Le droit d’accès constitue un des piliers du Règlement Général sur la Protection des données, ou RGPD : il permet à toute personne concernée d’obtenir la confirmation que des données la concernant sont traitées, ainsi qu’une copie de ces données.

Toutefois, l’article 12 §5 du RGPD autorise le responsable de traitement à refuser de donner suite à une demande qui serait manifestement infondée ou excessive, notamment en raison de son caractère répétitif. Tout l’enjeu pour les responsables de traitement est donc de qualifier avec certitudes les demandes qu’ils peuvent sans risque qualifier d’abusives.

Ce caractère abusif peut régulièrement être déduit de la répétition des demandes par une même personne, qui vise à noyer sous les démarches et les recherches de données le responsable de traitement. Par un arrêt du 19 mars 2026 (aff. C-526/24), la Cour de justice de l’Union européenne (CJUE) apporte un éclairage bienvenu sur le cas plus difficile où une seule demande est faite.

L’affaire trouve son origine en Allemagne, dans le cadre d’un litige opposant une personne concernée à un responsable de traitement concernant une unique demande d’accès. Il a toutefois refusé d’y répondre, estimant qu’elle présentait un caractère abusif.

Ce refus reposait sur un élément particulier : le demandeur était identifié comme une personne adressant de manière systématique des demandes d’accès à de nombreuses entreprises, dans le but d’engager ensuite des actions contentieuses, notamment indemnitaires, lorsque les sociétés ciblées ne répondaient pas dans le délai prévu par le règlement ou lorsque des irrégularités étaient détectées.

Il s’agissait donc là d’un cas d’instrumentalisation du texte : loin d’un intérêt légitime et innocent pour les traitements de données réalisés, l’auteur des faits avait une motivation purement mercantile. 

Saisi du litige, le juge autrichien a interrogé la CJUE sur la possibilité de qualifier une telle demande d’« excessive » ou d’« abusive », alors même qu’elle n’était pas répétée vis-à-vis du même responsable de traitement.

Dans son arrêt, la Cour adopte une lecture fonctionnelle de la notion d’abus.

Elle juge que le caractère abusif d’une demande ne se limite pas à son caractère répétitif à l’égard d’un même responsable de traitement. Il peut également résulter du comportement global du demandeur, y compris vis-à-vis d’autres responsables.

Ainsi, une demande peut être jugée abusive lorsque :

• elle s’inscrit dans une démarche systématique et organisée, visant à multiplier les demandes auprès de différents acteurs ; 
• elle poursuit un objectif détourné, notamment la préparation d’actions contentieuses de masse ou à visée lucrative ; 
• elle excède ce qui est nécessaire à l’exercice du droit d’accès, dont la finalité est de permettre à la personne de vérifier la licéité du traitement de ses données. 

Il restera donc à la charge du responsable de traitement de démontrer que ces critères étaient présents en l’espèce.

La CJUE admet donc que le fait pour un demandeur d’adresser en série des demandes à de nombreuses entreprises, dans une logique contentieuse, peut caractériser un usage abusif du droit d’accès, même en présence d’une demande unique adressée au responsable concerné.

Cette décision marque donc une étape supplémentaire dans le processus de délimitation du droit d’accès, dont les usages effectifs ont largement dépassé les intentions du législateur européen – rappelons qu’une réforme des conditions de ce droit fait ainsi partie des chantiers prévus dans le cadre de la révision du RGPD initiée par la Commission européenne.

Le département Droit du numérique, données et conformité peut vous accompagne dans la gestion de vos traitements de données à caractère personnel.

Pour toute question, n’hésitez pas à nous contacter.