Introduction
La protection des donnees est devenue un enjeu strategique majeur pour les entreprises belges. En 2026, avec le renforcement continu du RGPD, l'entree en vigueur de la directive NIS2, le Data Governance Act et le Data Act europeens, les obligations en matiere d'hebergement et de protection des donnees n'ont jamais ete aussi strictes.
En Belgique, l'Autorite de protection des donnees (APD) a intensifie ses controles : en 2025, elle a prononce plus de 120 decisions et inflige des amendes totalisant plus de 8 millions d'euros. Les entreprises belges, des TPE aux multinationales, doivent imperativement comprendre leurs obligations et mettre en place les solutions adequates.
Ce guide detaille le cadre legal belge et europeen, les obligations concretes pour les entreprises, les solutions d'hebergement disponibles en Belgique et les bonnes pratiques a adopter pour proteger vos donnees dans le cloud.
Le cadre legal : RGPD, loi belge et nouvelles reglementations
Le RGPD : rappel des principes fondamentaux
Le Reglement General sur la Protection des Donnees (RGPD) (Reglement (UE) 2016/679) est le pilier de la protection des donnees en Europe. Il s'applique a toute entreprise belge traitant des donnees personnelles.
Les 7 principes du RGPD :
| Principe | Description | Implication pratique |
|---|---|---|
| Licéité, loyauté, transparence | Traitement fonde sur une base legale, information claire | Politique de confidentialite, registre des traitements |
| Limitation des finalites | Donnees collectees pour des finalites determinees | Pas de reutilisation sans base legale |
| Minimisation des donnees | Seules les donnees necessaires sont collectees | Audit regulier des donnees collectees |
| Exactitude | Donnees tenues a jour | Processus de mise a jour, droit de rectification |
| Limitation de conservation | Donnees conservees le temps necessaire | Politique de retention, suppression automatique |
| Integrite et confidentialite | Securite appropriee des donnees | Chiffrement, controles d'acces, sauvegardes |
| Responsabilite (accountability) | Le responsable de traitement doit demontrer sa conformite | Documentation, AIPD, DPO |
La loi belge du 30 juillet 2018
La Belgique a transpose le RGPD via la loi du 30 juillet 2018 relative a la protection des personnes physiques a l'egard des traitements de donnees a caractere personnel. Cette loi apporte des precisions nationales :
- Age du consentement numerique : 13 ans en Belgique (contre 16 ans par defaut dans le RGPD)
- Numero de registre national : Traitement soumis a des conditions strictes (autorisation du Comite de securite de l'information)
- Donnees de sante : Protections renforcees, notamment via la plate-forme eHealth
- Sanctions penales : En plus des amendes administratives, des sanctions penales sont possibles (jusqu'a 20 000 EUR d'amende et/ou emprisonnement)
L'Autorite de protection des donnees (APD)
L'APD est l'autorite de controle belge du RGPD. Elle est composee de plusieurs organes :
- Centre de connaissances : Publie des avis et recommandations
- Service d'inspection : Mene des enquetes d'office ou sur plainte
- Chambre contentieuse : Prononce des decisions et des amendes
- Service de premiere ligne : Repond aux questions des citoyens et entreprises
Contact APD : contact@apd-gba.be / +32 2 274 48 00 / Rue de la Presse 35, 1000 Bruxelles
Exemples d'amendes APD en Belgique :
| Annee | Entreprise/Secteur | Motif | Amende |
|---|---|---|---|
| 2023 | Banque belge | Absence de base legale pour le marketing direct | 200 000 EUR |
| 2024 | Site e-commerce | Cookies deposes sans consentement valable | 50 000 EUR |
| 2024 | Mutualite | Violation de la securite des donnees de sante | 150 000 EUR |
| 2025 | PME | Absence de registre des traitements et de DPO | 25 000 EUR |
| 2025 | Grande entreprise | Transfert de donnees hors UE sans garanties adequates | 500 000 EUR |
Les nouvelles reglementations europeennes
Au-dela du RGPD, plusieurs reglementations europeennes impactent l'hebergement des donnees :
