{"id":20279,"date":"2026-06-26T16:01:36","date_gmt":"2026-06-26T14:01:36","guid":{"rendered":"https:\/\/www.dp-institute.eu\/?p=20279"},"modified":"2026-06-26T16:25:51","modified_gmt":"2026-06-26T14:25:51","slug":"retrospective-de-stay-tuned-as-dpo-2026-q2-un-trimestre-riche-en-enseignements-sur-la-vie-privee","status":"publish","type":"post","link":"https:\/\/www.dp-institute.eu\/fr\/retrospective-de-stay-tuned-as-dpo-2026-q2-un-trimestre-riche-en-enseignements-sur-la-vie-privee\/","title":{"rendered":"R\u00e9trospective de Stay Tuned as DPO 2026 Q2 : un trimestre riche en enseignements sur la vie priv\u00e9e"},"content":{"rendered":"
\n
\n

Une journ\u00e9e de jurisprudence, traduite pour votre pratique<\/h2>\n

R\u00e9capitulatif de la session n\u00e9erlandophone. Intervenante : Nicolas Roland. Mod\u00e9rateur : Florence de Villenfagne.<\/p>\n

Session francophone<\/span>
\nIntervenant : Nicolas Roland<\/span>
\nMod\u00e9ratrice : Florence de Villenfagne<\/span><\/div>\n<\/section>\n
\n

Pas encore abonn\u00e9 ?<\/p>\n

Essayez Stay Tuned as DPO gratuitement, une seule fois. Plus d’infos ci-dessous.<\/p>\n<\/section>\n

\n

Quatre fois par an, avec une salle remplie de DPO et de professionnels de la vie priv\u00e9e, nous passons en revue les d\u00e9cisions les plus r\u00e9centes de l’APD, de la Cour de justice et de l’EDPB. Deux profils compl\u00e9mentaires (un avocat et un DPO) pr\u00e9sentent toutes les d\u00e9cisions int\u00e9ressantes \u00e0 travers le prisme du professionnel de la vie priv\u00e9e : comment traduire concr\u00e8tement l’issue de ces d\u00e9cisions dans la pratique ?<\/p>\n

Deux tendances ont \u00e9t\u00e9 signal\u00e9es d’embl\u00e9e :<\/p>\n<\/section>\n

\n
\n

La maturit\u00e9 du secteur augmente visiblement, ce qui se refl\u00e8te \u00e9galement dans les d\u00e9cisions : les organisations sont mieux pr\u00e9par\u00e9es et parviennent mieux \u00e0 expliquer pourquoi elles ont fait certains choix.<\/p>\n<\/div>\n

\n

On observe une rupture de style \u00e0 l’APD concernant le montant des amendes : les montants \u00e9voqu\u00e9s ci-dessous \u00e9taient jusqu’\u00e0 r\u00e9cemment exceptionnels \u00e0 l’APD, et l’on compte trois d\u00e9cisions cons\u00e9cutives avec des amendes situ\u00e9es entre 85 000 et 180 000 euros.<\/p>\n<\/div>\n<\/section>\n

\n

Voici un aper\u00e7u des discussions les plus int\u00e9ressantes de la journ\u00e9e.<\/p>\n<\/section>\n

\n

Sous-traitant ou responsable du traitement ? La question qui ne dispara\u00eet pas<\/h2>\n

La question de qualification la plus tenace est rest\u00e9e centrale ce trimestre encore, et cette d\u00e9cision d\u00e9montre une nouvelle fois \u00e0 quel point une qualification correcte est cruciale. Dans l’affaire Isabel\/TruliUs (d\u00e9cision 103\/2026, 120 000 \u20ac), une entreprise (en l’occurrence, et de fa\u00e7on assez sp\u00e9cifique : Isabel) avait une documentation parfaitement en ordre\u2026 mais enti\u00e8rement construite autour d’un r\u00f4le de sous-traitant. L’APD a jug\u00e9 qu’Isabel \u00e9tait bel et bien responsable du traitement, et d\u00e8s lors les dominos tombent : qualification erron\u00e9e, minimisation des donn\u00e9es d\u00e9faillante, d\u00e9claration de confidentialit\u00e9 qui ne correspond plus \u00e0 la r\u00e9alit\u00e9.<\/p>\n

\u00c9l\u00e9ment crucial de cette d\u00e9cision pour d\u00e9terminer les qualit\u00e9s des parties : examinez les moyens essentiels. Le fournisseur d\u00e9termine-t-il la dur\u00e9e de conservation, les donn\u00e9es collect\u00e9es, la conception du service ? La m\u00eame logique des moyens essentiels est revenue dans une autre d\u00e9cision opposant un syndic et une association des copropri\u00e9taires (43\/2026), o\u00f9 le syndic n’est, selon l’APD, pas responsable du traitement : il ne fait en effet qu’ex\u00e9cuter les d\u00e9cisions de l’ACP et ne d\u00e9termine quasiment rien lui-m\u00eame.<\/p>\n<\/section>\n

