← Tous les articles

redaction

Cookies: l’EDPB impose à l’APD belge de juger le fond dans l’affaire VRT

Le 14 juillet 2026, l’EDPB a enjoint l’APD belge de statuer au fond sur la plainte NOYB visant la bannière cookies de la VRT, écartant l’argument d’abus de droit. Signal pour les contrôles CNPD et les pratiques de consentement au Luxembourg.

Résumé — Le Comité européen de la protection des données (EDPB) a rendu une décision contraignante obligeant l’Autorité de protection des données (APD, Belgique) à juger le fond d’une plainte de NOYB à propos des bannières cookies de la VRT. L’argument d’« abus de droit » est écarté; l’APD doit évaluer la conformité du consentement.

Les faits

Le 14 juillet 2026, l’EDPB a publié une décision (datée du 28 mai 2026) dans un dossier transfrontière opposant l’APD, autorité chef de file, et l’autorité autrichienne, au sujet d’une plainte NOYB contre la VRT. L’EDPB rejette le classement pour « abus de droit » des articles 77 et 80(1) RGPD et enjoint l’APD de rendre une décision au fond conformément à l’article 60(3) RGPD.

Un avis d’information de l’APD du 13 juillet 2026, dans le cadre du « Cookie Banner Project », confirme l’obligation d’examiner la conformité matérielle des bannières.

Cadre légal et fondement

  • Article 65(1)(a) RGPD – Mécanisme de règlement des litiges entre autorités, mobilisé pour trancher la divergence entre l’APD et l’autorité autrichienne.
  • Articles 77 et 80(1) RGPD – Droit de réclamation et représentation: l’EDPB écarte l’« abus de droit » et impose l’examen au fond.
  • Article 60(3) RGPD – L’APD doit soumettre un nouveau projet de décision aux autorités concernées.
  • Article 4(24) RGPD – Notion d’« objection pertinente et motivée » confirmant l’opposition de l’autorité autrichienne.

La décision ne statue pas sur une responsabilité ni une amende à ce stade, mais elle impose une voie procédurale claire aux autorités nationales, y compris la CNPD au Luxembourg, pour les plaintes visant les bannières cookies. Pour approfondir le cadre, consultez notre page dédiée au RGPD et ses exigences.

Ce que cette affaire change pour les entreprises luxembourgeoises

  • Examen au fond des bannières – Le filtre de l’abus de droit ne permettra plus d’écarter aisément les plaintes structurelles. Attendez-vous à une vérification matérielle des choix offerts, du design et de la traçabilité des consentements, notamment dans le contexte de la conformité RGPD au Luxembourg.
  • Effet d’entraînement pour la CNPD – Renforcement des demandes de preuves sur les CMP et possible réexamen d’anciens classements sans suite.
  • Délais et exposition – Des sanctions et injonctions peuvent suivre rapidement en cas de constat d’illicéité; moindre tolérance envers les dark patterns et absence d’un bouton « Refuser tout » équivalent à « Accepter tout ».

Actions concrètes à entreprendre cette semaine

  • Auditer vos bannières – Présentez « Accepter tout » et « Refuser tout » au même niveau; granularité des finalités; bannissez les nudges et dark patterns. Documentez par captures et versions.
  • Tester la preuve – Exportez et contrôlez les logs de consentement (horodatage, identifiant pseudonymisé, version de la bannière, finalités acceptées/refusées) avec une traçabilité forte.
  • Corriger CMP et SDK – Aucune lecture/dépôt de traceur non essentiel avant consentement explicite; mettez à jour tags web et mobile; révisez les contrats sous-traitants (art. 28 RGPD).

Besoin d’appui pour piloter ces chantiers et formaliser votre gouvernance? Confiez le mandat DPO et la coordination RGPD à nos experts certifiés.

Sources

  • EDPB – 14 juillet 2026, décision contraignante art. 65(1)(a) RGPD
  • APD/communiqué via Publicnow – 13 juillet 2026, rappel du contexte « Cookie Banner Project »

Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.

NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →