droit de recours et son droit à réparation, prévus, respectivement, aux articles 79 et 82 dudit règlement (10).

33. En troisième lieu, le caractère exceptionnel de la faculté de facturer des frais raisonnables ou de refuser de donner suite à une demande d’accès au titre de l’article 12, paragraphe 5, deuxième phrase, du RGPD est, à mon avis, conforme à la finalité de ce règlement. Ainsi que l’indiquent ses considérants 10 et 11, ledit règlement a pour finalité d’assurer un niveau cohérent et élevé de protection des personnes physiques au sein de l’Union ainsi que de renforcer et de préciser non seulement les droits des personnes concernées (11), mais aussi les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel.

34. Au vu de ce qui précède, j’estime que les critères pour qualifier une première demande d’accès d’« excessive » doivent être élevés.

b) Sur les circonstances permettant de qualifier une demande d’« excessive »

35. Il ressort de l’arrêt FT (12) que les deux raisons instaurant une exception au principe de gratuité de, notamment, l’exercice du droit d’accès ont trait à des cas d’« abus de droit ».

36. La Cour n’a toutefois pas précisé la portée de cette notion dans cet arrêt. En effet, il était constant dans cette affaire que la demande d’accès introduite par la personne concernée n’était pas abusive (13).

37. L’arrêt FT avait pour toile de fond la demande d’un patient visant à obtenir gratuitement, de la part de son médecin-dentiste, une première copie de son dossier médical en vue d’engager la responsabilité de ce médecin au motif de prétendues erreurs commises lors du traitement médical (14). L’intention tout à fait légitime du patient était donc d’obtenir l’accès à ses données afin d’être en mesure d’exercer, le cas échéant, les droits découlant du contrat de traitement médical en cas d’erreurs médicales. C’est dans ce contexte que la Cour a conclu, sur la base d’une interprétation littérale, contextuelle et téléologique de l’article 12, paragraphe 5, et de l’article 15 du RGPD, à l’absence de nécessité d’invoquer l’un des motifs spécifiques justifiant la demande d’accès mentionnés au considérant 63, première phrase, de ce règlement, à savoir de prendre connaissance du traitement des données et d’en vérifier la licéité (15).

38. Si la personne concernée ne saurait donc être tenue de motiver sa demande d’accès, ceci ne veut pas dire que la prise en compte de son intention est toujours exclue.

39. En effet, dans l’arrêt Österreichische Datenschutzbehörde, la Cour a jugé, en se fondant sur une interprétation littérale, contextuelle et téléologique de l’article 57, paragraphe 4, du RGPD, que le constat de l’existence de réclamations excessives requiert que soit démontrée, au vu de l’ensemble des circonstances pertinentes de chaque cas, une intention abusive de la part de la personne qui saisit l’autorité de contrôle (16).

40. J’observe que l’article 57, paragraphe 4, et l’article 12, paragraphe 5, deuxième phrase, du RGPD ont le même libellé et poursuivent le même objectif, à savoir de prévoir une exception au principe de gratuité, respectivement, des missions accomplies par les autorités de contrôle et de l’exercice, notamment, du droit d’accès par la personne concernée. Par conséquent, j’estime que l’interprétation figurant au point précédent s’applique par analogie à cette dernière disposition (17).

41. Il en résulte que, afin de recourir à la faculté offerte, à l’article 12, paragraphe 5, deuxième phrase, du RGPD, de refuser de donner suite à une demande d’accès excessive – ou, selon le cas, de demander des frais raisonnables –, le responsable du traitement doit démontrer, conformément à la troisième phrase de cette disposition, au vu de l’ensemble des circonstances pertinentes de chaque demande, une intention abusive de la part de la personne concernée.

42. L’abus de droit est un mécanisme qui opère dans les circonstances données du cas d’espèce. Ainsi, il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause en l’espèce, Brillen Rottler a établi le caractère excessif de la demande d’accès introduite par le défendeur au principal (18).

43. En revanche, la tâche interprétative de la Cour consiste à préciser si certaines circonstances relèvent de la notion juridique générique de « caractère excessif ».

44. Concrètement, la juridiction de renvoi demande si une première demande d’accès peut être considérée comme excessive lorsque, d’une part, la personne concernée suit un « mode opératoire » consistant à autoriser le traitement de ses données et à introduire ensuite une demande d’accès uniquement – ou notamment – dans le but de faire valoir des demandes en réparation et lorsque, d’autre part, il ressort d’informations accessibles au public que, en présence d’une violation du droit de la protection des données, la personne concernée a exercé dans de nombreux cas son droit à réparation à l’encontre d’un responsable du traitement.

