← Tous les articles

consultant

Article 28 RGPD: l’APD sanctionne la SWDE — votre DPA doit être béton

Le 12 mai 2026, l’APD a infligé 86 000 € à la SWDE, dont 1 000 € pour absence de DPA conforme à l’article 28 RGPD. Enseignement clé: sans DPA complet, chaque traitement externalisé met le responsable en défaut.

Par Expertise Luxgap 21/06/2026

Excerpt — Le 12 mai 2026, l’APD belge a infligé 86 000 € à la SWDE, dont 1 000 € pour absence de contrat de sous-traitance conforme à l’article 28 RGPD. Enseignement clé: sans DPA complet, chaque traitement externalisé met le responsable en défaut. Source: communiqué APD (12/05/2026) et décision 102/2026.

L’affaire

Le 12 mai 2026, la Chambre Contentieuse de l’APD (Belgique) a rendu la décision 102/2026 visant la Société Wallonne des Eaux (SWDE) à propos de l’enregistrement et de l’écoute d’appels au call center à des fins d’évaluation qualité et de formation. L’APD prononce deux amendes d’un montant cumulé de 86 000 €: 85 000 € pour des manquements de transparence et de licéité (art. 5(1)(a), 6(1), 12(1), 13 RGPD, et dispositions e-privacy belges) et 1 000 € spécifiquement pour absence de contrat de sous-traitance conforme avec un prestataire chargé d’évaluer les écoutes, en violation de l’article 28 RGPD. La décision relève aussi une conservation d’enregistrements au-delà d’un mois, condition pourtant essentielle au bénéfice de l’exception « call center » en droit belge des communications électroniques. Voir le communiqué APD et la décision 102/2026 (SWDE).

Dans le même lot de décisions, l’APD a également sanctionné une fintech, Isabel SA (décision 103/2026), pour n’avoir pas reconnu son rôle de responsable du traitement sur un service d’identification/authentification, rappelant qu’une mauvaise qualification « responsable/sous-traitant » entraîne en cascade des violations. Source: décision 103/2026.

Le raisonnement juridique

  • Le DPA (Data Processing Agreement) de l’article 28 RGPD. Tout traitement confié à un prestataire implique un contrat liant le sous-traitant au responsable, couvrant a minima les clauses obligatoires de l’art. 28(3) (objet, durée, nature et finalité, types de données, catégories de personnes, sécurité, confidentialité, assistance AIPD/violations, effacement/restitution, audits, sous-traitance ultérieure, etc.). À défaut, le responsable manque à son obligation de démontrer la conformité (art. 5(2), 24). Références: Chapitre IV – Article 28 (CNPD) et Sous-traitants (CNPD). Pour le cadre complet, voir le texte du RGPD.
  • Qui est « responsable » et qui est « sous-traitant » ? Les Lignes directrices 07/2020 de l’EDPB consacrent une approche fonctionnelle: est « responsable » celui qui détermine finalités et moyens essentiels; est « sous-traitant » celui qui traite pour le compte d’autrui et selon des instructions documentées. Une qualification erronée, comme relevé dans Isabel (103/2026), invalide la base légale et entrave l’exercice des droits. Référence: EDPB 07/2020.
  • Transparence, base légale et limitation de conservation. Au-delà du DPA manquant, l’APD a sanctionné la SWDE sur la transparence (art. 12–13 RGPD), la licéité (art. 6(1)), et la limitation de conservation (art. 5(1)(c) et (e)), en lien avec l’« exception call center » en droit belge: au-delà d’un mois ou en cas d’information lacunaire, l’exception tombe. Texte de référence: Règlement (UE) 2016/679.
  • Luxembourg, secteurs régulés: articulation avec CSSF 22/806. Pour les entités financières luxembourgeoises, la circulaire CSSF 22/806 sur l’externalisation (modifiée par 25/883) impose une gouvernance contractuelle robuste et renvoie au respect du RGPD (chaîne de sous-traitance, droits d’audit, localisation des données). Références: page officielle CSSF 22/806 et présentation générale.