Directive NIS2 (2024-2025) :
- Obligations de cybersecurite pour les entreprises des secteurs essentiels et importants
- Notification des incidents au CCB dans les 24-72 heures
- Responsabilite de la direction
Data Governance Act (DGA, 2023) :
- Cadre pour le partage de donnees entre entreprises et avec le secteur public
- Creation de services d'intermediation de donnees
- Mecanismes d'altruisme des donnees
Data Act (2025-2026) :
- Regles sur l'acces aux donnees generees par les objets connectes (IoT)
- Portabilite des donnees cloud (changement de fournisseur facilite)
- Protection contre les clauses contractuelles abusives des fournisseurs cloud
- Interoperabilite des services cloud
AI Act (2024-2026) :
- Obligations specifiques pour les donnees d'entrainement des systemes d'IA
- Documentation des jeux de donnees utilises
Obligations concretes pour les entreprises belges
1. Registre des traitements (obligatoire pour toutes les entreprises)
Toute entreprise de plus de 250 employes (ou traitant des donnees sensibles, meme avec moins de 250 employes) doit tenir un registre des traitements. En pratique, l'APD recommande a toutes les entreprises de le faire.
Contenu du registre :
- Nom et coordonnees du responsable de traitement
- Finalites de chaque traitement
- Categories de personnes concernees et de donnees
- Categories de destinataires
- Transferts hors UE (le cas echeant)
- Delais de conservation
- Description des mesures de securite
Outils pour tenir un registre des traitements :
- OneTrust (a partir de gratuit pour les PME) : Plateforme complete de gestion de la conformite
- Witik (belge/francais, a partir de 49 EUR/mois) : Outil de registre et de conformite RGPD
- Data Protection Officer (DPO) as a Service : Plusieurs cabinets belges proposent ce service
2. Delegue a la protection des donnees (DPO)
La designation d'un DPO est obligatoire si votre entreprise :
- Est un organisme public
- Effectue un suivi regulier et systematique a grande echelle de personnes
- Traite a grande echelle des donnees sensibles (sante, opinions politiques, donnees biometriques, etc.)
Meme si le DPO n'est pas obligatoire, il est fortement recommande. En Belgique, le DPO peut etre interne ou externe.
Cout d'un DPO externe en Belgique :
- TPE/PME : 200 a 800 EUR/mois
- Moyenne entreprise : 800 a 2 500 EUR/mois
- Cabinets belges proposant des services DPO : DPO Consult, DP-Dock Belgium, Sirius Legal, Lexing Belgium, time.lex
3. Analyse d'impact (AIPD)
Une Analyse d'Impact relative a la Protection des Donnees (AIPD) est obligatoire avant tout traitement presentant un risque eleve pour les droits des personnes. En pratique, elle est requise pour :
- Le traitement a grande echelle de donnees sensibles
- La surveillance systematique a grande echelle
- L'evaluation automatisee de personnes (scoring, profilage)
- Le traitement de donnees d'enfants
- L'utilisation de nouvelles technologies (IA, IoT, biometrie)
L'APD belge a publie une liste des traitements necessitant systematiquement une AIPD, consultable sur son site web.
4. Consentement et cookies
Le consentement doit etre libre, specifique, eclaire et univoque. Pour les cookies :
Regles belges specifiques :
- Les cookies strictement necessaires ne necessitent pas de consentement
- Tous les autres cookies (analytiques, marketing, reseaux sociaux) necessitent un consentement prealable
- Le bandeau cookies doit offrir un choix reel (boutons "Accepter" et "Refuser" de meme taille et couleur)
- Le SPF Economie effectue des controles reguliers et peut infliger des amendes
Solutions CMP (Consent Management Platform) :
- Cookiebot (a partir de 12 EUR/mois) : Tres populaire en Belgique, conforme RGPD
- Axeptio (a partir de 19 EUR/mois) : Interface agreable, personnalisable
- OneTrust : Pour les grandes entreprises
- Tarteaucitron (open source, gratuit) : Solution technique pour les developpeurs
Hebergement des donnees : ou heberger vos donnees en Belgique ?
