Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CJUE, n° C-526_RES/24, Arrêt de la Cour, Brillen Rottler GmbH & Co. KG contre TC, 19 mars 2026
CJUE, Arrêt 19 mars 2026

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Demande d'accès abusive

    La cour a jugé que le caractère excessif d'une demande d'accès doit être apprécié qualitativement et que l'intention abusive de TC était établie, justifiant ainsi le refus de la demande d'accès.

  • Rejeté
    Violation du droit d'accès

    La cour a estimé que le lien de causalité entre la violation alléguée et le dommage était rompu en raison du comportement de TC, qui avait introduit des demandes abusives.

Résumé par Doctrine IA

La société Brillen Rottler a demandé à la Cour de justice de l'Union européenne de clarifier les conditions dans lesquelles une demande d'accès aux données personnelles peut être considérée comme excessive et abusive. Elle souhaitait également savoir si une violation du droit d'accès peut ouvrir droit à réparation pour dommage moral.

La Cour a précisé qu'une demande d'accès n'est pas excessive uniquement par son caractère répétitif, mais doit être appréciée qualitativement pour déterminer s'il y a abus de droit. Un abus est caractérisé par une intention malveillante de la personne concernée, visant à obtenir un avantage indu plutôt qu'à exercer ses droits.

Concernant le droit à réparation, la Cour a statué qu'il s'applique aux préjudices résultant d'une violation du droit d'accès, y compris le dommage moral lié à la perte de contrôle des données. Cependant, ce droit est subordonné à la preuve d'un lien de causalité, qui est rompu si le comportement de la personne concernée est la cause déterminante du dommage.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaires2

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 
1Veille données personnelles - Mai 2026
squairlaw.com · 1 mai 2026
2RGPD : quand une demande d’accès peut être refusée en cas de mauvaise foi
murielle-cahen.fr
Testez Doctrine gratuitement
pendant 7 jours
Démarrer
Vous avez déjà un compte ?Connexion

Sur la décision

Référence :
CJUE, Cour, 19 mars 2026, C-526_RES/24
Numéro(s) : C-526_RES/24
Arrêt de la Cour (quatrième chambre) du 19 mars 2026.#Brillen Rottler GmbH & Co. KG contre TC.#Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 12, paragraphe 5 – Article 15, paragraphe 1 – Droit d’accès de la personne concernée aux données à caractère personnel la concernant – Droit du responsable du traitement de refuser de donner suite à la demande d’accès – Caractère excessif de la demande – Abus de droit – Première demande d’accès – Droit à réparation et responsabilité – Article 82, paragraphe 1 – Action fondée sur une violation du droit d’accès – Dommage moral – Perte de contrôle sur les données à caractère personnel.#Affaire C-526/24.
Identifiant CELEX : 62024CJ0526_RES
Identifiant européen : ECLI:EU:C:2026:216
Télécharger le PDF original fourni par la juridiction

Texte intégral

Affaire C-526/24

Brillen Rottler GmbH & Co. KG

contre

TC

(demande de décision préjudicielle, introduite par l’Amtsgericht Arnsberg)

Arrêt de la Cour (quatrième chambre) du 19 mars 2026

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 12, paragraphe 5 – Article 15, paragraphe 1 – Droit d’accès de la personne concernée aux données à caractère personnel la concernant – Droit du responsable du traitement de refuser de donner suite à la demande d’accès – Caractère excessif de la demande – Abus de droit – Première demande d’accès – Droit à réparation et responsabilité – Article 82, paragraphe 1 – Action fondée sur une violation du droit d’accès – Dommage moral – Perte de contrôle sur les données à caractère personnel »

  1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit d’accès de la personne concernée à ses données faisant l’objet d’un traitement – Droit du responsable du traitement de refuser de donner suite à une demande d’accès – Notion de demandes excessives – Première demande d’accès – Critères – Appréciation d’éléments objectifs et subjectifs d’une pratique abusive – Existence d’une intention abusive de la part de la personne concernée – Éléments pertinents

    (Règlement du Parlement européen et du Conseil 2016/679, Considérants 4, 10 et 11, et art. 12, § 5, 15, § 1, et 57, § 4)

    (voir points 24-37, 39, 40, 42, 45, disp. 1)

  2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit à réparation et responsabilité – Droit à réparation du préjudice résultant d’une violation du droit d’accès aux données à caractère personnel – Limitation aux dommages résultant d’un traitement de données à caractère personnel – Absence

    (Règlement du Parlement européen et du Conseil 2016/679, Considérants 11, 141 et 146, et art. 15, § 1, et 82, § 1)

    (voir points 48-55, disp. 2)

  3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit à réparation et responsabilité – Droit à réparation du préjudice subi – Dommage moral – Notion – Perte de contrôle sur des données à caractère personnel ou incertitude quant à leur traitement – Inclusion – Obligation de preuve de l’existence du préjudice par la personne concernée – Rupture du lien de causalité entre la violation alléguée et le prétendu dommage à cause du comportement de la personne concernée – Comportement constituant la cause déterminante du dommage – Absence de droit à réparation

