Source: DLA Piper Privacy Matters
Une juridiction européenne a précisé que les entreprises peuvent, dans certaines circonstances, refuser une demande d'accès aux données personnelles (DSAR) même s'il s'agit de la toute première demande qu'elles reçoivent de la part de cette personne.
Selon un article de blog de DLA Piper Privacy Matters, le 19 mars 2026, la Cour de justice de l'Union européenne (CJUE) a rendu son arrêt dans l'affaire C-526/24, impliquant l'opticien allemand Brillen Rottler. L'affaire concernait un résident autrichien, désigné uniquement sous les initiales TC, qui s'était inscrit à la newsletter de l'entreprise avant de soumettre une demande d'accès fondée sur l'article 15 du RGPD peu de temps après. Brillen Rottler a refusé la demande, au motif qu'elle était abusive et conçue uniquement pour déclencher une demande d'indemnisation au titre de l'article 82 du RGPD, plutôt que pour exercer réellement un droit à la vie privée.
TC a contesté cette position et aurait réclamé au moins 1 000 euros d'indemnisation pour préjudice moral causé par ce refus. Il est important de préciser que ce montant correspond à la somme réclamée par TC, et non à une amende prononcée par une autorité de contrôle. L'affaire a été renvoyée devant la CJUE par un tribunal local en Allemagne.
Selon le rapport de DLA Piper, la CJUE a confirmé deux points importants.
Premièrement, une première demande d'accès peut être refusée comme « excessive » au titre de l'article 12(5) du RGPD si le responsable du traitement est en mesure de démontrer une intention abusive. La Cour aurait précisé que la référence aux « demandes répétées » à l'article 12(5) n'est qu'un exemple d'excès parmi d'autres, et non le seul cas possible. La question déterminante est de savoir si la demande a été formulée dans l'intention de créer artificiellement les conditions d'une demande d'indemnisation, et non simplement de comptabiliser le nombre de demandes soumises.
Deuxièmement, sur la question de l'indemnisation au titre de l'article 82 du RGPD, la Cour aurait jugé que le lien de causalité requis pour une demande d'indemnisation peut être rompu lorsque le comportement de la personne concernée elle-même est le facteur principal du préjudice allégué.
La source étant un article de blog secondaire plutôt que le texte de l'arrêt lui-même, ces informations doivent être traitées avec une certaine prudence dans l'attente de la publication de la décision complète.
Si une personne s'inscrit à votre liste de diffusion ou remplit votre formulaire de contact, puis envoie rapidement une demande d'accès, vous n'êtes pas automatiquement tenu d'y répondre sans vous interroger. Toutefois, refuser une demande n'est pas une démarche anodine : vous devrez être en mesure de démontrer une intention abusive, et une erreur d'appréciation pourrait tout de même vous exposer à une plainte auprès de la CNIL. Si vous souhaitez vous assurer que votre processus de traitement des demandes d'accès est solide, notre liste de contrôle de conformité RGPD et notre guide sur les exigences en matière de politique de confidentialité constituent de bons points de départ.
Scan gratuit couvrant le RGPD, le droit d'auteur, l'accessibilité, la sécurité et plus encore.
Lancer le check gratuitUne grande entreprise technologique belge a reçu une amende totale de 176 000 euros de la part de l'Autorité de protection des données belge (APD) pour ne pas avoir supprimé en temps voulu la boîte ma
De nombreuses petites entreprises supposent que si un client clique sur « j'accepte » dans leurs conditions générales d'utilisation, elles ont couvert leurs bases légales pour l'utilisation des donnée
L'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens, ou AP) sollicite des contributions publiques sur un projet de politique d'application, selon une annonce publiée sur le