Exigences de localisation des donnees
Le RGPD n'impose pas d'heberger les donnees en Belgique, mais il impose des restrictions sur les transferts hors de l'Espace Economique Europeen (EEE). En pratique :
Transferts autorises sans restriction :
- Vers tout pays de l'EEE (27 pays UE + Islande, Liechtenstein, Norvege)
- Vers les pays beneficiant d'une decision d'adequation (Royaume-Uni, Suisse, Japon, Coree du Sud, Canada, Israel, Nouvelle-Zelande, etc.)
- Vers les USA sous le EU-US Data Privacy Framework (DPF) depuis 2023
Transferts necessitant des garanties supplementaires :
- Vers les pays sans decision d'adequation : clauses contractuelles types (CCT) de la Commission europeenne + mesures supplementaires
- Evaluation d'impact du transfert (Transfer Impact Assessment) necessaire
Secteurs avec exigences de localisation renforcees :
- Secteur public belge : Les donnees des administrations publiques doivent generalement rester dans l'UE, voire en Belgique
- Secteur financier : La BNB (Banque Nationale de Belgique) et la FSMA imposent des exigences specifiques pour l'externalisation cloud
- Secteur de la sante : Les donnees de sante doivent etre hebergees avec des garanties renforcees (hebergement HDS ou equivalent)
Fournisseurs d'hebergement belges
Pour les entreprises souhaitant garantir que leurs donnees restent sur le territoire belge :
| Fournisseur | Localisation des centres de donnees | Certifications | Services |
|---|---|---|---|
| NRB | Herstal (Liege), Villers-le-Bouillet | ISO 27001, ISO 9001 | Cloud prive, mainframe, infra critique |
| Proximus EnCo | Belgique (plusieurs sites) | ISO 27001, C5 | Cloud souverain, connectivite, SD-WAN |
| LCL Data Centers | Diegem, Aalst, Gembloux | ISO 27001, ISAE 3402 | Colocation, cloud prive |
| Combell / Sentia (groupe team.blue) | Gand, Zaventem | ISO 27001 | Hebergement web, cloud manage |
| Nucleus | Kontich (Anvers) | ISO 27001 | Hebergement, cloud, backup |
| Kinamo | Gand | – | Hebergement, VPS, cloud |
| Openminds | Gand | – | Hebergement web manage |
Fournisseurs internationaux avec regions belges
| Fournisseur | Region belge | Certifications | Points forts |
|---|---|---|---|
| Google Cloud | europe-west1 (Saint-Ghislain) | ISO 27001, SOC 1/2/3, C5 | IA/ML, Big Data, region native belge |
| Microsoft Azure | Belgium Central (Bruxelles) | ISO 27001, SOC 1/2/3, C5, ENS | Region belge, integration M365 |
Le cloud souverain europeen
Plusieurs initiatives visent a creer un cloud souverain europeen, garanti sans interference de legislation extraterritoriale (comme le CLOUD Act americain) :
- Gaia-X : Initiative franco-allemande pour un ecosysteme cloud europeen federe, a laquelle participent des acteurs belges (NRB, Proximus, Smals)
- EUCLIDIA : Association de fournisseurs cloud europeens promouvant la souverainete numerique
- S3NS (Thales/Google Cloud) et Bleu (Orange/Capgemini/Microsoft) : Offres de cloud de confiance en France, potentiellement accessibles depuis la Belgique
Protection des donnees dans le cloud : bonnes pratiques
1. Chiffrement des donnees
Le chiffrement est la mesure technique fondamentale pour proteger vos donnees dans le cloud :
Chiffrement au repos (at rest) :
- Tous les fournisseurs cloud majeurs chiffrent les donnees au repos par defaut (AES-256)
- Utilisez votre propre cle de chiffrement (BYOK – Bring Your Own Key) pour un controle maximal
- Solutions de gestion de cles : Azure Key Vault, AWS KMS, Google Cloud KMS, HashiCorp Vault
Chiffrement en transit :
- Imposez TLS 1.3 pour toutes les communications
- Utilisez des VPN site-a-site pour les connexions entre votre reseau et le cloud
- Verifiez les certificats SSL de vos applications web
Chiffrement cote client (client-side encryption) :
- Chiffrez les donnees avant de les envoyer dans le cloud
- Vous seul detenez la cle de dechiffrement
- Solutions : Boxcryptor, Cryptomator (open source, gratuit), Tresorit (suisse, conforme RGPD)
2. Gestion des acces et identites (IAM)
- Appliquez le principe du moindre privilege : chaque utilisateur n'accede qu'aux donnees necessaires
- Mettez en place le MFA (authentification multi-facteurs) sur tous les comptes
- Utilisez le SSO (Single Sign-On) pour centraliser la gestion des identites
- Realisez des revues d'acces trimestrielles
- Supprimez les acces des employes qui quittent l'entreprise le jour meme
3. Sauvegardes et plan de reprise d'activite (DRP)
- Appliquez la regle 3-2-1-1-0 (3 copies, 2 supports, 1 hors site, 1 offline, 0 erreur)
- Testez la restauration de vos sauvegardes au moins trimestriellement
- Documentez votre plan de reprise d'activite avec des RTO (Recovery Time Objective) et RPO (Recovery Point Objective) definis
RTO et RPO recommandes par type de donnee :
| Type de donnee | RTO recommande | RPO recommande |
|---|---|---|
| Donnees critiques (ERP, CRM, production) | 4 heures | 1 heure |
| Messagerie et collaboration | 8 heures | 4 heures |
| Archives et documents | 24 heures | 24 heures |
| Donnees de developpement/test | 48 heures | 24 heures |
4. Journalisation et monitoring
- Activez la journalisation de tous les acces aux donnees sensibles
- Mettez en place des alertes sur les activites suspectes (acces inhabituels, telechargements massifs)
- Conservez les journaux pendant au moins 12 mois (obligation legale dans certains cas)
- Utilisez un SIEM (Security Information and Event Management) pour centraliser les logs
5. Classification des donnees
Classifiez vos donnees pour appliquer le niveau de protection adapte :
| Niveau | Description | Exemples | Mesures de protection |
|---|---|---|---|
| Public | Information pouvant etre partagee librement | Site web, brochures | Protection standard |
| Interne | Information destinee aux employes | Procedures, organigramme | Controle d'acces, chiffrement en transit |
| Confidentiel | Information sensible a diffusion restreinte | Donnees financieres, contrats | Chiffrement au repos et en transit, acces restreint, journalisation |
| Strictement confidentiel | Information a tres haut risque | Donnees de sante, donnees bancaires, secrets commerciaux | Chiffrement bout-en-bout, BYOK, acces minimal, journalisation renforcee, AIPD |
Le contrat cloud : points de vigilance
Le Data Processing Agreement (DPA)
Tout contrat avec un fournisseur cloud traitant des donnees personnelles pour votre compte doit inclure un DPA conforme a l'article 28 du RGPD.
Elements essentiels du DPA :
- Objet, duree, nature et finalite du traitement
- Type de donnees personnelles traitees
- Categories de personnes concernees
- Obligations du sous-traitant (securite, confidentialite, cooperation)
- Droit d'audit pour le responsable de traitement
- Conditions de recours a des sous-traitants ulterieurs
- Sort des donnees a la fin du contrat (restitution ou suppression)
- Localisation du traitement
- Mesures techniques et organisationnelles de securite
Clauses a verifier dans le contrat cloud
- Localisation des donnees : Ou sont physiquement stockees vos donnees ? Des transferts hors UE sont-ils possibles ?
