APD Belgique : Comment Porter Plainte (Guide Complet 2026)
Tu penses qu'une entreprise, un site web ou même une administration belge a mal géré tes données personnelles ? Tu as parfaitement le droit de porter plainte auprès de l'Autorité de Protection des Données (APD), l'autorité belge chargée de faire respecter le RGPD. Ce guide t'explique pas à pas comment déposer une plainte recevable, ce qui se passe ensuite, et comment maximiser tes chances d'obtenir gain de cause.
Qu'est-ce que l'APD Belgique ?
L'Autorité de Protection des Données (APD), aussi connue sous le nom de Gegevensbeschermingsautoriteit (GBA) en néerlandais, est l'organisme public indépendant belge chargé de veiller au respect des principes fondamentaux de la protection des données à caractère personnel. Créée en 2018 pour remplacer l'ancienne Commission de la Protection de la Vie Privée, elle est l'équivalent belge de la CNIL française.
L'APD est rattachée à la Chambre des représentants et dispose de pouvoirs étendus : enquêtes, sanctions administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, médiation entre citoyens et organisations, et accompagnement des entreprises dans leur mise en conformité RGPD.
Les missions principales de l'APD
- Contrôler le respect du RGPD et de la loi belge sur la protection des données du 30 juillet 2018
- Traiter les plaintes des citoyens et des organisations
- Sanctionner les responsables de traitement non conformes
- Sensibiliser le public et les entreprises aux enjeux de la vie privée
- Émettre des avis sur les projets de lois et règlements affectant les données personnelles
Quand peut-on porter plainte auprès de l'APD ?
Tu peux saisir l'APD dès qu'une organisation traitant tes données personnelles ne respecte pas tes droits RGPD ou enfreint les principes de protection des données. Voici les situations les plus courantes qui justifient une plainte.
Motifs valables pour une plainte
- Refus d'accès à tes données : une entreprise refuse de te communiquer les données qu'elle détient sur toi
- Non-respect du droit à l'effacement : ta demande de suppression (droit à l'oubli) reste sans réponse
- Collecte excessive de données : un formulaire demande bien plus d'informations que nécessaire
- Absence de consentement : tu reçois du marketing sans avoir donné ton accord
- Fuite de données : tes informations ont été divulguées ou piratées
- Cookies sans consentement valable : un site dépose des cookies de tracking sans bandeau conforme
- Vidéosurveillance abusive : caméras filmant un espace public ou privé sans signalisation
- Transfert international illégal : tes données sont envoyées hors UE sans garanties suffisantes
Conditions de recevabilité
Pour qu'une plainte soit recevable, plusieurs conditions doivent être réunies :
- Tu dois être personnellement concerné (sauf si tu agis pour le compte d'un mineur ou d'une personne sous tutelle)
- L'organisation visée doit être établie en Belgique ou cibler le marché belge
- Tu dois avoir d'abord tenté de contacter le responsable du traitement directement (sauf urgence)
- Les faits ne doivent pas être prescrits (généralement 5 ans)
Étape 1 : Contacter l'organisation concernée
Avant de saisir l'APD, la loi t'oblige presque toujours à tenter un règlement amiable. C'est une étape essentielle : 70 % des litiges se règlent à ce stade, et l'APD vérifiera systématiquement que tu as fait cette démarche.
Comment formuler ta demande
Envoie un courrier ou un email au Délégué à la Protection des Données (DPO) de l'organisation. Toutes les entreprises traitant des données à grande échelle doivent en avoir un, et ses coordonnées doivent figurer dans la politique de confidentialité.
Ta demande doit contenir :
- Ton identité complète (nom, prénom, adresse, date de naissance)
- L'objet précis de ta demande (accès, rectification, effacement, opposition...)
- Les références utiles (numéro de client, email d'inscription)
- Une copie de ta pièce d'identité (recommandé)
- Un délai de réponse : l'organisation a 1 mois pour répondre
Conserve précieusement une preuve d'envoi (recommandé avec accusé de réception ou email horodaté). Ce sera essentiel pour ta future plainte.
Étape 2 : Préparer ton dossier de plainte
Si l'organisation ne répond pas dans le délai d'un mois, ou si sa réponse ne te satisfait pas, tu peux passer à l'étape suivante. Un dossier bien préparé augmente considérablement tes chances de succès.
Documents à rassembler
| Document | Pourquoi c'est important |
|---|---|
| Pièce d'identité | Prouver ton identité et ton intérêt à agir |
| Copie de ta demande initiale | Démontrer la tentative de règlement amiable |
| Preuve d'envoi (AR, email) | Établir la date et le mode d'envoi |
| Réponse de l'organisation (si reçue) | Montrer l'insuffisance de la réponse |
| Captures d'écran, emails, courriers | Prouver les faits dénoncés |
| Chronologie des événements | Faciliter l'examen par l'enquêteur |
Étape 3 : Déposer la plainte auprès de l'APD
L'APD propose plusieurs canaux pour déposer une plainte. Le dépôt est entièrement gratuit et ne nécessite pas d'avocat.
Les trois modes de dépôt
- Formulaire en ligne : disponible sur autoriteprotectiondonnees.be, c'est le moyen le plus rapide et recommandé
- Courrier postal : à envoyer à l'adresse APD, Rue de la Presse 35, 1000 Bruxelles
- Email : à contact@apd-gba.be (moins formel mais accepté pour les demandes simples)
Contenu obligatoire de la plainte
Pour être recevable, ta plainte doit obligatoirement contenir :
- Tes coordonnées complètes et signature
- L'identification précise de l'organisation mise en cause (nom, adresse, numéro BCE si possible)
- Un exposé clair des faits, chronologique et factuel
- La violation présumée du RGPD (article concerné si tu le connais)
- Les démarches déjà entreprises et leurs résultats
- Les pièces justificatives en annexe
- Ce que tu attends de l'APD (médiation, sanction, mesure corrective)
Pour les démarches similaires en France, tu peux consulter notre guide dédié à la procédure de plainte auprès de la CNIL, qui suit une logique très proche.
Étape 4 : Suivi et traitement de la plainte
Une fois ta plainte déposée, l'APD suit une procédure stricte et standardisée. Comprendre ces étapes te permet de savoir à quoi t'attendre et quand intervenir.
Les phases du traitement
- Accusé de réception (sous 30 jours) : confirmation que ta plainte est enregistrée
- Examen de recevabilité (1 à 3 mois) : le Service de Première Ligne vérifie que ta plainte respecte les critères formels
- Transmission au Service d'Inspection : si la plainte est recevable, une enquête est ouverte
- Instruction (3 à 12 mois) : audition de la partie mise en cause, collecte de preuves, expertise
- Décision de la Chambre Contentieuse : amende, mise en demeure, ou classement sans suite
- Notification : la décision t'est communiquée et peut être rendue publique
Délais moyens de traitement
D'après les rapports annuels de l'APD, le délai moyen entre dépôt et décision finale est de 10 à 18 mois. Les cas simples (médiation) se règlent en quelques mois, mais les dossiers complexes impliquant des entreprises internationales peuvent prendre 2 à 3 ans, notamment via le mécanisme de coopération européenne.
Sanctions possibles et issues
L'APD dispose d'un arsenal de mesures pour faire respecter le RGPD. Voici les principales issues possibles à ta plainte.
Tableau des sanctions
| Type de mesure | Description | Fréquence |
|---|---|---|
| Classement sans suite | Plainte irrecevable ou non fondée | Très fréquent |
| Médiation | Accord amiable entre les parties | Fréquent |
| Avertissement | Rappel à la loi sans sanction financière | Fréquent |
| Mise en conformité | Obligation de corriger les manquements | Très fréquent |
| Amende administrative | Jusqu'à 20M€ ou 4 % du CA mondial | Occasionnel |
| Interdiction de traitement | Suspension temporaire ou définitive | Rare |
| Publication de la décision | Effet réputationnel important | Variable |
Conseils pratiques pour maximiser tes chances
Avoir une plainte recevable est une chose, obtenir une décision favorable en est une autre. Voici des conseils issus de l'analyse des décisions publiées par l'APD.
À faire absolument
- Sois factuel et précis : évite les jugements de valeur, présente uniquement les faits
- Cite les articles du RGPD concernés (art. 15 pour le droit d'accès, art. 17 pour l'effacement, etc.)
- Documente tout : captures d'écran datées, emails, courriers
- Reste courtois dans tes communications avec l'APD
- Conserve une copie complète de ton dossier
À éviter absolument
- Déposer une plainte sans avoir contacté l'organisation au préalable
- Mélanger plusieurs griefs sans rapport dans une seule plainte
- Utiliser un ton agressif ou diffamatoire
- Communiquer publiquement (réseaux sociaux) pendant l'instruction
- Omettre des éléments défavorables : l'APD les découvrira et cela nuira à ta crédibilité
Protéger ses données au quotidien
Au-delà des recours, la meilleure protection reste la prévention. Adopter de bonnes pratiques limite considérablement l'exposition de tes données personnelles et donc les risques de litiges.
Mesures techniques essentielles
- Utilise un navigateur respectueux de la vie privée (Firefox, Brave) avec un bloqueur de traqueurs
- Active le DNS chiffré (DoH/DoT) pour empêcher l'interception de ton historique de navigation
- Privilégie les services de messagerie avec chiffrement de bout en bout
- Crée des adresses email jetables pour les inscriptions ponctuelles
- Utilise un gestionnaire de mots de passe et active la double authentification
Pour le partage de liens, des outils comme Lunyb permettent de créer des URLs courtes avec analytics anonymisés et conformes au RGPD, sans tracker tes contacts via des cookies tiers invasifs. Si tu utilises des liens pour tes campagnes marketing, consulte notre guide sur les paramètres UTM avec liens courts.
