La Cour de justice des Communautés européennes avait, dans Rs. C‑526/24 dans l’affaire Brillen Rottler d’évaluer si une première demande d’accès peut être considérée comme „excessive“ au sens de l’article 12, paragraphe 5, du RGPD. C’est le cas, et les conditions ne sont même pas très éloignées de celles du droit suisse – le caractère contraire à la finalité de la demande. Une autre question concernait à nouveau les dommages et intérêts.
L’affaire concernait une demande d’information d’une personne résidant en Autriche qui s’était inscrite à une newsletter de Brillen Rottler, une entreprise d’optique en Allemagne. Moins de deux semaines plus tard, cette personne a déposé une demande de renseignements que Brillen Rottler a rejetée comme étant abusive. Par la suite, la personne concernée a continué à réclamer des renseignements et des dommages et intérêts de 1000 EUR – une démarche manifestement systématique. Dans la procédure suivante, le tribunal d’arrondissement d’Arnsberg a posé huit questions préjudicielles à la CJCE.
Demandes de renseignements contraires à la finalité
La CJCE confirme tout d’abord que Le caractère abusif d’une demande d’information ne doit pas être évalué uniquement en fonction du nombre de demandes La répétition fréquente de l’article 12, paragraphe 5, du RGPD n’est mentionnée qu’à titre d’exemple :
26 En outre, bien qu’il résulte de l’article 12, paragraphe 5, premier alinéa, deuxième phrase, du RGPD que les demandes peuvent être excessives „en particulier en cas de répétition fréquente“, il n’en demeure pas moins qu’il s’agit là d’un critère d’appréciation. La multiplication des demandes d’une personne peut donc être un indice du caractère excessif de celles-ci […]. Toutefois, comme l’a souligné l’avocat général […], la répétition fréquente n’étant citée qu’à titre d’exemple dans cette disposition, la qualification d’une demande d’accès comme „excessive“ n’exige pas que la demande en question soit nécessairement liée à l’introduction de plusieurs demandes par la même personne concernée.
27 Par conséquent, à la lumière d’une interprétation de l’article 12, paragraphe 5, du RGPD axée sur le texte, il ne peut être exclu qu’une première demande d’accès puisse être considérée comme „excessive“ au sens de cette disposition.
L’exception est à interpréter de manière restrictive:
35 Il s’ensuit qu’il est possible de considérer qu’une première demande d’accès adressée au responsable en vertu de l’article 15 du RGPD est „excessive“ au sens de l’article 12, paragraphe 5, du RGPD. Toutefois, étant donné que, comme il ressort du point 29 du présent arrêt, la notion de „demandes excessives“ doit être interprétée de manière stricte, un responsable ne peut invoquer un tel caractère excessif qu’à titre exceptionnel et les critères permettant de qualifier une première demande d’accès d„“excessive” doivent être élevés, comme l’indique l’avocat général au point 34 de ses conclusions. Il convient également de noter que, conformément à l’article 12, paragraphe 5, deuxième alinéa, du RGPD, c’est expressément au responsable du traitement qu’il incombe d’apporter la preuve du caractère excessif.
Mais même si l’exception doit être interprétée de manière stricte : le droit de l’Union connaît un interdiction générale de l’abus de droit:
30 Il ressort toutefois de la jurisprudence de la Cour relative à l’interprétation de la notion de „demandes excessives“ figurant à l’article 57, paragraphe 4, du RGPD, qui est transposable à la présente affaire […], que l’article 12, paragraphe 5, du RGPD exprime un principe général du droit de l’Union selon lequel les particuliers ne peuvent pas invoquer les normes du droit de l’Union de manière frauduleuse ou abusive […]. En effet, l’application de la réglementation de l’Union ne peut pas aller jusqu’à protéger des opérations qui servent une finalité abusive […].
L’abus de droit suppose alors deux éléments – que l’objectif réglementaire du droit d’accès ne serait pas atteint et la personne concernée a une intention abusive:
36 En deuxième lieu, en ce qui concerne les circonstances dans lesquelles la première demande d’accès de la personne concernée peut être qualifiée d„“excessive” au sens de l’article 12, paragraphe 5, du RGPD et, partant, constituer un abus de droit au sens de la jurisprudence citée aux points 23 et 24 ci-dessus, il convient de se référer à la jurisprudence de la Cour. 23 et 30, la preuve d’un comportement abusif requiert deux éléments, à savoir, d’une part, un ensemble de circonstances objectives dont il résulte que, malgré le respect formel des conditions prévues par la réglementation de l’Union, l’objectif de cette réglementation n’a pas été atteint et, d’autre part, un élément subjectif consistant dans l’intention de la personne concernée de se procurer un avantage résultant de la réglementation de l’Union en créant artificiellement les conditions de son obtention. Une telle qualification doit en outre tenir compte de tous les faits et circonstances propres à chaque cas […].
Les demandes qui poursuivent un but contraire à la protection des données et qui sont faites dans l’intention de s’enrichir apparaissent notamment comme des abus de droit – la CJCE est ici heureusement proche du droit suisse. Le site Objectif de protection des données du droit d’accès La CJCE décrit la notion de “protection des données” comme suit, là aussi en accord avec l’article 25 LPD :
45 […] peut être considérée comme „excessive“ au sens de cet article 12, paragraphe 5, si le responsable du traitement démontre, au regard de toutes les circonstances pertinentes du cas d’espèce, que cette demande […] n’a pas été faite pour prendre conscience du traitement de ces données et en vérifier la licéité afin de pouvoir ensuite protéger ses droits au titre du RGPD, mais dans une intention abusive […].
Il y aurait donc abus de droit en particulier si la demande d’accès était adressée au responsable simplement un piège doit :
45 […] comme pour créer artificiellement les conditions d’obtention d’un avantage découlant du RGPD.
L’appréciation de l’abus de droit incombe au juge du fond. Celui-ci peut tenir compte également des informations publiques, Les informations sur les motifs de la personne concernée sont disponibles sur le site web de l’UE :
45 […] Le fait que la personne concernée ait, selon des informations accessibles au public, introduit par exemple plusieurs demandes d’accès à ses données à caractère personnel, suivies de demandes de dommages et intérêts à l’encontre de différents responsables, peut être pris en compte pour établir une telle intention abusive.
Dommages et intérêts possibles en cas de violation du droit d’accès
L’article 82, paragraphe 1, du RGPD accorde un droit à réparation „en raison d’une violation du présent règlement“. La CJUE en déduit que ne nécessite pas un traitement illégal des données, mais seulement une violation du RGPD, par exemple du droit d’accès.
48 En vertu de l’article 82, paragraphe 1, du RGPD, une personne ayant subi un dommage matériel ou moral „du fait d’une violation du présent règlement“ a le droit d’obtenir du responsable du traitement réparation du préjudice subi. Il convient de noter que cette disposition ne fait pas référence au „traitement“, de sorte que le droit à réparation ne peut pas être limité aux dommages résultant d’un traitement de données à caractère personnel.
[…]54 Il s’ensuit que, même en cas de violation du RGPD n’impliquant pas en tant que telle un traitement de données, la personne concernée peut invoquer le droit à réparation prévu à l’article 82 du RGPD.
55 Par conséquent, il convient de répondre aux cinquième et sixième questions que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il confère à la personne concernée un droit à réparation du préjudice résultant d’une violation du droit d’accès visé à l’article 15, paragraphe 1, du RGPD.
Interruption du lien de causalité
La CJUE confirme sa jurisprudence selon laquelle la simple perte de contrôle des données à caractère personnel ou l’incertitude quant à leur traitement peut constituer un préjudice moral. Il n’existe pas de seuil de minimisation. La personne concernée doit toutefois démontrer qu’elle a effectivement subi un préjudice et qu’il existe un lien de causalité entre la violation et le préjudice. Ce lien de causalité peut être être interrompue par le comportement de la personne concernée.
La CJCE trace ici une deuxième ligne de défense contre les demandes d’information abusives : une interruption a lieu, entre autres, lorsque la personne concernée a elle-même créé la perte de contrôle ou l’incertitude en transmettant des données dans le but de pouvoir faire valoir des droits par la suite (donc, pour ainsi dire, une interruption par faute grave de sa part) :
65 Afin de fournir une réponse utile à la juridiction de renvoi, il convient encore de rappeler que le lien de causalité entre la violation alléguée et le préjudice allégué peut être rompu par le comportement de la personne concernée, pour autant que ce comportement s’avère être la cause déterminante du préjudice. Un tel acte peut notamment consister en une décision de la personne lésée, mais uniquement dans la mesure où cette décision n’était pas contraignante pour elle […].
66 En outre, il ressort […] que l’existence d’un lien de causalité […] est une condition sine qua non pour obtenir une indemnisation […]. Par conséquent, […] aucune réparation ne peut être accordée à la personne concernée pour les dommages qu’elle aurait subis du fait de la perte de contrôle de ses données à caractère personnel ou de son incertitude quant à l’existence d’un traitement de ces données, lorsque le lien de causalité est rompu en raison du comportement de cette personne, parce que ladite perte de contrôle ou ladite incertitude a été provoquée par la décision de la personne concernée, Le responsable du traitement ne doit pas transmettre ces données au responsable du traitement dans l’intention de créer artificiellement les conditions d’application de la présente disposition.