Certaines décisions, si elles ne concernent pas directement le droit des assurances, ont une portée si large qu’il est important d’en comprendre l’apport pour le droit positif, tant elles impactent tous les domaines. Tel est le cas d’une récente décision de la CJUE (CJUE, 19 mars 2026, n°C-526/24) qui répond positivement à la question de savoir si une demande unique d’accès à des données, formulée auprès d’un responsable du traitement, peut être qualifiée d’abusive (« excessive ») et peut donc être refusée, sans indemnisation possible. Le juge européen précise à cette occasion en précisant (point 45) que le RGPD « doit être interprété en ce sens qu’une première demande d’accès aux données à caractère personnel introduite par la personne concernée auprès du responsable du traitement au titre de l’article 15 de ce règlement peut être considérée comme étant “excessive”, au sens de cet article 12, paragraphe 5, lorsque ce responsable du traitement démontre que […] cette demande a été introduite par la personne concernée non pas pour prendre connaissance du traitement de ces données et d’en vérifier la licéité, afin de pouvoir, par la suite, obtenir une protection des droits qu’elle tire dudit règlement, mais dans une intention abusive, telle que la création artificielle des conditions requises pour l’obtention d’un avantage résultant de ce même règlement ».

C’est l’intention qui compte

Les faits de l’espèce, qui concernaient un abonnement à un bulletin d’information, démontrent à quel point ce type de...