Par Haas Avocats
Dans le cas où les autorités de protection des données (ADP) souhaitent refuser de faire suite à des réclamations jugées « excessives » émises par une personne concernée, devront-elles prendre en compte le caractère répétitif de demandes effectuées ou devront-elles également prendre en compte son intention de nuire ? La CJUE (Cour de Justice de l’Union Européenne) répond à cette question dans un arrêt du 9 janvier 2025[1].
Quels sont les faits ?
En 2020, l’autorité de protection des données autrichienne (DSB) a refusé[2] de donner suite à une réclamation d’une personne en justifiant du fait que cette dernière était qualifiée d’excessive. Cette dernière lui avait adressé, en moins de 2 ans, 77 réclamations pour contester l’absence de réponse dans le délai requis d’un mois à ses demandes d’accès ou d’effacement auprès de différents responsables de traitement.
Face à ce refus, l’intéressé a formé un recours auprès du tribunal administratif fédéral d’Autriche. En décembre 2022, cette juridiction a annulé ladite décision. A la suite de quoi, la DSB a saisi la Cour administrative d’Autriche. Cette dernière pose notamment la question de la qualification de demande excessive.
Réclamations excessives : le simple volume suffit-il à prouver l’abus ?
Un nombre important de réclamations ne constitue pas, de facto, une « réclamation excessive »
Est-ce que la seule circonstance que des demandes ont été adressées en grand nombre peut suffire pour que celles-ci soient qualifiées d’« excessives » ou est-ce qu’une telle qualification suppose en plus une intention abusive de la part de la personne qui a introduit ces demandes ?
Force est de constater que la Cour affirme que le nombre de demandes introduites par une personne concernée auprès d’une autorité de contrôle, aussi important qu’il soit, ne pourrait, à lui seul, constituer un critère suffisant pour conclure à l’existence de « demandes excessives ».
La Cour précise qu’il est nécessaire de prendre en compte, en plus de ce critère, l’ensemble des circonstances de chaque cas d’espèce pour déterminer l’existence d’une démarche abusive de la part de la personne concernée.
On pourrait imaginer notamment le critère du délai. Si le fait que les demandes sont effectuées pendant le délai de traitement prévu (1 mois ou 3 mois selon la complexité de la demande)[3], cela pourrait être un indice pour qualifier ces demandes d’excessives. De la même manière, il pourrait être pertinent d’analyser ce que le CEPD appelle le seuil d’intervalles raisonnables[4] dans ses lignes directrices.
L’absence de moyen d’une APD ne justifie pas le refus de donner suite à de trop nombreuses réclamations émanant d’une même personne
La Cour précise également que le fait qu’une personne saisisse une autorité de protection d’un nombre plus important de réclamations qu’attendu de la part d’une personne lambda, et entrainant ainsi une lourde charge de traitement, ne suffit pas à justifier un refus de donner suite à ces réclamations. L’argument que ces traitements mobiliseraient plus de moyens au détriment d’autres réclamations n’est donc pas recevable.
Il incombe aux États membres de fournir aux autorités de contrôle les moyens adaptés au traitement de toutes les réclamations dont elles sont saisies.
La CJUE établit un équilibre clair entre la protection des droits des personnes concernées et la gestion des ressources des autorités de protection des données (APD). En réaffirmant ces principes, la CJUE protège les droits fondamentaux des personnes concernées tout en appelant à une gestion proportionnée et équitable des réclamations.
Cette décision constitue une pierre angulaire pour encadrer les relations entre les personnes concernées, les responsables de traitement et les autorités de contrôle dans un environnement de plus en plus marqué par les exigences de transparence et de respect des droits sur les données.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] CJUE, C‑416/23
[2] Sur le fondement de l’article 57, paragraphe 4 du RGPD
[3] Article 12 du RGPD
[4] Considérant 63 du RGPD
