RGPD : l'EDPB interdit à une DPA de rejeter une plainte cookies de noyb sans l'examiner sur le fond
Une autorité de contrôle peut-elle clore une plainte de particulier en invoquant un « abus de droit », sans jamais l'examiner sur le fond ? L'EDPB vient de répondre non, dans une décision contraignante qui rappelle à toutes les DPA européennes — et par ricochet à tous les DPO confrontés à des réclamations collectives — les limites de ce raisonnement expéditif.
Ce qui s'est passé
Le litige remonte à une plainte déposée par l'ONG autrichienne noyb, au nom d'un particulier, auprès de l'autorité de protection des données autrichienne. Elle visait la bannière de cookies du site de VRT, le radiodiffuseur public belge. Comme VRT est établie en Belgique, c'est l'Autorité belge de protection des données (APD) qui a hérité du dossier en tant qu'autorité chef de file.
L'APD a rédigé un projet de décision proposant de rejeter purement et simplement la plainte, au motif d'un abus de droit au sens des articles 77 et 80 du RGPD — sous-entendu, une plainte « type » déposée en masse par une association plutôt qu'une démarche individuelle authentique. L'autorité autrichienne, en tant qu'autorité concernée, a formé une objection : selon elle, l'APD n'aurait pas dû écarter la plainte sur ce motif procédural, mais aurait dû se prononcer sur le fond. Face au refus de l'APD de suivre cette objection, le dossier a été transmis à l'EDPB au titre du mécanisme de résolution des litiges de l'article 65(1)(a) du RGPD.
Dans sa décision contraignante du 28 mai 2026, publiée le 14 juillet, l'EDPB a jugé l'objection autrichienne « pertinente et motivée » et a tranché sur le fond : en application du test dégagé par la CJUE, les éléments objectifs et subjectifs caractérisant un abus de droit n'étaient pas réunis. L'EDPB a donc ordonné à l'APD de ne pas rejeter la plainte, mais de l'examiner sur le fond et de soumettre un nouveau projet de décision aux autres autorités concernées.
Pourquoi c'est important
Cette décision touche à deux mécanismes structurants du RGPD que les DPO connaissent souvent mal en détail. D'une part, le droit de toute personne d'introduire une réclamation auprès d'une autorité de contrôle, et la possibilité de se faire représenter par une association comme noyb pour agir en son nom — un mécanisme d'action collective de plus en plus utilisé en Europe. D'autre part, le mécanisme de coopération entre l'autorité chef de file et les autorités concernées, censé garantir une application cohérente du règlement dans tous les États membres.
En rappelant que l'abus de droit ne se présume pas et doit être démontré selon un test précis, l'EDPB ferme une porte de sortie que certaines DPA semblaient tentées d'emprunter face à l'afflux de plaintes portées par des ONG. C'est aussi la seconde fois en quelques mois qu'un contentieux cookies porté par noyb aboutit à une décision défavorable aux régulateurs nationaux : la justice autrichienne avait déjà imposé au diffuseur public ORF une égalité stricte entre les boutons Accepter et Refuser. Les bannières de cookies des organismes publics de radiodiffusion semblent devenues une cible prioritaire pour les associations de défense des droits numériques.
Ce que ça change pour les organisations
Pour VRT, le dossier n'est pas clos : l'APD doit désormais réexaminer la plainte sur le fond, ce qui signifie une instruction complète de la conformité de sa bannière de cookies. Plus largement, cette décision envoie un signal clair aux organisations qui font l'objet — ou pourraient faire l'objet — de plaintes similaires portées par noyb ou d'autres associations : compter sur un rejet procédural pour « abus de droit » est une stratégie fragile. Les DPO ont donc intérêt à traiter chaque campagne de plaintes collectives comme un risque de contentieux sur le fond, et à documenter en amont la conformité réelle de leurs bannières : recueil du consentement, symétrie visuelle entre acceptation et refus, granularité des finalités. Le guide Leto sur la rédaction d'une politique de cookies conforme détaille les points de contrôle à vérifier avant qu'une plainte n'arrive.
Ce que Leto pense de cette décision
Cette décision est une bonne nouvelle pour la cohérence du RGPD, mais elle complique la vie des DPA déjà submergées de dossiers : l'EDPB leur retire un raccourci commode sans leur donner davantage de moyens pour instruire les plaintes sur le fond. Pour les organisations, le message est sans ambiguïté : une bannière de cookies non conforme reste un point d'exposition juridique concret, quelle que soit l'origine — individuelle ou associative — de la plainte qui la révèle. Mieux vaut corriger en amont que parier sur un vice de procédure.
Sources : EDPB, communiqué du 14 juillet 2026

