Décision de la Chambre conten­tieuse de l’Autorité de protec­tion des données belge, 103/​2026 du 12 mai 2026

Toutes socié­tés four­nis­sant des services infor­ma­tiques impli­quant le trai­te­ment de données doivent se poser la ques­tion de leur rôle en matière de protec­tion des données. Définir si leur respon­sa­bi­lité relève de celle d’un respon­sable du trai­te­ment ou d’un sous-trai­tant présente un impact majeur sur les acti­vi­tés à conduire pour assu­rer la confor­mité de leurs activités.

Faits

La Chambre Contentieuse de l’Autorité de protec­tion des données belge (« APD ») a rendu une déci­sion concer­nant une plainte dépo­sée contre une société four­nis­sant des services d’authentification et d’identification (« la société » ou « la défen­de­resse »). Le plai­gnant, gérant d’une société, accède à la plate­forme numé­rique de son comp­table via la solu­tion de la défen­de­resse pour le dépôt de docu­ments. Cette solu­tion permet la véri­fi­ca­tion de l’identité et de la capa­cité des personnes d’agir pour le compte d’entreprise.

Lors de l’utilisation de la solu­tion, le plai­gnant remarque une diver­gence entre les données person­nelles collec­tées et celles listées dans la décla­ra­tion de confi­den­tia­lité de la société. En l’absence de réponse à ses deux demandes d’accès auprès de la société, il intro­duit une plainte auprès de l’APD.

La quali­fi­ca­tion de la société est au cœur du litige. La viola­tion du droit accès et d’autres prin­cipes de l’art. 5 RGPD (dont la loyauté, la trans­pa­rence, la mini­mi­sa­tion et la respon­sa­bi­lité) ne pouvant être impu­table qu’à un manque­ment d’un respon­sable du traitement.

Qualification du respon­sable du traitement

Les éléments permet­tant de déter­mi­ner si une entité est respon­sable de trai­te­ment découlent de l’art. 4 par. 8 RGPD. Cette notion auto­nome, devant être inter­pré­tée de manière large, implique une appré­cia­tion basée sur les faits. Il est en effet insuf­fi­sant de se fier unique­ment aux enga­ge­ments contrac­tuels, tels que des conven­tions entre parties ou encore sur des décla­ra­tions faites dans des mentions d’informations (p. ex. la décla­ra­tion de confidentialité).

Dans le cas d’espèce, la défen­de­resse soutient que le service est stan­dar­disé, à l’instar d’un four­nis­seur cloud, lais­sant à ses clients la capa­cité de déter­mi­ner les fina­li­tés et moyens de trai­te­ment. Elle estime que les clients décident des moyens essen­tiels du trai­te­ment, ceux-ci ayant libre­ment choisi la solu­tion et déter­mi­nant les desti­na­taires des données parta­gées. Son rôle concer­nant l’activité de trai­te­ment visant l’authentification et l’identification se limi­te­rait à celui de sous-traitant.

La défen­de­resse recon­naît cepen­dant un rôle de respon­sable de trai­te­ment pour certaines opéra­tions de trai­te­ment, dont la véri­fi­ca­tion du statut de repré­sen­tant légal et la créa­tion du compte. Cette inter­pré­ta­tion est en outre repré­sen­tée de manière harmo­ni­sée dans sa docu­men­ta­tion interne, notam­ment dans une analyse d’impact rela­tive à la protec­tion des données, son registre des acti­vi­tés de trai­te­ment et sa docu­men­ta­tion contractuelle.

Finalités

Concernant le premier critère de la défi­ni­tion de respon­sable de trai­te­ment de l’art. 4 par. 7 RGPD, l’APD examine la déter­mi­na­tion des finalités.

Le service d’authentification et d’identification implique un ensemble d’opération, dont la collecte des données et le partage du profil avec les parte­naires (ici la plate­forme du comp­table). La fina­lité de ses opéra­tions est d’offrir une solu­tion d’identification et d’authentification et a été défi­nie de manière unila­té­rale par la défenderesse.

La société a en effet influé et parti­cipé à la déter­mi­na­tion des fina­li­tés et moyens (sur la notion d’influence et parti­ci­pa­tion : CJUE, arrêt du 7 mars 2024, IAB Europe, C‑604/​22 ; commenté : swiss​pri​vacy​.law/​3​03/). L’absence d’avantage pratique perçu par la défen­de­resse ne permet pas de prétendre à un rôle de sous-trai­tant. Les fina­li­tés et para­mètres étaient en effet défini au préa­lable de toute utili­sa­tion par des tiers.