45. À cet égard, la Cour a relevé, dans l’arrêt Österreichische Datenschutzbehörde, que l’article 57, paragraphe 4, du RGPD reflète la jurisprudence constante sur le principe général de droit en vertu duquel les justiciables ne sauraient frauduleusement ou abusivement se prévaloir des normes de l’Union (19). Cette jurisprudence prévoit un examen en deux étapes qui requiert, pour établir l’existence d’une pratique abusive, la réunion d’un élément objectif et d’un élément subjectif (20). Or, comme j’ai déjà eu l’occasion de l’exposer (21), lorsque le but poursuivi par la réglementation de l’Union apparaît a priori être atteint, il est opportun de commencer l’analyse non pas par l’élément objectif, mais par l’élément subjectif et, donc, de déterminer l’intention de la personne concernée. Étant donné que l’article 15 du RGPD vise à garantir l’accès aux données faisant l’objet d’un traitement et aux informations y afférentes, cet objectif semble, en l’espèce, a priori être atteint dans la mesure où le défendeur au principal a introduit une demande d’accès aux données traitées à la suite de son inscription au bulletin d’information de Brillen Rottler.

46. Dans l’arrêt Österreichische Datenschutzbehörde, la Cour a relevé, afin d’interpréter la notion de « caractère excessif » d’une réclamation, qu’une intention abusive dans l’exercice du droit à réclamation peut être constatée « lorsqu’une personne introduit des réclamations sans que cela soit objectivement nécessaire à la protection des droits qu’elle tire [du RGPD] » (22). Lorsqu’une personne concernée introduit un grand nombre de réclamations devant l’autorité de contrôle, celle-ci doit démontrer que « ce nombre s’explique non par la volonté de la personne concernée d’obtenir une protection des droits qu’elle tire du RGPD, mais par une finalité autre, sans lien avec cette protection » (23).

47. En revenant au droit d’accès et, en premier lieu, à l’intention de la personne concernée de « provoquer » un droit à réparation en introduisant une demande d’accès, je relève, ainsi qu’il ressort du considérant 63 du RGPD, qu’il peut être tout à fait légitime et conforme aux objectifs poursuivis par l’article 15 du RGPD d’introduire, par exemple, une demande d’accès dans l’intention de vérifier si le responsable du traitement a traité les données de manière illicite (24). En outre, ainsi qu’il ressort du point 32 des présentes conclusions, le droit d’accès est nécessaire pour permettre à la personne concernée d’exercer également, le cas échéant, son droit à réparation.

48. En deuxième lieu, je note que la motivation de la septième question préjudicielle, en ce qui concerne l’intention de la personne concernée de « provoquer » un traitement de ses données à caractère personnel uniquement – ou notamment – aux fins d’obtenir une réparation, est très succincte. Cette motivation fait plutôt allusion à l’hypothèse selon laquelle la véritable intention de la personne concernée donnant son consentement à un traitement de ses données serait de « détecter » une violation du RGPD en introduisant une demande d’accès dans le but d’introduire ensuite des demandes en réparation.

49. Eu égard à cette hypothèse, il apparaît, semble-t-il, selon moi, que, en introduisant une demande d’accès après avoir donné son consentement au traitement de ses données, la personne concernée souhaite, en réalité, non pas avoir accès à ces données ou aux informations visées à l’article 15 du RGPD, mais instrumentaliser la configuration – d’emblée favorable aux personnes concernées – des droits et obligations découlant de ce règlement à des fins autres que la protection de ses données.

50. Tel peut être le cas, en particulier, lorsque l’intention de la personne concernée est précisément d’amener le responsable du traitement à refuser la demande d’accès pour exiger de sa part le versement immédiat d’une indemnité, éventuellement sous la menace de l’introduction d’une demande en justice visant à réclamer une réparation. Compte tenu de ces circonstances, une telle intention serait, à mon sens, abusive et ne devrait pas être protégée par le RGPD. Les exemples de cas de recours abusifs cités dans les lignes directrices du Comité européen de la protection des données vont également dans ce sens (25).

51. En troisième lieu, s’agissant de la circonstance selon laquelle il ressort d’informations accessibles au public que, en présence d’une violation du droit de la protection des données, la personne concernée a exercé dans de nombreux cas son droit à réparation à l’encontre d’un responsable du traitement, j’estime qu’elle ne suffit pas, à elle seule, en l’absence d’autres éléments, à démontrer une intention abusive. L’article 82 du RGPD confère précisément le droit de demander la réparation du dommage en présence d’une violation de ce règlement, de sorte que l’exercice de ce droit ne saurait être présumé abusif.

