Site construit par IA en Belgique : qui paie devant l'APD ?

Votre prestataire a livré votre site en trois jours en utilisant Cursor et Claude. Six mois plus tard, l'Autorité de protection des données vous adresse un courrier sur les cookies déposés avant consentement. Votre prestataire demande à ChatGPT si l'on peut faire porter la responsabilité à l'IA. La réponse courte est non, et cet article explique qui paie réellement.

La réponse courte : c'est vous

L'article 4(7) du RGPD définit le responsable de traitement comme la personne physique ou morale qui détermine les finalités et les moyens du traitement des données à caractère personnel. L'éditeur du site décide des cookies déposés, des scripts d'analyse chargés, du fonctionnement du formulaire de contact et de la destination des données. L'outil d'IA qui a écrit le code n'est ni responsable de traitement ni sous-traitant pour les visiteurs du site. Il a traité le prompt du développeur, ce qui est une transaction distincte avec une contrepartie distincte.

L'Autorité de protection des données s'intéresse à qui exploite le site. C'est la personne inscrite à la BCE, désignée dans la politique de confidentialité, et qui encaisse les paiements. L'APD ne demandera pas quel outil a généré le bandeau cookies.

Pourquoi l'outil d'IA n'est pas dans la boucle

Trois faits structurels écartent le fournisseur d'IA de la chaîne.

Premièrement, les conditions générales des principaux outils d'IA pour le développement reportent la responsabilité des outputs sur l'utilisateur. Le schéma est constant chez OpenAI, Anthropic, GitHub Copilot, Cursor et Lovable en mai 2026. Les outputs sont fournis "en l'état". L'utilisateur les vérifie. L'utilisateur indemnise le fournisseur contre toute réclamation de tiers découlant des outputs. Quand votre prestataire accepte le code suggéré par Cursor, le poids juridique de cette décision retombe sur le prestataire, pas sur Cursor.

Deuxièmement, le fournisseur d'IA n'est ni responsable de traitement ni sous-traitant pour les visiteurs de votre site. L'avis 28/2024 du Comité européen de la protection des données du 17 décembre 2024 est explicite : les rôles et responsabilités doivent être définis avant le traitement, et le déployeur d'un modèle d'IA porte ses propres obligations de responsabilité même lorsque le modèle a été développé par un tiers. Ce déployeur, c'est votre site, sur votre domaine, traitant les données de vos visiteurs.

Troisièmement, la proposition de directive sur la responsabilité en matière d'IA qui devait harmoniser tout cela a été retirée. La Commission l'a inscrite au programme de retrait dans son programme de travail 2025 le 11 février 2025, et le retrait a été publié au JO C/2025/5423 le 6 octobre 2025. Le cadre clair attendu en 2026 ne viendra pas.

Et le prestataire qui a utilisé l'IA ?

La chaîne de responsabilité client-prestataire existe bien avant l'IA. La même logique qui s'applique à un prestataire ayant utilisé des images non licenciées s'applique à celui qui a utilisé un assistant d'IA pour générer du code. Vers l'extérieur, c'est l'éditeur qui est exposé. En interne, c'est le contrat éditeur-prestataire qui régit la répartition des coûts.

La couche IA ajoute un fait structurel. Le contrat entre votre prestataire et le fournisseur d'IA garantit presque toujours le fournisseur, pas le prestataire ni son client. Vous n'avez jamais signé avec OpenAI ou Anthropic. Votre prestataire si. Votre prestataire a promis au fournisseur d'IA que c'est lui, le prestataire, qui assumerait le risque d'utiliser les outputs. Cette promesse ne remonte pas jusqu'à vous, et elle ne vous ouvre aucune voie vers le service juridique du fournisseur d'IA.

En pratique, le contrat entre vous et votre prestataire est le seul document qui compte quand vous voulez faire remonter le coût. Sans clause de garantie de conformité, sans clause de déclaration d'usage d'IA et sans clause d'indemnisation, vous négociez en position faible.

