Date
26.06.2026
Une journée de jurisprudence, traduite pour votre pratique
Récapitulatif de la session néerlandophone. Intervenante : Nicolas Roland. Modérateur : Florence de Villenfagne.
Session francophone
Intervenant : Nicolas Roland
Modératrice : Florence de Villenfagne
Intervenant : Nicolas Roland
Modératrice : Florence de Villenfagne
Pas encore abonné ?
Essayez Stay Tuned as DPO gratuitement, une seule fois. Plus d’infos ci-dessous.
Quatre fois par an, avec une salle remplie de DPO et de professionnels de la vie privée, nous passons en revue les décisions les plus récentes de l’APD, de la Cour de justice et de l’EDPB. Deux profils complémentaires (un avocat et un DPO) présentent toutes les décisions intéressantes à travers le prisme du professionnel de la vie privée : comment traduire concrètement l’issue de ces décisions dans la pratique ?
Deux tendances ont été signalées d’emblée :
La maturité du secteur augmente visiblement, ce qui se reflète également dans les décisions : les organisations sont mieux préparées et parviennent mieux à expliquer pourquoi elles ont fait certains choix.
On observe une rupture de style à l’APD concernant le montant des amendes : les montants évoqués ci-dessous étaient jusqu’à récemment exceptionnels à l’APD, et l’on compte trois décisions consécutives avec des amendes situées entre 85 000 et 180 000 euros.
Voici un aperçu des discussions les plus intéressantes de la journée.
Sous-traitant ou responsable du traitement ? La question qui ne disparaît pas
La question de qualification la plus tenace est restée centrale ce trimestre encore, et cette décision démontre une nouvelle fois à quel point une qualification correcte est cruciale. Dans l’affaire Isabel/TruliUs (décision 103/2026, 120 000 €), une entreprise (en l’occurrence, et de façon assez spécifique : Isabel) avait une documentation parfaitement en ordre… mais entièrement construite autour d’un rôle de sous-traitant. L’APD a jugé qu’Isabel était bel et bien responsable du traitement, et dès lors les dominos tombent : qualification erronée, minimisation des données défaillante, déclaration de confidentialité qui ne correspond plus à la réalité.
Élément crucial de cette décision pour déterminer les qualités des parties : examinez les moyens essentiels. Le fournisseur détermine-t-il la durée de conservation, les données collectées, la conception du service ? La même logique des moyens essentiels est revenue dans une autre décision opposant un syndic et une association des copropriétaires (43/2026), où le syndic n’est, selon l’APD, pas responsable du traitement : il ne fait en effet qu’exécuter les décisions de l’ACP et ne détermine quasiment rien lui-même.
Sécurité : même au sein de son propre groupe, chaque détail compte
L’autorité de contrôle espagnole a infligé 2 millions d’euros à Hyundai à la suite d’une fuite de données. Instructif à deux titres. Premièrement, tant le responsable du traitement que le sous-traitant ont été mis en cause. Le sous-traitant n’avait pas corrigé (patché) des vulnérabilités connues, les données n’étaient pas chiffrées, et l’analyse de risque n’est intervenue qu’après la fuite. Deuxièmement, cela se déroulait dans un contexte intragroupe, précisément la situation dans laquelle on relâche parfois la sécurité et la documentation parce que « cela reste de toute façon au sein du groupe ». Le message : traitez une société sœur qui fournit des services IT comme tout autre prestataire externe : contrat de sous-traitance, suivi et monitoring en font également partie.
La transparence jusque dans les détails
Deux décisions ont examiné les nuances de l’information à fournir, d’une part au sein d’une plateforme en ligne et, d’autre part, à l’égard des clients et des travailleurs dans un contexte de call center.
Dans l’affaire MyMinfin (53/2026), une personne concernée a découvert que ses données de log étaient méticuleusement conservées, sans que cela figure nulle part dans la déclaration de confidentialité. Un réflexe utile en découle : votre déclaration publique de site web ne couvre pas automatiquement la plateforme sous-jacente sur laquelle les utilisateurs se connectent. Pour la plateforme sous-jacente également, il faut prévoir une déclaration de confidentialité qui couvre les activités de traitement réalisées sur la plateforme, comme la journalisation (logging) qui s’y opère et les cookies qui y sont déposés.