52. J’observe que le seul facteur quantitatif des demandes n’a pas non plus été considéré par la Cour, dans l’arrêt Österreichische Datenschutzbehörde, comme un critère suffisant pour établir un caractère « excessif ». La Cour est parvenue à cette conclusion en procédant à une interprétation de cette notion prenant en compte le contexte spécifique des missions exercées par les autorités de contrôle pour assurer un niveau élevé de protection des données à caractère personnel (26). Les circonstances objectives à prendre en considération ne sont donc, selon moi, pas les mêmes pour les réclamations et les demandes d’accès, ces dernières n’étant pas adressées à l’autorité de contrôle.

53. À cet égard, j’observe que le responsable du traitement doit démontrer une intention abusive en cas de litige devant une juridiction ou en cas de réclamation devant l’autorité de contrôle, c’est-à-dire après qu’il a refusé de donner suite à la demande de la personne concernée. Cependant, c’est au stade de l’introduction de la demande d’accès par la personne concernée que le responsable doit évaluer si l’intention de la personne qui introduit une demande d’accès est, le cas échéant, abusive.

54. Ainsi, afin de démontrer au regard de l’ensemble des circonstances pertinentes de l’espèce l’intention abusive de la personne concernée, le responsable du traitement devrait pouvoir se fonder, en particulier, sur l’objet de la demande d’accès, le temps écoulé entre le consentement au traitement et cette demande, le nombre et la nature des données personnelles visées par ladite demande ainsi que l’activité dans le cadre de laquelle il traite, le cas échéant, ces données (27).

55. Au vu des considérations qui précèdent, je propose de répondre aux première, deuxième, troisième et septième questions préjudicielles que l’article 12, paragraphe 5, deuxième phrase, du RGPD doit être interprété en ce sens que :

– une première demande d’accès, introduite au titre de l’article 15 du RGPD auprès d’un responsable du traitement, peut être qualifiée d’« excessive » lorsque celui-ci démontre, compte tenu de l’ensemble des circonstances pertinentes du cas d’espèce, une intention abusive de la part de la personne concernée, une telle intention pouvant être constatée lorsque cette personne a donné son consentement au traitement de ses données à caractère personnel pour pouvoir introduire cette demande d’accès et faire ensuite une demande de réparation ;

– n’est pas suffisant, pour qualifier d’« excessive » une telle demande, le seul fait qu’il ressort d’informations accessibles au public que, en présence d’une violation du droit à la protection des données, la personne concernée a exercé dans de nombreux cas son droit à réparation à l’encontre d’un responsable du traitement.

B. Sur les quatrième, cinquième et sixième questions préjudicielles

1. Sur l’ordre d’analyse des questions et leur reformulation

56. D’emblée, je souligne que si la juridiction de renvoi devait conclure que la demande d’accès était excessive, au sens de l’article 12, paragraphe 5, deuxième phrase, du RGPD, Brillen Rottler serait effectivement en droit de ne pas donner suite à cette demande. Dans ce cas, l’argument du défendeur au principal tiré d’une violation de l’article 15 du RGPD afin d’obtenir un droit à réparation au titre de l’article 82 de ce règlement ne saurait prospérer.

57. Ceci étant dit, par sa quatrième question, la juridiction de renvoi souhaite savoir si l’article 4, point 2, du RGPD doit être interprété en ce sens que la demande d’accès adressée par la personne concernée au responsable du traitement au titre de l’article 15, paragraphe 1, de ce règlement et/ou la réponse à cette demande constituent un « traitement » au sens de l’article 4, point 2, dudit règlement.

58. Par sa cinquième question, cette juridiction demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que seuls sont susceptibles de donner lieu à réparation les dommages subis par la personne concernée du fait d’un traitement de ses données à caractère personnel. En cas de réponse affirmative, ladite juridiction souhaite savoir, par sa sixième question, si l’article 82, paragraphe 1, de ce règlement ne confère pas à la personne concernée un droit à réparation du dommage subi du seul fait de la violation du droit d’accès prévu à l’article 15, paragraphe 1, dudit règlement.

59. S’agissant de la cinquième question préjudicielle, elle constitue, selon moi, la prémisse des quatrième et sixième questions préjudicielles. En effet, c’est uniquement dans l’hypothèse où la responsabilité du dommage au titre de l’article 82, paragraphe 1, du RGPD est subordonnée à la condition que ce dommage ait été subi « du fait » d’un traitement, tel que défini à l’article 4, point 2, de ce règlement, qu’il importe de clarifier si, en cas de violation du droit d’accès consacré à l’article 15, paragraphe 1, dudit règlement, cette condition est remplie.

60. Partant, je vais tout d’abord analyser la cinquième question préjudicielle et ensuite, le cas échéant, les quatrième et sixième questions préjudicielles ensemble, aux fins de déterminer si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’un dommage subi du fait d’une violation du droit d’accès est « causé par un traitement » des données.

2. Analyse

a) Sur le fait générateur du dommage au sens de l’article 82 du RGPD

61. Aux termes de l’article 82, paragraphe 1, du RGPD, « [t]oute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi » (28).