Ce qui change le 9 décembre 2026, et ce qui ne change pas

La directive (UE) 2024/2853, la nouvelle directive sur la responsabilité du fait des produits défectueux, traite pour la première fois les logiciels et systèmes d'IA comme des produits au sens de son article 4. La Belgique doit la transposer avant le 9 décembre 2026 (article 24). À partir de cette date, elle s'applique aux produits mis sur le marché ou mis en service après la bascule. Les produits préexistants restent régis par la directive 85/374/CEE.

Pour la question du site construit par IA, cela signifie que, fin 2026, une personne ayant subi un dommage matériel du fait d'un outil d'IA défectueux pourra agir directement contre le fournisseur de l'outil sous un régime de responsabilité sans faute. Les logiciels open source développés en dehors d'une activité commerciale sont exclus (article 2(2)), mais les assistants de codage commerciaux sont pleinement concernés. La voie est ouverte pour des dommages aux personnes physiques. Ce n'est pas un moyen pour vous, l'éditeur, de récupérer une amende APD, et la directive ne couvre pas rétroactivement les sites construits avant la bascule.

Ce qui ne change pas le 9 décembre 2026 : qui est responsable de traitement, contre qui l'APD sanctionne et qui paie une amende RGPD. La PLD ajoute une nouvelle voie contre le fournisseur d'IA pour une catégorie étroite de préjudices. Elle ne supprime pas la ligne de responsabilité qui pèse sur vous.

Trois scénarios concrets

Le bandeau cookies généré par IA n'a pas de bouton "tout refuser" fonctionnel. L'APD sanctionne l'éditeur sous l'article 4(11) RGPD et l'article 129 de la loi du 13 juin 2005 sur les communications électroniques (transposition de l'article 5(3) ePrivacy). Le prestataire peut être responsable contractuellement envers vous, mais seulement si le contrat exigeait la conformité cookies. Les règles APD sur les bannières cookies en Belgique sont la question la moins chère à régler avant la mise en ligne.

Le formulaire de contact généré par IA envoie des données vers un service américain sans clauses contractuelles types. C'est une violation du chapitre V du RGPD, sanctionnée contre vous comme responsable de traitement. Les obligations fiscales belges imposent par ailleurs une conservation de 10 ans pour certaines catégories comptables depuis la loi du 20 novembre 2022, ce que votre registre de traitement doit refléter. Le prestataire a peut-être adopté un schéma par défaut de Cursor ou Claude qui code en dur le tiers. Le prestataire vous doit la correction et, si le contrat le prévoit, l'amende.

Les textes alternatifs générés par IA sont faux ou absents sur la plupart des images. Le règlement européen d'accessibilité traite l'entreprise qui exploite le site comme l'opérateur économique. Depuis le 28 juin 2025, la plupart des sites e-commerce B2C au-dessus des seuils PME doivent fournir des alt-textes WCAG 2.1 AA sur les images fonctionnelles. Les sanctions RAE sous l'application belge pointent vers l'éditeur, pas vers l'IA. Un alt-texte généré par IA qui hallucine est pire que pas d'alt-texte du tout, parce qu'un lecteur d'écran le lit avec confiance à un visiteur aveugle.

Comment renvoyer le risque vers votre prestataire

Le contrat est votre seul levier. Avant de signer, exigez :

• Une clause d'indemnisation qui vous nomme et qui couvre les réclamations de tiers liées à la non-conformité du site livré.
• Une garantie de conformité : le prestataire garantit que le site respecte le RGPD, la loi du 13 juin 2005 sur les communications électroniques, le règlement européen d'accessibilité et le droit de la consommation au moment de la livraison.
• Une clause de déclaration d'usage d'IA : le prestataire liste quels outils d'IA ont généré quels livrables. Pas comme bouclier juridique, mais comme entrée pour vos propres obligations de transparence au titre de l'article 50 du règlement IA à partir du 2 août 2026.
• Une clause de droit de scan : vous pouvez lancer un scan de conformité avant la recette et les points critiques doivent être corrigés.
• Une fenêtre de support après livraison : le prestataire corrige les défauts de conformité découverts dans les 90 premiers jours à ses frais.

