Le droit d’accès aux données personnelles n’est pas un droit sans limite. Dans un récent arrêt, la CJUE reconnaît l’abus de droit. Une inflexion discrète, mais aux implications très pratiques pour les pouvoirs locaux.

Jusqu’ici, l’exercice du droit d’accès tel que prévu par le RGPD était plutôt favorable aux demandeurs. La Cour de Justice de l’Union européenne (CJUE) avait rappelé à plusieurs reprises que le droit d’accès ne devait pas être conditionné à une motivation particulière et pouvait être exercé indépendamment de l’objectif poursuivi. En pratique, cela limitait fortement la possibilité, pour les administrations, d’opposer un refus sur la base de l’article 12, §5 du RGPD (demandes manifestement infondées ou excessives).

L’arrêt de mars 2026[1] vient rééquilibrer cette approche. La CJUE confirme que le droit d’accès n’échappe pas à la théorie générale de l’abus de droit en droit de l’Union. Une demande peut ainsi être écartée lorsqu’elle révèle, à la fois, un caractère objectivement excessif et une intention de détourner le droit de sa finalité — par exemple pour obtenir un avantage étranger à la protection des données.

La Cour invite à une analyse concrète, au cas par cas, en tenant compte du contexte, du comportement du demandeur et de l’objectif poursuivi. Autrement dit, il ne suffit plus de constater qu’une demande entre formellement dans le champ de l’article 15 : encore faut-il vérifier qu’elle s’inscrit dans un usage loyal du droit.

Pour les communes, cette évolution est loin d’être théorique. Elle offre une base juridique plus solide pour faire face à certaines demandes qui, dans la pratique, peuvent s’avérer particulièrement lourdes à traiter sans toujours correspondre à l’esprit du RGPD.

On pense notamment à des situations où le droit d’accès est mobilisé dans un contexte conflictuel, avec des effets parfois très concrets : ralentissement des services, multiplication des sollicitations parallèles, tentative de remise en cause indirecte de décisions administratives (sanctions, taxes, amendes), ou encore des demandes ayant pour but de faire un recours en justice pour obtenir des dommages et intérêts. Dans d’autres cas, les demandes apparaissent fortement standardisées, voire peu individualisées.

Sans remettre en cause l’importance du droit d’accès – qui reste un pilier du RGPD – la décision de la CJUE vient ainsi rappeler qu’il ne peut être instrumentalisé sans limite.

Enfin, l’invocation de l’abus devra être solidement motivée. Le refus d’une demande d’accès demeure l’exception, et chaque situation devra être appréciée avec prudence, au regard des circonstances concrètes.

[1] CJUE, 19 mars 2026, Brillen Rottler GmbH, disponible sur infocuria.curia.europa.eu.