62. La Cour a itérativement interprété cette disposition en ce sens que la simple violation du RGPD ne suffit pas à conférer un droit à réparation à la personne concernée sur ce fondement, dès lors que ce droit est soumis à la réunion de trois conditions cumulatives, à savoir l’existence d’un « dommage » matériel ou moral, une violation de dispositions de ce règlement et un lien de causalité entre ce dommage et cette violation (29).

63. La juridiction de renvoi éprouve néanmoins des doutes en ce qui concerne le considérant 146 du RGPD qui énonce que le responsable du traitement ou le sous-traitant devrait réparer tout dommage qu’une personne peut subir du fait d’un traitement effectué en violation de ce règlement. Il convient de constater que, comme cela est souvent le cas (30), ce considérant est également reflété dans le texte même dudit règlement, à savoir à l’article 82, paragraphe 2, de celui-ci, qui prévoit, notamment, que tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation de ce même règlement.

64. En outre, le paragraphe 3 de cette disposition prévoit qu’un responsable du traitement, ou un sous-traitant selon le cas, est exonéré de sa responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

65. La lecture de ces dispositions n’est effectivement pas sans poser des difficultés de compréhension s’agissant de leur rapport entre elles et de la portée de l’article 82 du RGPD.

66. Compte tenu du libellé de l’article 82 du RGPD, on pourrait comprendre que, à la différence de ce que prévoit le paragraphe 1 de cet article, toute violation de ce règlement n’ouvre pas un droit à réparation du dommage causé par cette violation, mais que le dommage doit, plus précisément, avoir été causé par un traitement des données contraire à ce règlement, comme l’indique le paragraphe 2 du même article.

67. Cette interprétation me semble être celle donnée par la Cour dans plusieurs arrêts, à commencer par l’arrêt Österreichische Post (Préjudice moral lié au traitement de données personnelles) (31). Toutefois, je précise que, dans les affaires ayant donné lieu à ces arrêts, un traitement des données des personnes concernées avait effectivement eu lieu, de sorte que la question de la nécessité d’un traitement ayant causé le dommage n’était pas pertinente.

68. Or, l’historique, les objectifs et le contexte de l’article 82 du RGPD militent, selon moi, contre une lecture restrictive de la notion de « fait générateur » du dommage comme étant un traitement des données contraire à ce règlement, et non pas toute violation de celui-ci.

69. En premier lieu, je note que la disposition correspondante de la directive 95/46/CE (32), à savoir son article 23, imposait aux États membres de prévoir que toute personne ayant subi un dommage du fait d’un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de cette directive avait le droit d’obtenir du responsable du traitement réparation du préjudice subi.

70. Le législateur de l’Union a ainsi, à l’article 82 du RGPD, d’une part, précisé la nature du préjudice subi (matériel ou moral) et, d’autre part, introduit la responsabilité du sous-traitant, qui ne figurait pas à l’article 23 de la directive 95/46.

71. Or, si l’article 82, paragraphe 1, du RGPD devait être lu dans le sens indiqué au point 66 des présentes conclusions, cela impliquerait que le législateur de l’Union a restreint, par rapport à cette directive, la portée de la responsabilité du dommage dans le RGPD au seul acte illicite consistant en un traitement de données en violation de ce règlement. Or, j’estime que si le législateur avait entendu baisser le niveau de protection des données dans le cadre du private enforcement au titre dudit règlement, cela se reflèterait de manière plus claire dans le texte même de ce dernier.

72. En deuxième lieu, le fait de compromettre le niveau de protection irait à l’encontre de l’objectif du RGPD de renforcer et de préciser les droits des personnes concernées, notamment en renforçant les outils permettant de garantir l’efficacité des dispositions de ce règlement (33).

73. Partant, l’historique et l’objectif de la réglementation dans laquelle s’insère l’article 82 du RGPD plaident, à mon avis, en faveur d’une lecture du paragraphe 2 de cet article non pas comme une limitation du paragraphe 1, mais comme une règle complémentaire. Ainsi, selon moi, un droit à réparation est ouvert si le dommage subi découle soit d’un traitement des données qui viole ce règlement, soit d’une autre violation dudit règlement, à condition que l’existence d’un tel dommage soit démontrée.

74. Cette lecture est également compatible avec la conclusion que la Cour a tirée de la lecture combinée des paragraphes 1 à 3 de l’article 82 du RGPD, à la lumière du contexte dans lequel s’insère cette disposition et des objectifs poursuivis par ce règlement, à savoir que cet article prévoit un régime de responsabilité pour faute dans lequel la charge de la preuve pèse sur le responsable du traitement (34). En effet, dans la mesure où, selon moi, le paragraphe 2 de l’article 82 dudit règlement complète le paragraphe 1, le renvoi à ce paragraphe 2 par le paragraphe 3, qui fait peser la charge de la preuve sur le responsable du traitement, comporte implicitement un renvoi également au paragraphe 1. Ainsi, que le dommage résulte d’une violation du RGPD ou, plus spécifiquement, d’un traitement contraire à ce règlement, les mêmes règles s’appliquent.

