Skip to content
TrustYourWebsite
RGPD et confidentialité

Obligations RGPD pour PME en Belgique : checklist complète 2026

13 avril 2026

Obligations RGPD pour PME en Belgique : checklist complète 2026

Votre site web traite probablement plus de données personnelles que vous ne le pensez. Un formulaire de contact, Google Analytics, une newsletter — tout cela relève du RGPD. Et l'Autorité de Protection des Données (APD) s'intéresse de plus en plus aux PME.

En 2024, l'APD a imposé à Mediahuis une astreinte de 25 000 € par jour pour une bannière cookies non conforme : pas de bouton « Tout refuser » visible, des choix de couleurs trompeurs. Ce n'est pas un cas isolé. L'APD mentionne explicitement dans son plan stratégique 2020-2025 que l'application des règles auprès des PME est une priorité.

Utilisez cette checklist pour vérifier si votre site web est en conformité.

1. Numéro d'entreprise sur votre site web

Obligatoire : Oui, obligation légale en vertu du Code de droit économique (Livre III).

Les entreprises belges doivent afficher leur numéro d'entreprise (numéro BCE) de manière visible sur leur site web. Il s'agit d'un numéro à 10 chiffres commençant par 0 ou 1, par exemple 0123.456.789. De nombreuses entreprises mentionnent également le numéro de TVA au format BE 0123.456.789.

Où le placer : Dans le pied de page de chaque page, sur la page de contact et sur la page des conditions générales.

Amende en cas de non-respect : Le SPF Économie peut infliger des amendes allant jusqu'à 80 000 € ou 4 % du chiffre d'affaires.

Action : Vérifiez dès maintenant le pied de page de votre site. Votre numéro d'entreprise y figure-t-il clairement ?

2. Déclaration de confidentialité

Obligatoire : Oui, en vertu du RGPD article 13 et de la Loi du 30 juillet 2018.

Votre déclaration de confidentialité doit décrire :

  • Quelles données personnelles vous collectez (noms, adresses e-mail, adresses IP)
  • Dans quel but vous les utilisez
  • Combien de temps vous les conservez
  • Quels tiers y ont accès (Google Analytics, Mailchimp, etc.)
  • Comment les visiteurs peuvent exercer leurs droits (accès, suppression, opposition)
  • Comment vous contacter pour les questions de confidentialité

Un modèle générique contenant encore « [Nom de l'entreprise] » ou décrivant des activités que vous n'exercez pas ne suffit pas. L'APD évalue la précision, pas seulement la présence.

Action : Relisez votre déclaration de confidentialité. Chaque phrase correspond-elle à votre situation spécifique ?

3. Bannière cookies

Obligatoire : Oui, pour tous les cookies non essentiels (analytics, marketing, tracking).

Votre bannière cookies doit :

  • Avoir un bouton « Tout refuser » aussi visible que « Tout accepter »
  • Ne contenir aucune case pré-cochée pour les cookies non essentiels
  • Ne charger aucun script de suivi avant le consentement
  • Enregistrer et respecter le consentement lors des visites suivantes

Ce que l'APD a sanctionné chez Mediahuis (Décision 113/2024) : Pas de bouton de refus clair, le bouton d'acceptation était plus grand et plus coloré que le bouton de refus. Astreinte : 25 000 € par jour.

Action : Cliquez sur « Refuser » dans votre propre bannière cookies. Google Analytics se charge-t-il encore après ? Si oui, vous avez un problème.

4. Conditions générales

Obligatoire pour l'e-commerce : Oui. Pour les sites purement informatifs : fortement recommandé.

Si vous vendez des produits ou services en ligne, vous devez mentionner :

  • Le droit de rétractation (14 jours de réflexion pour les consommateurs)
  • Les conditions et délais de livraison
  • Les prix TVA comprise
  • La procédure de réclamation et de règlement des litiges

Action : Vous vendez via votre site web ? Vérifiez que « droit de rétractation » et « 14 jours » figurent dans vos conditions.

5. Coordonnées obligatoires

Obligatoire : En vertu du Code de droit économique (Livre XII) pour les sites commerciaux.