Pour les entreprises
Si tu gères une entreprise en Belgique, te conformer au RGPD n'est pas optionnel. Notre guide sur la cybersécurité des entreprises belges en 2026 détaille les obligations légales et les bonnes pratiques pour éviter de te retrouver en face de l'APD.
Recours en cas de désaccord avec la décision
Si la décision de l'APD ne te satisfait pas (par exemple un classement sans suite), tu disposes de voies de recours.
Cour des marchés (Cour d'appel de Bruxelles)
Tu peux contester la décision de la Chambre Contentieuse devant la Cour des marchés dans un délai de 30 jours après notification. Ce recours nécessite l'assistance d'un avocat et implique des frais de justice. Il est généralement réservé aux cas où l'enjeu financier ou réputationnel est important.
Action civile parallèle
Indépendamment de la procédure APD, tu peux engager une action civile devant le tribunal de première instance pour obtenir des dommages et intérêts. Cette voie est utile si tu as subi un préjudice quantifiable (perte financière, atteinte à la réputation, préjudice moral).
FAQ : Plainte APD Belgique
La plainte auprès de l'APD est-elle gratuite ?
Oui, déposer une plainte auprès de l'Autorité de Protection des Données est totalement gratuit, que ce soit en ligne, par courrier ou par email. Aucun avocat n'est nécessaire pour la procédure devant l'APD elle-même. Des frais n'apparaissent que si tu décides ensuite de saisir la Cour des marchés ou un tribunal civil.
Puis-je rester anonyme en déposant une plainte ?
Non, l'APD n'accepte pas les plaintes anonymes. Tu dois t'identifier, mais ton identité peut rester confidentielle vis-à-vis de l'organisation mise en cause si tu en fais la demande motivée (par exemple en cas de risque de représailles). Les signalements anonymes peuvent toutefois être faits via le formulaire de "dénonciation" mais ils n'ouvrent pas les mêmes droits.
Combien de temps faut-il pour obtenir une décision ?
Le délai moyen est de 10 à 18 mois. Les cas simples résolus par médiation peuvent aboutir en 3 à 6 mois, tandis que les dossiers complexes impliquant des acteurs internationaux et le mécanisme de guichet unique européen peuvent prendre 2 à 3 ans. L'APD doit cependant te donner un accusé de réception dans les 30 jours.
L'APD peut-elle m'indemniser ?
Non, l'APD ne peut pas t'accorder de dommages et intérêts personnels. Elle peut sanctionner l'organisation fautive (amende versée à l'État) et lui imposer des mesures correctives. Pour obtenir une indemnisation personnelle, tu dois engager une action civile distincte devant le tribunal compétent, en t'appuyant éventuellement sur la décision de l'APD comme élément de preuve.
Que faire si l'organisation visée est établie dans un autre pays de l'UE ?
Tu peux toujours déposer ta plainte auprès de l'APD belge si tu résides en Belgique. Grâce au mécanisme du "guichet unique" prévu par le RGPD, l'APD transmettra ton dossier à l'autorité de contrôle compétente (le pays où se trouve l'établissement principal de l'organisation), tout en restant ton interlocuteur. Tu n'as donc pas besoin de saisir directement une autorité étrangère.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
CNIL : Comment Porter Plainte Étape par Étape (Guide 2026)
Tu veux porter plainte à la CNIL mais tu ne sais pas par où commencer ? Ce guide détaille étape par étape la procédure complète : motifs recevables, démarche préalable, formulaire en ligne, délais et recours possibles. Tout ce qu'il faut savoir pour faire valoir tes droits RGPD efficacement.
Protection des Données pour les PME Belges : Guide Complet 2026
La protection des données n'est plus une option pour les PME belges : c'est une obligation légale avec des sanctions qui peuvent atteindre 4% du chiffre d'affaires. Ce guide pratique te montre comment rendre ta PME conforme au RGPD et aux exigences de l'APD belge, sans te ruiner ni y passer des semaines.
RGPD : Tes Droits Expliqués Simplement (Guide 2026)
Le RGPD te donne 8 droits puissants sur tes données personnelles, mais peu de gens savent réellement les utiliser. Dans ce guide, on décortique chaque droit avec des exemples concrets et les démarches exactes pour l'exercer.
LPD : La Loi Suisse sur la Protection des Données Expliquée
Depuis 2023, la nouvelle LPD suisse impose des règles strictes pour la protection des données personnelles. Découvre dans ce guide complet les obligations, sanctions et différences avec le RGPD, ainsi qu'une checklist pratique pour te mettre en conformité.