La Cour de justice de l’Union européenne (CJUE) vient de juger ce 9 janvier que les plaintes concernant le RGPD ne peuvent être rejetées par les autorités chargées de la protection des données comme la CNIL, au seul motif de leur nombre ou de la charge qu’elles font peser sur elles, a repéré Contexte dans sa newsletter.
En effet, la CJUE a été saisi à propos d’un conflit entre l’Autorité de la protection des données autrichienne (Datenschutzbehörde, DSB) et une « personne physique » anonymisée dans la décision avec les initiales FR. La DSB a refusé de donner suite à une de ses réclamations concernant la « violation alléguée du droit d’accès de F R à ses données à caractère personnel » en s’appuyant sur l’article 57 du RGPD qui affirme :
« Lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l’autorité de contrôle peut exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à la demande. Il incombe à l’autorité de contrôle de démontrer le caractère manifestement infondé ou excessif de la demande ».
La DSB « a notamment relevé que l’intéressé lui avait adressé, dans un intervalle d’environ 20 mois, 77 réclamations similaires contre différents responsables du traitement. En outre, F R aurait contacté régulièrement la DSB par téléphone afin d’exposer des faits supplémentaires et de formuler des demandes additionnelles », explique la CJUE.
Mais, pour la Cour, « permettre aux autorités de contrôle de constater le caractère excessif de réclamations au seul motif que leur nombre est important serait de nature à compromettre la réalisation » de l’objectif d’ « assurer un niveau cohérent et élevé de protection des personnes au sein de l’Union ainsi qu’à renforcer et à préciser les droits de ces personnes au sens des considérants 10 et 11 dudit règlement ». Car, « un nombre important de réclamations peut être la conséquence directe d’un nombre élevé d’absences de réponse ou de refus de faire droit, de la part d’un ou de plusieurs responsables du traitement, à des demandes d’accès formulées par une personne afin de protéger ses droits ».
Pour refuser des plaintes en utilisant ce motif, la DSB et autres CNIL doivent prouver « l’existence d’une intention abusive de la part de la personne ayant introduit ces demandes » de saturer de demandes l’autorité avec « d’autres éléments tels que le contenu de ces réclamations » que le nombre seul de demandes.
Le simple constat de surcharge n’est pas non plus une excuse valable pour refuser des plaintes explique la CJUE qui rappelle qu’« il incombe aux États membres de fournir aux autorités de contrôle les moyens adaptés au traitement de toutes les réclamations dont elles sont saisies ».