Vous devez mentionner :

  • Le nom complet de l'entreprise
  • L'adresse géographique (pas de boîte postale)
  • L'adresse e-mail
  • Le numéro d'entreprise
  • Pour les professions réglementées : le nom et l'adresse de l'autorité compétente

Action : Vérifiez votre page de contact et votre pied de page. Toutes les informations y figurent-elles ?

6. Newsletter et marketing par e-mail

Obligatoire : Consentement préalable et désinscription facile.

Si vous envoyez une newsletter :

  • Utilisez une case de consentement non pré-cochée lors de l'inscription
  • Indiquez clairement ce à quoi l'abonné s'inscrit
  • Ajoutez un lien de désinscription fonctionnel dans chaque e-mail
  • Conservez la preuve du consentement

Le marketing B2B par e-mail est autorisé en Belgique en vertu du Code de droit économique, tant qu'il existe un lien commercial clair et que vous proposez une option de désinscription simple.

Action : Envoyez-vous un e-mail de test. Le lien de désinscription fonctionne-t-il ?

7. Google Fonts et ressources externes

Risque : Élevé en Belgique.

Le chargement de Google Fonts via des serveurs Google externes transmet l'adresse IP de chaque visiteur à Google, sans consentement. L'APD suit les lignes directrices du CEPD concernant les transferts de données vers les États-Unis. L'hébergement local est la solution la plus sûre.

Il en va de même pour Google Maps, les intégrations YouTube et les boutons de réseaux sociaux qui se chargent directement sans consentement.

Action : Hébergez Google Fonts localement via google-webfonts-helper.herokuapp.com. Chargez YouTube et Maps uniquement après consentement.

Résumé : la checklist en 7 points

| Point | Obligatoire ? | Vérification rapide | |---|---|---| | Numéro d'entreprise dans le pied de page | Oui (CDE Livre III) | Est-il affiché ? | | Déclaration de confidentialité présente et précise | Oui (RGPD art. 13) | Chaque phrase est-elle correcte ? | | Bannière cookies avec bouton de refus | Oui (cookies non essentiels) | Le refus fonctionne-t-il vraiment ? | | Conditions générales (e-commerce) | Oui | Droit de rétractation mentionné ? | | Coordonnées complètes | Oui (CDE Livre XII) | Adresse et e-mail présents ? | | Newsletter avec opt-in | Oui | Case non pré-cochée ? | | Pas de ressources externes sans consentement | Recommandé | Google Fonts hébergé localement ? |

Vérification gratuite en 60 secondes

Vous pouvez tout vérifier manuellement — mais notre scanner le fait automatiquement. Nous testons réellement votre bannière cookies (en cliquant sur « Refuser » et en vérifiant si les trackers s'arrêtent), vérifions votre numéro d'entreprise, analysons votre déclaration de confidentialité et bien plus encore.

Vérifiez gratuitement si votre site est conforme →

Le résultat est disponible en 60 secondes. Aucun compte requis.

Ceci est une analyse technique, pas un avis juridique. Pour un avis juridique définitif, consultez un avocat ou un conseiller en conformité.

Vérifiez votre site web maintenant

Analysez votre site web pour les problèmes de RGPD et confidentialité et plus de 30 autres vérifications.

Scanner votre site gratuitement

Guides pour votre site web

Bannière cookies Belgique : amendes et règles de l'APD pour votre site

Ce que l'APD exige pour votre bannière cookies. Dark patterns, bouton Tout refuser, amendes APD. L'affaire Mediahuis expliquée. Vérification gratuite.

Politique de confidentialité Belgique : modèle et générateur gratuit

Générateur gratuit de politique de confidentialité pour les entreprises belges. Exigences spécifiques : APD comme autorité de contrôle, Loi du 30 juillet 2018, numéro d'entreprise.

Vérification RGPD site web Belgique : scannez votre site gratuitement

Vérification RGPD/AVG gratuite pour les sites web belges. Notre scanner teste votre bannière cookies, politique de confidentialité, sécurité et plus. Résultat en 60 secondes.