Autriche : la Cour suprême consacre un droit d’accès effectif aux données

Par sa décision du 18 décembre 2025, la Cour suprême autrichienne (Oberster Gerichtshof, OGH) a statué de manière définitive, à l’issue de quinze années de contentieux, en faveur de Max Schrems contre Meta Platforms Ireland.

L’OGH reconnaît, d’une part, une violation du droit d’accès prévu à l’article 15 du RGPD et, d’autre part, l’illicéité du traitement indifférencié des données personnelles et des données sensibles à des fins de ciblage publicitaire. La Cour suprême a, en ce sens, accordé des dommages et intérêts à hauteur de 500 euros à Max Schrems, au titre de préjudice moral. Cette décision est l’aboutissement d’un contentieux structurant construit au fil des quinze dernières années, elle constitue également un nouveau point de départ.

Un contentieux structurant de quinze ans

Le présent litige se distingue des affaires dites « Schrems I » et « Schrems II » relatives à la validité des mécanismes de transfert des données vers les États-Unis et jugées par la CJUE. En 2011, Max Schrems avait introduit une plainte auprès de l’autorité irlandaise de protection des données (Data Protection Commission – DPC) au sujet des transferts des données opérés par le réseau social Facebook vers les États-Unis. Ces procédures ont mené à l’introduction de deux renvois préjudiciels déterminants dans le domaine de la protection des données, qui ont successivement invalidé les accords « Safe Harbor » (Schrems I, 2015)¹, puis « Privacy Shield » (Schrems II, 2020)² (voir La rem n°65-66, p.22 et n°67, p.12).

L’affaire tranchée par l’OGH le 18 décembre 2025 porte, différemment des deux autres contentieux, sur le traitement en interne des données aux fins de ciblage publicitaire, ainsi que sur l’étendue du droit d’accès octroyé à la personne concernée. Cette procédure trouve son origine, au niveau national, dans une action introduite le 1^er août 2014 devant le premier tribunal civil régional de Vienne (Landesgericht für Zivilrechtssachen) par Max Schrems. Celui-ci réclamait des dommages et intérêts au titre de préjudice moral, ainsi qu’un accès total à l’ensemble des données traitées à son égard par Facebook – par la suite par Meta –, qui agissait en violation du droit européen sur la protection des données issu, à l’époque, de la directive sur les données personnelles, précurseur³ du RGPD. À la suite de plusieurs décisions en appel et après renvoi, ainsi qu’après un nouveau renvoi préjudiciel devant la Cour de justice de l’Union européenne, l’OGH a pu statuer de manière définitive sur cette saga juridique en application des enseignements tirés par l’arrêt de la Cour dans l’affaire Schrems C-446/21⁴ (voir La rem n°72, p.12).

Le droit à un accès intégral et effectif aux données personnelles au sens de l’article 15 du RGPD

L’accès aux données personnelles a été le cheval de bataille de Max Schrems depuis sa première plainte introduite en 2011. En réponse à des demandes d’accès aux données personnelles, Meta renvoyait l’utilisateur concerné à son outil de téléchargement « Download your information », lequel ne permettait de consulter que les données jugées pertinentes par Meta, selon ses critères internes. Une telle pratique a été jugée par l’OGH comme une violation de l’article 15 du RGPD, portant sur les exigences du droit d’accès.

Cet article prévoit expressément que les personnes concernées ont le droit d’obtenir du responsable du traitement des données la confirmation que des données à caractère personnel les concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, doivent se voir délivrer l’information sur, inter alia, les finalités du traitement, les catégories des données traitées et les destinataires desdites données, particulièrement ceux situés dans des pays tiers.

L’OGH a rejeté les arguments de Meta, selon lesquels la fourniture de ces données était restreinte aux fins de protéger le secret des affaires et certaines données commerciales qui devaient demeurer confidentielles, estimant que les obligations de transparence découlant du RGPD ne pouvaient être neutralisées par des considérations relevant de l’organisation de l’entreprise.

En ce sens, l’OGH a ordonné à Meta de fournir à Max Schrems l’intégralité de ses données personnelles traitées, ainsi que chaque information spécifique y afférente, comme la source, la destination et la finalité, dans un délai de quatorze jours. Par cette décision, l’OGH a entendu garantir désormais l’effet plein et entier du droit à un accès au sens de l’article 15 du RGPD qui a désormais une portée concrète dans le contentieux national et pour tous les utilisateurs en mesure de faire garantir leurs droits par un recours de cette nature⁵. En outre, cette décision contribue à consolider une jurisprudence exigeante relative à la protection des données personnelles et à la transparence, de plus en plus fidèle à la ratio legis du RGPD.

L’illicéité du ciblage publicitaire fondé sur le traitement indifférencié des données

L’absence de consentement au sens de l’article 6 du RGPD

Dans l’affaire C-446/21, Schrems, la CJUE avait considéré qu’un traitement « [indifférencié] de l’ensemble des données à caractère personnel […] à des fins publicitaires, quel que soit le degré de sensibilité de ces données » constitue une ingérence dans la vie privée (point 64) et ne pouvait être justifié de manière non différenciée par la nécessité d’exécuter un contrat ou par un intérêt légitime abstrait. Par ailleurs, la Cour avait également considéré que « le fait qu’une personne ait manifestement rendu publique une donnée [personnelle – en l’occurrence, son orientation sexuelle] ne permet pas de considérer que cette personne a fourni son consentement au sens de l’article 9, paragraphe 2, sous a), du RGPD » (point 82), relatif au consentement explicite quant au traitement des données dites « sensibles » (voir La rem n°72, p.12).

En application de cette interprétation découlant de l’arrêt Schrems, l’OGH a constaté, de manière définitive, que Meta n’avait pas recueilli le consentement express de Max Schrems et qu’elle n’avait pas même de base juridique valable lui conférant la possibilité de traiter les données personnelles, et particulièrement les données sensibles de Max Schrems de manière indifférenciée et systématique, voire systémique.

L’absence de consentement valide, combinée à l’impossibilité pour Meta de se prévaloir d’une autre base juridique pertinente, entraîne une violation de l’article 6 du RGPD, conditionnant la licéité du traitement des données à un consentement express et à certaines finalités déterminées.

Traitement des données sensibles et violation de l’article 9 du RGPD

En considérant que Meta n’avait pas recueilli un consentement valide quant au traitement de certaines données, particulièrement sensibles, au sens d’une lecture combinée des articles 6 et 9 du RGPD, l’OGH a également été amenée à trancher la question du traitement indifférencié des données dites « sensibles », au sens de l’article 9 du RGPD.

Selon cet article, le traitement des données dites « sensibles » est en principe interdit, sauf consentement explicite ou autre exception limitativement énumérée. En outre, la circonstance, comme dans le cas d’espèce, qu’un utilisateur ait manifestement rendu publiques certaines informations, comme il en découle du point 82 de l’arrêt dans l’affaire C-446/21 précitée, ne suffit pas, en soi, à caractériser un consentement quelconque au traitement ultérieur des données en cause aux fins de ciblage publicitaire sur cette base.

Il s’ensuit que, selon l’OGH, le traitement combiné et indifférencié des données ordinaires et des données sensibles, sans distinction ou limitation temporelle, constitue une ingérence disproportionnée dans les droits fondamentaux de respect de la vie privée et familiale, consacrés à l’article 7 de la Charte des droits fondamentaux de l’Union européenne et à la protection des données à caractère personnel, consacrée à l’article 8 de la Charte.

Quand bien même Meta réfute l’obligation de devoir traiter ces données reçues par des canaux tiers différents de celles qu’il collecte lui-même, l’OGH a rappelé que celui-ci était tenu de se conformer au cadre légal et d’obtenir, a minima, le consentement légal des utilisateurs à ces fins⁶.

Réparation du préjudice moral et renforcement du contentieux à venir

En condamnant Meta à verser la somme symbolique de 500 euros à Max Schrems, conformément à ses conclusions, l’OGH a mis en œuvre la ratio decidendi de l’arrêt de la Cour dans l’affaire C-446/21, tranchant ainsi définitivement le litige entamé une quinzaine d’années plus tôt. Cette décision ne constitue pas un épisode isolé de la « saga Schrems », mais elle incarne l’aboutissement d’un volet précis relatif au ciblage publicitaire et au droit d’accès. L’OGH, en application de l’arrêt de la Cour, a entériné l’exigence d’une lecture stricte et exigeante du RGPD, fondée sur la transparence, la limitation des finalités et la protection renforcée des données sensibles.

Par cette décision, sans pour autant bouleverser le cadre normatif existant, l’OGH contribue à préciser, au niveau national, la portée concrète de la protection des utilisateurs et de leurs données personnelles, et elle pourrait encourager d’autres utilisateurs à se mobiliser devant les juridictions aux fins d’obtenir réparation de leurs préjudices, en mettant en œuvre les instruments prévus par le règlement.

Il reste à observer les ajustements structurels qui devront être mis en œuvre par Meta et par les autres grandes plateformes afin d’assurer la conformité de leur modèle et de leur stratégie économique avec les exigences européennes en matière de protection des données et du respect de la vie privée. En outre, cette décision s’inscrit dans une dynamique plus vaste d’encadrement des modèles économiques des plateformes faisant appel à la publicité comportementale. Cette évolution jurisprudentielle pourrait fragiliser les modèles reposant sur une exploitation extensive des données personnelles, en réaffirmant l’exigence d’une base juridique valide et d’un traitement différencié des données sensibles. Elle s’inscrit, à cet égard, dans une convergence avec le Digital Markets Act et le Digital Services Act, tendant à un rééquilibrage progressif des rapports entre plateformes structurantes et utilisateurs au sein du marché intérieur.

Anthony Abi Hanna est référendaire au Tribunal de l’Union européenne. Toutes les opinions exprimées sont personnelles et n’engagent pas la Cour de justice de l’Union européenne.

1. Arrêt du 6 octobre 2015, Schrems, C-362/14, EU:C:2015:650.
2. Arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C-311/18, EU:C:2020:559.
3. Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO 1995 L 281/31.
4. Arrêt du 4 octobre 2024, Schrems (Communication de données au grand public), C446/21, EU:C:2024:834.
5. Voir Chaulagain Susmita, « Austria supreme court rules Meta’s personalized ads unlaxful », Jurist News, jurist.org, December 19, 2025.
6. Voir « Austrian Supreme Court: Meta must give users full access to their data », noyb,eu, December 18, 2025.