L’arrêt Brillen Rottler du 19 mars 2026 est la décision par laquelle la Cour de justice de l’Union européenne (CJUE) définit les contours de l’abus de droit dans l’exercice du droit d’accès aux données personnelles (Article 15 du RGPD).
Elle autorise officiellement un responsable de traitement à rejeter une demande d’accès comme étant « manifestement excessive » si celle-ci est détournée de sa finalité de transparence pour servir des intérêts exclusivement pécuniers et artificiels.
Les 3 piliers de la décision
- L’abus dès la première demande : Contrairement à une idée reçue, l’abus ne nécessite pas forcément une répétition (plusieurs demandes successives). Une seule demande peut être jugée abusive si son intention est malveillante dès le départ.
- Le détournement de finalité : Le droit d’accès a pour but de vérifier la licéité d’un traitement. Si le demandeur s’inscrit à un service dans l’unique but de provoquer une faille (ex: un retard de réponse) pour réclamer une indemnité, il sort du cadre de protection du RGPD.
- L’exigence de preuves objectives : Pour refuser la demande, l’entreprise doit prouver la mauvaise foi par des indices concrets (comportement antérieur, messages publics vantant une stratégie de chantage au RGPD, etc.).
Pourquoi cet arrêt est-il historique ?
Avant cet arrêt, le droit d’accès était souvent considéré comme « absolu », et les entreprises craignaient des sanctions automatiques au moindre faux pas.
L’arrêt Brillen Rottler change la donne sur deux points :
- Protection des entreprises : Il offre un bouclier juridique contre les individus qui instrumentalisent le RGPD pour en faire une source de revenus (stratégie de « pêche aux dommages et intérêts »).
- Moralisation du droit : Il rappelle que les droits fondamentaux ne doivent pas servir à obtenir un avantage indu. Si la demande est jugée abusive, le lien entre l’éventuelle erreur de l’entreprise et le préjudice moral est rompu : aucune indemnité n’est due.
En résumé : Cet arrêt définit la frontière entre l’utilisateur vigilant (qui veut protéger ses données) et le demandeur de mauvaise foi (qui veut exploiter le système).