Lorsqu’on pense « données à caractère personnel », l’on se tourne spontanément vers le RGPD. Et lorsque l’on souhaite contester un traitement illicite ou l’absence de réponse à l’exercice de ses droits, l’Autorité de protection des données (APD) semble l’interlocuteur naturel.
Pourtant, en droit belge, cette équation intuitive ne reflète pas toujours la réalité juridique : le RGPD ne constitue pas l’unique norme encadrant les traitements, et l’APD n’est pas seule compétente.
De nombreuses activités impliquant des données à caractère personnel sont en effet régies par des législations sectorielles spécifiques, adoptées avant ou après le RGPD. Lorsqu’une loi spéciale prévoit qu’une autorité particulière supervise un traitement — qu’il s’agisse d’un secteur régulé, d’une mission d’intérêt public ou encore d’une activité relevant de la sécurité — la compétence peut se déplacer vers cet acteur sectoriel, en priorité sur l’APD.
C’est particulièrement vrai en matière d’habilitations de sécurité. Les traitements réalisés dans le cadre de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé (ci-après la « Loi du 11 décembre 1998 » sortent du champ d’application du RGPD et ne relèvent donc pas du contrôle classique de l’APD.
Cette compétence revient au Comité permanent R, conformément à la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.
Mais une question délicate s’est posée : que se passe-t-il lorsqu’une personne concernée soutient que le traitement litigieux ne peut, en réalité, se fonder ni sur la loi spéciale (telle que la loi du 11 décembre 1998), ni sur aucun autre fondement juridique valable ?
Dans un tel scénario, l’autorité sectorielle demeure-t-elle compétente pour examiner la situation ou faut-il considérer que l’APD retrouve sa compétence et que le traitement revient intégralement dans le champ d’application du RGPD ?
La Cour des marchés s’est prononcée sur ce point dans un arrêt du 3 septembre 2025, en rappelant la logique institutionnelle. Tranchant le débat de l’œuf et de la poule, elle indique que la question de la compétence précède toujours celle du droit.
Ce principe, simple en apparence, présente des implications profondes :
- un responsable de traitement ne peut pas préjuger lui-même du fait qu’un traitement serait (ou non) fondé sur une loi spéciale pour choisir son superviseur ;
- l’APD ne retrouve pas automatiquement sa compétence parce qu’un citoyen soutient que la loi spéciale ne s’applique pas en l’espèce ;
- c’est l’autorité sectorielle, lorsqu’elle existe, qui doit d’abord déterminer si le traitement entre ou non dans le champ de sa loi spéciale ;
- ce n’est qu’une fois cette compétence confirmée ou infirmée que l’on peut examiner dans quelle mesure le RGPD s’applique.
En définitive, ce n’est pas la sensibilité du traitement ni la subjectivité de l’analyse du responsable qui déterminent le champ d’application du RGPD, mais bien l’autorité légalement désignée pour en examiner la légalité. Et ce n’est qu’au sein de ce cadre institutionnel que la question de l’applicabilité du RGPD peut être correctement instruite.
Notre conseil :
Identifier correctement la ou les autorités compétentes n’est pas un exercice théorique : c’est essentiel pour garantir la recevabilité d’une plainte et éviter qu’un dossier soit rejeté faute d’avoir frappé à la bonne porte.
Pour un responsable de traitement, l’enjeu est tout aussi crucial. Une mauvaise qualification du régime applicable peut entraîner des surprises désagréables : contrôles inattendus, analyses de conformité incomplètes, risques non anticipés…
En bref, maîtriser le paysage institutionnel et sectoriel n’est pas un luxe, mais une condition clé d’une gouvernance de données adaptée.
Pour tout savoir sur la mise en conformité détaillée de votre entreprise au RGPD… et aux autres lois applicables : contactez-nous !
