DAVID SITBON

UNE DEMANDE D'ACCÈS À DES DONNÉES DANS LE SEUL BUT D'OBTENIR RÉPARATION PEUT ÊTRE QUALIFIÉE D'EXCESSIVE (CJUE, 19 MARS 2026)

Le 19 mars 2026, la CJUE a apporté une précision importante sur les modalités d’exercice du droit d’accès aux données personnelles (articles 12§5 et 15 du RGPD).

Selon la CJUE, une demande d’accès peut être considérée comme « excessive » lorsqu’elle est introduite, non pas pour prendre connaissance du traitement et en vérifier la licéité, mais dans une intention « abusive ».

Dans cette affaire, le modus operandi de la personne concernée était le suivant :
-       S’inscrire à des newsletters de diverses entreprises,
-       Introduire une demande d’accès,
-       Puis demander réparation sur le fondement de l’article 82 du RGPD.

Un tel comportement peut révéler une intention abusive de créer artificiellement les conditions requises pour obtenir une réparation au titre du RGPD.

Plus encore, même s’il s’agit d’une « première demande », celle-ci peut être qualifiée d'excessive et donc être refusée.

Cette décision s’inscrit dans une tendance plus large : encadrer les usages détournés et abusifs des droits issus du RGPD.

Elle fait également écho aux réflexions en cours au niveau européen (notamment autour du projet Digital Omnibus) visant à limiter les demandes d’accès formulées à des fins étrangères à la protection des données.

En pratique, chaque demande d’accès doit faire l’objet d’une analyse précise de :

1. Son contexte

2. Son objectif

3. Son étendue

La mise en place d’une politique de gestion des droits est un outil de conformité indispensable pour structurer et sécuriser les réponses apportées aux demandes d’exercice de droits.