Un plaignant avait adressé à l’autorité de protection des données autrichienne 77 réclamations RGPD concernant des demandes de droit d’accès contre différentes sociétés, dans un intervalle d’environ 20 mois.

❌ L’autorité de contrôle avait refusé de donner suite à cette réclamation RGPD en raison de son caractère excessif.

La CJUE a été saisie de la question de savoir si ces demandes RGPD pouvaient être qualifiées d’excessives. Elle y a répondu par un arrêt du 9 janvier 2025.

17 février 2020 : le plaignant a introduit une réclamation RGPD auprès de l’autorité de protection des données autrichienne au motif qu’une société, qui avait la qualité de responsable du traitement, n’avait pas répondu à sa demande d’accès dans un délai d’un mois.

Par décision du 22 avril 2020 : l’autorité de contrôle a refusé de donner suite à cette réclamation RGPD en raison de son caractère excessif.
L’intéressé lui avait adressé, dans un intervalle d’environ 20 mois, 77 réclamations RGPD similaires contre différents responsables de traitement.

Arrêt du 22 décembre 2022 : le tribunal administratif d’Autriche a accueilli le recours du plaignant et annulé la décision de l’autorité de contrôle.
Saisie d’un recours en révision contre cet arrêt, la Cour administrative d’Autriche a posé des questions préjudicielles à la CJUE.

Le grand nombre de demandes RGPD dont est saisie une autorité de protection des données ne permet pas de qualifier les demandes RGPD d’”excessives”.
Pour qualifier les demandes RGPD d’”excessives”, l’autorité de protection des données doit démontrer l’existence d’une intention abusive de la part de la personne ayant introduit ces demandes RGPD.

En effet, un nombre important de réclamations RGPD peut être la conséquence directe d’un nombre élevé d’absences de réponse ou de refus de faire droit, de la part d’un ou de plusieurs responsables du traitement, à des demandes RGPD d’accès formulées par une personne afin de protéger ses droits.

Il incombe donc à l’autorité de protection des données qui est saisie d’un nombre important de réclamations RGPD de démontrer que ce nombre s’explique non pas par la volonté de la personne concernée d’obtenir une protection des droits qu’elle tire du RGPD, mais par une finalité autre, sans lien avec cette protection.

Il en va ainsi, en particulier, lorsque ces circonstances révèlent que le nombre de réclamations RGPD vise à entraver le bon fonctionnement de cette autorité de protection des données en mobilisant ses ressources de manière abusive.

Cela peut être le cas, par exemple :
– lorsqu’une personne introduit un nombre à ce point élevé de réclamations RGPD auprès d’une autorité de protection des données, en visant une multitude de responsables du traitement avec lesquels elle n’a pas nécessairement de lien,
– que cet usage démesuré de son droit de soumettre des réclamations RGPD met en évidence, en lien avec d’autres éléments tels que le contenu de ces réclamations RGPD, son intention de paralyser le fonctionnement de cette autorité de protection des données en la saturant de demandes RGPD.

L’article 57, paragraphe 4, du RGPD doit être interprété en ce sens que, lorsqu’elle est confrontée à des demandes RGPD excessives, une autorité de protection des données peut choisir, par une décision motivée, entre exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à ces demandes, en tenant compte de l’ensemble des circonstances pertinentes et en s’assurant du caractère approprié, nécessaire et proportionné de l’option choisie.

A la lumière du considérant 129 du RGPD, les autorités de protection des données pourraient envisager d’exiger : dans un premier temps, le paiement de frais raisonnables basés sur les coûts administratifs avant de, refuser, dans un second temps, de donner suite aux réclamations RGPD, dans la mesure où la première de ces mesures porte une atteinte moindre aux droits que les personnes concernées tirent de ce règlement que la seconde.

Vous cherchez un avocat RGPD pour votre mise en conformité au RGPD ? Contactez-moi.