Il s'inscrit à des newsletters pour réclamer ses données RGPD et toucher une indemnité : la justice met un stop à son business

L'affaire a débuté suite au refus d'une entreprise allemande de communiquer ses données personnelles à un internaute.

ENTRETIEN EXCLUSIF
Propos recueillis par Judith Chouzenoux auprès de Maître Roman Guichard.

Le 19 mars 2026, la Cour de justice de l’Union européenne s’est penchée sur la drôle de routine d’un homme résidant en Autriche : s’inscrire à des newsletters, réclamer ses données… puis demander de l’argent. Derrière ce droit censé être protégé par l’Union, une question : le règlement général sur la protection des données (RGPD) peut-il devenir un business ?

Tout commence en mars 2023. L’homme s’inscrit à la lettre d’information sur le site d’une entreprise allemande spécialisée dans l’optique. Il renseigne ses données personnelles, valide le formulaire, puis attend. Treize jours plus tard, il envoie une demande formelle : il souhaite accéder à l’ensemble des données personnelles le concernant. Une requête classique, prévue par le RGPD. Mais la suite l’est beaucoup moins.

Dans le délai d’un mois qui lui est imparti pour répondre, l’entreprise refuse, estimant la demande abusive. Selon elle, divers reportages, articles de blog et billets d’avocats décrivent déjà le modus operandi de l’Autrichien : il s'inscrit à la newsletter de différentes entreprises, puis demande l’accès à ses données et, dans la foulée, si l'entreprise ne répond pas, réclame une indemnisation. En face, le particulier maintient sa demande et ajoute une exigence : une indemnité d’au moins 1 000 euros pour le préjudice moral qu’il dit avoir subi.

Le dossier arrive devant le tribunal de district d’Arnsberg, en Allemagne. Celui-ci interroge à son tour la Cour de justice de l’Union européenne. Ses principales questions : peut-on considérer qu’une telle demande est excessive s’il s’agit de la première adressée à une entreprise ? Et surtout, peut-on réclamer automatiquement une indemnisation en cas de refus ?

Pour Roman Guichard, avocat en droit du travail et membre du collectif Rhizome, le cadre est clair : "Le droit d’accès aux données personnelles est un droit fondamental, mais il n’est pas absolu. Il doit être exercé conformément à sa finalité."

Autrement dit, il ne s’agit pas d’un outil destiné à piéger les entreprises.

La Cour adopte donc une position nuancée. Oui, même une première demande peut être jugée excessive, à condition de démontrer une intention abusive. "On se rapproche ici de la notion d’abus de droit : utiliser un mécanisme légal dans un but détourné", explique Roman Guichard.

Dans cette affaire, plusieurs éléments pèsent : l’inscription volontaire à la newsletter, le délai très court avant la demande d’indemnisation et, surtout, le schéma répétitif observé. Une autre juridiction allemande avait déjà été confrontée à l'homme : le tribunal d’Augsbourg avait ainsi relevé 66 cas documentés de fraude à la newsletter entre fin 2022 et octobre 2023, pour un total d’environ 160 000 euros réclamés, selon le magazine juridique allemand LTO.

La Cour pose aussi une limite importante : il n’existe pas de droit à réparation automatique. Même en cas de violation du RGPD, le demandeur doit prouver un préjudice réel. "Pas de préjudice, pas de réparation : c’est un principe classique du droit, que la Cour rappelle clairement", insiste l’avocat.