ARRÊT DE LA COUR (première chambre)
9 janvier 2025 ( *1 )
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 57, paragraphe 1, sous f), et paragraphe 4 – Missions de l’autorité de contrôle – Notions de “demande” et de “demandes excessives” – Exigence de paiement de frais raisonnables ou refus de donner suite aux demandes en cas de demandes manifestement infondées ou excessives – Critères susceptibles de guider le choix de l’autorité de contrôle –
Article 77, paragraphe 1 – Notion de “réclamation” »
Dans l’affaire C‑416/23,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Verwaltungsgerichtshof (Cour administrative, Autriche), par décision du 27 juin 2023, parvenue à la Cour le 6 juillet 2023, dans la procédure
Österreichische Datenschutzbehörde
contre
F R,
en présence de :
Bundesministerin für Justiz,
LA COUR (première chambre),
composée de M. T. von Danwitz, vice-président de la Cour, faisant fonction de président de la première chambre, M. A. Kumin et Mme I. Ziemele (rapporteure), juges,
avocat général : M. J. Richard de la Tour,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour l’Österreichische Datenschutzbehörde, par M. M. Schmidl, en qualité d’agent,
– pour F R, par Me C. Wirthensohn, Rechtsanwalt,
– pour la Bundesministerin für Justiz, par M. E. Riedl, en qualité d’agent,
– pour le gouvernement autrichien, par M. A. Posch, Mmes J. Schmoll et C. Gabauer, en qualité d’agents,
– pour le gouvernement tchèque, par M. M. Smolek, Mme T. Suchá et M. J. Vláčil, en qualité d’agents,
– pour la Commission européenne, par MM. A. Bouchagiar, F. Erlbacher et H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 5 septembre 2024,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 57, paragraphe 4, et de l’article 77, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant F R, une personne physique, à l’Österreichische Datenschutzbehörde (Autorité de la protection des données, Autriche) (ci-après la « DSB ») au sujet du refus par cette dernière de donner suite à une réclamation relative à une violation alléguée du droit d’accès de F R à ses données à caractère personnel.
Le cadre juridique
Le droit de l’Union
3 Aux termes des considérants 10, 11, 59, 63 et 129 du RGPD :
« (10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes
physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]
(11) Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel [...].
[...]
(59) Des modalités devraient être prévues pour faciliter l’exercice par la personne concernée des droits qui lui sont conférés par le présent règlement, y compris les moyens de demander et, le cas échéant, d’obtenir sans frais, notamment, l’accès aux données à caractère personnel, et leur rectification ou leur effacement, et l’exercice d’un droit d’opposition. [...]
[...]
(63) Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou
quelles opérations de traitement sa demande porte.
[...]
(129) [...] Les pouvoirs des autorités de contrôle devraient être exercés conformément aux garanties procédurales appropriées prévues par le droit de l’Union et le droit des États membres, d’une manière impartiale et équitable et dans un délai raisonnable. Toute mesure devrait notamment être appropriée, nécessaire et proportionnée en vue de garantir le respect du présent règlement, compte tenu des circonstances de l’espèce, respecter le droit de chacun à être entendu avant que soit prise toute
mesure individuelle susceptible de lui porter atteinte et éviter les coûts superflus ainsi que les désagréments excessifs pour les personnes concernées. [...] »
4 L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce, à ses paragraphes 2 et 5 :
« 2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
[...]
5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :
a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou
b) refuser de donner suite à ces demandes.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande. »
5 L’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée », prévoit, à son paragraphe 1 :
« La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
a) les finalités du traitement ;
[...]
c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées [...] ;
[...] »
6 L’article 52 du RGPD, intitulé « Indépendance », dispose, à son paragraphe 4 :
« Chaque État membre veille à ce que chaque autorité de contrôle dispose des ressources humaines, techniques et financières ainsi que des locaux et de l’infrastructure nécessaires à l’exercice effectif de ses missions et de ses pouvoirs, y compris lorsque celle-ci doit agir dans le cadre de l’assistance mutuelle, de la coopération et de la participation au comité. »
7 L’article 57 du RGPD, intitulé « Missions », est libellé comme suit :
« 1. Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire :
a) contrôle l’application du présent règlement et veille au respect de celui-ci ;
[...]
e) fournit, sur demande, à toute personne concernée des informations sur l’exercice des droits que lui confère le présent règlement et, si nécessaire, coopère, à cette fin, avec les autorités de contrôle d’autres États membres ;
f) traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, conformément à l’article 80, examine l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ;
[...]
2. Chaque autorité de contrôle facilite l’introduction des réclamations visées au paragraphe 1, point f), par des mesures telles que la fourniture d’un formulaire de réclamation qui peut aussi être rempli par voie électronique, sans que d’autres moyens de communication ne soient exclus.
3. L’accomplissement des missions de chaque autorité de contrôle est gratuit pour la personne concernée et, le cas échéant, pour le délégué à la protection des données.
4. Lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l’autorité de contrôle peut exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à la demande. Il incombe à l’autorité de contrôle de démontrer le caractère manifestement infondé ou excessif de la demande. »
8 L’article 77 du RGPD, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », énonce, à son paragraphe 1 :
« Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. »
Le droit autrichien
9 L’article 24 du Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (loi fédérale relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel), du 17 août 1999 (BGBl. I, 165/1999), dans sa version applicable aux faits au principal, intitulé « Réclamations adressées à l’autorité de protection des données », énonce, à ses paragraphes 1, 5 et 8 :
« (1) Toute personne concernée a le droit d’introduire une réclamation auprès de l’autorité de protection des données si elle estime que le traitement des données à caractère personnel la concernant constitue une violation du RGPD ou de l’article 1er ou de l’article 2 de la première partie principale.
[...]
(5) Si une réclamation s’avère être justifiée, il faut y donner suite. Si une violation est imputable à un responsable du secteur privé, il convient d’ordonner à ce dernier de faire droit aux demandes d’accès, de rectification, d’effacement, de limitation ou de transfert de données formulées par le demandeur dans la mesure nécessaire pour remédier à la violation constatée. Pour autant que la réclamation s’avère non fondée, elle doit être rejetée.
[...]
(8) Toute personne concernée peut saisir la Cour administrative si l’autorité de protection des données ne traite pas la réclamation ou n’informe pas la personne concernée de l’état d’avancement ou de l’issue de la réclamation dans un délai de trois mois. »
Le litige au principal et les questions préjudicielles
10 Le 17 février 2020, F R a introduit une réclamation auprès de la DSB en vertu de l’article 77, paragraphe 1, du RGPD pour violation de l’article 15 de ce règlement, au motif qu’une société, qui avait la qualité de responsable du traitement, n’avait pas répondu à sa demande d’accès à ses données à caractère personnel dans un délai d’un mois.
11 Par décision du 22 avril 2020, la DSB a, sur le fondement de l’article 57, paragraphe 4, du RGPD, refusé de donner suite à cette réclamation en raison de son caractère excessif. À cet égard, elle a notamment relevé que l’intéressé lui avait adressé, dans un intervalle d’environ 20 mois, 77 réclamations similaires contre différents responsables du traitement. En outre, F R aurait contacté régulièrement la DSB par téléphone afin d’exposer des faits supplémentaires et de formuler des demandes
additionnelles.
12 F R a formé un recours contre cette décision devant le Bundesverwaltungsgericht (tribunal administratif fédéral, Autriche).
13 Par arrêt du 22 décembre 2022, cette juridiction a accueilli le recours et annulé la décision de la DSB. Ladite juridiction a jugé, en substance, que le caractère excessif d’une demande, au sens de l’article 57, paragraphe 4, du RGPD, suppose non seulement une répétition fréquente des demandes, mais aussi un caractère manifestement vexatoire ou abusif de celles-ci. Or, les motifs avancés par la DSB pour refuser de traiter la réclamation introduite par F R ne feraient pas ressortir le caractère
abusif de sa démarche. Par ailleurs, selon la même juridiction, une autorité de contrôle confrontée à des demandes excessives ne pourrait pas choisir à sa convenance entre les deux options prévues par cette disposition, à savoir exiger le paiement de frais raisonnables ou refuser de donner suite à ces demandes. Le choix entre ces options relèverait de la libre appréciation dont l’exercice devrait être justifié par l’autorité de contrôle. Or, une telle motivation ferait défaut en l’espèce.
14 Saisi par la DSB d’un recours en Revision contre cet arrêt, le Verwaltungsgerichtshof (Cour administrative, Autriche), qui est la juridiction de renvoi, se demande, en premier lieu, si la notion de « demande » visée à l’article 57, paragraphe 4, du RGPD recouvre les réclamations introduites en application de l’article 77, paragraphe 1, de ce règlement.
15 À cet égard, la juridiction de renvoi relève que, certes, la notion de « demande » est utilisée, dans l’énumération des missions des autorités de contrôle figurant à l’article 57, paragraphe 1, du RGPD, exclusivement au point e) de cette disposition, pour désigner les demandes d’information adressées à ces autorités par les personnes concernées sur l’exercice des droits que leur confère ce règlement. Toutefois, il ne pourrait être déduit de cette circonstance que l’article 57, paragraphe 4, dudit
règlement n’est susceptible de s’appliquer qu’au traitement de telles demandes. Au contraire, le contexte de cette dernière disposition, qui pose une exception au principe de gratuité, permettrait plutôt de conclure que la notion de « demande » qu’elle vise recouvre également les réclamations, puisque le traitement de ces dernières constituerait la mission principale des autorités de contrôle et qu’il serait nécessaire de décharger ces autorités du traitement des réclamations manifestement
infondées ou excessives.