75. En troisième lieu, cette conclusion est confortée par le fait que la Cour a interprété de manière plutôt extensive d’autres dispositions du RGPD qui figurent, à l’instar de l’article 82 de ce règlement, dans le chapitre VIII de celui-ci, intitulé « Voies de recours, responsabilité et sanctions », et qui évoquent une violation des droits conférés par ledit règlement « du fait du traitement ». S’agissant de l’article 80, paragraphe 2, du même règlement, qui régit la qualité pour agir par une action représentative indépendamment de tout mandat confié par une personne concernée, la Cour a interprété cette disposition en ce sens qu’il doit être allégué que la violation des droits conférés par le RGPD « intervient à l’occasion » d’un traitement (35).

76. Par ailleurs, l’article 79, paragraphe 1, du RGPD prévoit que chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère ce règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation dudit règlement. Selon la jurisprudence de la Cour, les modalités concrètes d’exercice de cette voie de recours doivent être établies en conformité avec le droit à une protection juridictionnelle effective (36), tel qu’il ressort également du considérant 141 du même règlement. L’objectif de la protection juridictionnelle effective des droits résultant du RGPD milite, selon moi, contre une lecture restrictive des conditions d’exercice dudit recours, dont la violation des droits de la personne concernée « du fait d’un traitement » (37).

77. Au vu des considérations qui précèdent, je propose de répondre à la cinquième question préjudicielle que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que sont susceptibles de donner lieu à réparation les dommages subis par la personne concernée du fait d’une violation de ce règlement, même si ces dommages n’ont pas été causés par un traitement des données à caractère personnel de la personne concernée.

b) Sur la notion de « traitement » aux fins du droit à réparation

78. Compte tenu de ma proposition de réponse à la cinquième question préjudicielle, il n’y a pas lieu de répondre aux quatrième et sixième questions préjudicielles. Toutefois, pour le cas où la Cour ne suivrait pas cette interprétation et considérerait que le dommage doit nécessairement avoir été causé par un traitement des données qui constitue une violation du RGPD, je vais examiner dans quelle mesure la condition visée à la cinquième question préjudicielle (38) serait remplie en cas de violation du droit d’accès dans une situation telle que celle en l’espèce, afin de donner une proposition de réponse à ces deux questions.

79. En premier lieu, je rappelle que l’article 2, paragraphe 1, du RGPD prévoit que ce règlement s’applique au « traitement » de données à caractère personnel. Il est bien établi que cette notion, définie à l’article 4, point 2, dudit règlement comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel », a une portée large (39).

80. En deuxième lieu, eu égard à la portée large de ladite notion, dans la grande majorité des cas, la question de savoir si une violation du RGPD déclenchant la responsabilité, au titre de l’article 82 de celui-ci, résulte d’un traitement de données à caractère personnel ne se pose, selon moi, même pas. Cette conclusion n’est toutefois pas évidente s’agissant de la violation du droit d’accès au titre de l’article 15, paragraphe 1, de ce règlement.

81. Pour rappel, l’article 15, paragraphe 1, du RGPD prévoit que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès à ces données ainsi que les informations énumérées à cette disposition. En outre, le considérant 60 de ce règlement énonce que le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités.

82. Il s’ensuit que l’article 15 du RGPD vise, comme le soutient, en substance, la Commission, à permettre à la personne concernée de s’informer sur le traitement dont ont fait – ou non – l’objet ses données à caractère personnel de la part du responsable du traitement. Dès lors, le fait d’adresser une demande d’accès à ces données au responsable du traitement ne constitue pas un « traitement » relevant de ce règlement, au sens de l’article 4, point 2, de celui-ci.

83. En troisième lieu, je souligne que la présente affaire concerne le refus du responsable du traitement, qui gère le bulletin d’information auquel le défendeur au principal s’est inscrit, de donner suite à la demande d’accès que ce dernier a introduite. Or, afin de répondre (par l’affirmative ou la négative) à une telle demande, le responsable du traitement utilise nécessairement certaines données à caractère personnel du demandeur, à tout le moins une adresse physique ou électronique ou un numéro de téléphone (en cas de réponse par téléphone/télécopie) associés à son nom. L’utilisation de ces données constitue une opération de traitement distincte à laquelle le RGPD est applicable (40).

84. Or, j’estime que ce serait non pas le traitement des données effectué afin de communiquer ce refus qui causerait un dommage, mais le refus injustifié de donner suite à la demande d’accès.

