–

pour Brillen Rottler GmbH & Co. KG, par Me J. Tröber, Rechtsanwalt,

–

pour TC, par Me P. Brandt, Rechtsanwalt,

–

pour la Commission européenne, par M. A. Bouchagiar, Mme M. Heller et M. H. Kranenborg, en qualité d’agents,

1

La demande de décision préjudicielle porte sur l’interprétation de l’article 4, point 2, de l’article 12, paragraphe 5, et de l’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2

Cette demande a été présentée dans le cadre d’un litige opposant Brillen Rottler GmbH & Co. KG, une entreprise familiale d’optique, à TC, un particulier, au sujet du refus, de la part de cette entreprise, de donner suite à la demande d’accès à ses données à caractère personnel introduite par TC en vertu de l’article 15 du RGPD.

3

Les considérants 4, 10, 11, 63, 85, 141 et 146 du RGPD énoncent :

[…]

[…]

[…]

[…]

4

Aux termes de l’article 4 de ce règlement, intitulé « Définitions » :

« Aux fins du présent règlement, on entend par :

[…]

[…] »

5

L’article 12 dudit règlement, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », prévoit, à ses paragraphes 1, 2 et 5 :

« 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée […]

2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. […]

[…]

5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande. »

6

L’article 15 du même règlement, intitulé « Droit d’accès de la personne concernée », prévoit, à son paragraphe 1 :

« La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :

[…] »

7

L’article 26 du RGPD, intitulé « Responsables conjoints du traitement », dispose, à son paragraphe 1 :

« Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. […] »

8

L’article 30 de ce règlement, intitulé « Registre des activités de traitement », prévoit, à son paragraphe 1 :

« Chaque responsable du traitement et, le cas échéant, le representant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. […] »

9

L’article 57 dudit règlement, intitulé « Missions », dispose, à ses paragraphes 1 et 4 :

« 1. Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire :

[…]

[…]

4. Lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l’autorité de contrôle peut exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à la demande. Il incombe à l’autorité de contrôle de démontrer le caractère manifestement infondé ou excessif de la demande. »

10

L’article 79 du même règlement, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », dispose, à son paragraphe 1 :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

11

L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité », prévoit, à ses paragraphes 1, 2 et 4 :

« 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. […]

[…]

4. Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective. »

12

Au mois de mars 2023, TC, une personne physique résidant en Autriche, s’est abonné au bulletin d’information de Brillen Rottler, une entreprise familiale d’optique établie à Arnsberg (Allemagne), en renseignant ses données à caractère personnel dans le formulaire d’inscription disponible sur le site Internet de cette entreprise et en consentant au traitement de ces données. Treize jours plus tard, TC a adressé à Brillen Rottler une demande d’accès au titre de l’article 15 du RGPD.

13

Brillen Rottler a, dans le délai légal d’un mois, rejeté la demande d’accès, estimant qu’elle était abusive, au sens de l’article 12, paragraphe 5, premier alinéa, seconde phrase, du RGPD. Elle a sommé TC de renoncer définitivement à sa demande.

14

Ce dernier ayant maintenu sa demande d’accès, tout en ajoutant une demande de réparation au titre de l’article 82 du RGPD pour un montant de 1000 euros, Brillen Rottler a saisi l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg, Allemagne), qui est la juridiction de renvoi, d’une demande visant à faire constater que TC n’a droit à aucune réparation.

15

À l’appui de sa demande, Brillen Rottler fait valoir qu’il ressort de divers reportages, articles de blog et bulletins d’avocats que TC introduit systématiquement et abusivement des demandes d’accès à ses données à caractère personnel dans le seul but d’obtenir des indemnités au titre d’une prétendue violation, qu’il provoque délibérément, des droits qu’il tire du RGPD. Le modus operandi de TC consisterait à, tout d’abord, s’inscrire à un bulletin d’information, puis à introduire une demande d’accès et, enfin, à soumettre une demande de réparation.

16

TC soutient devant la juridiction de renvoi que la demande d’accès dont il a saisi Brillen Rottler est légitime, qu’elle est l’expression du droit d’accès que lui confère l’article 15 du RGPD et que cette société cherche à restreindre illicitement les droits qui lui sont conférés par ce règlement. Par une demande reconventionnelle, il conclut à ce que Brillen Rottler soit condamnée à lui verser une indemnité d’au moins 1000 euros en réparation de son dommage moral, subi au titre du refus de cette société de lui donner accès à ses données à caractère personnel.

