TrustYourWebsite
RGPD et confidentialité

Règlement IA : que doivent faire les sites belges ?

Steven | TrustYourWebsite · 15 mai 2026 · Dernière mise à jour : mai 2026

Le 2 août 2026, les règles de transparence du règlement européen sur l'IA s'appliquent. Si votre site belge a un chatbot ou si vous utilisez l'IA pour rédiger des billets ou générer des visuels marketing, cet article explique ce qui change et ce qui ne change pas. La version courte : pour la plupart des sites PME belges, il n'y a presque rien à faire, et ce qu'il y a à faire est étroit.

Pour la Belgique, le règlement (UE) 2024/1689 est d'application directe et n'a pas besoin d'une loi de transposition. Le Service public fédéral Économie (SPF Économie) coordonne la mise en œuvre du règlement à l'échelon fédéral et a publié une première note d'orientation en mars 2026 à destination des PME. La désignation finale des autorités nationales compétentes au sens de l'article 70 du règlement IA est attendue dans le courant du second semestre 2026. À titre provisoire, le SPF Économie agit comme point de contact national, et l'Autorité de protection des données (APD) reste compétente pour tout ce qui touche au traitement de données personnelles par un système d'IA.

Le panorama belge se distingue de la France sur trois points. Premier point, la France a déjà désigné la CNIL comme autorité nationale de référence pour les systèmes d'IA à haut risque traitant des données personnelles. La Belgique conserve un partage entre l'APD (haut risque + données personnelles) et le SPF Économie (modèles à usage général). Deuxième point, en matière de procédure, les sanctions administratives belges relèveront du Livre XV du Code de droit économique (CDE), tandis que la France inscrira son régime dans le Code de la consommation et le Code monétaire et financier selon le cas. Troisième point, le tribunal de l'entreprise belge tranche les actions civiles liées à l'IA en B2B, là où la France oriente ces affaires vers le tribunal de commerce ou la chambre commerciale de la cour d'appel.

Une particularité belge tient à l'obligation linguistique. Si votre site est destiné à un public situé en Région flamande, vous devez fournir les mentions d'information IA en néerlandais ; en Région wallonne, en français ; en Région bruxelloise, dans les deux langues. C'est une couche supplémentaire qui ne s'applique pas en France, où le français suffit. La règle découle des lois linguistiques coordonnées du 18 juillet 1966 et des décrets régionaux sur l'emploi des langues.

Côté défense des consommateurs, Test-Achats peut introduire une action en réparation collective au titre du Livre XVII CDE si une pratique d'IA touche un groupe identifié. Cette action collective belge n'a pas de strict équivalent en France où l'action de groupe est encadrée plus strictement. Pour les PME belges, le risque pratique en 2026 reste néanmoins limité : les premières plaintes formelles devant l'APD ou le SPF Économie pour non-respect de l'article 50 du règlement IA sont attendues à l'horizon 2027.

Arbre de décision pour savoir si l'article 50 du règlement IA crée des obligations pour un site belge.Arbre de décision descendant à quatre portes d'entrée correspondant aux quatre paragraphes de l'article 50. Le chemin un pour les chatbots aboutit à "aucune action requise" lorsqu'un fournisseur grand public gère la mention. Le chemin deux pour les textes d'information du public générés par IA aboutit à l'exception éditoriale si l'éditeur relit et approuve. Le chemin trois pour les images IA de personnes ou d'événements réels aboutit à l'obligation d'étiquetage deepfake si l'image apparaîtrait comme authentique. Le chemin quatre pour les systèmes de reconnaissance émotionnelle ou de catégorisation biométrique aboutit à une obligation d'information. Un encadré récapitulatif rappelle que la plupart des sites PME belges aboutissent à des résultats verts sur les quatre chemins.L'article 50 s'applique-t-il à votre site belge ?1. Chatbot sur le site ?(Art. 50(1))2. Texte IA d'intérêt public ?(Art. 50(4) texte)3. Image IA de personnes réelles ?(Art. 50(4) deepfake)4. Système émotion / biométrie ?(Art. 50(3))Fournisseur grand publicgère la mention ?(vérifier docs éditeur)Vous relisez et validezéditorialement ?(exception éditoriale)Pourrait-il semblerauthentique ?(test Art. 3(60))Information requisedes personnes exposéesAucune action requiseFournisseur gère Art. 50(1)Exception éditorialeapplicableÉtiquetage deepfakerequis dès 2 août 2026La plupart des sites PME belges aboutissent au vertsur les quatre portes d'entrée. Le règlement IA encadre surtout les fournisseurs,pas les entreprises qui utilisent des outils IA sur leur site.Un chemin orange ou rouge ? L'obligation est plus étroite que ne le suggèrent les manchettes.Source : règlement (UE) 2024/1689, articles 50, 3(60), 99. Applicable au 2 août 2026.
Quatre portes d'entrée, quatre issues. La plupart des chemins aboutissent à "aucune nouvelle obligation" pour une PME belge.