85. Ainsi que le fait valoir à juste titre la Commission, la protection juridique du droit d’accès, qui revêt une importance structurelle dans le système du RGPD, serait donc limitée de manière significative si une telle violation du droit d’accès ne pouvait pas donner lieu à un droit à réparation.

86. Partant, afin de garantir les objectifs poursuivis par le RPGD, énoncés aux points 33 et 72 des présentes conclusions, et de garantir l’effet utile du droit d’accès, je considère que, si elle est impérative, la condition visée à l’article 82, paragraphe 2, de ce règlement, tenant au traitement ayant causé le dommage, doit être interprétée de manière extensive. Une telle solution reviendrait à concevoir une notion large de la causalité, au sens de l’article 82 dudit règlement. Un argument en faveur de cette interprétation est que, dans le contexte des voies de recours, une lecture restrictive des conditions d’exercice de ces recours irait à l’encontre de l’objectif de la protection juridictionnelle effective des droits résultant du RGPD (41).

c) Sur l’existence d’un dommage moral

87. S’agissant de l’interprétation que je propose de donner du terme « fait générateur », je précise qu’elle ne préjuge en rien des autres conditions requises pour faire valoir, en cas de violation de l’article 15 du RGPD, un droit à réparation au titre de l’article 82 de ce règlement. En particulier, une personne concernée par une violation du RGPD est tenue de démontrer que les conséquences négatives qu’elle a subies sont constitutives d’un dommage moral, au sens de l’article 82 de ce règlement, dès lors que la simple violation des dispositions de celui-ci ne suffit pas à conférer un droit à réparation (42).

88. Par ailleurs, la réponse que je propose d’apporter à la cinquième question préjudicielle nécessitera de répondre également à la huitième question préjudicielle, qui porte sur le dommage moral indemnisable du fait de la perte de contrôle sur les données à caractère personnel à la suite de la violation de l’article 15, paragraphe 1, du RGPD ou de l’existence d’une incertitude quant à l’éventuel traitement dont ces données ont fait l’objet.

89. À cet égard, je souhaite observer, bien que la huitième question préjudicielle ne fasse pas l’objet des présentes conclusions, que la Cour a considéré à maintes reprises que la perte de contrôle sur des données à caractère personnel, même pendant un court laps de temps, peut constituer un dommage moral, au sens de l’article 82, paragraphe 1, du RGPD, ouvrant droit à réparation, sous réserve que la personne concernée démontre avoir effectivement subi un tel dommage (43), sans qu’un « seuil de minimis » soit exigé (44).

90. Cependant, la Cour a également jugé que, lorsqu’un préjudice est caractérisé, une juridiction nationale peut, en l’absence de gravité de ce préjudice, le compenser en accordant à la personne concernée une indemnité minime, pour autant que cette indemnité soit de nature à compenser intégralement le préjudice subi (45).

91. En l’espèce, le défendeur au principal demande le versement d’une indemnité de 1 000 euros au titre du dommage moral subi qui, selon lui, découlerait de la prétendue perte de contrôle sur les données à caractère personnel qu’il a saisies dans le formulaire d’inscription au bulletin d’information de Brillen Rottler treize jours avant l’introduction de la demande d’accès. Il appartient à la juridiction de renvoi d’apprécier si le défendeur au principal a démontré que cette éventuelle violation du droit d’accès a eu des conséquences négatives à son égard et que ces conséquences sont constitutives d’un dommage moral, au sens de l’article 82 du RGPD.

V. Conclusion

92. Eu égard à l’ensemble des considérations qui précèdent, je propose à la Cour de répondre comme suit aux première à septième questions préjudicielles posées par l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg, Allemagne) :

1) L’article 12, paragraphe 5, deuxième phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE

doit être interprété en ce sens que :

– une première demande d’accès, introduite au titre de l’article 15 du règlement 2016/679 auprès d’un responsable du traitement, peut être qualifiée d’« excessive » lorsque celui-ci démontre, compte tenu de l’ensemble des circonstances pertinentes du cas d’espèce, une intention abusive de la part de la personne concernée, laquelle peut être constatée lorsque cette personne a donné son consentement au traitement de ses données à caractère personnel pour pouvoir introduire cette demande d’accès et faire ensuite une demande de réparation ;

– n’est pas suffisant, pour qualifier d’« excessive » une telle demande, le seul fait qu’il ressort d’informations accessibles au public que, en présence d’une violation du droit à la protection des données, la personne concernée a exercé dans de nombreux cas son droit à réparation à l’encontre d’un responsable du traitement.

2) L’article 82, paragraphe 1, du règlement 2016/679

doit être interprété en ce sens que :

sont susceptibles de donner lieu à réparation les dommages subis par la personne concernée du fait d’une violation de ce règlement, même si ces dommages n’ont pas été causés par un traitement des données à caractère personnel de la personne concernée.