16 Néanmoins, selon la juridiction de renvoi, une telle interprétation aurait pour conséquence de restreindre l’obligation incombant aux autorités de contrôle de traiter les réclamations, en vertu de l’article 57, paragraphe 1, sous f), du RGPD, et pourrait être en contradiction avec les objectifs poursuivis par ce règlement, notamment avec celui d’assurer un niveau élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel au sein de l’Union.
17 Cela étant, la juridiction de renvoi estime que, si une telle interprétation était retenue, la limitation apportée par l’article 57, paragraphe 4, du RGPD au droit d’introduire une réclamation serait proportionnée. En effet, l’application de cette disposition supposerait que l’autorité de contrôle apporte la preuve du caractère manifestement infondé ou excessif de la réclamation. En outre, la décision de cette autorité d’exiger le paiement de frais raisonnables ou de refuser de donner suite à la
réclamation serait soumise au contrôle juridictionnel visé à l’article 78, paragraphe 1, de ce règlement.
18 En deuxième lieu, dans le cas où l’article 57, paragraphe 4, du RGPD devrait être interprété en ce sens qu’il est applicable aux réclamations visées à l’article 77, paragraphe 1, de ce règlement, la juridiction de renvoi s’interroge sur la portée de la notion de « demande excessive », au sens de l’article 57, paragraphe 4, dudit règlement. En particulier, cette juridiction fait observer que, si ladite disposition mentionne expressément, à titre d’exemple de « demandes excessives », le cas des
demandes « à caractère répétitif », il n’en reste pas moins que, en tant qu’exception à l’obligation de toute autorité de contrôle de traiter les réclamations, la possibilité de refuser de traiter une réclamation devrait être interprétée strictement, puisque cette possibilité conduirait à une atteinte importante à la protection prévue par le RGPD pour les personnes physiques lors du traitement de données à caractère personnel et dérogerait ainsi aux objectifs poursuivis par ce règlement.
19 Dans ce contexte, la juridiction de renvoi cherche à savoir si le nombre de réclamations introduites au cours d’une période donnée auprès d’une autorité de contrôle suffit pour conclure qu’une réclamation est excessive, indépendamment des circonstances propres à chacune de ces réclamations individuelles et sans avoir égard aux responsables du traitement concernés par lesdites réclamations, ou s’il convient de prendre en compte d’autres circonstances sur la base desquelles il pourrait être conclu
à l’existence d’une intention abusive.
20 En troisième lieu, la juridiction de renvoi estime que l’application de l’article 57, paragraphe 4, du RGPD soulève des questions également au regard des conséquences juridiques qu’il convient de tirer en cas de demandes manifestement infondées ou excessives. En effet, les termes de cette disposition ne feraient pas ressortir clairement si les autorités de contrôle peuvent librement choisir l’une ou l’autre des deux options qu’elle prévoit, à savoir exiger le paiement de frais raisonnables pour
le traitement de la réclamation ou refuser d’emblée de traiter cette dernière. La juridiction de renvoi souligne que la doctrine serait partagée à ce sujet.
21 C’est dans ces conditions que le Verwaltungsgerichtshof (Cour administrative) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) La notion de “demande” ou “demandes” visée à l’article 57, paragraphe 4, du [RGPD] doit-elle être interprétée en ce sens qu’elle recouvre également les “réclamations“ au titre de l’article 77, paragraphe 1, du RGPD ?
En cas de réponse affirmative à la première question :
2) Convient-il d’interpréter l’article 57, paragraphe 4, du RGPD en ce sens qu’il suffit déjà, pour qu’il y ait des “demandes excessives”, qu’une personne ait adressé au cours d’un certain laps de temps un certain nombre de demandes (réclamations au titre de l’article 77, paragraphe 1, du RGPD) à une autorité de contrôle, indépendamment du point de savoir si elles concernent des faits différents et/ou si les demandes (réclamations) concernent différentes personnes responsables du traitement, ou
faut-il qu’une intention abusive de la personne concernée vienne s’ajouter à la répétition fréquente des demandes (réclamations) ?
3) Convient-il d’interpréter l’article 57, paragraphe 4, du RGPD en ce sens que l’autorité de contrôle peut, en présence d’une demande (réclamation) “manifestement infondée” ou “excessive”, librement choisir entre exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser d’emblée d’y donner suite ; en cas de réponse négative, quels sont les circonstances et les critères que l’autorité de contrôle doit prendre en compte, et celle-ci est-elle en particulier tenue
d’exiger par priorité, en tant que moyen moins contraignant, le paiement de frais raisonnables, en n’étant autorisée à refuser le traitement, afin d’endiguer les demandes (réclamations) infondées ou excessives, que si la collecte du paiement semble vouée à l’échec ? »
Sur les questions préjudicielles
Sur la première question
22 Par sa première question, la juridiction de renvoi demande si l’article 57, paragraphe 4, du RGPD doit être interprété en ce sens que la notion de « demande » qui y figure recouvre les « réclamations » visées à l’article 77, paragraphe 1, de ce règlement.