\n

S\u00e9curit\u00e9 : m\u00eame au sein de son propre groupe, chaque d\u00e9tail compte<\/h2>\n

L’autorit\u00e9 de contr\u00f4le espagnole a inflig\u00e9 2 millions d’euros \u00e0 Hyundai \u00e0 la suite d’une fuite de donn\u00e9es. Instructif \u00e0 deux titres. Premi\u00e8rement, tant le responsable du traitement que le sous-traitant ont \u00e9t\u00e9 mis en cause. Le sous-traitant n’avait pas corrig\u00e9 (patch\u00e9) des vuln\u00e9rabilit\u00e9s connues, les donn\u00e9es n’\u00e9taient pas chiffr\u00e9es, et l’analyse de risque n’est intervenue qu’apr\u00e8s la fuite. Deuxi\u00e8mement, cela se d\u00e9roulait dans un contexte intragroupe, pr\u00e9cis\u00e9ment la situation dans laquelle on rel\u00e2che parfois la s\u00e9curit\u00e9 et la documentation parce que \u00ab cela reste de toute fa\u00e7on au sein du groupe \u00bb. Le message : traitez une soci\u00e9t\u00e9 s\u0153ur qui fournit des services IT comme tout autre prestataire externe : contrat de sous-traitance, suivi et monitoring en font \u00e9galement partie.<\/p>\n<\/section>\n

\n

La transparence jusque dans les d\u00e9tails<\/h2>\n

Deux d\u00e9cisions ont examin\u00e9 les nuances de l’information \u00e0 fournir, d’une part au sein d’une plateforme en ligne et, d’autre part, \u00e0 l’\u00e9gard des clients et des travailleurs dans un contexte de call center.<\/p>\n

Dans l’affaire MyMinfin (53\/2026), une personne concern\u00e9e a d\u00e9couvert que ses donn\u00e9es de log \u00e9taient m\u00e9ticuleusement conserv\u00e9es, sans que cela figure nulle part dans la d\u00e9claration de confidentialit\u00e9. Un r\u00e9flexe utile en d\u00e9coule : votre d\u00e9claration publique de site web ne couvre pas automatiquement la plateforme sous-jacente sur laquelle les utilisateurs se connectent. Pour la plateforme sous-jacente \u00e9galement, il faut pr\u00e9voir une d\u00e9claration de confidentialit\u00e9 qui couvre les activit\u00e9s de traitement r\u00e9alis\u00e9es sur la plateforme, comme la journalisation (logging) qui s’y op\u00e8re et les cookies qui y sont d\u00e9pos\u00e9s.<\/p>\n

L’affaire \u00ab call center \u00bb contre la SWDE (85 000 \u20ac) devient une d\u00e9cision de r\u00e9f\u00e9rence pour les organisations dont les services reposent sur de nombreux et courts appels t\u00e9l\u00e9phoniques, autrement dit les organisations disposant d’un call center. La l\u00e9gislation actuelle ne contient pas de crit\u00e8res pr\u00e9cis pour d\u00e9terminer ce qu’est un call center ; l’APD a donc, pour la premi\u00e8re fois, d\u00e9fini clairement ce qu’est un \u00ab call center \u00bb (appels courts, standardis\u00e9s, fr\u00e9quents) et jusqu’o\u00f9 l’on peut, dans les messages automatiques, raccourcir la notification obligatoire. La seule petite phrase \u00ab cet appel peut \u00eatre enregistr\u00e9 \u00e0 des fins de formation et de preuve \u00bb ne suffit pas : le fait de l’enregistrement, sa finalit\u00e9, les droits et l’endroit o\u00f9 trouver l’information compl\u00e8te doivent faire partie de ce message. Point d’attention suppl\u00e9mentaire au regard de la fracture num\u00e9rique : chez un prestataire comptant des millions de clients, \u00ab toute l’information se trouve sur notre site web \u00bb ne constitue pas un renvoi suffisant vers la d\u00e9claration de confidentialit\u00e9 compl\u00e8te.<\/p>\n<\/section>\n

\n

La saga de la bo\u00eete mail : avoir une politique n’\u00e9quivaut pas \u00e0 l’appliquer<\/h2>\n

Pas de Stay Tuned sans une histoire de bo\u00eete mail : combien de temps peut-on conserver une bo\u00eete mail, comment configurer le message d’absence (out-of-office), et qui peut acc\u00e9der \u00e0 une bo\u00eete mail. La d\u00e9cision visant une entreprise technologique belge r\u00e9alisant 804 millions d’euros de chiffre d’affaires a donn\u00e9 lieu \u00e0 une amende d’environ 177 000 \u20ac (r\u00e9duite de 95 % par rapport au maximum th\u00e9orique). L’essentiel : on ne peut d\u00e9roger \u00e0 la politique standard de \u00ab conservation de la bo\u00eete mail pendant 1 \u00e0 3 mois maximum \u00bb que si l’organisation diff\u00e9rencie suffisamment. Pour un profil senior ou un poste cl\u00e9, vous pouvez par exemple appliquer un r\u00e9gime diff\u00e9rent, mais cela doit rester l’exception.<\/p>\n

