Le droit d’accès n’est pas absolu : ce que l’arrêt Brillen Rottler change pour les équipes DSAR

La décision de la CJUE du 19 mars 2026 ne réduit pas le droit d’accès. En revanche, elle rappelle qu’une demande au titre du RGPD peut, dans certains cas, être abusive et que les équipes doivent être capables de le démontrer proprement.

Introduction

Le 19 mars 2026, la Cour de justice de l’Union européenne a rendu un arrêt qui compte pour toutes les organisations confrontées à des demandes d’accès aux données personnelles. Dans l’affaire Brillen Rottler (C-526/24), la Cour précise qu’une demande fondée sur l’article 15 du RGPD peut, dans certains cas, être qualifiée d’excessive, y compris lorsqu’il s’agit d’une première demande.

Dit autrement : le droit d’accès reste un droit central, mais il n’est pas totalement détaché de sa finalité. Lorsqu’une demande est introduite non pour comprendre le traitement ou en vérifier la licéité, mais dans une intention abusive, le RGPD n’impose pas forcément d’y donner suite comme à une demande standard.

Pour les équipes DSAR, l’intérêt de cet arrêt est très concret. Il ne donne pas un “droit au refus” confortable. Il renforce surtout une exigence de méthode : qualifier le contexte, documenter les indices, tracer les arbitrages, et distinguer les dossiers ordinaires des cas sensibles.

Que veut dire DSAR ?

DSAR signifie Data Subject Access Request, c’est-à-dire une demande d’accès aux données personnelles. En pratique, il s’agit du droit pour une personne d’obtenir confirmation qu’un organisme traite ou non ses données, d’accéder à ces données et d’obtenir des informations sur le traitement, dans le cadre notamment de l’article 15 du RGPD.

Dans la réalité opérationnelle, traiter un DSAR implique rarement une simple extraction. Il faut souvent retrouver les données dans plusieurs systèmes, revoir des e-mails, des pièces jointes, des documents RH ou d’autres contenus non structurés, tout en protégeant les droits des tiers et en gardant une logique de décision défendable.

Ce que dit vraiment l’arrêt Brillen Rottler

L’affaire portait sur une personne qui s’était inscrite à une newsletter puis avait, treize jours plus tard, exercé une demande d’accès. L’entreprise soutenait que cette démarche s’inscrivait dans une stratégie plus large : provoquer artificiellement une situation de non-conformité pour ensuite réclamer une indemnisation.

La CJUE ne dit pas qu’un responsable du traitement peut refuser librement une demande qui lui paraît opportuniste. Elle dit quelque chose de plus précis : l’article 12, paragraphe 5 du RGPD peut s’appliquer même à une première demande, si celle-ci est excessive au regard des circonstances.

C’est le point clé de la décision. Beaucoup associaient surtout la notion de demande excessive à des demandes répétées. La Cour précise ici que le caractère répétitif n’est qu’un exemple, pas une condition indispensable. Une demande unique peut déjà être excessive.

Mais la barre reste haute. Le responsable du traitement doit démontrer, à partir d’un faisceau d’indices, que la demande n’a pas été introduite pour permettre à la personne concernée de prendre connaissance du traitement et d’en vérifier la licéité, finalité normale rappelée par le considérant 63 et liée à l’article 15 du RGPD.

Pourquoi cette décision compte vraiment pour les équipes DSAR

Le vrai apport de l’arrêt n’est pas théorique. Il est organisationnel.

Dans beaucoup d’entreprises, les équipes traitent encore les demandes d’accès avec une logique binaire : soit la demande est valable en apparence et il faut tout lancer, soit elle pose un problème évident. Or les dossiers difficiles se situent rarement dans l’un de ces deux extrêmes.

Ce que montre l’arrêt Brillen Rottler, c’est qu’il faut savoir lire le contexte. Cela suppose, selon les cas :

  • d’identifier le lien entre la collecte initiale des données et la demande,
  • d’évaluer le délai entre cette collecte et l’exercice du droit,
  • de repérer d’éventuels indices d’une stratégie répétée,
  • de comprendre si la demande vise réellement le contrôle du traitement ou un autre objectif.

Autrement dit, la robustesse d’un processus DSAR ne se mesure pas seulement à sa capacité à trouver les données. Elle se mesure aussi à sa capacité à qualifier les cas ambigus sans improviser.

Cette exigence est importante parce qu’un refus mal motivé reste risqué. Mais une réponse donnée sans analyse sur un dossier sensible peut l’être aussi. Entre les deux, il faut un processus capable de faire remonter les bons signaux et de documenter les décisions.

L’impact concret pour Pinda

C’est précisément là que l’arrêt rencontre les enjeux couverts par Pinda.

Dans un dossier simple, une organisation peut souvent répondre avec des méthodes relativement standard. Mais dès qu’un DSAR implique des contenus non structurés, des documents internes, des données de tiers ou un contexte conflictuel, la difficulté change de nature. Le sujet n’est plus seulement la récupération des données. Il devient un sujet de tri, de qualification, de revue et de traçabilité.

L’arrêt du 19 mars 2026 renforce donc l’intérêt d’un workflow DSAR capable de :

  • centraliser les sources pertinentes,
  • rendre visibles les éléments contextuels utiles à l’analyse,
  • distinguer les cas standard des cas à escalade juridique,
  • garder une trace exploitable des décisions prises,
  • aider les équipes à instruire proprement les demandes portant sur des volumes importants d’e-mails et de documents.

L’impact pour Pinda n’est pas de “refuser plus”. Ce serait une lecture trop courte de la décision. L’impact réel est de mieux outiller la qualification des dossiers. Si une demande doit être traitée normalement, il faut pouvoir le faire efficacement. Si elle soulève un doute sérieux, il faut pouvoir l’identifier tôt, documenter le contexte et soutenir une décision juridiquement défendable.

C’est exactement le type de travail où une solution orientée DSAR, revue documentaire et protection des tiers devient plus utile qu’un simple workflow de collecte.

Conclusion

L’arrêt Brillen Rottler rappelle que le droit d’accès prévu par l’article 15 du RGPD est un droit fondamental, mais qu’il ne peut pas être détaché de sa finalité au point de couvrir des démarches abusives. Dans certains cas, même une première demande peut être qualifiée d’excessive.

Pour les organisations, la leçon n’est pas de durcir mécaniquement leur posture. La vraie leçon est de professionnaliser leur traitement des DSAR : mieux qualifier, mieux documenter, mieux tracer, et mieux séparer les cas standard des cas sensibles.

Dans cette logique, Pinda apporte une réponse concrète : aider les équipes juridique, RH et IT à traiter les demandes d’accès avec plus de lisibilité, plus de contrôle et une meilleure capacité à défendre les arbitrages réalisés au regard de l’article 15 du RGPD.

Prêt à gérer vos demandes d'accès sans friction ?

Votre première demande d'accès est entièrement offerte. Sans engagement, sans carte bancaire, sans conditions. Découvrez comment Pinda transforme des semaines de travail manuel en quelques minutes.

Commencer gratuitement