La réponse honnête d'emblée

Pour la plupart des sites PME belges, le règlement IA ne crée presque pas de nouvelles obligations. Les obligations lourdes de l'article 50 pèsent sur les fournisseurs d'IA, c'est-à-dire les éditeurs de ChatGPT, Claude, Midjourney, Cursor et autres. Les obligations étroites qui retombent sur l'éditeur du site concernent les deepfakes et les systèmes de reconnaissance émotionnelle que la plupart des PME belges n'utilisent pas. Cet article montre quand vous devez agir et, plus important, quand ce n'est pas nécessaire.

Si vous voulez le tableau plus large de qui paie quand l'IA construit votre site en Belgique, c'est un sujet à part.

Ce que l'article 50 exige réellement

L'article 50 du règlement (UE) 2024/1689 compte quatre paragraphes, et chaque paragraphe attribue l'obligation à une partie différente.

Article 50(1) : les chatbots doivent dire qu'ils sont une IA

Les fournisseurs de systèmes d'IA interagissant directement avec des personnes physiques doivent concevoir leurs systèmes de manière à ce que les utilisateurs sachent qu'ils s'adressent à une IA, sauf si cela est évident pour un consommateur moyen raisonnablement informé.

  • Qui est responsable : le fournisseur d'IA, pas l'entreprise qui déploie le chatbot.
  • Ce que cela signifie pour une PME belge : rien en pratique si vous utilisez un chatbot grand public. Le fournisseur intègre la mention. Votre seule vérification consiste à vous assurer que le chatbot s'identifie bien comme IA dès la première interaction.
  • Cas particulier : si vous avez vous-même construit ou modifié substantiellement le chatbot, vous devenez le fournisseur pour ce chatbot et héritez de l'obligation.

Article 50(2) : la sortie d'une IA générative doit être marquée lisible par machine

Les fournisseurs de systèmes d'IA générative doivent marquer leurs sorties comme artificiellement générées de manière lisible par machine.

  • Qui est responsable : le fournisseur d'IA.
  • Ce que cela signifie pour une PME belge : rien directement. Le filigrane est le problème du fournisseur d'IA.
  • Nuance : ne retirez pas intentionnellement les filigranes du fournisseur.

Article 50(3) : reconnaissance émotionnelle et catégorisation biométrique

Les déployeurs qui utilisent des systèmes de reconnaissance émotionnelle ou de catégorisation biométrique doivent informer les personnes physiques qui y sont exposées.

  • Qui est responsable : le déployeur, donc vous si vous utilisez un tel système.
  • Ce que cela signifie pour une PME belge : très peu. Outils RH d'analyse émotionnelle, caméras de sentiment en magasin, suivi de l'attention sur les pages web : ce sont les cas réalistes. Une boulangerie bruxelloise, un restaurant ou un salon n'en déploie aucun.
  • Couche RGPD : quand un tel système traite des données biométriques ou des catégories particulières, l'article 9 du RGPD s'applique en plus, et c'est en général la couche qui prime devant l'APD.

Article 50(4) : deepfakes et textes IA d'intérêt public

Les déployeurs de systèmes d'IA qui génèrent ou manipulent du contenu deepfake doivent en révéler l'origine artificielle. Un deuxième alinéa étend cette obligation aux textes générés par IA publiés pour informer le public sur des matières d'intérêt général.

  • Qui est responsable : le déployeur, donc vous.
  • Qu'est-ce qu'un deepfake : l'article 3(60) le définit étroitement. Les mots-clés sont "existant" et "apparaîtrait à tort comme authentique". Une image marketing IA générique sans personne ou événement réel n'est pas un deepfake.
  • Ce que cela signifie pour une PME belge : champ étroit. Une agence immobilière qui utilise l'IA pour représenter une vraie pièce d'un bien à vendre de manière photoréaliste relève du champ. Un salon qui utilise l'IA pour faire des graphiques abstraits Instagram n'en relève pas.
  • L'exception de relecture éditoriale : pour les textes IA sous l'article 50(4) deuxième alinéa, l'obligation d'étiquetage ne s'applique pas si "le contenu généré par IA a fait l'objet d'un processus de relecture ou de contrôle éditorial et qu'une personne physique ou morale détient la responsabilité éditoriale de la publication". C'est la principale exception pour le contenu de blog d'une PME belge.

Trois scénarios PME belges

Vous avez ajouté un chatbot au site de votre cabinet dentaire à Bruxelles. L'article 50(1) appartient au fournisseur du chatbot. Tant que le bot se présente comme IA ou que c'est clair par le contexte, vous êtes conforme.

Vous utilisez ChatGPT pour rédiger des billets de blog pour votre cabinet de conseil à Liège, puis vous les relisez avant publication. L'étiquetage de l'article 50(4) texte ne s'applique pas. L'exception éditoriale joue. Une mention "relu par" ou une trace interne suffit.

Vous êtes agent immobilier à Anvers et vous générez par IA des photos de pièces vides après aménagement virtuel. Deux chemins. Si l'image montre la vraie pièce du bien d'une manière qu'un visiteur prendrait pour une photographie authentique, c'est un deepfake. Sinon, vous sortez du champ de l'article 50(4). Le choix prudent est d'étiqueter toutes les images d'aménagement virtuel.

Quand cet article ne s'applique pas à vous

Si votre entreprise belge utilise l'IA pour des décisions de recrutement, d'octroi de crédit, de souscription d'assurance, d'identification biométrique, d'accès à l'éducation ou pour quelque chose d'apparenté à des activités répressives, vous êtes en territoire à haut risque au sens de l'annexe III. Ces obligations s'appliquent à partir du 2 août 2027, elles sont différentes et plus lourdes que l'article 50, et l'APD plus les autres autorités de surveillance du marché les traiteront dans un régime distinct. La PME réaliste ne tombe pas dans ce champ.

Si votre site est purement informatif, sans chatbot, sans images IA de personnes ou lieux réels et sans textes IA sur des matières d'intérêt général, l'article 50 ne vous touche pratiquement pas. Les obligations RGPD existantes, l'article 129 de la loi du 13 juin 2005 sur les communications électroniques pour les cookies et le règlement européen d'accessibilité continuent de s'appliquer.

Application : APD et BIPT

Trois paliers d'amendes du règlement IA sous l'article 99.Trois paliers d'amendes sous l'article 99 du règlement IA. Palier un pour pratiques interdites article 5 : jusqu'à 35 millions d'euros ou 7 pour cent. Palier deux pour la plupart des obligations dont l'article 50 : 15 millions ou 3 pour cent. Palier trois pour informations incorrectes : 7,5 millions ou 1,5 pour cent. Note de bas de page rappelant que les États membres peuvent appliquer des amendes plus basses aux PME selon l'article 99(6) et que l'exposition réelle des PME belges reste proportionnée au chiffre d'affaires et au préjudice.Amendes du règlement IA, article 99Palier 1 : Pratiques interdites (Art. 5)Jusqu'à 35 millions d'euros ou 7% du CA mondial annuel (le plus élevé).Notation sociale, IA manipulatrice, scraping non ciblé de visages.Palier 2 : Plupart des obligations dont l'article 50Jusqu'à 15 millions d'euros ou 3% du CA mondial annuel (le plus élevé).Manquements à la transparence, violations de systèmes haut-risque.Palier 3 : Informations incorrectes aux autoritésJusqu'à 7,5 millions d'euros ou 1,5% du CA mondial annuel (le plus élevé).Réponses trompeuses aux régulateurs.Article 99(6) : les États membres peuvent appliquer des amendes plus basses aux PME.Exposition réelle d'une PME belge très inférieure aux plafonds.
Les plafonds de l'article 99. Pour une PME belge, l'exposition réelle reste proportionnée au chiffre d'affaires et au préjudice.

La Belgique a désigné l'APD (Autorité de protection des données) comme autorité nationale compétente pour le règlement IA, avec le BIPT (Institut belge des services postaux et des télécommunications) comme autorité de surveillance du marché pour les systèmes IA mis sur le marché. Vérifiez la désignation en vigueur au registre article 70 de la Commission au moment de vous en remettre à ce point.

Pour une PME belge réaliste, une action de l'APD au titre de l'article 50 commence typiquement par une plainte sur un cas précis. Elle aboutit à un avertissement ou à une mise en demeure de mise en conformité avant toute amende. L'article 99(6) demande aux États membres d'envisager des amendes plus basses pour les PME et les start-up.

Dates effectives : qu'est-ce qui s'applique quand

Application progressive du règlement IA d'août 2024 à août 2027.Chronologie horizontale avec six jalons d'août 2024 à août 2027. Entrée en vigueur le 1er août 2024. Pratiques interdites applicables le 2 février 2025. Obligations GPAI et désignations des autorités nationales le 2 août 2025. Obligations de transparence de l'article 50 le 2 août 2026. Échéance transitoire provisoire du Digital Omnibus au 2 décembre 2026. Obligations des systèmes haut-risque le 2 août 2027.Application progressive du règlement IA (article 113)1 août 2024Entrée en vigueur2 fév 2025Pratiques interdites (Art. 5)2 août 2025Obligations GPAI ; désignations Art. 702 août 2026Article 50 applicable (votre date)2 déc 2026Transition Digital Omnibus (si adopté)2 août 2027Obligations systèmes haut-risqueLes dates fixées par l'article 113. La période transitoire du 2 décembre 2026 dépendde l'adoption du Digital Omnibus (accord provisoire du 7 mai 2026).Source : règlement (UE) 2024/1689, article 113.
Les dates fixées par l'article 113. La période transitoire du 2 décembre 2026 dépend de l'adoption du Digital Omnibus.

Ce que cela ne change pas

Le règlement IA s'ajoute aux règles existantes. Il ne remplace rien. Le RGPD continue de s'appliquer à tout système d'IA qui traite des données personnelles sur votre site belge, et l'avis EDPB 28/2024 sur les modèles d'IA est la référence pour cette couche. L'article 129 de la loi du 13 juin 2005 continue de gouverner le consentement cookies. Le règlement européen d'accessibilité continue de s'appliquer. Si vous voulez le tableau plus large de la responsabilité RGPD et EAA pour les sites construits par IA en Belgique, c'est l'article pivot de la cluster.

Le Digital Omnibus et le calendrier mouvant

Le 7 mai 2026, le Conseil et le Parlement sont parvenus à un accord provisoire sur un Digital Omnibus sur l'IA qui accorderait aux fournisseurs de systèmes d'IA générative déjà sur le marché de l'UE avant le 2 août 2026 une période transitoire jusqu'au 2 décembre 2026. La date pivot du 2 août 2026 pour l'article 50 lui-même ne bouge pas. La directive responsabilité produits qui s'applique le 9 décembre 2026 est un fil voisin. <!-- TODO: remplacer par /be/fr/guides/directive-responsabilite-produits-2026 quand cluster #5 publié --> Vérifiez le statut du Digital Omnibus au moment d'agir.

La Commission a aussi publié des orientations préliminaires sur l'article 50 le 8 mai 2026, consultation close le 3 juin 2026. Le Code de pratique sur les contenus générés par IA volontaire est l'instrument industriel parallèle. Aucun des deux n'est du droit contraignant.

Cinq vérifications sur votre site avant le 2 août 2026

  1. Votre chatbot, le cas échéant, se présente comme IA dès la première interaction.
  2. Toute image qui montre une personne, un lieu ou un événement réel d'une manière qui pourrait passer pour authentique est étiquetée comme générée par IA.
  3. Tout billet de blog rédigé par IA a une trace claire de relecture humaine.
  4. Tout système de reconnaissance émotionnelle ou de catégorisation biométrique que vous déployez est signalé aux personnes exposées.
  5. Aucun problème de droits d'auteur ou de droit à l'image dans les contenus IA présents sur votre site belge.

Notre scan de conformité gratuit contrôle RGPD, cookies, accessibilité et droits d'image. Les vérifications d'étiquetage règlement IA sont sur la feuille de route.

Questions fréquentes

Dois-je étiqueter chaque billet de blog écrit par IA sur mon site belge ?

Non. L'article 50(4) prévoit une exception en cas de relecture éditoriale humaine. Si vous relisez et validez en tant que rédacteur en chef, l'obligation d'étiquetage tombe. L'APD et le BIPT n'attendent pas que vous étiquetiez vos billets relus à la main.

Dois-je indiquer que mon chatbot est une IA ?

L'article 50(1) place cette obligation sur le fournisseur de la solution IA, pas sur vous comme entreprise utilisatrice. Les éditeurs de chatbots grand public intègrent la mention par défaut. Votre travail consiste à vérifier que le fournisseur le fait bien.

Qu'est-ce qu'un deepfake au sens du règlement IA ?

L'article 3(60) le définit étroitement : contenu image, audio ou vidéo généré ou manipulé par IA qui ressemble à des personnes, objets, lieux, entités ou événements existants et qui apparaîtrait à tort comme authentique. Une image marketing IA générique sans personne ou événement réel n'est pas un deepfake.

Quelles amendes l'APD peut-elle infliger pour une violation de l'article 50 ?

L'article 99 prévoit jusqu'à 15 millions d'euros ou 3% du chiffre d'affaires annuel mondial. L'article 99(6) permet aux États membres d'appliquer des amendes plus basses aux PME et aux start-up. L'exposition réelle d'une PME belge est très inférieure aux plafonds.

Cela s'applique-t-il si je vends à des clients britanniques depuis un site belge ?

Oui. Le règlement IA s'applique à vous en tant qu'éditeur belge, peu importe où sont vos clients. Le cas inverse (éditeur britannique vendant à des clients belges) place l'éditeur britannique dans le champ du règlement pour cette activité, en application de l'article 2 sur la portée extraterritoriale.

Pour aller plus loin

Pièces du cluster qui complètent celle-ci :

  • Qui paie quand l'IA aide à construire votre site en Belgique. L'article pivot sur la responsabilité RGPD, EAA et cookies.
  • Images générées par IA sur votre site et étiquetage deepfake de l'article 50(4) en pratique. <!-- TODO: remplacer par /be/fr/guides/images-generees-ia quand cluster #3 publié -->
  • Directive responsabilité produits 2024/2853, applicable au 9 décembre 2026. <!-- TODO: remplacer par /be/fr/guides/directive-responsabilite-produits-2026 quand publié -->
  • Code généré par IA et droit d'auteur. Distinct de la transparence de l'article 50. <!-- TODO: remplacer par /be/fr/guides/code-genere-ia-droit-auteur quand publié -->
  • Vérification RGPD pour les sites web belges. Le contexte d'application aux côtés duquel le règlement IA prend place.

Cet article est une analyse technique, pas un conseil juridique. L'auteur n'est pas votre avocat et n'est pas le responsable de traitement de votre site. Pour un avis qui engage, parlez à l'un des deux.

Partager cet article

Vérifiez votre site web maintenant

Analysez votre site web pour les problèmes de RGPD et confidentialité et plus de 30 autres vérifications.

Lancer le check gratuit

Guides pour votre site web

Exigences bannière cookies Belgique : règles APD 2026

Ce que votre bannière cookies doit contenir sous la loi du 13 juin 2005 et l'APD. Boutons égaux, texte trilingue, sans dark patterns, checklist incluse.

Site construit par IA en Belgique : qui paie devant l'APD ?

Votre prestataire a utilisé Cursor ou Lovable. Si le site enfreint le RGPD ou la loi cookies, l'APD vous sanctionne, pas OpenAI. Ce qui change en 2026.

Bannière cookies Belgique : règles et amendes APD

Ce que l'APD exige pour votre bannière cookies en Belgique. Dark patterns, bouton Tout refuser, décisions Roularta et Mediahuis. Vérification gratuite.

Obligations RGPD PME Belgique : checklist 2026

Obligations RGPD pour les PME belges en 2026 : checklist pratique des mentions obligatoires, des amendes de l’APD et un scan gratuit du site.

Audit RGPD site web Belgique : guide PME et APD

Comment auditer votre site web pour la conformité RGPD en Belgique. APD, loi 30 juillet 2018, TCF 2022, politique de confidentialité bilingue bruxelloise.