L’APD indique de plus que, bien que la juris­pru­dence appelle à une quali­fi­ca­tion par opéra­tion (CJUE, arrêt du 29 juillet 2019, Fashion ID, C‑40/​17), cette frag­men­ta­tion ne devrait pas mener à une fragi­li­sa­tion des droits des personnes concer­nées. Dans le cas d’espèce, elle estime que les opéra­tions en cause ne peuvent pas davan­tage être distin­guées des autres, celles-ci ayant toutes pour objec­tif de permettre l’authentification et identification.

Moyens essen­tiels

Concernant les moyens du trai­te­ment, l’APD constate une absence de marge de manœuvre des personnes ayant recours à la solu­tion. L’ensemble des para­mètres, les données trai­tées, les caté­go­ries de personnes concer­nées ainsi que les durées de conser­va­tion sont fixés de manière unila­té­rale par la société. Les desti­na­taires des données ont égale­ment été déter­mi­nés par la défen­de­resse, la plate­forme comp­table ayant de surcroît fait partie d’un enga­ge­ment contrac­tuel avec cette dernière.

Il est notable que l’architecture globale du service est prise en compte, celle-ci étant inté­gra­le­ment déve­lop­pée et gérée par la défen­de­resse et sont consi­dé­rés comme une partie inté­grante des moyens essentiels.

Un service standardisé ?

La quali­fi­ca­tion de four­nis­seurs de pres­ta­tion comme sous-trai­tants est trai­tée dans les lignes direc­trices du Comité euro­péen de la protec­tion des données (EDPB, Lignes direc­trices 07/​2020, point 30). Pour prétendre à un rôle de sous-trai­tant, le four­nis­seur doit trans­mettre des infor­ma­tions suffi­sam­ment détaillées sur la solu­tion offerte pour permettre à l’utilisateur (et donc respon­sable du trai­te­ment) d’exercer un contrôle « éclairé » et de déter­mi­ner de manière active les fina­li­tés et moyens essentiels.

Dans le cas d’espèce, l’APD retient que la solu­tion n’est pas tech­ni­que­ment neutre et ne permet pas un libre choix de la manière dont les données sont traitées.

Conclusion

La quali­fi­ca­tion erro­née de sous-trai­tant implique une viola­tion par la défen­de­resse du prin­cipe de respon­sa­bi­lité (« accoun­ta­bi­lity ») de l’art. 5 par. 2 RGPD. Cette déci­sion a pour consé­quence l’imputabilité de la viola­tion de plusieurs autres dispo­si­tions du RGPD.

Parmi les autres conclu­sions, la viola­tion du prin­cipe de trans­pa­rence et de loyauté rete­nue par l’APD mérite d’être souli­gnée. Celle-ci découle de l’incohérence entre la liste des données présente dans la décla­ra­tion de confi­den­tia­lité et celles effec­ti­ve­ment collec­tées. La photo de la carte d’identité, la natio­na­lité et la date et lieu de nais­sance sont notam­ment absents de la liste. En outre, ces données ne sont mani­fes­te­ment pas néces­saires à la fina­lité défi­nie, violant ainsi les prin­cipes de propor­tion­na­lité et de minimisation.

L’APD conclut à une amende de 120’000 EUR pour la société, liée aux viola­tions présen­tées ci-dessus ainsi qu’au non-respect des obli­ga­tions en matière de droit d’accès. Les argu­ments pour arri­ver à cette sanc­tion sont abor­dés de manière détaillée dans l’arrêt, l’effet dissua­sif de celle-ci visant en outre à « envoyer un signal clair tant à la défen­de­resse qu’à l’ensemble des acteurs du secteur FinTech ».

Cette déci­sion présente de manière concrète l’importance de véri­fier le rôle des enti­tés trai­tant des données person­nelles. Malgré une docu­men­ta­tion harmo­ni­sée et des ressources inves­ties par la défen­de­resse (qui avait notam­ment dési­gné une DPO), ce manque de dili­gence dans l’interprétation entraîne des réper­cus­sions directes pour cette dernière. Les éléments d’interprétation de cet arrêt sont utiles pour procé­der à une telle analyse, en parti­cu­lier pour des four­nis­seurs de pres­ta­tions de solu­tions informatiques.

Les actions à mettre en place pour assu­rer le respect des prin­cipes de respon­sa­bi­lité et de trans­pa­rence présenté par l’APD sont égale­ment d’intérêt. En parti­cu­lier, on peut rele­ver la néces­sité d’assurer l’exhaustivité et l’exactitude des infor­ma­tions présentes dans les décla­ra­tions de confi­den­tia­lité, sous peine d’être consi­dé­rées comme trompeuses.