23 À titre liminaire, il y a lieu de relever que la notion de « réclamation » figure également à l’article 57, paragraphe 1, sous f), du RGPD. Dans ces conditions, afin d’apporter une réponse utile à la juridiction de renvoi, il convient de considérer que, par sa première question, cette juridiction demande, en substance, si l’article 57, paragraphe 4, de ce règlement doit être interprété en ce sens que la notion de « demande » qui y figure recouvre les « réclamations » visées à l’article 57,
paragraphe 1, sous f), et à l’article 77, paragraphe 1, dudit règlement.
24 Afin d’interpréter une disposition du droit de l’Union, il convient de tenir compte non seulement des termes de celle-ci, conformément à leur sens habituel dans le langage courant, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie [arrêts du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 19 et jurisprudence citée ; du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22,
EU:C:2023:958, point 48 et jurisprudence citée, ainsi que du 30 avril 2024, Trade Express-L et DEVNIA TSIMENT, C‑395/22 et C‑428/22, EU:C:2024:374, point 65 et jurisprudence citée].
25 En ce qui concerne, en premier lieu, les termes de l’article 57, paragraphe 1, sous f), du RGPD, celui-ci prévoit que chaque autorité de contrôle sur son territoire « traite les réclamations introduites par une personne concernée [...], examine l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de
contrôle est nécessaire ».
26 Pour sa part, l’article 57, paragraphe 4, du RGPD énonce que, « lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l’autorité de contrôle peut exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à la demande » et qu’« [i]l incombe à l’autorité de contrôle de démontrer le caractère manifestement infondé ou excessif de la demande ».
27 Quant au libellé de l’article 77, paragraphe 1, du RGPD, celui-ci dispose que, « [s]ans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une
violation [de ce] règlement ».
28 Ainsi, aucune des dispositions mentionnées aux points 25 à 27 du présent arrêt ne définit expressément la notion de « demande », au sens de l’article 57, paragraphe 4, du RGPD.
29 À cet égard, il y a lieu de faire observer que, ainsi que M. l’avocat général l’a relevé au point 23 de ses conclusions, la notion de « demande », selon son sens habituel dans le langage courant, est particulièrement large, puisqu’elle englobe potentiellement toute sollicitation formulée par une personne ou une entité.
30 Force est donc de constater que le libellé des dispositions visées aux points 25 à 27 du présent arrêt permet de considérer que les réclamations introduites au titre de l’article 77, paragraphe 1, du RGPD relèvent de la notion de « demande », au sens de l’article 57, paragraphe 4, de ce règlement.
31 Cette analyse textuelle est corroborée, en deuxième lieu, par le contexte dans lequel ces dispositions s’inscrivent. À cet égard, l’article 57 du RGPD décrit les missions qui incombent aux autorités de contrôle et fixe les conditions dans lesquelles ces missions doivent être accomplies. Ainsi, en particulier, cet article 57 prévoit, premièrement, à son paragraphe 1, sous a), que chaque autorité contrôle l’application de ce règlement et veille au respect de celui-ci, deuxièmement, à son
paragraphe 1, sous e), qu’elle fournit, sur demande, à toute personne concernée des informations sur l’exercice des droits que lui confère ledit règlement et, si nécessaire, coopère, à cette fin, avec les autorités de contrôle d’autres États membres et, troisièmement, à son paragraphe 2, qu’elle facilite l’introduction des réclamations visées au paragraphe 1, sous f), par des mesures telles que la fourniture d’un formulaire de réclamation qui peut aussi être rempli par voie électronique, sans que
d’autres moyens de communication soient exclus.
32 Par ailleurs, l’article 57, paragraphe 3, du RGPD énonce le principe selon lequel l’accomplissement des missions de chaque autorité de contrôle est gratuit pour la personne concernée et, le cas échéant, pour le délégué à la protection des données.
33 Partant, en prévoyant la possibilité pour les autorités de contrôle, lorsqu’elles sont confrontées à des demandes qui sont manifestement infondées ou excessives, d’exiger le paiement de frais raisonnables basés sur les coûts administratifs ou de refuser de donner suite à une demande, l’article 57, paragraphe 4, de ce règlement institue une exception au principe de gratuité énoncé à l’article 57, paragraphe 3, dudit règlement, qui doit être interprétée de façon restrictive.
34 Ainsi, comme l’a relevé, en substance, M. l’avocat général aux points 28 à 30 de ses conclusions, dans la mesure où le traitement par les autorités de contrôle des demandes qui leur sont soumises est la règle, ces autorités ne devraient être habilitées à exercer la faculté prévue à l’article 57, paragraphe 4, du RGPD que dans des cas exceptionnels.