Un prestataire qui résiste à ces clauses vous envoie un signal : il n'est pas confiant dans ce qu'il livre.

Ce que vous pouvez vérifier dès aujourd'hui

Cinq points que vous pouvez contrôler sans développeur. Deux minutes par point.

1. Le bandeau cookies a un bouton "tout refuser" aussi visible que "tout accepter" et ne pré-coche rien.
2. Les scripts analytiques et marketing ne se chargent qu'après consentement.
3. La politique de confidentialité porte le nom réel de votre entreprise et son numéro BCE, pas un placeholder du type [Votre entreprise] laissé par un gabarit IA.
4. Les alt-textes sont présents sur les images produits clés et décrivent l'image plutôt que de dire "image de".
5. Un visiteur uniquement au clavier peut atteindre les pages principales et le tunnel de commande sans souris.

En cas de doute, notre scan de conformité gratuit contrôle RGPD, cookies, accessibilité et droits d'image. Il ne vous dira pas si vos outils d'IA sont légaux. Il vous dira si le site qu'ils ont aidé à construire l'est.

Questions fréquentes

Si mon prestataire a utilisé Lovable, Bolt ou v0 pour construire mon site belge, suis-je responsable des manquements RGPD ?

Oui. L'article 4(7) du RGPD définit le responsable de traitement comme la personne qui détermine les finalités et les moyens du traitement. C'est vous, que le code ait été écrit par un humain ou par une IA. L'Autorité de protection des données sanctionne le responsable de traitement, pas l'outil.

Puis-je attaquer OpenAI ou Anthropic si leur outil a produit du code non conforme ?

Quasiment jamais. Vous n'avez pas de contrat avec eux en tant qu'utilisateur final d'un outil choisi par votre prestataire. Leurs conditions d'utilisation placent la responsabilité des outputs sur l'utilisateur. À partir du 9 décembre 2026 la nouvelle directive produits ouvre une voie étroite de responsabilité sans faute, mais uniquement pour les dommages aux personnes physiques et uniquement pour les produits mis sur le marché après cette date.

Le règlement IA impose-t-il un étiquetage de mon site construit par IA en Belgique ?

Cela dépend de ce que l'IA a généré. À partir du 2 août 2026, l'article 50 du règlement IA exige l'étiquetage des images, audios, vidéos et textes générés par IA susceptibles d'induire en erreur, plus l'étiquetage des deepfakes. Le code lui-même n'est pas concerné.

Que change le 9 décembre 2026 avec la directive 2024/2853 ?

La Belgique doit transposer la nouvelle directive responsabilité produits à cette date. À partir de là, la directive traite les logiciels et systèmes d'IA comme des produits et ouvre une voie de responsabilité sans faute contre le producteur pour les dommages aux personnes physiques, mais uniquement pour les produits mis sur le marché après le 9 décembre 2026. Vos obligations de responsable de traitement RGPD ne changent pas.

Mon prestataire exclut tout usage d'IA dans son contrat. Cela me protège-t-il ?

Pas contre l'APD. Le régulateur regarde le responsable de traitement, qui est vous. Une exclusion entre vous et votre prestataire ne fait que déterminer qui rembourse qui en interne. Remplacez toute clause d'exclusion d'IA par une garantie de conformité : le prestataire garantit que le site livré respecte le RGPD, la loi du 13 juin 2005, la directive accessibilité et le droit de la consommation au moment de la livraison.

Pour aller plus loin

Pour creuser les questions abordées dans cet article :

• Le bandeau cookies est l'endroit où la plupart des sites construits par IA échouent en premier. Bannière cookies APD en Belgique est la question la moins chère à régler.
• Pour un contrôle RGPD général de votre site, voir Vérification RGPD pour les sites web belges.

Cet article est une analyse technique, pas un conseil juridique. L'auteur n'est pas votre avocat et n'est pas le responsable de traitement de votre site. Pour un avis qui engage, parlez à l'un des deux.