Droit d’accès vs purge: l’APD recadre un recruteur (37/2026)

Excerpt — Le 24 février 2026, l’APD belge avertit une entreprise ayant effacé l’enregistrement vidéo d’un entretien alors qu’un candidat en avait demandé copie. Enseignement clé pour le Luxembourg: on ne purge pas avant d’avoir traité un droit d’accès (art. 12 et 15 RGPD).

L’affaire

Le 24 février 2026, la Chambre Contentieuse de l’Autorité de protection des données (APD, Belgique) rend la Décision 37/2026. Les faits: un candidat passe un entretien en visioconférence, partiellement enregistré pour permettre à un évaluateur absent d’en prendre connaissance. Éconduit, le candidat sollicite le 11 juillet 2025 l’accès et une copie de cet enregistrement. L’entreprise efface pourtant la vidéo le 18 juillet 2025, puis lui répond le 4 août 2025 qu’aucune copie n’est possible… parce que supprimée. L’APD estime que la conservation devait « a minima » couvrir la période nécessaire au traitement de la demande et émet un avertissement pour manquements potentiels aux articles 12(2), 12(4) et 15 RGPD (modalités des droits, information du refus, droit d’accès et copie). Source: APD, Décision 37/2026 (24/02/2026). Voir la décision en PDF. Autorité de protection des données (APD) – Décision 37/2026.

Pourquoi cette affaire compte-t-elle côté luxembourgeois? Les pratiques RH (entretiens enregistrés, outils de visioconférence, ATS) sont largement transfrontalières dans la Grande Région. La CNPD considère de son côté que le droit d’accès inclut la « copie des données » (art. 15(3)) et rappelle les délais d’un mois, prolongeables deux mois « en cas de complexité » — un cadre identique au RGPD et cohérent avec la position de l’EDPB. Références: CNPD – Le droit d’accès (mise à jour 2026) et Chapitre III du RGPD sur le site de la CNPD. CNPD – Le droit d’accès. CNPD – Chapitre III du RGPD (Art. 12–22).

Le raisonnement juridique

• Base juridique: articles 12 et 15 du RGPD. L’article 12(2) impose au responsable de « faciliter l’exercice » des droits; l’article 12(3) fixe un délai d’un mois (prolongeable de deux mois) pour répondre; l’article 12(4) impose, en cas d’inaction/refus, d’informer dans le même délai des motifs et des voies de recours. L’article 15(1) consacre le droit d’accès, l’article 15(3) celui d’obtenir « une copie des données ». Texte officiel: EUR-Lex, Règlement (UE) 2016/679. EUR-Lex – RGPD, Articles 12 et 15. Pour un rappel opérationnel interne, voyez les articles 12 et 15 du RGPD.
• Interprétation de l’APD: l’entreprise avait raison de viser une durée de conservation très brève (principe de minimisation et de limitation de la conservation, art. 5(1)(e)), mais elle devait conserver au moins le temps de traiter la demande d’accès déjà formulée. Effacer l’unique exemplaire pendant que le droit est pendant revient à rendre matériellement impossible la fourniture de la copie, ce qui contrevient à l’obligation de « faciliter » l’exercice du droit (art. 12(2)) et au droit même d’obtenir une copie (art. 15(3)). L’APD souligne aussi l’obligation d’informer dans le mois en cas de refus (art. 12(4)) — ce qui n’a pas été correctement fait. Source: APD, Décision 37/2026. APD – Décision 37/2026.
• Doctrine européenne: les Lignes directrices 01/2022 de l’EDPB sur le droit d’accès (version finale 2023) confirment qu’une « copie » signifie une reproduction fidèle des données personnelles traitées (y compris extraits de documents, logs, enregistrements), pas un simple récapitulatif, et que les responsables doivent organiser leurs systèmes pour permettre l’exercice effectif du droit. EDPB – Final Guidelines on the Right of Access.
• Position CNPD: la CNPD rappelle aux personnes et aux responsables, dans sa fiche « Le droit d’accès », le périmètre du droit (accès + copie), les délais, les cas de prolongation et la marche à suivre en cas de refus ou de silence. Ce référentiel pratique renforce l’exigence opérationnelle côté employeurs luxembourgeois (RH, sécurité, IT). CNPD – Le droit d’accès.