35 Or, il ne saurait être déduit de ces dispositions que l’article 57, paragraphe 4, du RGPD, dans la mesure où il utilise la notion de « demande », devrait s’appliquer uniquement aux demandes visées à l’article 57, paragraphe 1, sous e), de ce règlement. En effet, l’article 57, paragraphe 3, dudit règlement s’applique à l’ensemble des missions des autorités de contrôle, y compris au traitement des réclamations prévu à l’article 57, paragraphe 1, sous f), du même règlement.
36 Dans ce contexte, dans la mesure où il prévoit une exception au principe de gratuité des missions accomplies par les autorités de contrôle, sans la restreindre à certaines missions particulières de ces autorités de contrôle, l’article 57, paragraphe 4, du RGPD devrait également s’appliquer au traitement des réclamations prévu à l’article 57, paragraphe 1, sous f), de ce règlement, et ce d’autant plus que cette dernière tâche constitue une mission essentielle desdites autorités de contrôle. En
outre, l’autorité de contrôle concernée doit procéder au traitement de ces réclamations avec toute la diligence requise [arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:958, point 56 et jurisprudence citée].
37 À l’inverse, l’interprétation selon laquelle la notion de « demande » figurant à l’article 57, paragraphe 4, du RGPD ne recouvrirait que les demandes relevant de l’article 57, paragraphe 1, sous e), de ce règlement et non pas les réclamations visées à l’article 57, paragraphe 1, sous f), et à l’article 77, paragraphe 1, dudit règlement priverait la première de ces dispositions d’une grande partie de son effet utile et irait à l’encontre de la protection effective des droits garantis par le même
règlement (voir, en ce sens, arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 47).
38 En troisième lieu, cette interprétation contextuelle est conforme aux objectifs du RGPD. À cet égard, il y a lieu de relever que ce règlement a pour finalité, ainsi que l’indiquent ses considérants 10 et 11, d’assurer un niveau cohérent et élevé de protection des personnes physiques au sein de l’Union ainsi que de renforcer et de préciser les droits des personnes concernées [arrêt du 26 octobre 2023, FT (Copies du dossier médical), C‑307/22, EU:C:2023:811, point 47].
39 Ainsi, la procédure de réclamation est conçue comme un mécanisme apte à sauvegarder de manière efficace les droits et les intérêts des personnes concernées [arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:958, point 58 ainsi que jurisprudence citée]. À cet égard, l’obligation pesant sur les autorités de contrôle de faciliter l’introduction des réclamations et le principe de gratuité des missions qu’elles doivent accomplir, prévus à
l’article 57, paragraphes 2 et 3, du RGPD, sont destinés à permettre à toute personne concernée de réclamer auprès d’une autorité de contrôle le respect des droits qu’elle tire de ce règlement.
40 Dans ce contexte, ainsi que M. l’avocat général l’a relevé au point 41 de ses conclusions, la poursuite de l’objectif d’assurer un niveau cohérent et élevé de protection des personnes physiques au sein de l’Union requiert de garantir le bon fonctionnement des autorités de contrôle en évitant que celui-ci soit entravé en raison de l’introduction de réclamations manifestement infondées ou excessives, au sens de l’article 57, paragraphe 4, du RGPD. Cette disposition offre ainsi aux autorités de
contrôle la possibilité d’une meilleure gestion de ces réclamations, en allégeant la charge que ces dernières sont susceptibles de faire peser sur elles. À cet égard, lorsqu’une autorité de contrôle se trouve confrontée à des réclamations manifestement infondées ou excessives, la possibilité d’exiger le paiement de frais raisonnables ou de refuser de donner suite à de telles réclamations est de nature à assurer un niveau élevé de protection des données à caractère personnel.
41 Compte tenu des considérations qui précèdent, il y a lieu de répondre à la première question que l’article 57, paragraphe 4, du RGPD doit être interprété en ce sens que la notion de « demande » qui y figure recouvre les réclamations visées à l’article 57, paragraphe 1, sous f), et à l’article 77, paragraphe 1, de ce règlement.
Sur la deuxième question
42 Par sa deuxième question, la juridiction de renvoi demande, en substance, si l’article 57, paragraphe 4, du RGPD doit être interprété en ce sens que la seule circonstance que des demandes ont été adressées en grand nombre peut suffire pour que celles-ci soient qualifiées d’« excessives », au sens de cette disposition, ou si une telle qualification suppose en outre une intention abusive de la part de la personne qui a introduit ces demandes.
43 À cet égard, en premier lieu, la notion de « demandes excessives » n’étant pas définie dans le RGPD, il convient, à la lumière de la jurisprudence rappelée au point 24 du présent arrêt, de se référer au sens habituel de cette notion dans le langage courant. Or, l’adjectif « excessif » désigne quelque chose qui excède la mesure ordinaire ou raisonnable ou encore qui dépasse la mesure souhaitable ou permise.
44 En second lieu, il ressort du libellé de l’article 57, paragraphe 4, du RGPD que des demandes sont susceptibles d’être « excessives » notamment lorsqu’elles présentent un caractère répétitif. Toutefois, l’interprétation littérale de cette disposition ne permet pas de déterminer si ce caractère répétitif et, par conséquent, le seul nombre des demandes introduites sont suffisants pour justifier une telle qualification. Ainsi, il convient, eu égard à cette jurisprudence, d’examiner la portée de
ladite disposition en fonction du contexte dans lequel elle s’inscrit et des objectifs poursuivis par la réglementation dont elle fait partie.
45 S’agissant du contexte, il convient de rappeler, premièrement, que l’article 12 du RGPD énonce des obligations générales incombant au responsable du traitement en ce qui concerne la transparence des informations et des communications, et fixe les modalités de l’exercice des droits de la personne concernée. En vertu du deuxième paragraphe, première phrase, de cet article, le responsable du traitement doit faciliter l’exercice des droits conférés à la personne concernée au titre des articles 15
à 22 dudit règlement.
46 Deuxièmement, l’article 15 du RGPD, qui figure sous la section 2 du chapitre III de celui‑ci, relative à l’information et à l’accès aux données à caractère personnel, complète le cadre de transparence organisé par ce règlement en octroyant à la personne concernée un droit d’accès à ses données à caractère personnel et un droit d’information sur le traitement de ces données.
47 Cet article 15 du RGPD doit être lu à la lumière du considérant 63, première phrase, de ce règlement, selon lequel une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. À cet égard, si cette personne a adressé plusieurs demandes d’accès à un ou à plusieurs responsables du traitement sans
obtenir satisfaction, le nombre des réclamations soumises à une autorité de contrôle pourrait être identique au nombre des refus opposés par ces responsables du traitement à ladite personne. Dans ces conditions, la fixation d’un seuil chiffré absolu, au-delà duquel lesdites réclamations pourraient être automatiquement qualifiées d’excessives, pourrait porter atteinte aux droits garantis par ledit règlement.
48 À cet égard, ainsi qu’il a été relevé aux points 33, 34 et 36 du présent arrêt, l’exercice de la faculté prévue à l’article 57, paragraphe 4, du RGPD, en tant qu’il constitue une exception au principe de gratuité des missions accomplies par les autorités de contrôle, visé à l’article 57, paragraphe 3, de ce règlement, doit donc demeurer exceptionnel [voir, par analogie, arrêts du 5 avril 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258 point 40, ainsi que du 8 novembre 2022,
Deutsche Umwelthilfe (Réception des véhicules à moteur), C‑873/19, EU:C:2022:857, point 87 et jurisprudence citée]. Il ne saurait intervenir qu’en cas d’abus de droit [voir, par analogie, arrêt du 26 octobre 2023, FT (Copies du dossier médical), C‑307/22, EU:C:2023:811, point 31], sans que le nombre de réclamations introduites puisse constituer, à lui seul, un critère suffisant aux fins du constat de l’existence d’un tel abus.
49 En effet, l’article 57, paragraphe 4, du RGPD reflète la jurisprudence constante de la Cour selon laquelle il existe, dans le droit de l’Union, un principe général de droit en vertu duquel les justiciables ne sauraient frauduleusement ou abusivement se prévaloir des normes de l’Union (arrêt du 21 décembre 2023, BMW Bank e.a., C‑38/21, C‑47/21 et C‑232/21, EU:C:2023:1014, point 281 ainsi que jurisprudence citée).
50 Dans ce contexte, lorsqu’elle entend recourir à la faculté offerte par l’article 57, paragraphe 4, du RGPD, l’autorité de contrôle concernée doit établir, au vu de l’ensemble des circonstances pertinentes de chaque cas, l’existence d’une intention abusive de la part de la personne en cause, le nombre de réclamations introduites par celle-ci n’étant pas, à lui seul, suffisant. Or, l’existence d’une intention abusive peut être constatée lorsqu’une personne introduit des réclamations sans que cela
soit objectivement nécessaire à la protection des droits qu’elle tire de ce règlement.
51 À cet égard, il convient encore de rappeler que les États membres sont tenus, en vertu de l’article 52, paragraphe 4, du RGPD, de veiller à ce que chaque autorité de contrôle dispose des ressources humaines, techniques et financières ainsi que des locaux et de l’infrastructure nécessaires à l’exercice effectif de ses missions et de ses pouvoirs. Il s’ensuit que ces ressources doivent être adaptées à l’utilisation que les personnes concernées font de leur droit d’introduire des réclamations auprès
des autorités de contrôle.
52 Ainsi, il incombe aux États membres de fournir aux autorités de contrôle les moyens adaptés au traitement de toutes les réclamations dont elles sont saisies, le cas échéant en augmentant ces moyens en vue de les adapter à l’utilisation que les personnes concernées font de leur droit d’introduire des réclamations au titre de l’article 77, paragraphe 1, du RGPD. Une autorité de contrôle ne saurait, dès lors, tirer argument, pour refuser de donner suite à une réclamation en application de
l’article 57, paragraphe 4, de ce règlement, du fait qu’une personne qui introduit un nombre de réclamations sensiblement supérieur au nombre moyen de réclamations introduites par chaque personne concernée mobilise de façon importante les ressources de cette autorité, au détriment du traitement des réclamations soumises par d’autres personnes.
