Blogpost

Comment l’ APD belge appliquera différemment le RGPD en 2026–2028

Publié sur27/01/2026
Hoe de Belgische GBA de GDPR anders zal handhaven in 2026–2028.

L’Autorité belge de protection des données (APD/GBA) a publié son nouveau plan stratégique pour 2026–2028. L’APD travaille normalement avec des plans sur six ans, mais en raison de l’environnement rapide dans lequel elle travaille, l’APD a décidé de ne pas s’enfermer dans un engagement rigide à long terme. A la place, l’APD se concentre sur quelques points clés, avec un document beaucoup plus court qui sera réévalué en 2028.

Dans ce blogpost, nous exposerons le point le plus important qui pourrait affecter votre entreprise, et/ou vous en tant que personne concernée !

Application proactive

Outre l’excellence opérationnelle, l’APD mentionne le renforcement du corpus règlementaire numérique de l’UE comme le principal moteur de ses changement prévu.

L’APD constate que la plupart, sinon la totalité, de ses actions d’application de la règlementation repose sur des plaintes (837) et des notifications de violation (1455) en 2024. Ainsi, l’APD est explicite dans son objectif d’être moins dépendant des plaintes et d’initier davantage d’inspections tout en se concentrant sur les cas ayant un réel impact sur la société.

Pour les entreprises actives dans les points de focus de l’APD, cela signifie qu’il y a plus de chances que l’APD initie une inspection de leurs pratiques si l’APD soupçonne que quelque chose ne va pas.

Nous avons remarqué que certaines entreprises adoptent une approche consistant à « prioriser la conformité visible au RGPD en premier », ce qui entraîne un faible risque de plaintes. Bien que la conformité ne soit pas quelque chose qui peut être atteint instantanément, la position plus proactive de l’APD pourrait influencer la priorisation des entreprises.

Accélération de la conformité

L’APD constate que même les litiges mineurs font l’objet une chaîne procédurale très lourde, nécessitant souvent au moins 6 mois pour être traités. Cela ralentit les petits différends et consomme des ressources pour les litiges plus importants, l’APD souhaite donc rationaliser les petits litiges.

Comment ? De deux façons.

  1. En se concentrant sur la médiation pour de petits différends tels que les litiges relatifs aux caméras, les demandes d’accès, etc. L’idée est qu’une séance de médiation tripartite visant à retirer des données est bien plus efficace qu’une enquête à grande échelle pour obtenir le même résultat pour la personne concernée. Cependant, les entreprises qui ne participent pas (de manière constructive) à la médiation peuvent s’attendre à une procédure accélérée vers d’application.
  2. Lorsqu’une enquête à grande échelle est disproportionnée par rapport à la violation (évidente) du RGPD, le Service d’Inspection poussera à la conformité lors de son inspection.

Cela permettra de consacrer plus de ressources pour les affaires à plus grand impact et d’une application plus rapide pour les cas mineurs. Les entreprises peuvent s’attendre à une approche plus directe pour aligner leurs pratiques sur le RGPD, sans intervention du Service d’Inspection (sauf si la violation a un impact vraiment significatif).

Répondre aux demandes d’information

Un autre fardeau pour leurs ressources est la demande d’informations par les individus. En 2024, l’APD a traité plus de 3000 demandes, souvent avec des retards pouvant aller jusqu’à un an. Ce modèle s’effondre sous son propre poids et l’APD le retravaillera à l’avenir :

  • Les demandes individuelles ne seront pas traitées de manière systématique.
  • Des demandes similaires seront regroupées dans les FAQ publiques, les listes de contrôle et les documents d’orientation.
  • Il sera fait référence à leur site web ou à d’autres documents d’orientation officiels (tels que ceux de l’EDPB).

Bien que personne ne soit aidé avec une réponse fournie après un an, ne pas faire de suivi des demandes individuelles augmente le seuil pour les personnes ayant des questions spécifiques ou même générales. L’APD se concentrera sur ses tâches principales de faire respecter le RGPD et les entreprises devraient être plus autonomes. En revanche, les entreprises devront attendre des orientations standardisées au lieu de pouvoir poser des questions, ce qui place la responsabilité de la certitude juridique aux décideurs, soutenus par le délégué à la protection des données et/ou un expert externe.

Points de focus

L’APD belge est ambitieuse et souhaite mener sur deux fronts : le traitement à grande échelle et les données d’enfants. L’APD reconnaît que ces deux thèmes auront un impact important dans les années à venir et souhaite donc prendre les devants au sein de l’UE.

Traitement à grande échelle

L’APD se concentrera sur le traitement à grande échelle, tant dans le secteur public que privé, présentant un risque potentiel élevé tel que (mais sans s’y limiter) :

  • Données de santé dans les hôpitaux,
  • Profilage dans le secteur bancaire et des assurances,
  • Enregistrements dans les restaurants ou les médecins généralistes, bases de données de l’administration fiscale,
  • AdTech et courtiers en données.

L’APD indique qu’elle clarifiera davantage ce que signifie ce point focal dans son plan annuel.

Données des enfants

C’est un choix politique et stratégique. Les enfants sont présentés comme un groupe vulnérable dans l’économie numérique.

Les domaines prioritaires incluent :

  • Plateformes de réseaux sociaux utilisées par les mineurs,
  • Profilage et personnalisation,
  • Dark patterns dans le recueil du consentement,
  • Partage parental excessif (« sharenting »),
  • Flux de données vers des tiers à partir d’applications et plateformes pour enfants.