17

La juridiction de renvoi s’interroge, en premier lieu, sur la question de savoir si une première demande d’accès introduite par la personne concernée peut être considérée comme une « demande excessive », au sens de l’article 12, paragraphe 5, du RGPD et, ainsi, être constitutive d’un abus de droit, et quelles sont les circonstances permettant de constater un tel caractère excessif. Elle se demande, en particulier, si, pour rejeter une demande d’accès sur la base de cette disposition, un responsable du traitement peut se fonder sur des informations publiques révélant l’existence de nombreuses demandes d’accès et de réparation introduites par cette même personne auprès d’autres responsables du traitement.

18

En deuxième lieu, cette juridiction pose la question de savoir si une demande d’accès introduite au titre de l’article 15, paragraphe 1, du RGPD et/ou la réponse à cette demande constituent un « traitement », au sens de l’article 4, point 2, de ce règlement.

19

En troisième lieu, ladite juridiction nourrit des doutes quant aux critères d’identification des dommages susceptibles de réparation au titre de l’article 82, paragraphe 1, du RGPD, et en particulier quant au point de savoir si, même en l’absence d’un traitement, cet article confère un tel droit en vertu de la seule violation du droit d’accès prévu à l’article 15, paragraphe 1, de ce règlement.

20

Dans ces conditions, l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

21

Par ses première à troisième et septième questions, qu’il convient d’examiner ensemble et en premier lieu, la juridiction de renvoi demande, en substance, si l’article 12, paragraphe 5, du RGPD doit être interprété en ce sens qu’une première demande d’accès aux données à caractère personnel introduite par la personne concernée auprès du responsable du traitement au titre de l’article 15 de ce règlement peut être considérée comme étant « excessive », au sens de cet article 12, paragraphe 5, et, si tel est le cas, quelles sont les circonstances qui permettent, le cas échéant, de constater un tel caractère excessif.

22

À cet égard, l’article 15, paragraphe 1, du RGPD garantit le droit de la personne concernée d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, le droit d’accès de cette personne à ces données et aux informations y afférentes [voir, en ce sens, arrêt du 26 octobre 2023, FT (Copies du dossier médical), C-307/22, EU:C:2023:811, point 31].

23

En outre, l’article 12, paragraphe 5, du RGPD pose le principe selon lequel l’exercice de ce droit d’accès n’entraîne aucun frais pour la personne concernée. Cependant, cette dernière disposition envisage deux raisons pour lesquelles un responsable du traitement peut soit facturer des frais raisonnables tenant compte des coûts administratifs, soit refuser de donner suite à une demande d’accès. Ces raisons ont trait à des cas d’abus de droit, dans lesquels les demandes de la personne concernée doivent être regardées comme étant « manifestement infondées » ou « excessives », notamment en raison de leur caractère répétitif [arrêt du 26 octobre 2023, FT (Copies du dossier médical), C-307/22, EU:C:2023:811, point 31].

24

En ce qui concerne, premièrement, la question de savoir si une première demande d’accès introduite par la personne concernée auprès du responsable du traitement au titre de l’article 15 du RGPD peut être considérée comme étant « excessive », il y a lieu de relever que, la notion de « demandes excessives » n’étant pas définie dans ce règlement, il convient, conformément à une jurisprudence constante, afin de l’interpréter, de tenir compte tant des termes de l’article 12, paragraphe 5, dudit règlement selon leur sens habituel dans le langage courant que du contexte de cette disposition et des objectifs poursuivis par la réglementation dont elle fait partie [voir arrêts du 17 novembre 1983, Merck, 292/82, EU:C:1983:335, point 12, et du 9 janvier 2025, Österreichische Datenschutzbehörde (Demandes excessives), C-416/23, EU:C:2025:3, point 24 ainsi que jurisprudence citée].