Ce que ça change concrètement

  • DPA non négociable. Toute externalisation impliquant des données personnelles — call center, transcription d’appels, évaluation qualité, cloud, infogérance, maintenance, sécurité managée — requiert un DPA aligné sur l’article 28(3). Un simple « bon de commande + NDA » ne suffit pas. La CNPD attend des clauses sur les garanties techniques, la confidentialité, l’assistance AIPD/notification, le sort des données en fin de contrat et l’audit. Voir Sous-traitants (CNPD). Si vous avez besoin d’un cadrage opérationnel, un mandat DPO peut vous aider à piloter ces exigences.
  • Chaîne de sous-traitance maîtrisée. Le prestataire ne peut engager un sous-traitant ultérieur sans autorisation écrite préalable et clauses équivalentes (art. 28(2)–(4)). Le responsable reste exposé si la chaîne n’est pas documentée et contrôlable.
  • Qualifier correctement les rôles. Si votre fournisseur « conçoit, paramètre et opère » un service qui détermine finalités et moyens essentiels (par ex. un service d’identification), il peut être « responsable » — ce qui impose sa propre base légale et un devoir d’information direct. Réfs: Isabel 103/2026 et EDPB 07/2020. Pour un accompagnement local, explorez notre page RGPD Luxembourg.
  • Enregistrements d’appels: transparence et durée. Même si l’enregistrement est justifié (qualité/formation), une information incomplète (art. 12–13) ou une conservation excessive entraîne des sanctions. En Belgique, l’APD souligne qu’au-delà d’un mois, l’exception « call center » ne joue plus; au Luxembourg, la CNPD rappelle la stricte proportionnalité. Réfs: communiqué APD 12/05/2026 et art. 5(1)(e) RGPD.
  • Secteur financier luxembourgeois: clauses renforcées. La CSSF 22/806 exige, en sus du DPA, des exigences d’outsourcing (classification « critique/important », droits d’audit, réversibilité, accès/inspection, implication du conseil) compatibles RGPD; un contrat « purement RGPD » sans l’ossature CSSF est insuffisant. Voir CSSF 22/806. Pour la mise en œuvre, le recours à un DPO externalisé peut sécuriser les contrôles de conformité.

Pièges fréquents (vus en audit)

  1. DPA incomplet ou absent. Les équipes pensent que les CGV du fournisseur suffisent. Or l’article 28(3) dresse une liste de clauses impératives. Sans ces clauses, le responsable ne peut démontrer sa conformité (art. 5(2), 24). Réf: Chapitre IV – art. 28 (CNPD).
  2. Chaîne de sous-traitance opaque. Délégation à un « évaluateur qualité », à un hébergeur, puis à un support hors EEE sans autorisation ni clauses équivalentes: double non-conformité (art. 28(2)–(4)) et, potentiellement, transfert (art. 44 s.). Réf: EDPB 07/2020.
  3. Mauvaise qualification des rôles. Qualifier « sous-traitant » un opérateur qui choisit en réalité finalités/moyens essentiels (authentification, analytics) mène à une base légale inadéquate et à une amende (cf. Isabel 103/2026).
  4. Transparence lacunaire et information disséminée. Multiplier policies internes, FAQ et bannières n’équivaut pas à une information « aisément accessible et compréhensible » (art. 12–13). Sanction confirmé chez SWDE. Réf: décision 102/2026.
  5. Délai de conservation non borné. Enregistrements « pour la qualité » gardés des mois sans justification ni purge automatique, contraire à l’art. 5(1)(e). Réf: EUR-Lex.

Sources officielles

En synthèse: l’amende contre la SWDE illustre que l’absence — même ponctuelle — de DPA conforme à l’article 28 peut suffire à justifier une sanction. Au Luxembourg, verrouillez vos clauses, tracez la chaîne des sous-traitants, bornez la conservation et délivrez une information complète et accessible.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

expertise reglementaire rgpd apd article-28 cnpd cssf-22-806
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →