RGPD – UNE DEMANDE D’ACCES AUX DONNEES PERSONNELLES PEUT ETRE REFUSEE SI ELLE EST ABUSIVE
Un particulier résidant en Autriche s’est abonné au bulletin d’information d’une entreprise d’optique en Allemagne (Lunettes Rottler), en renseignant ses données à caractère personnel dans le formulaire d’inscription disponible sur le site. Treize jours plus tard, il demande l’accès à ses données personnelles au titre du RGPD, demande qui est rejetée par Lunettes Rottler car estimée abusive. Selon elle, il ressort de divers reportages, blogs etc… que cet individu s’inscrit systématiquement à des bulletins d’information de diverses entreprises, avant d’introduire une demande d’accès puis une demande de réparation. Il aurait réclamé environ 160 000 € de dommages et intérêts à 66 reprises entre fin 2022 et octobre 2023.
Sans surprise, l’individu considère toutefois que sa demande d’accès était légitime, et demande à Lunettes Rottler une indemnité d’au moins 1 000 € en réparation d’un prétendu dommage moral. Saisi, le tribunal local interroge la Cour de justice de l’UE sur le fait de savoir si une première demande d’accès aux données à caractère personnel introduite par la personne concernée peut être considérée comme étant « excessive » et si cette personne a droit à réparation du dommage résultant d’une violation du droit d’accès à ces données.
La CJUE vient donc de répondre dans sa décision du 19 mars qu’une première demande d’accès peut, sous certaines circonstances, être déjà considérée comme étant « excessive » au sens du RGPD et donc être abusive. C’est le cas lorsque le responsable du traitement démontre que cette demande a été introduite non pas pour prendre connaissance du traitement des données et en vérifier la licéité, mais avec l’intention, qu’on peut qualifier d’« abusive », de créer artificiellement les conditions requises pour obtenir une réparation en vertu du RGPD.
Le fait que, selon des informations accessibles au public, la personne concernée ait introduit plusieurs demandes d’accès à ses données à caractère personnel, suivies de demandes de réparation, auprès des différents responsables du traitement peut être pris en considération afin d’établir l’existence d’une telle intention abusive. En outre, une personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD, y compris d’une violation du droit d’accès à ses données à caractère personnel, a le droit d’obtenir du responsable du traitement une réparation d’un tel dommage, mais pas si son propre comportement constitue la cause déterminante du préjudice.
Source : CJUE affaire C-526/24