L'Autorité de protection des données/Gegevensbeschermingsautoriteit (APD/GBA) de Belgique occupe une position inhabituelle parmi les APD de l'UE. La Belgique accueille le siège de l'UE, le siège de l'OTAN et plus d'institutions financières internationales que tout autre pays de l'UE, sauf le Luxembourg. L'APD est donc à la fois la référence de facto en matière de conformité au GDPR pour le secteur financier et l'autorité de supervision de la décision la plus importante concernant le cadre de consentement du continent.
La décision IAB Europe : La décision la plus conséquente de l'APD
La décision de l'APD de février 2022 contre le cadre de transparence et de consentement (TCF) d'IAB Europe a affecté le mécanisme sous-jacent à environ 220 milliards d'euros de publicité numérique en Europe chaque année.
Ce que l'APD a constaté : La "chaîne de consentement" du TCF — le signal d'enchères en temps réel encodant les préférences de suivi des utilisateurs utilisé par chaque grand éditeur de l'UE — constitue des données personnelles, car elle est liée à un identifiant pseudonyme de l'utilisateur. IAB Europe a été reconnu comme un co-responsable de ces données, responsable de la manière dont des centaines de milliers d'éditeurs et d'enchérisseurs les traitent.
L'amende de 250 000 euros était symbolique. L'exigence conséquente était une refonte fondamentale du TCF — affectant chaque éditeur de l'UE utilisant des plateformes de gestion du consentement, chaque annonceur programmatique et chaque fournisseur de technologie publicitaire sur le marché européen.
Pour les professionnels de la conformité : la décision de l'APD démontre que l'infrastructure à l'échelle du secteur peut violer le GDPR, et pas seulement des organisations individuelles.
Le secteur financier belge : Conformité duale NIS2 + GDPR
La Belgique accueille l'Autorité bancaire européenne (EBA), l'EIOPA et le siège mondial de SWIFT. Les institutions financières belges doivent satisfaire à la fois l'Article 32 du GDPR et l'Article 21 de NIS2 (cybersécurité pour les services essentiels). Les deux cadres se chevauchent considérablement :
Exigences de l'Article 21 de NIS2 pour les services essentiels financiers :
- Gestion des risques couvrant les risques humains, physiques et numériques
- Gestion des incidents avec un rapport initial sous 24 heures
- Continuité des activités et reprise après sinistre
- Évaluations de la sécurité de la chaîne d'approvisionnement
- Chiffrement des données en transit et au repos
- Authentification multi-facteurs pour le contrôle d'accès
Exigences de l'Article 32 du GDPR :
- Pseudonymisation et chiffrement des données personnelles
- Capacité à restaurer l'accès aux données personnelles après des incidents
- Tests et évaluation des mesures de sécurité
- Mesures techniques appropriées au risque
Le chevauchement est substantiel : le chiffrement, le contrôle d'accès, la réponse aux incidents et la sécurité de la chaîne d'approvisionnement apparaissent dans les deux. Les institutions financières belges qui mettent en œuvre l'Article 32 du GDPR satisfont de manière exhaustive à la majorité des exigences de l'Article 21 de NIS2 — rendant la documentation de conformité intégrée l'approche la plus efficace.
Application de l'APD en 2024 : Focus sur le secteur financier
L'APD a rendu 82 décisions d'application en 2024 — une augmentation de 56 % par rapport à 2023 dans les affaires du secteur financier. Thèmes de l'application :
Profilage comportemental sans consentement adéquat : Les institutions financières belges utilisant les données de transaction des clients pour le profilage (analyse des dépenses, modélisation de la solvabilité, recommandation de produits) doivent satisfaire aux exigences d'intérêt légitime ou de consentement explicite du GDPR. L'APD a jugé que "l'amélioration des services" était insuffisante comme intérêt légitime lorsque le profilage utilise des données de transaction.
Notation de crédit par IA : Les décisions de crédit automatisées en vertu de l'Article 22 du GDPR nécessitent des mécanismes de révision humaine et d'explicabilité. L'APD a constaté que plusieurs entreprises fintech utilisaient des modèles de crédit IA sans les garanties adéquates de l'Article 22.
Consolidation de bases de données marketing : Les banques et compagnies d'assurance qui ont fusionné des bases de données clients provenant d'acquisitions — combinant des données de différents périmètres de consentement originaux — ont fréquemment violé la limitation des finalités du GDPR.
Échecs de la chaîne de sous-traitance : Les institutions financières qui ont externalisé l'informatique vers des pays tiers (Inde, Maroc, Philippines) sans mécanismes de transfert adéquats et APD ont fait l'objet d'actions d'application.
Pour les organisations ayant des opérations dans le secteur financier belge : une documentation de conformité intégrée GDPR/NIS2 couvrant le chiffrement, la journalisation des accès, la réponse aux incidents et l'évaluation des sous-traitants fournit la posture technique la plus défendable lors d'un audit de l'APD.
Sources :