search Rechercher
Ulys logo
menu MENU

Cabinet d’avocats à Bruxelles et Paris
Leader en droit de l’innovation depuis 30 ans

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Accueil keyboard_arrow_right Actualités keyboard_arrow_right Detail

Droit d’accès : la CJUE admet qu’une demande, même unique, puisse constituer un abus de droit

Publié le par 18 vues

La Cour de justice confirme, au titre de l’article 12 RGPD, qu’un droit d’accès fondé sur l’article 15 peut être excessif et, partant, constituer un abus de droit. Il faut pour cela démontrer un élément objectif, et un élément intentionnel (subjectif) tel que la création artificielle des conditions requises pour l’obtention d’un avantage résultant de…

La Cour de justice confirme, au titre de l’article 12 RGPD, qu’un droit d’accès fondé sur l’article 15 peut être excessif et, partant, constituer un abus de droit. Il faut pour cela démontrer un élément objectif, et un élément intentionnel (subjectif) tel que la création artificielle des conditions requises pour l’obtention d’un avantage résultant de ce même règlement. Au-delà du RGPD, l’arrêt semble ouvrir la porte à une harmonisation de l’abus de droit lorsque le droit en cause est tiré du droit de l’Union.

Le droit d’accès (art. 15) est la porte d’entrée vers les autres droits de la personne concernée

Le droit d’accès est un droit essentiel de la personne concernée car il constitue la « porte d’entrée » vers les autres droits.

En réalité, sous l’appellation « droit d’accès », l’article 15 contient plusieurs éléments qui ont des portées bien précises.

Le § 1 pose le principe et se subdivise en réalité en trois composantes :

  1. Le droit, pour une personne, d’avoir confirmation que des données qui la concernent sont, ou non, traitées (« obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées ») ;
  2. Le droit d’accéder à ces données (« lorsqu’elle lorsqu’elles le sont, l’accès auxdites données à caractère personnel ») ;
  3. Le droit de recevoir des informations sur les modalités du traitement (« ainsi que les informations suivantes : (…) »).

Le § 2 ajoute des informations à celles qui doivent être fournies en vertu du point c) ci-dessus, dans l’hypothèse où les données sont transférées vers un pays tiers ou à une organisation internationale.

Le § 3 quant à lui s’intéresse à l’accès aux données consacré par le point b) ci-dessus, et pose pour principe la remise d’une copie, tandis que le § 4 emporte une restriction à cette copie lorsqu’elle « porte atteinte aux droits et libertés d’autrui ».

L’article 12 introduit l’idée d’un droit exercé de manière infondée ou abusive

L’article 12, n’est pas spécifique au droit d’accès : il vise, de façon générale, la transparence et les modalités de l’exercice des droits de la personne concernée.

L’article 12 pose pour principe que le responsable de traitement doit « prendre des mesures appropriées » pour fournir les informations à la personne concernée, et « faciliter » l’exercice de ses droits.

L’article 12 § 5 énonce toutefois une restriction :

« Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut : (…)

b) refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande. »

Le droit d’accès est malheureusement trop souvent détourné de sa finalité

Il ressort de la combinaison de l’article 15 et du considérant 63 que l’exercice du droit accès répond à une finalité : avoir connaissance du traitement et en vérifier la licéité.

Cette condition est source de nombreux conflits car, dans la pratique, on observe que de nombreux droits d’accès sont exercés dans un autre objectif que celui énoncé au considérant 63.

Les conflits se cristallisent le plus souvent autour d’une situation bien précise : le responsable de traitement et la personne concernée se connaissent par ailleurs et sont dans une relation tendue, par exemple dans le contexte d’une relation de travail ou commerciale, et le responsable de traitement a des raisons de craindre que le droit d’accès serve en réalité à le mettre en difficulté ou constituer un dossier en vue d’un contentieux qui n’a que peu de rapport avec le traitement des données.

Las ! La Cour de justice de l’UE s’est montrée intraitable, jugeant dans l’affaire FT (C-307/22, 26 octobre 2023) et confirmant dans Addiko Bank (C-312/23, 27 mai 2024), que :

  • L’obligation de fournir une copie s’impose « même lorsque cette demande est motivée dans un but étranger » à la finalité évoquée au considérant 63.
  • Le responsable de traitement ne peut pas subordonner l’exercice du droit d’accès à la communication d’une motivation ou d’une justification par la personne concernée (C-307/22, pt. 38 et 52).

Ce faisant, la Cour ouvrait en pratique la voie aux demandes excessives.

Pour autant, la portée de ces arrêts doit être clarifiée : ils ne portent que sur l’article 15, et non sur l’article 12, et en particulier la question du droit exercé de manière infondée ou excessive.

C’est tout l’enjeu de l’arrêt qui vient d’être rendu : concilier la jurisprudence (trop?) accommodante de la Cour concernant l’article 15, tout en donnant un effet concrèt à la restriction prévue à l’article 12.

Les faits soumis à la Cour

Au mois de mars 2023, TC, une personne physique résidant en Autriche, s’est abonné au bulletin d’information de Brillen Rottler, une entreprise familiale d’optique établie à Arnsberg (Allemagne). A cette fin, il fournit ses données à caractère personnel dans le formulaire d’inscription disponible sur le site et consent au traitement de ces données.

Treize jours plus tard, exerce une demande d’accès au titre de l’article 15 du RGPD, qui est rejetée au motif qu’elle était abusive, au sens de l’article 12 § 5.

L’affaire finit en justice, où Brillen Rottler fait valoir qu’il ressort de divers reportages, articles de blog et bulletins d’avocats que TC introduit systématiquement et abusivement des demandes d’accès à ses données à caractère personnel dans le seul but d’obtenir des indemnités au titre d’une prétendue violation, qu’il provoque délibérément, des droits qu’il tire du RGPD. Le modus operandi de TC consisterait à, tout d’abord, s’inscrire à un bulletin d’information, puis à introduire une demande d’accès et, enfin, à soumettre une demande de réparation.

Un droit d’accès unique, exercé pour la première fois, peut-il déjà être excessif ?

Le responsable de traitement peut refuser de donner suite lorsque « les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif ».

Faut-il déduire du pluriel d’une part, et de l’allusion aux demande répétitives d’autre part, qu’une demande unique, formulée pour la première fois, ne peut jamais être abusive ?

La Cour répond clairement par la négative : une première demande peut d’ores et déjà être considérée comme excessive.

Voici son raisonnement :

  • Puisqu’il n’y a pas de définition de cette notion dans le règlement, la Cour renvoie au langage courant : « l’adjectif « excessif » désigne quelque chose qui excède la mesure ordinaire ou raisonnable ou encore qui dépasse la mesure souhaitable ou permise [voir, en ce sens, arrêt du 9 janvier 2025, Österreichische Datenschutzbehörde (Demandes excessives), C‑416/23, EU:C:2025:3, point 43]. Pour la Cour, « le seul emploi de cet adjectif, qui se rapporte à des caractéristiques tant qualitatives que quantitatives, ne permet donc pas d’exclure qu’une première demande d’accès soit excessive. »
  • En outre, à l’instar de l’avocat général, la Cour souligne que le caractère répétitif n’est mentionné dans l’article 12 § 5 qu’à titre indicatif.
  • Enfin, la Cour confirme son interprétation en rappelant que l’objectif de l’article 12 § 5 « constitue une expression du principe général de droit de l’Union en vertu duquel les justiciables ne sauraient frauduleusement ou abusivement se prévaloir des normes de l’Union [voir, en ce sens, arrêt du 9 janvier 2025, Österreichische Datenschutzbehörde (Demandes excessives), C‑416/23, EU:C:2025:3, point 49]. En effet, l’application de la réglementation de l’Union ne saurait être étendue jusqu’à couvrir les opérations qui sont réalisées dans un tel but abusif (voir, en ce sens, arrêt du 19 septembre 2024, Matmut, C‑236/23, EU:C:2024:761, point 52 et jurisprudence citée) ».

En conclusion, et tout en rappelant que l’article 12 § 5 doit, s’agissant d’une exception au principe, être interprété restrictivement, la Cour estime que le caractère excessif d’une demande ne saurait dépendre du seul nombre de demandes d’accès introduites par la personne concernée et donc du fait qu’il s’agisse d’une première demande émanant de cette dernière.

Quels sont les critères à prendre en compte pour qualifier une demande d’excessive ?

La Cour juge que la détermination du caractère excessif d’une demande implique de se pencher sur deux choses :

  • d’une part, un ensemble de circonstances objectives dont il résulte que, malgré un respect formel des conditions prévues par la réglementation de l’Union, l’objectif poursuivi par cette réglementation n’a pas été atteint et,
  • d’autre part, un élément subjectif consistant en la volonté de la personne concernée d’obtenir un avantage résultant de la réglementation de l’Union en créant artificiellement les conditions requises pour son obtention.

La Cour tient à préciser ceci : dans l’affaire qui lui est soumise, les apparences indiquent que la demande du plaignant « pourrait constituer, sur le plan formel, une mise en œuvre du droit d’accès de TC afin d’atteindre l’objectif de cette réglementation » (n° 38) mais « cependant (…) le respect formel des conditions d’application de l’article 15 du RGPD ne permet pas, à lui seul, d’exclure le caractère « excessif » d’une demande d’accès et, partant, l’existence d’un abus de droit. » (n° 39)

Au titre de l’élément subjectif, la Cour souligne qu’il « conviendra de prendre en compte l’ensemble des circonstances de l’espèce, notamment le fait que la personne concernée a fourni des données à caractère personnel sans y être contrainte, le but de la fourniture de ces données, le temps écoulé entre celle-ci et la demande d’accès ainsi que le comportement de cette personne. »

La Cour répond donc à la question posée que l’article 12, paragraphe 5, du RGPD doit être interprété en ce sens que :

  • une première demande d’accès peut être considérée comme étant « excessive » lorsque le responsable du traitement démontre, au vu de l’ensemble des circonstances pertinentes de l’espèce, que,
  • malgré un respect formel des conditions prévues par ces dispositions,
  • cette demande a été introduite par la personne concernée non pas pour prendre connaissance du traitement de ces données et d’en vérifier la licéité, afin de pouvoir, par la suite, obtenir une protection des droits qu’elle tire dudit règlement, mais dans une intention abusive, telle que la création artificielle des conditions requises pour l’obtention d’un avantage résultant de ce même règlement.

Elle ajoute que peut aussi être prises en compte « des informations publiques qui feraient état de l’introduction systématique, par TC, de demandes d’accès à ses données à caractère personnel et de demandes de réparation auprès de différents responsables du traitement selon un modus operandi comparable à celui entrepris en l’occurrence », mais que cela doit être corroboré par d’autres éléments pertinents.

Plus d’infos en suivant le tag droit d’accès

Droit & Technologies

Annexes

CJUE – Arret rendu

file_download Télécharger l'annexe

CJUE – conclusions avocat general

file_download Télécharger l'annexe

Publié dans

Thèmes
Tags ##

Auteurs

Etienne Wery

 Suivez-moi sur LinkedIn

Lui écrire Ses 1364 contributions

Margaux Degen

Lui écrire Ses 1 contributions

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK