Obligations RGPD PME Belgique : checklist 2026

Votre site web traite probablement plus de données personnelles que vous ne le pensez. Un formulaire de contact, Google Analytics, une newsletter : tout cela relève du RGPD. Et l’Autorité de Protection des Données (APD) s’intéresse de plus en plus aux PME.

En septembre 2024, l’APD a sanctionné Mediahuis (décision 113/2024) par une astreinte de 25 000 € par jour et par site de presse non conforme. Motifs : pas de bouton « Tout refuser » visible dans la première couche, choix de couleurs trompeurs. La décision a ensuite été annulée par la Cour des marchés sur motifs procéduraux, mais la doctrine de l’APD sur les dark patterns reste inchangée. L’APD (Autorité de Protection des Données) précise dans son plan stratégique 2020-2025 que l’application des règles auprès des PME est une priorité.

Utilisez la checklist ci-dessous pour vérifier si votre site web est en conformité, ou lancez directement le scan gratuit pour obtenir un diagnostic automatique en 60 secondes.

---

Tableau des obligations en un coup d’œil

Lisez la suite pour le détail de chaque obligation et l’action concrète à mener.

---

Comment construire la conformité étape par étape

Le RGPD impose une logique simple : avant de collecter une donnée, vous devez avoir une base légale, informer la personne, tenir un registre et encadrer vos sous-traitants. Ce schéma résume le parcours d’une donnée sur un site web belge.

<div className="my-6 rounded-lg border border-slate-200 bg-slate-50 p-4"> <svg viewBox="0 0 720 140" xmlns="http://www.w3.org/2000/svg" role="img" aria-label="Parcours d’une donnée personnelle : collecte, base légale, information, registre, sous-traitants" className="w-full h-auto"> <defs> <marker id="arrow-flow" viewBox="0 0 10 10" refX="9" refY="5" markerWidth="6" markerHeight="6" orient="auto-start-reverse"> <path d="M0,0 L10,5 L0,10 z" fill="#475569" /> </marker> </defs> <g fontFamily="system-ui, sans-serif" fontSize="12" fill="#0f172a"> <rect x="4" y="40" width="128" height="60" rx="8" fill="#ffffff" stroke="#0f766e" strokeWidth="2" /> <text x="68" y="66" textAnchor="middle" fontWeight="600">Collecte</text> <text x="68" y="84" textAnchor="middle" fill="#475569">Formulaire, cookie, log</text>

  <rect x="148" y="40" width="128" height="60" rx="8" fill="#ffffff" stroke="#0f766e" strokeWidth="2" />
  <text x="212" y="66" textAnchor="middle" fontWeight="600">Base légale</text>
  <text x="212" y="84" textAnchor="middle" fill="#475569">RGPD art. 6</text>

  <rect x="292" y="40" width="128" height="60" rx="8" fill="#ffffff" stroke="#0f766e" strokeWidth="2" />
  <text x="356" y="66" textAnchor="middle" fontWeight="600">Information</text>
  <text x="356" y="84" textAnchor="middle" fill="#475569">RGPD art. 13</text>

  <rect x="436" y="40" width="128" height="60" rx="8" fill="#ffffff" stroke="#0f766e" strokeWidth="2" />
  <text x="500" y="66" textAnchor="middle" fontWeight="600">Registre</text>
  <text x="500" y="84" textAnchor="middle" fill="#475569">RGPD art. 30</text>

  <rect x="580" y="40" width="128" height="60" rx="8" fill="#ffffff" stroke="#0f766e" strokeWidth="2" />
  <text x="644" y="66" textAnchor="middle" fontWeight="600">Sous-traitants</text>
  <text x="644" y="84" textAnchor="middle" fill="#475569">RGPD art. 28</text>

  <line x1="132" y1="70" x2="148" y2="70" stroke="#475569" strokeWidth="2" markerEnd="url(#arrow-flow)" />
  <line x1="276" y1="70" x2="292" y2="70" stroke="#475569" strokeWidth="2" markerEnd="url(#arrow-flow)" />
  <line x1="420" y1="70" x2="436" y2="70" stroke="#475569" strokeWidth="2" markerEnd="url(#arrow-flow)" />
  <line x1="564" y1="70" x2="580" y2="70" stroke="#475569" strokeWidth="2" markerEnd="url(#arrow-flow)" />
</g>

</svg> </div>

Si l’une de ces cinq étapes manque pour un traitement de votre site, vous avez une faille à corriger. Les sections suivantes les abordent dans l’ordre où elles apparaissent sur un site web typique.

---

1. Numéro d’entreprise sur votre site web

Obligatoire : Oui, obligation légale en vertu du Code de droit économique (Livre III).

Les entreprises belges doivent afficher leur numéro d’entreprise (numéro BCE) de manière visible sur leur site web. Il s’agit d’un numéro à 10 chiffres commençant par 0 ou 1, par exemple 0123.456.789. De nombreuses entreprises mentionnent également le numéro de TVA au format BE 0123.456.789.

Où le placer : Dans le pied de page de chaque page, sur la page de contact et sur la page des conditions générales.

Amende en cas de non-respect : Le SPF Économie peut infliger des amendes allant jusqu’à 80 000 € ou 4 % du chiffre d’affaires.

Action : Vérifiez dès maintenant le pied de page de votre site. Votre numéro d’entreprise y figure-t-il clairement ?

---

2. Déclaration de confidentialité

Obligatoire : Oui, en vertu du RGPD article 13 et de la Loi du 30 juillet 2018 relative à la protection des personnes physiques.

Votre déclaration de confidentialité doit décrire :

• Quelles données personnelles vous collectez (noms, adresses e-mail, adresses IP)
• Dans quel but vous les utilisez
• Combien de temps vous les conservez
• Quels tiers y ont accès (Google Analytics, Mailchimp, etc.)
• Comment les visiteurs peuvent exercer leurs droits (accès, suppression, opposition)
• Comment vous contacter pour les questions de confidentialité

Un modèle générique contenant encore « [Nom de l’entreprise] » ou décrivant des activités que vous n’exercez pas ne suffit pas. L’APD évalue la précision, pas seulement la présence.

Action : Relisez votre déclaration de confidentialité. Chaque phrase correspond-elle à votre situation spécifique ?

---

3. Bannière cookies

Obligatoire : Oui, pour tous les cookies non essentiels (analytics, marketing, tracking).

Votre bannière cookies doit :

• Avoir un bouton « Tout refuser » aussi visible que « Tout accepter »
• Ne contenir aucune case pré-cochée pour les cookies non essentiels
• Ne charger aucun script de suivi avant le consentement
• Enregistrer et respecter le consentement lors des visites suivantes

Ce que l’APD a sanctionné chez Mediahuis (décision 113/2024) : Pas de bouton de refus clair, le bouton d’acceptation était plus grand et plus coloré que le bouton de refus. Astreinte : 25 000 € par jour. La décision a été annulée par la Cour des marchés sur motifs procéduraux, mais le cadre matériel décrit dans la Recommandation 01/2020 reste la référence.

Action : Cliquez sur « Refuser » dans votre propre bannière cookies. Google Analytics se charge-t-il encore après ? Si oui, vous avez un problème.

---

4. Conditions générales

Obligatoire pour l’e-commerce : Oui. Pour les sites purement informatifs : fortement recommandé.

Si vous vendez des produits ou services en ligne, vous devez mentionner :

• Le droit de rétractation (14 jours de réflexion pour les consommateurs)
• Les conditions et délais de livraison
• Les prix TVA comprise
• La procédure de réclamation et de règlement des litiges

Action : Vous vendez via votre site web ? Vérifiez que « droit de rétractation » et « 14 jours » figurent dans vos conditions.

---

5. Coordonnées obligatoires

Obligatoire : En vertu du Code de droit économique (Livre XII) pour les sites commerciaux.

Vous devez mentionner :

• Le nom complet de l’entreprise
• L’adresse géographique (pas de boîte postale)
• L’adresse e-mail
• Le numéro d’entreprise
• Pour les professions réglementées : le nom et l’adresse de l’autorité compétente

Action : Vérifiez votre page de contact et votre pied de page. Toutes les informations y figurent-elles ?

---

6. Newsletter et marketing par e-mail

Obligatoire : Consentement préalable et désinscription facile.

Si vous envoyez une newsletter :

• Utilisez une case de consentement non pré-cochée lors de l’inscription
• Indiquez clairement ce à quoi l’abonné s’inscrit
• Ajoutez un lien de désinscription fonctionnel dans chaque e-mail
• Conservez la preuve du consentement

Le marketing B2B par e-mail est autorisé en Belgique en vertu du Code de droit économique, tant qu’il existe un lien commercial clair et que vous proposez une option de désinscription simple.

Action : Envoyez-vous un e-mail de test. Le lien de désinscription fonctionne-t-il ?

---

7. Google Fonts et ressources externes

Risque : Élevé en Belgique.

Le chargement de Google Fonts via des serveurs Google externes transmet l’adresse IP de chaque visiteur à Google, sans consentement. L’APD suit les lignes directrices du CEPD sur les transferts de données vers les États-Unis, fondées sur les articles 44 à 49 du RGPD. L’hébergement local des fichiers de police est la solution la plus sûre.

Il en va de même pour Google Maps, les intégrations YouTube et les boutons de réseaux sociaux qui se chargent directement sans consentement.

Action : Hébergez vos fichiers de police localement (téléchargez-les depuis votre fournisseur et servez-les depuis votre propre domaine). Chargez YouTube et Maps uniquement après consentement explicite via votre bannière cookies.

---

Résumé : la checklist en 7 points

---

Vérification gratuite en 60 secondes

Vous pouvez tout vérifier manuellement, mais notre scanner le fait automatiquement. Nous testons réellement votre bannière cookies (en cliquant sur « Refuser » et en vérifiant si les trackers s’arrêtent), vérifions votre numéro d’entreprise, analysons votre déclaration de confidentialité et bien plus encore.

Vérifiez gratuitement si votre site est conforme →

Le résultat est disponible en 60 secondes. Aucun compte requis.

---

Ceci est une analyse technique, pas un avis juridique. Pour un avis juridique définitif, consultez un avocat ou un conseiller en conformité.