25

À cet égard, s’agissant du libellé de cet article 12, paragraphe 5, et, en particulier, du sens habituel de la notion de « demandes excessives » dans le langage courant, l’adjectif « excessif » désigne quelque chose qui excède la mesure ordinaire ou raisonnable ou encore qui dépasse la mesure souhaitable ou permise [voir, en ce sens, arrêt du 9 janvier 2025, Österreichische Datenschutzbehörde (Demandes excessives), C-416/23, EU:C:2025:3, point 43]. Le seul emploi de cet adjectif, qui se rapporte à des caractéristiques tant qualitatives que quantitatives, ne permet donc pas d’exclure qu’une première demande d’accès soit excessive.

26

En outre, il ressort, certes, de l’article 12, paragraphe 5, premier alinéa, seconde phrase, du RGPD que des demandes sont susceptibles d’être excessives « notamment en raison de leur caractère répétitif ». La multiplication des demandes introduites par une personne peut donc être un indice de leur caractère excessif [voir, en ce sens, arrêt du 9 janvier 2025, Österreichische Datenschutzbehörde (Demandes excessives), C-416/23, EU:C:2025:3, point 57]. Cependant, comme l’a souligné, en substance, M. l’avocat général au point 28 de ses conclusions, le caractère répétitif n’étant mentionné à cette disposition qu’à titre indicatif, la qualification d’une demande d’accès d’« excessive » ne requiert pas que cette demande s’inscrive nécessairement dans le contexte de la soumission de plusieurs demandes par la même personne concernée.

27

Il ne saurait donc, au regard d’une interprétation littérale de l’article 12, paragraphe 5, du RGPD, être exclu qu’une première demande d’accès puisse être considérée comme étant « excessive », au sens de cette disposition.

28

Cette constatation est corroborée par le contexte dans lequel l’article 12, paragraphe 5, premier alinéa, seconde phrase, du RGPD s’insère. À cet égard, il convient de rappeler que cet article 12, qui figure dans le chapitre III de ce règlement, établissant les droits de la personne concernée, énonce des obligations générales incombant au responsable du traitement en ce qui concerne la transparence des informations et des communications, et fixe les modalités de l’exercice des droits de la personne concernée. En vertu du paragraphe 2, première phrase, dudit article 12, le responsable du traitement doit faciliter l’exercice des droits conférés à la personne concernée au titre, notamment, de l’article 15 dudit règlement, qui complète le cadre de transparence organisé par le même règlement en octroyant à cette personne un droit d’accès à ses données à caractère personnel [voir, en ce sens, arrêt du 9 janvier 2025, Österreichische Datenschutzbehörde (Demandes excessives), C-416/23, EU:C:2025:3, points 45 et 46].

29

Partant, en prévoyant également la possibilité pour les responsables du traitement, lorsqu’ils sont confrontés à des demandes qui sont manifestement infondées ou excessives, d’exiger le paiement de frais raisonnables basés sur les coûts administratifs ou de refuser de donner suite à de telles demandes, cet article 12, paragraphe 5, institue une exception à l’obligation de facilitation notamment du droit d’accès, qui doit être interprétée de façon restrictive [voir, en ce sens, arrêt du 9 janvier 2025, Österreichische Datenschutzbehörde (Demandes excessives), C-416/23, EU:C:2025:3, point 33].

30

Cela étant, il ressort de la jurisprudence de la Cour relative à l’interprétation de la notion de « demandes excessives » figurant à l’article 57, paragraphe 4, du RGPD, qui est transposable à la présente affaire dès lors que cette disposition est libellée en des termes en substance analogues à ceux de l’article 12, paragraphe 5, de ce règlement et poursuit le même objectif que ce dernier article, que celui-ci constitue une expression du principe général de droit de l’Union en vertu duquel les justiciables ne sauraient frauduleusement ou abusivement se prévaloir des normes de l’Union [voir, en ce sens, arrêt du 9 janvier 2025, Österreichische Datenschutzbehörde (Demandes excessives), C-416/23, EU:C:2025:3, point 49]. En effet, l’application de la réglementation de l’Union ne saurait être étendue jusqu’à couvrir les opérations qui sont réalisées dans un tel but abusif (voir, en ce sens, arrêt du 19 septembre 2024, Matmut, C-236/23, EU:C:2024:761, point 52 et jurisprudence citée).