L’affaire « call center » contre la SWDE (85 000 €) devient une décision de référence pour les organisations dont les services reposent sur de nombreux et courts appels téléphoniques, autrement dit les organisations disposant d’un call center. La législation actuelle ne contient pas de critères précis pour déterminer ce qu’est un call center ; l’APD a donc, pour la première fois, défini clairement ce qu’est un « call center » (appels courts, standardisés, fréquents) et jusqu’où l’on peut, dans les messages automatiques, raccourcir la notification obligatoire. La seule petite phrase « cet appel peut être enregistré à des fins de formation et de preuve » ne suffit pas : le fait de l’enregistrement, sa finalité, les droits et l’endroit où trouver l’information complète doivent faire partie de ce message. Point d’attention supplémentaire au regard de la fracture numérique : chez un prestataire comptant des millions de clients, « toute l’information se trouve sur notre site web » ne constitue pas un renvoi suffisant vers la déclaration de confidentialité complète.
La saga de la boîte mail : avoir une politique n’équivaut pas à l’appliquer
Pas de Stay Tuned sans une histoire de boîte mail : combien de temps peut-on conserver une boîte mail, comment configurer le message d’absence (out-of-office), et qui peut accéder à une boîte mail. La décision visant une entreprise technologique belge réalisant 804 millions d’euros de chiffre d’affaires a donné lieu à une amende d’environ 177 000 € (réduite de 95 % par rapport au maximum théorique). L’essentiel : on ne peut déroger à la politique standard de « conservation de la boîte mail pendant 1 à 3 mois maximum » que si l’organisation différencie suffisamment. Pour un profil senior ou un poste clé, vous pouvez par exemple appliquer un régime différent, mais cela doit rester l’exception.
Quelques détails supplémentaires de cette décision donnent davantage d’orientation pour mettre concrètement en place une politique de messagerie appropriée : travaillez avec des classifications sur les e-mails (public / interne / confidentiel / strictement confidentiel) et inscrivez clairement dans votre politique qu’un dossier « personnel » est laissé tranquille. Cela protège les courriels privés de votre collaborateur et donne à l’organisation la marge nécessaire pour délimiter de manière argumentée le volet professionnel en cas de demande d’accès. Le vrai travail commence dès l’onboarding : moins il reste de contenu non structuré dans les boîtes mail, plus le départ se déroule sereinement.
Accès et abus : la Cour de justice européenne fixe la limite
Dans une affaire importante portée devant la Cour de justice, Brillen-Rothler, il était question d’une personne concernée qui s’inscrivait à des newsletters dans le seul but de lancer peu après une demande d’accès complexe, afin de réclamer des dommages et intérêts si cette demande n’était pas traitée à la perfection. La question centrale pour la Cour : peut-on d’emblée considérer une première demande d’accès comme abusive (excessive) et ne pas y donner suite ? Oui, juge la Cour, mais la barre est placée haut et la charge de la preuve repose entièrement sur le responsable du traitement, qui doit démontrer les éléments objectifs et subjectifs de l’abus. En l’espèce, cela a pu se faire grâce à diverses sources publiques dans lesquelles la personne concernée énonçait clairement son objectif, à savoir uniquement obtenir des dommages et intérêts. Cet arrêt constitue donc un fil conducteur utile pour apprécier les demandes excessives, mais certainement pas un blanc-seing pour écarter d’un revers de main les demandes gênantes.
Et bien plus encore…
La journée s’est poursuivie avec, entre autres, les caméras ANPR contre le trafic de transit à Dilbeek (projet « Minder verkeer, beter wonen » – moins de trafic, mieux vivre), des archives communales dans un conteneur ouvert sur la voie publique, la vidéosurveillance dans un complexe d’appartements, une demande d’accès auprès d’un cabinet d’avocats, une demande d’effacement, les nouvelles lignes directrices EDPB 01/2026 sur la recherche scientifique, et quelques arrêts du Conseil d’État français (Health Data Hub, CEGEDIM, CRITEO), avec enfin une attention pour les nouvelles lignes directrices de l’EDPB relatives à la recherche scientifique médicale.
Pourquoi les DPO y assistent
Les évolutions dans le monde de la protection des données vont à toute vitesse et il devient de plus en plus difficile de tout suivre de sa propre initiative. Il n’en reste pas moins que celui qui suit les évolutions au premier rang est plus solide, en tant que DPO et en tant qu’organisation, face aux autorités. C’est précisément ce que permet Stay Tuned as DPO : chaque trimestre, l’actualité traduite pour votre pratique quotidienne, par des spécialistes qui suivent les évolutions de près.
Stay Tuned, Stay Safe.
Essayez par vous-même : gratuitement
Stay Tuned as DPO est un abonnement annuel comprenant quatre journées de session par an. Vous souhaitez d’abord essayer ? Assistez gratuitement, une seule fois, à une session complète.
Avec un abonnement actif, vous bénéficiez en outre de :
- 2 journées de formation supplémentaires gratuites (workshops) en 2026
- 10 % de réduction membres sur les formations du Data Protection Institute
Date
26.06.2026