Ce que ça change concrètement

• Enregistrements d’entretiens, d’appels ou de réunions: si vous enregistrez pour une finalité ponctuelle (ex. rattraper une absence), vous pouvez et devez limiter la conservation. Mais dès qu’une demande d’accès/copie (art. 15) est reçue, vous devez suspendre la purge jusqu’à exécution ou réponse motivée dans le mois. En clair: un « legal hold » spécifique aux droits doit bloquer la suppression automatique. Pour organiser ces workflows, un mandat DPO peut piloter la suspension et la traçabilité.
• Outils et procédures RH: vos SI (visioconférence, stockage cloud, ATS) doivent permettre l’extraction d’une copie ciblée, la pseudonymisation/floutage au besoin pour protéger les droits des tiers (art. 15 est « sans préjudice » des droits et libertés d’autrui), et la traçabilité du délai (art. 12(3)-(4)). S’il est objectivement impossible d’extraire sans impact disproportionné, justifiez, documentez et proposez une modalité alternative (visionnage sécurisé sur place, capture expurgée).
• Gouvernance documentaire: les durées de conservation « brèves » restent requises, mais elles ne sauraient neutraliser un droit en cours. Votre politique doit prévoir une règle simple: « purge suspendue en cas de demande d’accès ». Ce verrou s’étend aussi aux journaux applicatifs s’ils contiennent des données personnelles identifiables.
• Territorialité et frontaliers: qu’un traitement soit opéré au Luxembourg, en Belgique, en France ou en Allemagne, les exigences RGPD sont communes. L’affaire APD 37/2026 envoie un signal utile aux groupes opérant depuis le Luxembourg dans la Grande Région: coordonnez vos règles de purge et vos workflows de droits. Pour sécuriser votre conformité locale, consultez les bonnes pratiques « RGPD Luxembourg ».

Pièges fréquents

1. Purges « aveugles » par batch/cron: des tâches d’effacement automatiques ne consultent pas l’état des demandes en cours. Sans « legal hold » déclenché par le DPO/IT, l’effacement « casse » le droit d’accès. Correctif: intégrer un état « DSAR pending » dans le référentiel des enregistrements et une API d’exclusion côté outil.
2. Confusion « résumé » vs « copie »: fournir un compte rendu d’entretien ou un e‑mail récapitulatif ne suffit pas. L’EDPB exige une reproduction des données personnelles traitées (extrait audio/vidéo, métadonnées pertinentes). Référence: EDPB, Guidelines 01/2022. EDPB – Right of Access.
3. Oublier les délais et la motivation du refus: un silence de plus d’un mois, ou un refus non motivé et sans indication de recours (autorité/juge), viole l’art. 12(4) et expose à des mesures correctrices. Référence: EUR-Lex, art. 12(3)-(4). EUR-Lex – RGPD.
4. Invoquer trop vite le « secret des affaires »: ce n’est pas un sauf-conduit pour refuser la copie. Il faut rechercher des modalités proportionnées (expurgation, floutage, visionnage encadré) conciliant le droit d’accès et la protection des tiers/intérêts légitimes.
5. Ne pas prévoir la charge de floutage/anonymisation: lorsque des tiers figurent dans la vidéo, l’effort d’expurgation doit être anticipé (outils de blur, temps de traitement). Sinon, vous serez tentés d’effacer « pour aller plus vite »… au risque de commettre précisément le manquement constaté par l’APD.

Sources officielles

• Autorité de protection des données (Belgique) – Décision 37/2026 du 24 février 2026 (avertissement – droit d’accès à une vidéo d’entretien et purge prématurée): https://autoriteprotectiondonnees.be/publications/avertissement-n0-37-2026.pdf.
• CNPD (Luxembourg) – Le droit d’accès (mise à jour 2026): délais, périmètre, modalités pratiques: https://cnpd.public.lu/fr/particuliers/vos-droits/droit-acces.html.
• CNPD – Chapitre III du RGPD (Articles 12–22) – version consolidée, rappel des exigences de délai d’un mois et d’information en cas de refus: https://cnpd.public.lu/fr/legislation/droit-europ/union-europeenne/rgpd/chapitre-3.html.
• EUR-Lex – Règlement (UE) 2016/679 (texte officiel): Articles 12 et 15 (modalités et droit d’accès/copie): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.
• EDPB – Lignes directrices 01/2022 sur le droit d’accès (version finale 2023): portée de la « copie », articulation avec les droits des tiers: https://www.edpb.europa.eu/news/news/2023/edpb-adopts-final-version-guidelines-data-subject-rights-right-access_sl.

En synthèse: au Luxembourg comme chez nos voisins, une politique de conservation « stricte » ne doit jamais court-circuiter un droit d’accès déclenché. La bonne pratique est technique (legal hold automatisé), procédurale (workflows DSAR tracés) et juridique (réponses motivées, dans le mois). L’affaire APD 37/2026 offre un cas d’école facilement transposable aux enregistrements RH et aux réunions professionnelles. Besoin d’un appui opérationnel? Parlez-nous de vos contraintes.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.