31

Ainsi, le nombre de demandes d’accès introduites par la personne concernée auprès du responsable du traitement ne détermine pas, à lui seul, le droit de ce dernier de recourir à la faculté de ne pas donner suite à une demande, qui lui est offerte par l’article 12, paragraphe 5, du RGPD, de sorte que ce responsable du traitement peut y recourir même dans le cas d’une première demande d’accès, lorsqu’il démontre, au vu de l’ensemble des circonstances pertinentes de chaque cas, l’existence d’une intention abusive de la part de cette personne [voir, en ce sens, arrêt du 9 janvier 2025, Österreichische Datenschutzbehörde (Demandes excessives), C-416/23, EU:C:2025:3, point 50].

32

Cette interprétation contextuelle est conforme aux objectifs poursuivis par le RGPD. À cet égard, il y a lieu de relever que ce règlement a pour finalité, ainsi que l’indiquent ses considérants 10 et 11, d’assurer un niveau cohérent et élevé de protection des personnes physiques au sein de l’Union ainsi que de renforcer et de préciser les droits des personnes concernées. Ainsi, les obligations du responsable du traitement prévues à l’article 12 dudit règlement, relatives notamment à la communication au titre de l’article 15 de ce même règlement, sont conçues comme un mécanisme apte à sauvegarder de manière efficace les droits et les intérêts des personnes concernées [voir, en ce sens, arrêt du 9 janvier 2025, Österreichische Datenschutzbehörde (Demandes excessives), C-416/23, EU:C:2025:3, points 38 et 39 ainsi que jurisprudence citée].

33

Cependant, le considérant 4 du RGPD énonce que le droit à la protection des données à caractère personnel n’est pas un droit absolu puisqu’il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. En outre, la Cour a déjà souligné que les mécanismes permettant de trouver un juste équilibre entre les différents droits et intérêts en présence sont inscrits dans le RGPD lui-même (arrêt du 21 décembre 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, point 54 et jurisprudence citée).

34

Dès lors, afin d’assurer la mise en œuvre de ce juste équilibre par la voie de cette dérogation, ainsi que l’effet utile de celle-ci, le critère pertinent quant à la constatation d’un tel comportement abusif est le caractère excessif de la demande d’accès évalué du point de vue qualitatif, conformément au point 26 du présent arrêt, qui ne saurait dépendre du seul nombre de demandes d’accès introduites par la personne concernée et donc du fait qu’il s’agisse d’une première demande émanant de cette dernière.

35

Il s’ensuit qu’une première demande d’accès auprès du responsable du traitement au titre de l’article 15 du RGPD peut être considérée comme étant « excessive », au sens de l’article 12, paragraphe 5, de ce règlement. Cela étant, la notion des « demandes excessives » devant être interprétée de manière restrictive, ainsi qu’il ressort du point 29 du présent arrêt, un responsable du traitement ne peut se prévaloir d’un tel caractère excessif qu’à titre exceptionnel et, ainsi que l’a indiqué M. l’avocat général au point 34 de ses conclusions, les critères pour qualifier une première demande d’accès d’« excessive » doivent être élevés. Il importe également de souligner qu’il ressort explicitement de l’article 12, paragraphe 5, second alinéa, du RGPD qu’il incombe au responsable du traitement de démontrer ce caractère excessif.

36

Deuxièmement, s’agissant des circonstances dans lesquelles la première demande d’accès de la personne concernée peut être qualifiée d’« excessive », au sens de l’article 12, paragraphe 5, du RGPD, et être donc constitutive d’un abus de droit au sens de la jurisprudence citée aux points 23 et 30 du présent arrêt, il y a lieu de relever que la preuve d’une pratique abusive nécessite, d’une part, un ensemble de circonstances objectives dont il résulte que, malgré un respect formel des conditions prévues par la réglementation de l’Union, l’objectif poursuivi par cette réglementation n’a pas été atteint et, d’autre part, un élément subjectif consistant en la volonté de la personne concernée d’obtenir un avantage résultant de la réglementation de l’Union en créant artificiellement les conditions requises pour son obtention. Une telle qualification exige, en outre, la prise en compte de tous les faits et circonstances de l’espèce (voir, en ce sens, arrêt du 21 décembre 2023, BMW Bank e.a., C-38/21, C-47/21 et C-232/21, EU:C:2023:1014, points 285 et 286 ainsi que jurisprudence citée).