1 Langue originale : le français.

2 Voir Basedow, J., EU Private Law – Anatomy of a Growing Legal Order, Intersentia, Cambridge, 2021, points 98 et 99.

3 Voir, à titre d’exemple, en matière de contrats de crédit aux consommateurs, arrêt du 21 décembre 2023, BMW Bank e.a. (C-38/21, C-47/21 et C-232/21, EU:C:2023:1014, points 280 à 282 et jurisprudence citée).

4 Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).

5 Arrêt du 26 octobre 2023 (C-307/22, ci-après l’« arrêt FT », EU:C:2023:811, point 31).

6 Voir, en ce sens, arrêt du 30 avril 2025, Generalstaatsanwaltschaft Frankfurt am Main (Exportation d’argent liquide en Russie) (C-246/24, EU:C:2025:295, point 27 et jurisprudence citée).

7 Voir, par analogie, s’agissant de l’article 57, paragraphe 4, du RGPD, arrêt du 9 janvier 2025, Österreichische Datenschutzbehörde (Demandes excessives) (C-416/23, ci-après l’« arrêt Österreichische Datenschutzbehörde », EU:C:2025:3, points 33 et 48).

8 Voir, en ce sens, arrêt du 22 juin 2023, Pankki S (C-579/21, EU:C:2023:501, point 59).

9 Voir, en ce sens, conclusions de l’avocat général Richard de la Tour dans l’affaire Österreichische Datenschutzbehörde (Demandes excessives) (C-416/23, EU:C:2024:701, point 62).

10 Arrêt du 27 février 2025, Dun & Bradstreet Austria e.a. (C-203/22, EU:C:2025:117, point 54 et jurisprudence citée).

11 Voir, en ce sens, arrêt FT (point 47) et arrêt Österreichische Datenschutzbehörde (point 38).

12 Point 31.

13 Points 31 et 32.

14 Points 18 et 23.

15 Arrêt FT (points 35 à 51, en particulier points 38, 43, 50 et 51). La Cour a confirmé cette lecture dans l’ordonnance du 27 mai 2024, Addiko Bank (C-312/23, EU:C:2024:458), portant sur le refus d’une banque de communiquer à ses clients, dont certains envisageant d’introduire une réclamation ou une action en justice contre cette banque, les copies de la documentation de crédit les concernant.

16 Voir, en ce sens, arrêt Österreichische Datenschutzbehörde (point 50).

17 La Cour a déjà appliqué par analogie, au point 48 de l’arrêt Österreichische Datenschutzbehörde, l’interprétation retenue au point 31 de l’arrêt FT.

18 Voir, sur le renvoi au juge national, arrêt du 12 janvier 2023, Österreichische Post (Informations relatives aux destinataires de données personnelles) (C-154/21, EU:C:2023:3, point 50).

19 Arrêt Österreichische Datenschutzbehörde (point 49).

20 Voir, par exemple, dans des affaires en droit privé, arrêts du 21 décembre 2023, BMW Bank e.a. (C-38/21, C-47/21 et C-232/21, EU:C:2023:1014, points 284 et 285 ainsi que jurisprudence citée), et du 19 septembre 2024, Matmut (C-236/23, EU:C:2024:761, point 54).

21 Voir mes conclusions dans l’affaire Matmut (C-236/23, EU:C:2024:560, point 67).

22 Arrêt Österreichische Datenschutzbehörde (point 50).

23 Voir, en ce sens, arrêt Österreichische Datenschutzbehörde (point 56).

24 Voir, notamment, arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF (C-487/21, EU:C:2023:369, points 33 à 35).

25 À savoir, lorsque les personnes concernées font un usage excessif du droit d’accès dans le seul but de causer un préjudice au responsable du traitement ou lorsqu’une personne introduit une demande, mais propose dans le même temps de la retirer en échange d’une forme ou d’une autre de prestation du responsable du traitement ; voir lignes directrices 01/2022 sur les droits des personnes concernées – Droit d’accès, version 2.1, adoptées le 28 mars 2023, https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_fr, points 188 et 190.

26 Voir, en ce sens, arrêt Österreichische Datenschutzbehörde (points 51 à 57).

27 Voir, également, exemples figurant dans les lignes directrices 01/2022 du Comité européen de la protection des données sur les droits des personnes concernées – Droit d’accès, version 2.1, adoptées le 28 mars 2023, https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_fr, points 13, 185, 188 et 190.

28 Mise en italique par mes soins.

29 Voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles) (C-300/21, EU:C:2023:370, points 32 à 34) et, en dernier lieu, arrêt du 4 octobre 2024, Patērētāju tiesību aizsardzības centrs (C-507/23, EU:C:2024:854, point 24).