    (Règlement du Parlement européen et du Conseil 2016/679, Considérant 85 et art. 82, § 1)

    (voir points 58-67, disp. 3)

Résumé

Saisie à titre préjudiciel par l’Amtsgericht Arnsberg (tribunal de district d’Arnsberg, Allemagne), la Cour précise les limites à l’exercice du droit d’accès aux données à caractère personnel au titre de l’article 15 du règlement général sur la protection des données ( 1 ) en cas d’« abus de droit » et les conditions du droit à réparation en vertu de l’article 82 de ce règlement.

En 2023, TC, un particulier résidant en Autriche, s’est abonné au bulletin d’information de Brillen Rottler, une entreprise d’optique allemande, en renseignant ses données à caractère personnel et en consentant à leur traitement. Peu après, il a demandé à cette entreprise l’accès à ces données. Bien que sa demande ait été rejetée par ladite entreprise, qui l’estimait abusive, TC l’a néanmoins réitérée, en y ajoutant une demande de réparation pour dommage moral, prétendument subi au titre du refus de cette même entreprise de lui donner accès à ses données à caractère personnel. Brillen Rottler a alors saisi la juridiction de renvoi pour faire constater l’absence de droit de TC à réparation, en faisant valoir que, selon les informations accessibles au public, ce dernier introduisait systématiquement et abusivement, auprès de différents responsables du traitement, des demandes d’accès dans le seul but d’obtenir des indemnités.

Nourrissant des doutes quant aux circonstances pertinentes pour la qualification d’une demande d’accès d’« excessive » au sens de l’article 12, paragraphe 5, du RGPD, qui permet au responsable du traitement, notamment, de ne pas donner suite à une telle demande, ainsi qu’au droit de demander, sur le fondement de l’article 82, paragraphe 1, de ce règlement, la réparation du préjudice résultant d’une violation du droit d’accès, la juridiction de renvoi a saisi la Cour.

Appréciation de la Cour

S’agissant de la possibilité de qualifier une première demande d’accès aux données à caractère personnel introduite par la personne concernée auprès du responsable du traitement d’« excessive », au sens de l’article 12, paragraphe 5, du RGPD, la Cour relève que cette disposition ne mentionne le caractère répétitif des demandes d’accès qu’à titre indicatif, de sorte que le seul nombre de demandes soumises par la même personne concernée ne détermine pas cette qualification. Le caractère excessif d’une demande d’accès doit donc être apprécié du point de vue qualitatif, afin de déterminer s’il s’agit d’un abus de droit.

La Cour précise qu’un tel abus existe lorsque, malgré le respect formel des conditions requises pour l’exercice du droit d’accès aux données à caractère personnel au sens de l’article 15 du RGPD, est établie une intention abusive de la part de la personne concernée, en particulier, lorsque cette dernière introduit une demande d’accès non pas pour faire valoir ses droits tirés de ce règlement, mais pour une autre finalité, telle que la création artificielle des conditions requises pour l’obtention d’un avantage résultant dudit règlement.

Cependant, dans la mesure où l’article 12, paragraphe 5, du RGPD institue une exception à l’obligation des responsables du traitement de faciliter le droit des personnes concernées d’accès à leurs données à caractère personnel, il doit être interprété de façon restrictive. Ainsi, un responsable du traitement ne peut se prévaloir du caractère excessif d’une demande d’accès qu’à titre exceptionnel, lorsqu’il démontre, au vu de l’ensemble des circonstances pertinentes de chaque cas, que cette demande a été introduite dans une intention abusive. Le fait que la personne concernée ait introduit plusieurs demandes d’accès, suivies de demandes de réparation, auprès de différents responsables du traitement, peut également être pris en considération à cet égard.

Quant à l’interprétation de l’article 82, paragraphe 1, du RGPD, la Cour constate, d’une part, que cette disposition confère également à la personne concernée un droit à réparation du préjudice résultant d’une seule violation du droit d’accès prévu à l’article 15, paragraphe 1, de ce règlement. Elle relève que cet article 82, paragraphe 1, ne contient aucune référence au « traitement », de sorte que, pour ne pas porter atteinte à l’effet utile de ce droit à réparation, ce dernier ne saurait être limité aux dommages résultant d’un traitement de données à caractère personnel en tant que tel. En effet, une telle limitation exclurait du champ d’application de ce dernier article les dommages causés par la méconnaissance de certains droits prévus par ce règlement, tels que le droit d’accès, dont la violation relève, en principe, non pas d’un traitement effectif des données, mais plutôt du refus de donner suite à une demande relative à l’exercice de ces droits.