37

En ce qui concerne, en premier lieu, l’élément objectif d’une pratique abusive, il convient de relever que l’article 15 du RGPD, lu à la lumière de son considérant 63, vise à conférer à une personne concernée le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin, notamment, de prendre connaissance du traitement de ces données et d’en vérifier la licéité pour ainsi pouvoir exercer, le cas échéant, son droit à la rectification, son droit à l’effacement, son droit à la limitation du traitement ainsi que son droit d’opposition et son droit de recours en cas de dommage subi [voir, en ce sens, arrêt du 12 janvier 2023, Österreichische Post (Informations relatives aux destinataires de données personnelles), C-154/21, EU:C:2023:3, points 37 et 38].

38

En l’occurrence, ainsi qu’il ressort du dossier dont dispose la Cour, TC a introduit la demande d’accès en cause au principal après s’être inscrit au bulletin d’information de Brillen Rottler et avoir communiqué à cette dernière, lors de cette inscription, certaines données à caractère personnel, de sorte que cette demande d’accès pourrait constituer, sur le plan formel, une mise en œuvre du droit d’accès de TC afin d’atteindre l’objectif de cette réglementation.

39

Cependant, au vu de la jurisprudence citée au point 36 du présent arrêt, le respect formel des conditions d’application de l’article 15 du RGPD ne permet pas, à lui seul, d’exclure le caractère « excessif » d’une demande d’accès et, partant, l’existence d’un abus de droit.

40

À cet égard, s’agissant, en second lieu, de l’élément subjectif d’une pratique abusive, il y a lieu de relever que, afin de pouvoir qualifier une demande d’accès d’« excessive », au sens de l’article 12, paragraphe 5, du RGPD, le responsable du traitement doit établir, au vu de l’ensemble des circonstances pertinentes de chaque cas, l’existence d’une intention abusive de la part de la personne concernée, une telle intention pouvant être constatée lorsque cette personne introduit cette demande pour une finalité autre que celle de prendre connaissance du traitement de ces données et d’en vérifier la licéité, afin de pouvoir, par la suite, obtenir une protection des droits qu’elle tire de ce règlement [voir, en ce sens, arrêt du 9 janvier 2025, Österreichische Datenschutzbehörde (Demandes excessives),C-416/23, EU:C:2025:3, points 50 et 56].

41

Ainsi, en l’occurrence, compte tenu, notamment, de ce qui ressort du point 35 du présent arrêt, il incombe au responsable du traitement de démontrer de façon non équivoque que la personne concernée a introduit une demande d’accès au titre de l’article 15 du RGPD afin non pas de prendre connaissance de ce traitement, mais de créer artificiellement les conditions requises pour l’obtention d’une réparation de la part dudit responsable du traitement.

42

À cet égard, il conviendra de prendre en compte l’ensemble des circonstances de l’espèce, notamment le fait que la personne concernée a fourni des données à caractère personnel sans y être contrainte, le but de la fourniture de ces données, le temps écoulé entre celle-ci et la demande d’accès ainsi que le comportement de cette personne.

43

Dans le contexte du litige dont elle est saisie, la juridiction de renvoi s’interroge sur la possibilité de tenir compte, aux fins de l’évaluation de l’existence d’un abus de droit, des informations publiques qui feraient état de l’introduction systématique, par TC, de demandes d’accès à ses données à caractère personnel et de demandes de réparation auprès de différents responsables du traitement selon un modus operandi comparable à celui entrepris en l’occurrence. Il y a lieu de relever, à cet égard, que cet élément peut, certes, être pris en considération afin d’établir des intentions abusives de la personne concernée, pour autant qu’il soit corroboré par d’autres éléments pertinents.

44

Ainsi, en l’occurrence, il incombe à la juridiction de renvoi de vérifier si, compte tenu de l’ensemble des circonstances pertinentes, Brillen Rottler a établi l’existence d’une intention abusive de la part de TC en ce qui concerne l’introduction de la demande d’accès concernée.

