CJUE 19 mars 2026, aff. C-526/24, Brillen Rottler GmbH & Co. KG c/ TC
Un particulier autrichien s’est abonné à la newsletter d’un opticien allemand puis a exercé, treize jours plus tard, son droit d’accès à ses données personnelles prévu par les dispositions de l’article 15 du Règlement général sur la protection des données (RGPD).
L’entreprise a refusé, estimant qu’il avait agi de façon répétée pour réclamer ensuite une indemnisation. Il a alors saisi les juridictions locales d’une demande de dommages et intérêts. Le tribunal a prononcé un sursis à statuer et a saisi la Cour de justice de l’Union européenne (CJUE) de plusieurs questions préjudicielles.
L’arrêt de la CJUE apporte deux précisions importantes :
-Une première demande d’accès peut être qualifiée d’excessive :
Le caractère « excessif » au sens de l’article 12 §5 du RGPD est qualitatif et non quantitatif : le caractère répétitif n’est mentionné qu’à titre indicatif dans l’article.
Une première demande peut donc être refusée, mais à titre exceptionnel et sous conditions.
Le responsable du traitement doit démontrer « de façon non équivoque » deux éléments cumulatifs :
Ainsi, le nombre de demandes ne détermine pas, lui seul, le caractère excessif ou non d’une demande.
Les indices pertinents caractérisés en l’espèce sont : le bref délai écoulé entre la fourniture des données et la demande, et un mode opératoire identique utilisé à plusieurs reprises par le particulier en cause et établi par des informations publiques. La charge de cette preuve incombe entièrement au responsable du traitement
-Le droit à réparation est ouvert, mais encadré : l’article 82, § 1, du RGPD, aux termes duquel toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement a droit à réparation, s’applique à la seule violation du droit d’accès, indépendamment de tout traitement illicite. Mais trois conditions sont cumulatives :
À titre de mise en perspective, et s’agissant plus particulièrement des demandes de droit d’accès à des fins probatoires, l’arrêt de la CJUE offre aux employeurs un argument supplémentaire, à manier toutefois avec précaution.
Sur le plan européen, la CJUE subordonne le rejet d’une telle demande à la démonstration d’un abus de droit caractérisé : il faut établir que le demandeur a artificiellement construit la situation pour contourner les voies probatoires de droit commun, et non simplement qu’il poursuit un objectif contentieux.
Sur le plan français, certaines juridictions ont adopté une approche plus restrictive du droit d’accès, sans exiger la démonstration d’un tel artifice.
La Cour d’appel de Paris (CA Paris, Pôle 6, ch. 2, 18 décembre 2025, n° 25-04.270) a ainsi jugé que le droit d’accès ne permet pas à un salarié d’obtenir la copie de courriels dont il a déjà eu connaissance.
Plus encore, la Cour a retenu que, dans ce contexte, seuls les éléments d’identification tels que le nom, l’adresse ou l’identifiant constituent des données personnelles au sens du RGPD, excluant ainsi le contenu même des échanges du champ de la demande d’accès.
Cette position s’écarte par ailleurs de celle de la chambre sociale (Cass. soc., 18 juin 2025, n° 23-19.022), qui reconnaît la possibilité de communiquer le contenu des courriels et de leurs métadonnées.
Dans ce contexte d’instabilité jurisprudentielle, l’employeur confronté à une demande d’accès formulée à la veille d’un contentieux prud’homal dispose d’arguments pour en contester la finalité sans pour autant pouvoir s’y opposer de manière systématique.