Dans une décision du 9 janvier 2025 (C-416/23), la Cour de Justice de l’Union Européenne a été amenée à répondre à des questions préjudicielles sur le caractère excessif de réclamations formées auprès d’autorités de contrôles de données personnelles.
Contexte : de nombreuses réclamations soulevées auprès de l’autorité de contrôle autrichienne
Une personne autrichienne, manifestement procédurière en matière de données personnelles, contactait régulièrement des responsables de traitements pour solliciter un accès à ses données personnelles traitées, comme cela lui est permis par le RGPD.
Lors de refus ou d’absence de réponse de la part du responsable concerné, elle soumettait une réclamation à l’autorité de contrôle autrichienne (la DSB).
Cette dernière avait fini par refuser de donner suite à une réclamation, estimant qu’elle avait un caractère excessif : l’autorité indiquait notamment que la personne en question lui avait adressé près de 80 réclamations similaires à l’encontre de divers responsables de traitements dans un intervalle de 20 mois.
L’article 57 du RGPD laisse en effet la possibilité aux autorités de contrôle de refuser de donner suite à une réclamation (selon le même régime que pour les responsables de traitement) lorsque les demandes « sont manifestement infondées excessive, en raison, notamment, de leur caractère répétitif ».
Le tribunal fédéral administratif autrichien a annulé la décision de la DSB, considérant en substance que le caractère excessif d’une demande, supposait une répétition fréquente des demandes mais aussi un caractère manifestement vexatoire ou abusif de celles-ci.
Saisi par la DSB d’un recours en révision, la Cour administrative autrichienne a posé à la Cour de Justice de l’Union Européenne trois questions préjudicielles.
Solution : un nombre élevé de réclamations, critère insuffisant pour ne pas y donner suite
1/ L’insuffisance du caractère répété des demandes
La Cour de Justice, répondant à la première question, rappelle tout d’abord que les réclamations formées auprès d’une autorité de contrôle, font partie de la catégorie plus large des « demandes » visées par l’article 57 du RGPD.
S’agissant ensuite surtout de l’appréciation du caractère excessif de ces réclamations, la Cour de Justice rappelle d’abord que les personnes bénéficient d’un droit d’accès à leurs données, et que fixer un seuil chiffré absolu au-delà duquel des réclamations deviendraient automatiquement qualifiées d’excessives, pourrait porter atteinte à ce droit d’accès.
Dès lors, le nombre de réclamations introduites n’est pas, à lui seul, un critère suffisant pour caractériser un abus.
Pour caractériser une demande excessive ou infondée, il appartient donc à l’autorité de contrôle de démontrer que le nombre important de demandes formées s’explique non par la volonté de la personne concernée d’obtenir une protection de ses droits mais par une finalité autre, telle que par exemple entraver le bon fonctionnement de l’autorité de contrôle.
2/ Le libre choix de la réponse à apporter à une demande infondée ou excessive
Lorsqu’une demande est excessive ou infondée, le texte laisse la possibilité à l’autorité de contrôle d’exiger de la personne concernée le paiement de frais raisonnables basés sur les coûts administratifs ou de refuser de donner suite à la demande.
La Cour administrative autrichienne s’interrogeait sur le fait de savoir si ce choix était totalement libre pour l’autorité de contrôle.
La Cour de Justice rappelle que le texte ne comporte aucune hiérarchie entre les options laissées à l’autorité de contrôle.
Par conséquent, compte tenu de l’importance de la possibilité pour les personnes d’introduire des réclamations, il appartient aux autorités de prendre en compte toutes les circonstances pertinentes et de s’assurer du caractère approprié, nécessaire et proportionné de l’option choisie, sans qu’il ne puisse être imposé à l’autorité de privilégier dans un premier temps le paiement de frais par la personne demanderesse.
En résumé, le fait qu’une personne adresse un nombre important de réclamations à une autorité de contrôle n’est pas suffisant pour que ladite autorité refuse de donner suite à ses demandes.
Vous souhaitez creuser le sujet ? Vous pouvez prendre attache avec un avocat propriété intellectuelle / RGPD du Cabinet.