45

Eu égard aux considérations qui précèdent, il convient de répondre aux première à troisième et septième questions que l’article 12, paragraphe 5, du RGPD doit être interprété en ce sens qu’une première demande d’accès aux données à caractère personnel introduite par la personne concernée auprès du responsable du traitement au titre de l’article 15 de ce règlement peut être considérée comme étant « excessive », au sens de cet article 12, paragraphe 5, lorsque ce responsable du traitement démontre, au vu de l’ensemble des circonstances pertinentes de l’espèce, que, malgré un respect formel des conditions prévues par ces dispositions, cette demande a été introduite par la personne concernée non pas pour prendre connaissance du traitement de ces données et d’en vérifier la licéité, afin de pouvoir, par la suite, obtenir une protection des droits qu’elle tire dudit règlement, mais dans une intention abusive, telle que la création artificielle des conditions requises pour l’obtention d’un avantage résultant de ce même règlement. Le fait que, selon des informations accessibles au public, la personne concernée ait introduit plusieurs demandes d’accès à ses données à caractère personnel, suivies de demandes de réparation, auprès de différents responsables du traitement, peut être pris en considération afin d’établir l’existence d’une telle intention abusive.

46

Par ses cinquième et sixième questions, qu’il convient d’examiner ensemble et en deuxième lieu, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il confère à la personne concernée un droit à réparation du préjudice résultant d’une violation du droit d’accès prévu à l’article 15, paragraphe 1, de ce règlement.

47

Comme rappelé au point 24 du présent arrêt, conformément à une jurisprudence constante, afin d’interpréter une disposition du droit de l’Union, il y a lieu de tenir compte non seulement de ses termes, mais également de son contexte et des objectifs qu’elle poursuit.

48

Il ressort du libellé de l’article 82, paragraphe 1, du RGPD qu’une personne ayant subi un dommage matériel ou moral « du fait d’une violation [de ce] règlement » a le droit d’obtenir du responsable du traitement une réparation du préjudice subi. Force est de constater que cette disposition ne contient aucune référence au « traitement », de sorte que ce droit à réparation ne saurait être limité aux dommages résultant d’un traitement de données à caractère personnel.

49

Cette constatation est corroborée, premièrement, par l’analyse contextuelle de ladite disposition, lue à la lumière du considérant 141 du RGPD, qui prévoit que toute personne concernée devrait disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte « si elle estime que les droits que lui confère [ledit] règlement sont violés ». En effet, l’article 82, paragraphe 1, du RGPD figure au chapitre VIII de ce règlement, qui régit les voies de recours, les règles de responsabilité et les sanctions permettant de protéger ces droits. Or, ces droits englobent tant le droit d’une personne concernée à l’information, prévu à l’article 12 dudit règlement, que son droit d’accès au titre de l’article 15, paragraphe 1, du même règlement, de sorte qu’ils doivent être protégés par l’article 82 de ce dernier, qui doit donc être interprété comme s’appliquant également aux dommages tirés des violations de ces articles 12 et 15.

50

Une telle interprétation ne saurait être remise en cause par le fait que, d’une part, il ressort du considérant 146 du RGPD que le responsable du traitement devrait réparer tout dommage qu’une personne peut subir « du fait d’un traitement effectué » en violation de ce règlement et, d’autre part, que l’article 82 dudit règlement mentionne, à ses paragraphes 2 et 4, le « dommage causé par le traitement ».

51

En effet, ainsi que le fait valoir, en substance, la Commission dans ses observations écrites, en cas de méconnaissance des droits prévus par les dispositions du chapitre III du RGPD, notamment les droits d’accès aux données et de rectification ainsi que les droits à l’effacement, à la limitation du traitement et à la portabilité, la violation alléguée est susceptible de découler non pas d’un traitement effectif des données à caractère personnel en tant que tel, mais plutôt du refus de donner suite à la demande de la personne concernée quant à l’exercice de ces droits. Dès lors, subordonner le droit à réparation au titre de l’article 82, paragraphe 1, du RGPD à l’existence de dommages résultant d’un traitement en tant que tel aurait pour effet d’exclure de tels cas de figure du champ d’application de cette disposition, et ainsi, de porter atteinte à son effet utile.