53 Par ailleurs, comme l’a relevé M. l’avocat général au point 76 de ses conclusions, les réclamations introduites au titre de l’article 77, paragraphe 1, du RGPD jouent un rôle important dans la connaissance que peuvent avoir les autorités de contrôle de violations des droits protégés par ce règlement. Ces réclamations contribuent, dès lors, de manière importante à assurer un niveau cohérent et élevé de protection des personnes au sein de l’Union ainsi qu’à renforcer et à préciser les droits de ces
personnes au sens des considérants 10 et 11 dudit règlement.
54 Par conséquent, permettre aux autorités de contrôle de constater le caractère excessif de réclamations au seul motif que leur nombre est important serait de nature à compromettre la réalisation de cet objectif. En effet, un nombre important de réclamations peut être la conséquence directe d’un nombre élevé d’absences de réponse ou de refus de faire droit, de la part d’un ou de plusieurs responsables du traitement, à des demandes d’accès formulées par une personne afin de protéger ses droits.
55 À cet égard, la prise en compte isolée du nombre de réclamations pourrait conduire à une atteinte arbitraire aux droits que la personne concernée tire du RGPD, de sorte que le constat de l’existence de demandes excessives, au sens de l’article 57, paragraphe 4, de ce règlement, doit être subordonné à la condition que soit démontrée une intention abusive de la part de la personne qui introduit de telles réclamations.
56 Sur la base des circonstances propres à chaque cas d’espèce, il incombe donc à l’autorité de contrôle qui est saisie d’un nombre important de réclamations de démontrer que ce nombre s’explique non par la volonté de la personne concernée d’obtenir une protection des droits qu’elle tire du RGPD, mais par une finalité autre, sans lien avec cette protection. Il en va ainsi, en particulier, lorsque ces circonstances révèlent que le nombre de réclamations vise à entraver le bon fonctionnement de cette
autorité en mobilisant ses ressources de manière abusive.
57 À cet égard, la multiplication des réclamations introduites par une personne peut être un indice de l’existence de demandes excessives lorsqu’il apparaît que ces réclamations ne sont pas objectivement justifiées par des considérations relatives à la protection des droits que cette personne tire du RGPD. Tel peut être le cas, par exemple, lorsqu’une personne introduit un nombre à ce point élevé de réclamations auprès d’une autorité de contrôle, en visant une multitude de responsables du traitement
avec lesquels elle n’a pas nécessairement de lien, que cet usage démesuré de son droit de soumettre des réclamations met en évidence, en lien avec d’autres éléments tels que le contenu de ces réclamations, son intention de paralyser le fonctionnement de cette autorité en la saturant de demandes.
58 En l’occurrence, il incombe à la juridiction de renvoi de vérifier si la DSB a établi l’existence d’une intention abusive de la personne concernée, sans que le nombre de ses réclamations puisse, à lui seul, justifier l’exercice de la faculté prévue à l’article 57, paragraphe 4, du RGPD.
59 Eu égard aux considérations qui précèdent, il y a lieu de répondre à la deuxième question que l’article 57, paragraphe 4, du RGPD doit être interprété en ce sens que des demandes ne peuvent être qualifiées d’« excessives », au sens de cette disposition, uniquement en raison de leur nombre pendant une période déterminée, l’exercice de la faculté prévue à ladite disposition étant subordonné à la démonstration, par l’autorité de contrôle, de l’existence d’une intention abusive de la part de la
personne ayant introduit ces demandes.
Sur la troisième question
60 Par sa troisième question, la juridiction de renvoi demande, en substance, si l’article 57, paragraphe 4, du RGPD doit être interprété en ce sens que, lorsqu’elle est confrontée à des demandes excessives, une autorité de contrôle peut librement choisir entre exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à ces demandes.
61 En ce qui concerne, en premier lieu, le libellé de l’article 57, paragraphe 4, du RGPD, il y a lieu de constater que les deux options qu’il prévoit en cas de demandes excessives, à savoir exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à ces demandes, sont énumérées de manière successive et sont séparées par la conjonction de coordination « ou », sans qu’il soit possible de déduire de la formulation retenue un ordre de priorité entre l’une ou
l’autre de ces options [voir, par analogie, arrêt du 12 janvier 2023, Österreichische Post (Informations relatives aux destinataires de données personnelles), C‑154/21, EU:C:2023:3, point 31].
62 Ainsi, les termes de cette disposition semblent plaider en faveur de l’interprétation selon laquelle cette autorité, une fois qu’elle a établi le caractère excessif des demandes qui lui sont soumises, dispose de la liberté de choisir l’une ou l’autre desdites options.
