Le droit d’accès aux données à caractère personnel n’est pas un droit absolu

Flash info droit social

Le droit d’accès aux données à caractère personnel n’est pas un droit absolu

L’arrêt rendu le 19 mars par la Cour de justice de l’Union européenne (CJUE) est un tournant important dans une jurisprudence jusqu’à présent linéaire : il admet qu’une demande d’accès aux données à caractère personnel peut « être qualifiée d’« excessive », au sens de l’article 12, paragraphe 5, du RGPD, et être donc constitutive d’un abus de droit » lorsque la personne concernée a la volonté « d’obtenir un avantage résultant de la réglementation de l’Union en créant artificiellement les conditions requises pour son obtention » (CJUE, 19 mars 2026, aff. C-526/24, Brillen Rottler GmbH & Co. KG, § 36).

Un abus de droit ; c’est dit et il est rassurant de le lire : « l’application de la réglementation de l’Union ne saurait être étendue jusqu’à couvrir les opérations qui sont réalisées dans un […] but abusif ». La mobilisation de l’abus de droit pour sanctionner des comportements déviants dans l’exercice des prérogatives octroyées par le RGPD est heureuse après que la Cour de justice a semblé s’enfermer dans des interprétations toujours plus extensives, aveugle aux excès que ces interprétations sont susceptibles de cautionner.

Retrouvant le sens du droit, la Cour admet qu’une demande d’accès peut être excessive lorsqu’il existe une intention abusive de la part de la personne concernée et elle précise que l’excès n’est pas nécessairement d’ordre quantitatif – des demandes répétées ; il peut être qualitatif lorsque la personne introduit la demande pour une finalité autre que celle de prendre connaissance du traitement des données et d’en vérifier la licéité afin de pouvoir exercer, le cas échéant, les droits qu’elle tient du RGPD, et qu’elle ne cherche qu’à se procurer par ce moyen un avantage.

En l’occurrence, il a été retenu que l’intention abusive peut s’inférer de ce que la personne concernée avait introduit plusieurs demandes d’accès à ses données personnelles, suivies de demandes de réparation, auprès de différents responsables du traitement, se constituant ainsi un droit à réparation du préjudice résultant d’une violation du droit d’accès.

Cette hypothèse d’abus ouvrant la voie à d’autres applications éventuelles, l’une d’entre elles vient immédiatement à l’esprit. On ne la connaît que trop : c’est la pratique dévoyée du droit d’accès exercé par des salariés qui réclament toutes sortes de documents contenant des données personnelles qui les concernent – à commencer par les courriels professionnels qu’ils ont émis et reçus – pour y glaner des éléments de preuve qui seraient susceptibles de leur servir dans un contentieux en cours ou futur.

La chambre sociale de la Cour de cassation ne s’y est pas opposée. Dans une espèce où un salarié avait demandé, mais n’avait pas obtenu, la communication des courriels professionnel réclamés en vue de faire la preuve de la réalisation d’heures supplémentaires, elle a jugé que les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont des données à caractère personnel au sens de l’article 4 du RGPD et que le salarié a le droit d’accéder à ces courriels, l’employeur devant lui fournir tant leur contenu que les métadonnées (horodatage, destinataires) (Cass. soc., 18 juin 2025, n°23-19.022, P).

Pourrait-on dorénavant plaider l’abus de droit et l’existence d’une intention abusive du salarié ? Il faudra, pour l’employeur, le prouver pour justifier le refus de donner suite à la demande du salarié en établissant que la demande a, en réalité, pour objectif l’obtention d’un avantage probatoire et qu’elle vise à obtenir des éléments pour s’en servir contre ses intérêts.

Conformément à la jurisprudence de la Cour de justice, l’employeur ne peut en effet conditionner la fourniture d’une copie des données à l’invocation par le salarié d’un motif de nature à justifier sa demande (CJUE, 27 mai 2024, aff. C-312/23, Addiko Bank d.d. c. Agencija za zaštitu osobnih podataka).

Dans cette mesure, le moyen tiré de l’abus de droit pourrait trouver écho auprès des juges dont certains se sont déjà montré hostiles à l’utilisation du droit d’accès à des fins probatoires (v. not. CA Paris, 13 novembre 2025, n°25/03115 ; CA Paris, 18 décembre 2025, n°25/04270). Rien n’est bien sûr certain, ce qui appelle une autre observation. L’abus de droit ne serait-il pas retenu, la non-communication d’une copie des données personnelles n’ouvre pas droit, en toute hypothèse, à réparation.

La chambre sociale de la Cour de cassation l’avait pourtant laissé entendre dans l’arrêt rendu le 18 juin 2025, qualifiant la non-communication des courriels demandés de fautive et relevant qu’elle avait causé à l’intéressé un préjudice dont les juges du fond avaient apprécié le montant.

Mais la CJUE est, avec raison, plus exigeante. Elle décide qu’il ne peut « être considéré que toute « violation » des dispositions du RGPD ouvre, à elle seule, un droit à réparation au profit de la personne concernée » et qu’un préjudice ne peut « être présumé en raison de la survenance de [cette] violation ». Elle admet qu’un dommage moral puisse être caractérisé dans la mesure où il tient à la perte de contrôle de la personne sur ses données à caractère personnel ou à son incertitude quant au point de savoir si elles ont fait l’objet d’un traitement

Si dommage il y a, c’est donc un préjudice moral qui se rapporte à l’impossibilité dans laquelle la personne a été d’exercer les prérogatives qu’elle tient du RGPD – droit de rectification, droit à l’effacement, etc. – et il doit être prouvé. Il n’y a pas en revanche de préjudice indemnisable en lien causal avec le refus de communiquer une copie des données personnelles lorsque le salarié les réclame dans l’intention d’accéder à des documents en vue de les utiliser dans un objectif probatoire, l’intéressé n’ayant pas d’intérêt juridiquement protégé à prétendre les obtenir à cette fin.