52

Par ailleurs, la Cour a déjà jugé que la violation, par le responsable du traitement, des articles 26 et 30 du RGPD relatifs, le premier, à la conclusion d’un accord déterminant les rôles respectifs des responsables du traitement ainsi que leurs relations vis-à-vis des personnes concernées et, le second, à la tenue d’un registre des activités de traitement, ne constitue pas un « traitement illicite », conférant à la personne concernée un droit à l’effacement ou à la limitation du traitement. Il doit donc être remédié à une telle violation par le recours à d’autres mesures prévues par le RGPD, notamment la réparation du dommage éventuellement causé par le responsable du traitement, en vertu de l’article 82 de celui-ci [voir, en ce sens, arrêt du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire), C-60/22, EU:C:2023:373, points 66 et 67.

53

La constatation figurant au point 48 du présent arrêt est corroborée, deuxièmement, par l’interprétation téléologique de l’article 82, paragraphe 1, du RGPD, cet article visant à assurer la mise en œuvre des objectifs de ce règlement dont, notamment, l’objectif de renforcer les droits des personnes concernées ainsi que les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, énoncé au considérant 11 dudit règlement. Or, ainsi que l’a indiqué, en substance, M. l’avocat général au point 72 de ses conclusions, ces droits, parmi lesquels figure précisément le droit d’accès visé par la juridiction de renvoi, seraient affaiblis de manière significative si cet article 82, paragraphe 1, devait être interprété comme étant limité aux seuls dommages résultant des actes illicites comportant un traitement de données.

54

Il s’ensuit que, même en présence d’une violation du RGPD qui ne comporte pas, en tant que telle, un traitement de données, la personne concernée peut se prévaloir du droit à réparation prévu à l’article 82 de ce règlement.

55

Compte tenu de ce qui précède, il convient de répondre aux cinquième et sixième questions que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il confère à la personne concernée un droit à réparation du préjudice résultant d’une violation du droit d’accès prévu à l’article 15, paragraphe 1, de ce règlement.

56

Eu égard à la réponse donnée aux cinquième et sixième questions préjudicielles, il n’y a pas lieu de répondre à la quatrième question.

57

Par sa huitième question, qu’il convient d’examiner en troisième et dernier lieu, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le dommage moral subi par la personne concernée englobe la perte de contrôle sur ses données à caractère personnel ou son incertitude quant au point de savoir si ces données ont fait l’objet d’un traitement.

58

Dès lors que le RGPD n’opère pas de renvoi au droit des États membres en ce qui concerne le sens et la portée des termes figurant à ladite disposition, en particulier s’agissant des notions de « dommage matériel ou moral » et de « réparation du préjudice subi », ces termes doivent être considérés, aux fins de l’application de ce règlement, comme constituant des notions autonomes du droit de l’Union, qui doivent être interprétées de manière uniforme dans l’ensemble des États membres [voir en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C-300/21, EU:C:2023:370, point 30, ainsi que du 4 septembre 2025, Quirin Privatbank, C-655/23, EU:C:2025:655, point 55 et jurisprudence citée].

59

À cet égard, il convient de rappeler qu’il ne saurait être considéré que toute « violation » des dispositions du RGPD ouvre, à elle seule, un droit à réparation au profit de la personne concernée. En effet, l’article 82, paragraphe 1, du RGPD prévoit que « [t]oute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ». Il en ressort clairement que l’existence d’un « dommage » ou d’un « préjudice » ayant été « subi » constitue l’une des conditions du droit à réparation prévu à ladite disposition, tout comme l’existence d’une violation du RGPD et d’un lien de causalité entre ce dommage et cette violation, ces trois conditions étant cumulatives [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C-300/21, EU:C:2023:370, points 31 à 33, et du 4 septembre 2025, Quirin Privatbank, C-655/23, EU:C:2025:655, point 56 et jurisprudence citée].

60

Ainsi, la personne demandant réparation d’un dommage ou d’un préjudice moral sur le fondement de cette disposition est tenue d’établir non seulement la violation de dispositions du RGPD, mais également que cette violation lui a causé un tel dommage ou un tel préjudice. Un tel dommage ou un tel préjudice ne saurait donc seulement être présumé en raison de la survenance de ladite violation (arrêt du 4 octobre 2024, Agentsia po vpisvaniyata, C-200/23, EU:C:2024:827, point 141 et jurisprudence citée).

