Une demande d’accès à des données à caractère personnel peut être qualifiée d'excessive, donc abusive, et être refusée si elle est introduite dans le seul but de demander une réparation pour prétendue violation du règlement 'RGPD', a estimé la Cour de justice de l'Union européenne dans un arrêt rendu jeudi 19 mars (affaire C-526/24).
En Allemagne, l'entreprise d'optique Brillen Rottler refuse de donner l'accès à un individu résidant en Autriche à ses données personnelles compilées dans un formulaire disponible sur le site Internet de la société allemande. Elle argue que la demande est abusive dans la mesure où cette personne est connue pour s'inscrire systématiquement à des bulletins d'information d'entreprises, introduire une demande d'accès et demander des réparations au titre du dommage moral qu'elle prétend avoir subi au titre du rejet de sa demande d'accès.
D'après la Cour, une première demande d'accès peut, sous certaines conditions, être déjà considérée comme 'excessive' au sens du règlement 'RGPD'(2016/679).
C’est le cas lorsque le responsable du traitement démontre que, malgré un respect formel des conditions prévues par le droit de l'UE, une demande d’accès a été introduite non pas pour prendre connaissance du traitement des données et d’en vérifier la licéité (pour ainsi pouvoir exercer un droit à la rectification ou à l’effacement, ou un droit d’opposition), mais avec l’intention de créer artificiellement les conditions requises pour obtenir une réparation, intention que l’on peut qualifier d''abusive'.
Le fait que, selon des informations accessibles au public, la personne concernée ait introduit plusieurs demandes d’accès à ses données personnelles, suivies de demandes de réparation, auprès des différents responsables du traitement des données peut être pris en considération afin d’établir l’existence d’une telle intention abusive, ajoute la Cour.
Voir l'arrêt de la Cour de justice : https://aeur.eu/f/l98 (Mathieu Bion)