63 S’agissant, en deuxième lieu, du contexte dans lequel s’inscrit l’article 57, paragraphe 4, du RGPD, il y a lieu de rappeler que le considérant 59 de ce règlement énonce que « [d]es modalités devraient être prévues pour faciliter l’exercice par la personne concernée des droits qui lui sont conférés par le présent règlement, y compris les moyens de demander et, le cas échéant, d’obtenir sans frais, notamment, l’accès aux données à caractère personnel, et leur rectification ou leur effacement, et
l’exercice d’un droit d’opposition ». Ainsi, il s’ensuit qu’un choix en faveur de l’une des deux options peut être fait si, en tout état de cause, l’exercice effectif du droit d’introduire des réclamations est assuré.
64 En troisième lieu, l’interprétation exposée au point 62 du présent arrêt est conforme aux objectifs poursuivis par le RGPD.
65 À cet égard, il convient de rappeler que ce règlement a pour finalité, ainsi que l’indiquent ses considérants 10 et 11, d’assurer un niveau cohérent et élevé de protection des personnes physiques au sein de l’Union ainsi que de renforcer et de préciser les droits des personnes concernées [arrêt du 26 octobre 2023, FT (Copies du dossier médical), C‑307/22, EU:C:2023:811, point 47].
66 En outre, il ressort du considérant 129 dudit règlement que l’autorité de contrôle est tenue d’apprécier le caractère manifestement infondé ou excessif d’une telle demande de manière impartiale et équitable, et de veiller au caractère approprié, nécessaire et proportionné de son choix, en tenant compte des circonstances pertinentes et en évitant les coûts superflus ainsi que les désagréments excessifs pour la personne concernée.
67 Par conséquent, compte tenu de l’importance que revêt le droit d’introduire des réclamations au regard de l’objectif visant à garantir un niveau élevé de protection des données à caractère personnel, de la place essentielle que le traitement de ces réclamations occupe parmi les missions qui sont attribuées aux autorités de contrôle et de l’obligation qui incombe à ces autorités de procéder au traitement desdites réclamations avec toute la diligence requise, il appartient auxdites autorités de
prendre en compte toutes les circonstances pertinentes et de s’assurer du caractère approprié, nécessaire et proportionné de l’option choisie.
68 À cet égard, une autorité de contrôle pourrait estimer approprié, en fonction des circonstances pertinentes et afin de faire cesser une pratique abusive susceptible de nuire à son bon fonctionnement, d’exiger le paiement de frais raisonnables basés sur les coûts administratifs résultant de la surcharge de travail engendrée par des réclamations excessives. En effet, la fonction dissuasive de cette option pourrait conduire cette autorité à privilégier cette dernière plutôt qu’à refuser d’emblée de
donner suite à ces réclamations.
69 Ainsi, à la lumière du considérant 129 du RGPD, les autorités de contrôle pourraient envisager d’exiger, dans un premier temps, le paiement de frais raisonnables basés sur les coûts administratifs avant de refuser, dans un second temps, de donner suite aux réclamations, dans la mesure où la première de ces mesures porte une atteinte moindre aux droits que les personnes concernées tirent de ce règlement que la seconde. Cela étant, l’article 57 paragraphe 4, dudit règlement ne comporte pas
d’obligation pour l’autorité de contrôle de recourir d’abord, dans tous les cas, à l’option consistant à exiger le paiement de frais raisonnables.
70 Compte tenu des considérations qui précèdent, il y a lieu de répondre à la troisième question que l’article 57, paragraphe 4, du RGPD doit être interprété en ce sens que, lorsqu’elle est confrontée à des demandes excessives, une autorité de contrôle peut choisir, par une décision motivée, entre exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à ces demandes, en tenant compte de l’ensemble des circonstances pertinentes et en s’assurant du
caractère approprié, nécessaire et proportionné de l’option choisie.
Sur les dépens
71 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (première chambre) dit pour droit :
1) L’article 57, paragraphe 4, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
la notion de « demande » qui y figure recouvre les réclamations visées à l’article 57, paragraphe 1, sous f), et à l’article 77, paragraphe 1, de ce règlement.
2) L’article 57, paragraphe 4, du règlement 2016/679
doit être interprété en ce sens que :
des demandes ne peuvent être qualifiées d’« excessives », au sens de l’article 57, paragraphe 4, de ce règlement, uniquement en raison de leur nombre pendant une période déterminée, l’exercice de la faculté prévue à cette disposition étant subordonné à la démonstration, par l’autorité de contrôle, de l’existence d’une intention abusive de la part de la personne ayant introduit ces demandes.
3) L’article 57, paragraphe 4, du règlement 2016/679
doit être interprété en ce sens que :
lorsqu’elle est confrontée à des demandes excessives, une autorité de contrôle peut choisir, par une décision motivée, entre exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à ces demandes, en tenant compte de l’ensemble des circonstances pertinentes et en s’assurant du caractère approprié, nécessaire et proportionné de l’option choisie.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : l’allemand.