61

Cela étant, la Cour a déjà jugé qu’il ressort de la liste illustrative des « dommages » ou des « préjudices » susceptibles d’être subis par les personnes concernées, figurant au considérant 85, première phrase, du RGPD, que le législateur de l’Union a entendu inclure dans ces notions, notamment, la simple « perte de contrôle » sur leurs propres données à caractère personnel, à la suite d’une violation de ce règlement, quand bien même un usage abusif des données en cause ne se serait pas produit concrètement (arrêt du 4 octobre 2024, Agentsia po vpisvaniyata, C-200/23, EU:C:2024:827, point 145 et jurisprudence citée).

62

La Cour a également considéré que la notion de « dommage moral » ne saurait être circonscrite aux seuls dommages d’une certaine gravité. En particulier, une réglementation nationale ou une pratique nationale ne saurait valablement fixer un « seuil de minimis » afin de caractériser un dommage moral causé par une violation du RGPD. Toutefois, la personne concernée est tenue de démontrer, d’une part, qu’elle a effectivement subi un tel dommage, aussi minime fût-il, et, d’autre part, que les conséquences de cette violation qu’elle prétend avoir subies sont constitutives d’un préjudice distinct de la simple violation des dispositions de ce règlement (voir, en ce sens, arrêt du 14 décembre 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, points 22 et 23).

63

Ainsi, la simple allégation de la part de la personne concernée d’une crainte engendrée par une perte de contrôle sur ses données à caractère personnel ne saurait donner lieu à réparation au titre de l’article 82, paragraphe 1, du RGPD [voir, en ce sens, arrêt du 20 juin 2024, PS (Adresse erronée), C-590/22, EU:C:2024:536, points 33 et 35]. Partant, lorsqu’une personne demandant réparation sur le fondement de cette disposition invoque la crainte qu’une utilisation abusive de ses données à caractère personnel survienne dans le futur en raison de l’existence d’une violation de ce règlement, la juridiction nationale saisie doit vérifier que cette crainte peut être considérée comme étant fondée, dans les circonstances spécifiques en cause et au regard de la personne concernée (voir, en ce sens, arrêt du 4 octobre 2024, Agentsia po vpisvaniyata, C-200/23, EU:C:2024:827, point 143 et jurisprudence citée).

64

Les considérations exposées aux points 59 à 63 du présent arrêt trouvent également à s’appliquer dans une situation où la personne concernée estime qu’il existe une incertitude quant au point de savoir si ses données à caractère personnel ont fait l’objet d’un traitement.

65

Pour donner une réponse utile à la juridiction de renvoi, encore faut-il relever que le lien de causalité entre la violation alléguée et le prétendu dommage peut être rompu par le comportement de la personne concernée, dès lors que ce comportement s’avère constituer la cause déterminante du préjudice. Un tel acte peut consister, entre autres, en une décision de la personne lésée, pour autant, toutefois, que cette décision ne s’imposait pas à elle [voir, par analogie, arrêt du 18 décembre 2025, WS e.a./Frontex (Opération de retour conjointe), C-679/23 P, EU:C:2025:976, points 151 et 152 ainsi que jurisprudence citée].

66

En outre, il ressort de la jurisprudence rappelée au point 59 du présent arrêt que l’existence d’un lien de causalité entre la violation alléguée du RGPD et le dommage prétendument subi par la personne concernée est une condition sine qua non d’un droit à réparation en vertu de l’article 82, paragraphe 1, de ce règlement. Partant, la personne concernée ne saurait se voir accorder, au titre de cette disposition, une réparation des dommages prétendument subis du fait de la perte de contrôle sur ses données à caractère personnel ou de son incertitude quant à l’existence de leur traitement lorsque le lien de causalité est rompu en raison du comportement de cette personne dès lors que cette perte de contrôle ou cette incertitude ont été causées par la décision de ladite personne de soumettre ces données au responsable du traitement dans le but de créer artificiellement les conditions requises aux fins de l’application de ladite disposition.

67

Eu égard aux considérations qui précèdent, il convient de répondre à la huitième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le dommage moral subi par la personne concernée englobe la perte de contrôle sur ses données à caractère personnel ou son incertitude quant au point de savoir si ses données ont fait l’objet d’un traitement, pour autant qu’il est démontré, notamment, que cette personne a effectivement subi un tel dommage et que son comportement n’a pas constitué la cause déterminante de ce dommage.

68

La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (quatrième chambre) dit pour droit :

Signatures