Ainsi, les entreprises ayant des activités dans l’un ou l’autre de ces deux domaines doivent savoir que l’APD adoptera une approche plus proactive ainsi qu’un contrôle renforcé, tout en pouvant également s’attendre à davantage d’orientations.

Autres sujets

L‘APD met également en lumière quelques autres sujets :

Application de la loi sur l’IA

Elle ne s’attend pas à devenir l’autorité de surveillance du marché de l’AI Act, mais elle espère jouer un rôle là où les données personnelles sont en jeu.

Gel des recrutements

L’APD, qui compte actuellement environ 90 ETP, procédera à un gel des embauches jusqu’en 2029 car ses fonds n’augmenteront pas. Cela oblige l’APD à agir de manière plus efficace et à rationaliser les processus, comme nous le constatons dans leur plan stratégique.

Coopération

L’APD reconnaît la nécessité de coopérer et de participer aux autorités et institutions au niveau local, national et international, tels que l’Autorité flamande de surveillance, l’EDPB, d’autres régulateurs tels que le régulateur des télécommunications, etc.

Conseils sur la nouvelle législation

L’APD répète souvent ses conseils sur de nouvelles législations et réduit ainsi la quantité de conseils concrets sur les textes normatifs et se réfère aux orientations générales. Pour une législation à fort impact, des conseils personnalisés seront toujours fournis.

Impact et conclusion

L’APD vise une plus grande excellence opérationnelle tout en priorisant les travaux à haut impact. Elle s’attend à une augmentation de la charge de travail tout en reconnaissant que leur mode de travail actuel la ralentit. De plus, elle souhaite concentrer davantage de ressources sur les cas à heut impact tout en augmentant l’efficacité des affaires plus petites et claires en se concentrant sur la médiation.

En général, nous prévoyons :

  • Plus de conseils, notamment sur le traitement à grande échelle et les données des mineurs.
  • Moins d’enquêtes complètes mais plus de médiation
    • Cela pourrait se traduire par l’absence d’ amende, mais une correction forcée
  • Moins de contacts directs avec l’APD et donc plus d’autonomie
  • Plus de complexité pour l’application du Paquet numérique, en particulier de l’AI Act, en ce qui concerne les données personnelles

Comment pouvez-vous vous préparer à ce renouvellement de l’APD ?

  • Développez les structures de gouvernance des données afin de pouvoir vous adapter plus facilement aux accords de médiation, car ils seront conclus bien plus rapidement que le temps nécessaire pour prendre une décision complète
  • Renforcez d’avantage l’autonomie, car poser des questions directement sera largement inefficace.
  • Attendez-vous à une approche plus proactive, une conformité superficielle au RGPD pour éviter les plaintes ne suffira plus pour éviter les enquêtes.
  • Pour les entreprises opérant dans le traitement à grande échelle telles que l’AdTech, les courtiers en données, l’assurance, etc., ou avec les données des mineurs, attendez-vous à un contrôle accru et une APD beaucoup plus active. Cela poursuit la tendance de l’APD belge, alors assurez-vous d’avoir tout en ordre.

Partager ceci :

Écrit par

Enzo Marquet

Enzo Marquet

Hi ! Comment pouvons-nous vous aider ?

Vous avez besoin d’un responsable interne de la protection de la vie privée ou d’un DPD externe ? Prenez contact avec nous et nous chercherons ensemble la meilleure solution.

Contactez nous

Plus d'articles

Tous les articles

Votre partenaire de confiance en matière de gouvernance des données et de conformité.

Menu

Solutions

Contact

ISO 27001 certification

© 2026 – CRANIUM – Déclaration Générale de Confidentialité Cooky PolicyConditions Générales

  • Solutions
    Privacy
    Droit numérique
    Data Governance
    Campus
  • Connaissances
    Perspectives et mises à jour
    Dernières nouvelles de notre blog
    Qu’est-ce que les modalités contractuelles types et les clauses contractuelles types prévues par le Data Act ?

    Qu’est-ce que les modalités contractuelles types et les clauses contractuelles types prévues par le Data Act ?

    10 mars 2026 Blogpost
    Le Cyber Resilience Act en 10 questions et réponses

    Le Cyber Resilience Act en 10 questions et réponses

    4 mars 2026 Blogpost
    Les données des patients peuvent-elles être utilisées pour entraîner une IA ?

    Les données des patients peuvent-elles être utilisées pour entraîner une IA ?

    20 février 2026 Blogpost
  • Carrières
    Dernières nouvelles sur le talent
    Dans le Spotlight : Jill | “Le sales, ce n’est pas un jeu de chiffres. C’est une question d’impact, pour les clients et les collègues.”

    Dans le Spotlight : Jill | “Le sales, ce n’est pas un jeu de chiffres. C’est une question d’impact, pour les clients et les collègues.”

    16 septembre 2025 Carrières
    In the spotlight: Lisa | « Je veux continuer à apprendre et à développer mon expertise. Au CRANIUM, vous avez vraiment la possibilité de le faire »

    In the spotlight: Lisa | « Je veux continuer à apprendre et à développer mon expertise. Au CRANIUM, vous avez vraiment la possibilité de le faire »

    6 juin 2025 Carrières
    In the Spotlight: Enzo | « Chez CRANIUM, j’ai trouvé la liberté de tracer ma propre voie. »

    In the Spotlight: Enzo | « Chez CRANIUM, j’ai trouvé la liberté de tracer ma propre voie. »

    20 mai 2025 Carrières
    Carrières CRANIUM
  • À propos
    À propos
Contact