Une declaration de confidentialite est-elle obligatoire sur mon site belge?

Oui. Le RGPD oblige tout responsable de traitement a informer les personnes concernees. Cela s'applique a tout site qui traite des donnees personnelles, quel que soit la taille de votre entreprise.

Ma declaration doit-elle etre bilingue?

Si votre site s'adresse aux deux communautes linguistiques en Belgique, l'APD s'attend a ce que la declaration soit disponible en francais et en neerlandais.

Quelle est la difference entre l'APD et la CNIL?

L'Autorite de protection des donnees (APD) est le regulateur belge du RGPD, base a Bruxelles. La CNIL est le regulateur francais. Chacun supervise les responsables de traitement etablis dans son pays.

RGPD et confidentialité

Declaration de confidentialite de votre site web en Belgique: obligations RGPD et APD 2026

Steven | TrustYourWebsite · 20 avril 2026 · Dernière mise à jour : avril 2026

Tout site web commercial qui traite des donnees personnelles doit publier une declaration de confidentialite. Cette obligation decoule directement du RGPD, et l'Autorite de protection des donnees (APD) a Bruxelles en assure le controle en Belgique. En 2026, le Comite europeen de la protection des donnees (CEPD) mene une action coordonnee d'application de la loi qui vise specifiquement la transparence. Tous les regulateurs de l'UE, y compris l'APD, verifient simultanement si les declarations de confidentialite respectent les articles 12 a 14 du RGPD.

Votre declaration de confidentialite est-elle complete?

Notre scan gratuit verifie si votre declaration est accessible, presente dans le footer et couvre les bases du RGPD.

Analyser pour :

Les 14 mentions obligatoires selon l'article 13 RGPD

Le RGPD enumere 14 informations que votre declaration de confidentialite doit contenir. Elles s'appliquent dans toute l'UE. Voici la liste complete.

1. Identite et coordonnees du responsable du traitement (art. 13(1)(a)). Nom de l'entreprise, numero d'entreprise (BCE), siege social et adresse de contact.

2. Coordonnees du delegue a la protection des donnees (art. 13(1)(b)). Uniquement si vous avez designe un DPO. La plupart des PME belges n'y sont pas tenues.

3. Les finalites du traitement (art. 13(1)(c)). Formulez concretement chaque finalite. "Nous traitons vos donnees pour nos services" ne suffit pas.

4. La base juridique par traitement (art. 13(1)(c)). Associez chaque traitement a une base legale: consentement, execution d'un contrat, obligation legale ou interet legitime.

5. L'interet legitime specifique (art. 13(1)(d)). Apres l'arret CJUE Mousse (affaire C-394/23), il ne suffit plus d'ecrire "interet legitime". Vous devez nommer l'interet concret. Sans cette precision, la base juridique elle-meme tombe.

6. Les destinataires ou categories de destinataires (art. 13(1)(e)). Hebergeur, prestataire de paiement, service d'analyse, plateforme d'e-mailing, logiciel comptable. Nommez-les par nom ou par categorie.

7. Transfert vers un pays tiers (art. 13(1)(f)). Indiquez le pays, la garantie (decision d'adequation, clauses contractuelles types) et ou une copie est disponible. C'est l'un des trois elements les plus souvent absents dans les declarations des PME.

8. Durees de conservation par categorie de donnees (art. 13(2)(a)). Des durees concretes. Donnees de facturation: 7 ans. Messages du formulaire de contact: 12 mois. Donnees analytiques: 26 mois. "Aussi longtemps que necessaire" n'est pas accepte par l'APD.

9. Les droits des personnes concernees (art. 13(2)(b)). Acces, rectification, effacement, limitation, portabilite, opposition. Indiquez comment exercer ces droits et le delai de reponse (1 mois).

10. Le droit de retirer le consentement (art. 13(2)(c)). Renvoyez aux parametres de votre bandeau de cookies et a votre option de desinscription.

11. Le droit d'introduire une reclamation aupres de l'autorite de controle (art. 13(2)(d)). Renvoyez a l'Autorite de protection des donnees: rue de la Presse 35, 1000 Bruxelles, ou en ligne via autoriteprotectiondonnees.be.

12. Le caractere obligatoire ou non de la fourniture des donnees (art. 13(2)(e)). Precisez quelles donnees sont facultatives et lesquelles sont necessaires a votre service.

13. Prise de decision automatisee / profilage (art. 13(2)(f)). A mentionner uniquement si vous prenez des decisions automatisees.

14. La source des donnees (art. 14(2)(f)). Pertinent uniquement si vous recevez des donnees de tiers.

Ce que l'APD attend en Belgique

L'APD a precise dans sa Recommandation 01/2025 ses attentes pour les sites web belges.

La declaration de confidentialite doit etre un document autonome. L'integrer dans vos conditions generales ne suffit pas. Elle doit avoir son propre lien dans le footer.

Si votre site s'adresse aux deux communautes linguistiques, l'APD s'attend a ce que la declaration soit disponible en francais et en neerlandais. Un site e-commerce neerlandophone qui livre egalement des clients francophones a besoin de deux versions.

L'APD dispose d'un site bilingue: autoriteprotectiondonnees.be (FR) et gegevensbeschermingsautoriteit.be (NL). Mentionnez la version correspondant a la langue de votre declaration.

Ce qui change en 2026

L'arret CJUE Mousse (C-394/23) exige que vous nommiez l'interet legitime specifique. Sans cette precision, la base juridique tombe. Cela concerne tout site belge qui base ses analytics, ses mesures de securite ou ses widgets de chat sur l'interet legitime.

Le CEPD mene en 2026 une action coordonnee sur la transparence. L'APD y participe et controle la conformite des declarations belges aux articles 12-14 RGPD.

A partir du 2 aout 2026, l'article 50 du reglement sur l'IA s'applique. Si vous utilisez un chatbot IA sur votre site, vous devez informer les visiteurs qu'ils interagissent avec un systeme d'IA.

Application par l'APD

Black Tiger Belgium a recu une amende de 174.640 euros de l'APD le 16 janvier 2024 pour violation du principe de transparence en tant que courtier en donnees.

Pour les PME, l'application commence presque toujours par un avertissement et un delai de mise en conformite de 3 a 6 mois. Les amendes n'interviennent qu'en cas de refus ou de recidive. L'exposition realiste pour une PME est un parcours de conformite, pas une amende de plusieurs millions.

Le risque le plus important pour les PME est la perte de protection juridique. Sans declaration complete, un client peut contester votre base juridique. Pas de declaration, pas de protection.

Comment TrustYourWebsite verifie cela

Notre scanner detecte trois signaux techniques: la presence d'un lien vers la declaration de confidentialite dans le footer, son accessibilite sur chaque page et la presence des elements minimaux dans le texte (bases juridiques, durees de conservation, droits, voie de reclamation).

Les resultats du scanner sont des signaux techniques, pas des verdicts juridiques.

Checklist: les 14 mentions obligatoires

N	Element	Article RGPD	Souvent absent?
1	Identite et coordonnees (incl. BCE)	Art. 13(1)(a)	Non
2	Coordonnees du DPO (si designe)	Art. 13(1)(b)	Non
3	Finalites du traitement	Art. 13(1)(c)	Parfois
4	Base juridique par traitement	Art. 13(1)(c)	Parfois
5	Interet legitime specifique	Art. 13(1)(d)	Oui
6	Destinataires / categories	Art. 13(1)(e)	Parfois
7	Transferts hors EEE + garanties	Art. 13(1)(f)	Oui
8	Durees de conservation	Art. 13(2)(a)	Oui
9	Droits des personnes	Art. 13(2)(b)	Non
10	Retrait du consentement	Art. 13(2)(c)	Parfois
11	Droit de reclamation aupres de l'APD	Art. 13(2)(d)	Non
12	Caractere obligatoire de la fourniture	Art. 13(2)(e)	Parfois
13	Decision automatisee / profilage	Art. 13(2)(f)	N/A
14	Source des donnees (si collecte indirecte)	Art. 14(2)(f)	N/A

La declaration de confidentialite n'est plus une formalite

L'arret Mousse a transforme la declaration de confidentialite. Ce n'est plus un document juridique que vous placez sur votre site pour satisfaire une exigence formelle. C'est le lieu ou votre base juridique tient ou tombe. Si vous invoquez l'interet legitime sans preciser lequel, la base juridique disparait. La declaration est devenue une surface d'application, pas un simple document de transparence.

Les 14 elements ci-dessus demandent un apres-midi de travail. Cet apres-midi vous evite un parcours de plusieurs mois avec l'APD. Et si votre site s'adresse aux deux communautes, faites-le dans les deux langues.

Cet article est une analyse technique, pas un avis juridique. Consultez un juriste pour un avis adapte a votre situation.

Vérifiez votre site web maintenant

Analysez votre site web pour les problèmes de RGPD et confidentialité et plus de 30 autres vérifications.

Scanner votre site gratuitement

Guides pour votre site web

Bandeaux cookies et dark patterns en Belgique: les pratiques interdites en 2026

Les 12 dark patterns de bandeaux cookies selon la taxonomie CEPD. Decision APD Mediahuis, amende Google EUR 325M CNIL et ce que le scanner detecte apres refus.

Mentions legales de votre site web en Belgique: obligations CDE

Les mentions legales obligatoires pour les sites belges. CDE Livre XII Art. XII.6, numero BCE, obligation bilingue et controle SPF Economie.

Loi accessibilite pour les boutiques en ligne en Belgique

L'EAA est applicable depuis le 28 juin 2025 en Belgique. Loi belge sur l'accessibilite 2023, controle du SPF Economie et exemption micro-entreprise.