← Tous les articles

consultant

APD (BE) sanctionne SWDE: 86 000 € et rappel sur le contrat art. 28

La DPA belge sanctionne SWDE pour l’enregistrement et l’écoute d’appels: transparence, durée et contrat sous-traitant manquant. Un signal pour le Luxembourg: un DPA « article 28 » incomplet se paie cash.

Par Expertise Luxgap 27/05/2026

L’affaire

Le 12 mai 2026, l’Autorité de protection des données belge (APD/GBA) a annoncé trois amendes, dont deux visant la Société Wallonne des Eaux (SWDE) pour ses enregistrements et écoutes d’appels entrants au call center. Le total atteint 86 000 €: 85 000 € pour défauts de transparence, gestion de la durée et illicéité de certains enregistrements test, et 1 000 € pour « absence de contrat de sous‑traitance » avec un prestataire chargé d’évaluer les écoutes, pendant près de 5 ans. La décision souligne aussi l’exigence d’une information accessible sans conditionner l’accès à Internet, la nécessité de permettre l’opposition à l’enregistrement, et un dépassement de la durée d’un mois requise pour bénéficier de l’exception « call center » en droit belge des communications électroniques. Source officielle: communiqué APD et renvoi vers les décisions 101/2026–103/2026, dont 102/2026 pour SWDE (FR/NL). Voir « La Chambre Contentieuse inflige 3 amendes », 12 mai 2026. APD.

Le raisonnement juridique

  • Obligation d’avoir un contrat conforme avec chaque sous‑traitant (article 28 RGPD). L’article 28(3) impose un acte juridique contraignant précisant l’objet, la durée, la nature et les finalités du traitement, le type de données, les catégories de personnes concernées, ainsi que les obligations et droits du responsable. Sans ce contrat, le sous‑traitant ne peut traiter que sur instructions documentées, et le responsable ne peut pas démontrer sa conformité (art. 5(2) « responsabilité »). Texte officiel: RGPD, art. 28 et 5(2), EUR‑Lex. EUR‑Lex — RGPD. Pour un cadrage de fond, voir notre point de vue sur l’article 28 RGPD et ses clauses indispensables.
  • Qualification correcte des rôles. Les Lignes directrices EDPB 07/2020 sur les concepts de « responsable » et « sous‑traitant » rappellent qu’il faut apprécier concrètement qui détermine les finalités et moyens essentiels, et que le contrat ne suffit pas: c’est la réalité opérationnelle qui prime. Elles détaillent le contenu obligatoire du DPA et les clauses types à couvrir (assistance, sécurité, sous‑traitance ultérieure, audits, effacement/restitution). EDPB 07/2020.
  • Base légale et transparence. Pour l’enregistrement/écoute d’appels, l’APD a pointé des manquements aux principes de licéité et de transparence (art. 5(1)(a), 6, 12–13), ainsi qu’à la limitation de la conservation (art. 5(1)(e)). Le RGPD n’impose pas de durée fixe, mais requiert une période « nécessaire » et documentée; l’APD a, en droit belge des communications électroniques, retenu un mois comme condition de l’exception « call center ». Pour mémoire, l’EDPB a précisé l’analyse de l’« intérêt légitime » (art. 6(1)(f)) et l’examen en trois temps (finalité légitime, nécessité, mise en balance) dans ses Lignes directrices 1/2024. EDPB 1/2024.
  • Résonance luxembourgeoise. Au Luxembourg, la CNPD rappelle les principes de licéité/transparence et la nécessité d’informer clairement au début de toute conversation enregistrée; elle exige une base légale solide, une durée définie et la possibilité pratique d’exercice des droits. Voir par ex. les dossiers thématiques CNPD (information, conservation et mentions spécifiques sur l’alerte en début d’appel). CNPD — principes et CNPD — conservation/PSP.

En synthèse, l’APD sanctionne à la fois le fond (transparence, base légale, durée) et la forme (contrat sous‑traitant), traduisant l’approche RGPD « accountability + chain of trust »: pas d’enregistrement sans information claire et base légale, pas de traitement délégué sans DPA article 28 en béton.

Ce que ça change concrètement (Luxembourg, mai 2026)

  • Toute fonction support qui « écoute » des appels (qualité, formation, litiges) doit être cadrée par:
    • une base légale documentée (souvent intérêt légitime — art. 6(1)(f) — avec une mise en balance formalisée) ou une obligation sectorielle;
    • une information accessible à tous les appelants dès le début de l’appel (pas uniquement via un site web);
    • une durée maximale et justifiée, avec purge effective et traçable;
    • des modalités d’opposition quand l’intérêt légitime est invoqué (p. ex., « appuyez sur # pour refuser l’enregistrement » ou bascule vers un canal non enregistré).
  • Si vous déléguez l’évaluation des écoutes, la transcription, l’IA d’analyse de qualité, ou l’hébergement: vous devez avoir un contrat sous‑traitant conforme à l’article 28 RGPD avec chaque prestataire et sous‑traitant ultérieur (et tenir votre registre des sous‑traitants à jour). Le « petit » 1 000 € de la SWDE rappelle qu’une brèche documentaire suffit à caractériser un manquement autonome. APD, 12 mai 2026. Pour sécuriser vos pratiques au Luxembourg, voir la conformité RGPD CNPD et, côté gouvernance, confier un mandat DPO lorsque nécessaire.
  • Les équipes LU doivent aligner leurs pratiques sur la doctrine européenne:
    • L’EDPB 07/2020 pour bien qualifier responsable/sous‑traitant et verrouiller les clauses; EDPB 07/2020.
    • L’EDPB 1/2024 pour les cas où l’intérêt légitime est retenu (enregistrements « qualité »). EDPB 1/2024.
    • Les rappels CNPD sur l’information immédiate et la conservation. CNPD.

Pièges fréquents (vus en audit)

  1. « On a un NDA, ça suffit » — Non. Un NDA n’est pas un DPA. L’article 28(3) impose des clauses spécifiques: assistance aux droits, sécurité, notification d’incidents, audits, sort des données en fin de contrat, encadrement de la sous‑traitance ultérieure, etc. EUR‑Lex — art. 28.
  2. Contrat sous‑traitant signé « après coup » — Un DPA rétroactif ne corrige pas l’absence de base contractuelle au moment des traitements. L’APD a sanctionné 5 ans sans contrat conforme dans SWDE. APD, 12 mai 2026.
  3. Information « cachée » dans une politique web — Invoquer une page web ne suffit pas si, en pratique, l’appelant ne peut y accéder ou n’y est pas renvoyé efficacement avant l’enregistrement. L’APD reproche d’avoir conditionné l’accès à l’information à Internet pour un service grand public. APD, 12 mai 2026.
  4. Pas de mécanisme d’opposition — Si vous fondez l’enregistrement « qualité » sur l’intérêt légitime, prévoyez une option simple pour refuser (DTMF, route vers un agent non enregistré). C’est cohérent avec l’analyse EDPB 1/2024 et les attentes CNPD en matière d’information claire. EDPB 1/2024; CNPD.
  5. Durées « par défaut » non maîtrisées — Copier une durée standard sans purge effective expose à une sanction (art. 5(1)(e)). Documentez la justification, implémentez l’effacement automatique, et testez‑la. Référence: principe de limitation de la conservation, RGPD. EUR‑Lex — art. 5(1)(e).

En pratique, les dirigeants luxembourgeois doivent vérifier trois chantiers « rapides mais critiques »: 1) chaque prestataire impliqué dans l’enregistrement/écoute/transcription d’appels dispose d’un DPA article 28 complet et signé; 2) un message d’information clair est diffusé dès le début de chaque appel, avec une option d’opposition si l’intérêt légitime est invoqué; 3) une purge automatisée et testée applique la durée documentée. L’affaire SWDE montre qu’en 2026, les autorités sanctionnent autant la conformité « papier » (contrats) que la conformité « terrain » (info, durée, droits).

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

expertise reglementaire rgpd apd cnpd sous-traitant call-center
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos donnees ne sont jamais partagees. Conformite RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →