Le 14 juillet 2026, le Comité européen de la protection des données (CEPD) a publié la décision contraignante 1/2026 au titre de l'article 65, paragraphe 1, point a) du RGPD, obligeant l'autorité belge de protection des données à statuer sur le fond d'une plainte de NOYB relative à un bandeau cookies, plutôt que de la rejeter pour abus de droit. Adoptée le 28 mai 2026 et rendue publique le 14 juillet 2026, la décision enjoint à la DPA belge, agissant en tant qu'autorité de contrôle principale (ACP), d'examiner la plainte au fond et de soumettre un nouveau projet de décision aux autorités de contrôle concernées au titre de l'article 60, paragraphe 3, du RGPD.
La plainte avait été déposée auprès de l'autorité autrichienne de protection des données par l'ONG NOYB, au nom d'un particulier, et visait les bandeaux cookies déployés sur le site de VRT, le radiodiffuseur public flamand. VRT étant établi en Belgique, la DPA belge a pris l'initiative dans le cadre du mécanisme du guichet unique, tandis que l'autorité autrichienne agissait en tant qu'autorité de contrôle concernée (ACC).
Pourquoi la DPA belge a-t-elle tenté d'écarter la plainte ?
Le projet de décision de la DPA belge proposait de rejeter l'affaire pour des motifs procéduraux, au motif que le plaignant avait abusé du droit de déposer une plainte au titre de l'article 77 du RGPD et du droit de mandater un représentant au titre de l'article 80, paragraphe 1, du RGPD. L'autorité autrichienne a formulé une objection, estimant que l'ACP devait trancher l'affaire au fond plutôt que de l'écarter pour des questions de procédure. Face au refus de la DPA belge de suivre cette objection, l'affaire a été portée devant le CEPD au titre du mécanisme de règlement des différends de l'article 65, paragraphe 1, point a), le canal prévu pour assurer une application cohérente du RGPD dans les affaires transfrontières.
Qu'a décidé le CEPD sur l'argument d'abus de droit ?
Le CEPD a d'abord confirmé que l'objection autrichienne était pertinente et fondée au sens de l'article 4, point 24, du RGPD, en appliquant ses Lignes directrices 09/2020 sur l'objection pertinente et fondée, puis l'a examinée au fond. Il a ensuite appliqué le test de la CJUE relatif à l'abus de droit allégué et a conclu que le plaignant n'avait pas abusé des articles 77 ou 80, paragraphe 1, du RGPD, ni la composante objective ni la composante subjective nécessaires pour démontrer un tel abus n'ayant été établies. Le CEPD a par conséquent enjoint à l'ACP de ne pas rejeter la plainte, mais de l'examiner au fond.
Qui est concerné, et que doivent faire les équipes de conformité ?
Cette décision vise directement les délégués à la protection des données (DPO) et les équipes de conformité en matière de vie privée de toute entreprise exposée à l'UE exploitant un bandeau cookies, ainsi que les éditeurs de plateformes de gestion du consentement (CMP) et les acteurs de l'adtech dont les flux de consentement sont désormais exposés à un risque renforcé de répression. Le signal pratique est clair : les autorités principales ne peuvent plus se soustraire aux plaintes de type NOYB sur les bandeaux cookies en invoquant l'abus de droit au stade procédural. Le fond de l'affaire, y compris la question de savoir si le consentement est libre, spécifique et informé au sens de la directive ePrivacy et du RGPD, doit être tranché.
Trois actions immédiates en découlent. Premièrement, auditez vos flux de consentement cookies au regard des orientations du CEPD sur les conceptions trompeuses du consentement, car une plainte qui survit au rejet procédural sera appréciée sur la conformité du bandeau lui-même. Deuxièmement, vérifiez si votre CMP repose sur des dark patterns ou des cases précochées qu'une autorité de contrôle devrait désormais examiner au fond. Troisièmement, documentez le fondement licite et le mécanisme de recueil du consentement pour chaque technologie de suivi, afin de pouvoir défendre le fond de l'affaire si une plainte parvient à votre autorité principale.
| Étape | Ce qui s'est passé | Fondement juridique |
|---|---|---|
| Dépôt de la plainte | NOYB dépose plainte auprès de la DPA autrichienne concernant les bandeaux cookies de VRT | Art. 77 + Art. 80, par. 1 RGPD |
| Projet de l'autorité principale | La DPA belge (ACP) propose un rejet pour abus de droit | Art. 60, par. 3 RGPD |
| Objection de l'ACC | L'autorité autrichienne formule une objection, exigeant une décision au fond | Art. 4, point 24 RGPD |
| Décision contraignante du CEPD | Le CEPD conclut à l'absence d'abus et enjoint à l'ACP de statuer au fond | Art. 65, par. 1, point a) RGPD |
Profitez de cette veille en temps réel
La DPA belge doit désormais émettre un nouveau projet de décision sur le fond de la plainte relative au bandeau cookies de VRT et le faire circuler dans le cadre de la procédure de coopération du guichet unique. Le raisonnement du CEPD devrait être invoqué dans d'autres plaintes de NOYB sur les bandeaux cookies à travers l'UE, réduisant les issues procédurales pour les autorités principales. Une surveillance continue en temps réel, par juridiction, fait émerger ce type de bascule de l'application de la réglementation dès sa publication, afin que votre équipe ne se retrouve à réviser un flux de consentement qu'après l'arrivée d'une plainte.