Quelques d\u00e9tails suppl\u00e9mentaires de cette d\u00e9cision donnent davantage d’orientation pour mettre concr\u00e8tement en place une politique de messagerie appropri\u00e9e : travaillez avec des classifications sur les e-mails (public \/ interne \/ confidentiel \/ strictement confidentiel) et inscrivez clairement dans votre politique qu’un dossier \u00ab personnel \u00bb est laiss\u00e9 tranquille. Cela prot\u00e8ge les courriels priv\u00e9s de votre collaborateur et donne \u00e0 l’organisation la marge n\u00e9cessaire pour d\u00e9limiter de mani\u00e8re argument\u00e9e le volet professionnel en cas de demande d’acc\u00e8s. Le vrai travail commence d\u00e8s l’onboarding : moins il reste de contenu non structur\u00e9 dans les bo\u00eetes mail, plus le d\u00e9part se d\u00e9roule sereinement.<\/p>\n<\/section>\n

\n

Acc\u00e8s et abus : la Cour de justice europ\u00e9enne fixe la limite<\/h2>\n

Dans une affaire importante port\u00e9e devant la Cour de justice, Brillen-Rothler, il \u00e9tait question d’une personne concern\u00e9e qui s’inscrivait \u00e0 des newsletters dans le seul but de lancer peu apr\u00e8s une demande d’acc\u00e8s complexe, afin de r\u00e9clamer des dommages et int\u00e9r\u00eats si cette demande n’\u00e9tait pas trait\u00e9e \u00e0 la perfection. La question centrale pour la Cour : peut-on d’embl\u00e9e consid\u00e9rer une premi\u00e8re demande d’acc\u00e8s comme abusive (excessive) et ne pas y donner suite ? Oui, juge la Cour, mais la barre est plac\u00e9e haut et la charge de la preuve repose enti\u00e8rement sur le responsable du traitement, qui doit d\u00e9montrer les \u00e9l\u00e9ments objectifs et subjectifs de l’abus. En l’esp\u00e8ce, cela a pu se faire gr\u00e2ce \u00e0 diverses sources publiques dans lesquelles la personne concern\u00e9e \u00e9non\u00e7ait clairement son objectif, \u00e0 savoir uniquement obtenir des dommages et int\u00e9r\u00eats. Cet arr\u00eat constitue donc un fil conducteur utile pour appr\u00e9cier les demandes excessives, mais certainement pas un blanc-seing pour \u00e9carter d’un revers de main les demandes g\u00eanantes.<\/p>\n<\/section>\n

\n

Et bien plus encore\u2026<\/h2>\n

La journ\u00e9e s’est poursuivie avec, entre autres, les cam\u00e9ras ANPR contre le trafic de transit \u00e0 Dilbeek (projet \u00ab Minder verkeer, beter wonen \u00bb \u2013 moins de trafic, mieux vivre), des archives communales dans un conteneur ouvert sur la voie publique, la vid\u00e9osurveillance dans un complexe d’appartements, une demande d’acc\u00e8s aupr\u00e8s d’un cabinet d’avocats, une demande d’effacement, les nouvelles lignes directrices EDPB 01\/2026 sur la recherche scientifique, et quelques arr\u00eats du Conseil d’\u00c9tat fran\u00e7ais (Health Data Hub, CEGEDIM, CRITEO), avec enfin une attention pour les nouvelles lignes directrices de l’EDPB relatives \u00e0 la recherche scientifique m\u00e9dicale.<\/p>\n<\/section>\n

\n

Pourquoi les DPO y assistent<\/h2>\n

Les \u00e9volutions dans le monde de la protection des donn\u00e9es vont \u00e0 toute vitesse et il devient de plus en plus difficile de tout suivre de sa propre initiative. Il n’en reste pas moins que celui qui suit les \u00e9volutions au premier rang est plus solide, en tant que DPO et en tant qu’organisation, face aux autorit\u00e9s. C’est pr\u00e9cis\u00e9ment ce que permet Stay Tuned as DPO : chaque trimestre, l’actualit\u00e9 traduite pour votre pratique quotidienne, par des sp\u00e9cialistes qui suivent les \u00e9volutions de pr\u00e8s.<\/p>\n

Stay Tuned, Stay Safe.<\/p>\n<\/section>\n

\n

Essayez par vous-m\u00eame : gratuitement<\/h2>\n

Stay Tuned as DPO est un abonnement annuel comprenant quatre journ\u00e9es de session par an. Vous souhaitez d’abord essayer ? Assistez gratuitement, une seule fois, \u00e0 une session compl\u00e8te.<\/p>\n

Avec un abonnement actif, vous b\u00e9n\u00e9ficiez en outre de :<\/p>\n