D’autre part, la Cour apporte des précisions sur la notion de « dommage moral » subi par la personne concernée au sens de l’article 82, paragraphe 1, du RGPD. Elle note, en particulier, que cette notion englobe la perte de contrôle, par la personne concernée, sur ses données à caractère personnel ou son incertitude quant à l’existence de leur traitement, pour autant qu’il est démontré, notamment, que cette personne a effectivement subi un tel dommage et que son comportement n’a pas constitué la cause déterminante de ce dommage.

Dans ce cadre, la Cour relève, tout en rappelant que le lien de causalité entre la violation alléguée du RGPD et le prétendu dommage subi par la personne concernée est une condition sine qua non d’un droit à réparation en vertu de l’article 82, paragraphe 1, de ce règlement, qu’un tel lien est rompu en raison du comportement de cette personne, lorsque la perte de contrôle sur ses données à caractère personnel ou l’incertitude quant à l’existence de leur traitement ont été causées par sa décision de soumettre ces données au responsable du traitement dans le but de créer artificiellement les conditions requises aux fins de l’application de cette disposition.

( 1 ) Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

Décisions similaires

Citées dans les mêmes commentaires3

  • Principes, objectifs et missions des traités ·
  • Charte des droits fondamentaux ·
  • Protection des données ·
  • Droits fondamentaux ·
  • Juridiction ·
  • Charte ·
  • Renvoi ·
  • Accès ·
  • Bulgarie ·
  • Litige ·
  • Question ·
  • Interprète ·
  • Avocat
1 commentaire
  • Rapprochement des législations ·
  • Politique commerciale ·
  • Relations extérieures ·
  • Région de bruxelles-capitale ·
  • Royaume de belgique ·
  • Pouvoirs publics ·
  • Région wallonne ·
  • Directive ·
  • Commission ·
  • Avis motivé ·
  • Retard de paiement ·
  • Paiement ·
  • Région flamande
  • Intérêt de retard ·
  • Tva ·
  • Contribuable ·
  • Charte ·
  • Administration fiscale ·
  • Fiscalité ·
  • Principal ·
  • République de lituanie ·
  • Réglementation nationale ·
  • Jurisprudence
5 commentaires

Citant les mêmes articles de loi3

  • Etats membres ·
  • Règlement ·
  • Contrôle ·
  • Capture ·
  • Produit ·
  • Irlande ·
  • Plan ·
  • Commission ·
  • Navire de pêche ·
  • État
  • Établissement de crédit ·
  • Risque ·
  • Crédit agricole ·
  • Surveillance prudentielle ·
  • Traitement ·
  • Attaque ·
  • Fond ·
  • Directive ·
  • Règlement (ue) ·
  • Contrôle juridictionnel
12 commentaires
  • Établissement de crédit ·
  • Risque ·
  • Surveillance prudentielle ·
  • Traitement ·
  • Attaque ·
  • Fond ·
  • Directive ·
  • Règlement (ue) ·
  • Contrôle juridictionnel ·
  • Comptable
11 commentaires

De référence sur les mêmes thèmes3

  • Prestation de services ·
  • Tva ·
  • Fondation ·
  • Directive ·
  • Onéreux ·
  • Bulgarie ·
  • Recouvrement ·
  • Titre gratuit ·
  • Acte ·
  • Valeur ajoutée
1 commentaire
  • Règlement ·
  • Irrégularité ·
  • Délai de prescription ·
  • Etats membres ·
  • Adoption ·
  • Budget ·
  • Sanction ·
  • Question ·
  • République tchèque ·
  • Ustí
1 commentaire
  • Etats membres ·
  • Règlement ·
  • Juridiction ·
  • Irlande du nord ·
  • Royaume-uni ·
  • Autriche ·
  • Question ·
  • Compétence judiciaire ·
  • Litige ·
  • Partie
1 commentaire

Sur les mêmes thèmes3

  • Etats membres ·
  • Tva ·
  • Directive ·
  • Demande de remboursement ·
  • Administration fiscale ·
  • Électronique ·
  • L'etat ·
  • Demande ·
  • Neutralité ·
  • Dysfonctionnement
4 commentaires
  • Royaume-uni ·
  • Mandat ·
  • Spécialité ·
  • Infraction ·
  • Remise ·
  • Droits fondamentaux ·
  • Exécution ·
  • Charte ·
  • Irlande ·
  • Personnes
3 commentaires
  • Royaume-uni ·
  • Mandat ·
  • Droits fondamentaux ·
  • Spécialité ·
  • Irlande du nord ·
  • Risque ·
  • Exécution ·
  • Union européenne ·
  • Remise ·
  • Violation

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CJUE, n° C-526_RES/24, Arrêt de la Cour, Brillen Rottler GmbH & Co. KG contre TC, 19 mars 2026
  1. Doctrine
  2. Décisions de justice
  3. 2026
  4. CJUE, Cour, 19 mars 2026, C-526_RES/24
Contactez notre service commercial au 01 84 80 33 48