Un opticien, une newsletter et 1 000 euros réclamés
Les faits sont presque comiquement petits pour un arrêt de cette portée. Un homme résidant en Autriche s'est abonné a la newsletter de Brillen Rottler, un opticien familial d'Arnsberg, en Allemagne, en saisissant ses données dans le formulaire d'inscription. Treize jours plus tard, il a adressé a l'entreprise une demande d'accès au titre de l'article 15 RGPD. L'opticien a refusé, en invoquant des articles, des blogs et des lettres d'avocats décrivant comment la même personne s'abonne systématiquement a des newsletters, dépose des demandes d'accès puis réclame des indemnités. L'homme exigeait au moins 1 000 euros pour le préjudice moral causé par ce refus.
Le tribunal local d'Arnsberg a posé a Luxembourg deux questions que des milliers d'entreprises européennes, en France aussi, se posaient tout bas : une première demande peut-elle déja être excessive, et un demandeur éconduit détient-il automatiquement un droit a réparation ? Le 19 mars 2026, la Cour a répondu aux deux.
Ce que la Cour a réellement décidé
Premièrement : une demande d'accès unique et formellement correcte peut déja être excessive au sens de l'article 12, paragraphe 5, du RGPD et donc être refusée, lorsqu'elle n'a pas été formée pour connaître le traitement et en vérifier la licéité, mais avec l'intention abusive de créer artificiellement les conditions d'une indemnisation au titre de l'article 82.
Deuxièmement, la Cour a listé ce sur quoi un responsable peut s'appuyer pour démontrer cette intention : toutes les circonstances de l'espèce, en particulier le fait que la personne a fourni ses données sans y être obligée, la finalité de cette fourniture, le temps écoulé entre l'inscription et la demande et la conduite de l'intéressé. Les informations publiquement disponibles montrant une série de nombreuses demandes suivies de réclamations contre divers responsables peuvent être prises en compte, mais pas comme base exclusive.
Troisièmement, le volet indemnitaire. La réparation de l'article 82 exige la preuve d'un dommage matériel ou moral réel, et elle est exclue lorsque la propre conduite du demandeur est la cause déterminante du dommage. La perte de contrôle sur ses données reste en principe indemnisable, mais une perte fabriquée n'est pas un dommage causé par le responsable.
L'industrie du contentieux que cet arrêt assèche
Le modèle économique décrit par la Cour porte un nom dans la pratique : le RGPD hopping. S'abonner a des dizaines de newsletters, envoyer des demandes d'accès en rafale, attendre qu'un responsable dépasse le délai d'un mois ou réponde de façon incomplète, puis réclamer de quelques centaines a quelques milliers d'euros de préjudice moral. Le modèle passe a l'échelle parce que répondre coûte cher et transiger coûte peu. Les petites entreprises, exactement le genre familial au centre de cette affaire, étaient ses cibles favorites.
L'arrêt attaque le modèle par les deux bouts. La demande elle-même peut être refusée lorsque l'intention abusive est démontrable, et le paiement s'effondre lorsque le dommage a été fabriqué par le demandeur. Ce qui reste intact, c'est le demandeur honnête : la Cour a réaffirmé que l'accès existe pour vérifier la licéité, et rien dans l'arrêt n'autorise a filtrer les demandes au soupçon ou a l'agacement.
Ce qu'il faut changer dans votre traitement des demandes
La mauvaise lecture de cet arrêt : on pourrait désormais refuser les demandes inconfortables. La charge de démontrer l'abus vous incombe, la preuve doit dépasser une impression, et une demande refusée a tort vous expose toujours aux plaintes devant la CNIL, aux amendes et aux dommages-intérêts. La bonne lecture : la discipline de preuve paie. Consignez chaque demande avec son horodatage et son contexte, répondez dans le délai par défaut, et traitez le refus comme l'exception documentée pour laquelle un dossier se construit d'abord.
Pour le dirigeant, le geste opérationnel est un triage écrit des demandes : qui les évalue, selon quels critères tirés de cet arrêt, qui valide un refus, et où est classée la preuve. C'est cette traçabilité qui transforme une défense validée par la Cour en une défense que vous pouvez réellement utiliser.
À lire ensuite: Les plaintes donnees au Royaume-Uni ont un chrono · Des données illicites peuvent gagner en justice