30 Voir, à cet égard, mes conclusions dans les affaires jointes X et Visser (C-360/15 et C-31/16, EU:C:2017:397, point 132).

31 Au point 36 de l’arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles) (C-300/21, EU:C:2023:370), la Cour a considéré que « […] l’article 82, paragraphe 2, du RGPD, qui précise le régime de responsabilité dont le principe est établi au paragraphe 1 de cet article, reprend les trois conditions nécessaires pour faire naître le droit à réparation, à savoir un traitement de données à caractère personnel effectué en violation des dispositions du RGPD, un dommage ou un préjudice subi par la personne concernée, et un lien de causalité entre ce traitement illicite et ce dommage » (mise en italique par mes soins). Cette lecture a été reprise au point 159 de l’arrêt du 4 octobre 2024, Agentsia po vpisvaniyata (C-200/23, EU:C:2024:827). Voir également arrêt du 21 décembre 2023, Krankenversicherung Nordrhein (C-667/21, EU:C:2023:1022, points 92 à 97), qui ne semble pas distinguer entre la violation du RGPD et le traitement qui constitue une violation de ce règlement.

32 Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

33 Voir, en ce sens, conclusions de l’avocat général Campos Sánchez-Bordona dans l’affaire Österreichische Post (Préjudice moral lié au traitement de données personnelles) (C-300/21, EU:C:2022:756, point 41).

34 Arrêt du 21 décembre 2023, Krankenversicherung Nordrhein (C-667/21, EU:C:2023:1022, points 94 et 95).

35 Voir arrêt du 11 juillet 2024, Meta Platforms Ireland (Action représentative) (C-757/22, EU:C:2024:598, points 40 et 42 ainsi que 59 à 64), dans lequel la Cour a interprété l’exigence d’une violation des droits de la personne concernée « du fait du traitement » à la lumière de la fonction préventive de l’action représentative. Voir également arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles) (C-300/21, EU:C:2023:370, point 39), selon lequel « les articles 77 et 78 du RGPD, contenus [au chapitre VIII], prévoient des voies de recours auprès de ou contre une autorité de contrôle, en cas de violation alléguée de ce règlement […] ».

36 Voir, en dernier lieu, arrêt du 30 avril 2025, Inspektorat kam Visshia sadeben savet (C-313/23, C-316/23 et C-332/23, EU:C:2025:303, point 136 et jurisprudence citée).

37 Voir, en ce sens, Martini, M., « Article 79 », DSGVO BDSG, dans Paal, B. P., et Pauly, D. A. (éd.), 3^e éd., Munich, 2021, point 22a.

38 À savoir la condition que les données à caractère personnel de la personne concernée fassent l’objet d’un traitement.

39 Voir, en dernier lieu, arrêt du 3 avril 2025, Ministerstvo zdravotnictví (Données relatives au représentant d’une personne morale) (C-710/23, EU:C:2025:231, point 27).

40 Comme l’ont relevé à juste titre la juridiction de renvoi et la Commission, le traitement des données personnelles de la personne concernée aux fins de répondre à une demande d’accès introduite en vertu de l’article 15 du RGPD serait licite, au sens de l’article 6, paragraphe 1, sous c), et de l’article 6, paragraphe 3, de ce règlement, que le responsable du traitement ait déjà traité ou non les données de cette personne. Ce traitement est en effet nécessaire, au sens des dispositions précitées, pour respecter une obligation légale à laquelle le responsable du traitement est soumis en vertu du droit de l’Union.

41 Voir, quant à l’article 79 du RGPD, Martini, M., « Article 79 », DSGVO BDSG, dans Paal, B. P., et Pauly, D. A. (éd.), 3^e éd., Munich, 2021, point 22a.

42 Arrêt du 4 octobre 2024, Agentsia po vpisvaniyata (C-200/23, EU:C:2024:827, point 142 et jurisprudence citée).

43 Voir, notamment, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles) (C-300/21, EU:C:2023:370, points 32 à 36) ; du 20 juin 2024, PS (Adresse erronée) (C-590/22, EU:C:2024:536, point 33), et du 4 septembre 2025, Quirin Privatbank (C-655/23, EU:C:2025:655, points 62 et 64).

44 Voir, en ce sens, arrêts du 14 décembre 2023, Gemeinde Ummendorf (C-456/22, EU:C:2023:988, point 18) ; du 20 juin 2024, Scalable Capital (C-182/22 et C-189/22, EU:C:2024:531, point 44), et du 4 octobre 2024, Agentsia po vpisvaniyata (C-200/23, EU:C:2024:827, point 149).

45 Arrêt du 20 juin 2024, Scalable Capital (C-182/22 et C-189/22, EU:C:2024:531, point 46).