- Sous-traitants : Le fournisseur peut-il utiliser des sous-traitants ? Lesquels ? Etes-vous informe en cas de changement ?
- Portabilite : Pouvez-vous recuperer vos donnees facilement (format standard) en cas de changement de fournisseur ?
- Frais de sortie (egress) : Quels sont les couts de transfert de vos donnees vers un autre fournisseur ? Le Data Act europeen limite ces frais.
- SLA (Service Level Agreement) : Quelle disponibilite est garantie ? Quelles compensations en cas d'interruption ?
- Notification d'incident : Dans quel delai le fournisseur vous informe-t-il d'une violation de donnees ?
- Droit d'audit : Pouvez-vous auditer le fournisseur ou acceder a des rapports d'audit independants (SOC 2, ISO 27001) ?
Que faire en cas de violation de donnees ?
Procedure de notification en Belgique
En cas de violation de donnees personnelles (data breach), vous devez :
1. Notifier l'APD dans les 72 heures (sauf si la violation n'est pas susceptible d'engendrer un risque pour les personnes) :
- Via le formulaire en ligne sur le site de l'APD (dataprotectionauthority.be)
- Informations a fournir : nature de la violation, categories et nombre de personnes concernees, consequences probables, mesures prises
2. Notifier les personnes concernees "dans les meilleurs delais" si la violation est susceptible d'engendrer un risque eleve :
- Communication claire et en langage simple
- Description de la nature de la violation
- Coordonnees du DPO ou point de contact
- Consequences probables
- Mesures prises et recommandees
3. Documenter toute violation dans un registre interne des violations, meme si la notification a l'APD n'est pas requise.
4. Si soumis a NIS2 : Notifier egalement le CCB dans les 24 heures (alerte precoce) et 72 heures (notification complete).
Actions immediates en cas de violation
- Contenir la violation (isoler les systemes compromis, bloquer les acces)
- Evaluer l'etendue de la violation (quelles donnees, combien de personnes)
- Activer le plan de reponse aux incidents
- Notifier les autorites competentes (APD, CCB si NIS2)
- Notifier les personnes concernees si necessaire
- Documenter l'incident et les actions prises
- Analyser les causes et mettre en place des mesures correctives
Budget et couts de la mise en conformite
Estimation pour une PME belge de 30 employes
| Poste | Cout estime |
|---|---|
| DPO externe (temps partiel) | 4 800 – 12 000 EUR/an |
| Registre des traitements (outil + mise en place) | 1 000 – 3 000 EUR (one-shot) |
| Politique de confidentialite et mentions legales | 1 500 – 3 000 EUR (avocat) |
| CMP cookies (Cookiebot ou equivalent) | 144 – 500 EUR/an |
| Formation RGPD des employes | 1 000 – 3 000 EUR/an |
| Audit de securite annuel | 3 000 – 8 000 EUR |
| Hebergement cloud securise (belge ou UE) | 3 000 – 12 000 EUR/an |
| Solution de chiffrement et sauvegarde | 1 200 – 3 600 EUR/an |
| Total premiere annee | 15 644 – 45 100 EUR |
| Total annees suivantes | 13 144 – 39 100 EUR |
Ce budget est a comparer au risque d'une amende APD (jusqu'a 20 millions EUR ou 4% du CA mondial) et au cout moyen d'une violation de donnees en Belgique (estime a 3,5 millions EUR pour les grandes entreprises par IBM).
Aides disponibles en Belgique
- Cheques-entreprises "Cybersecurite" (Wallonie) : Couverture jusqu'a 75% des couts de conseil en protection des donnees et cybersecurite (plafond 60 000 EUR/an)
- KMO-portefeuille (Flandre) : Intervention de 20-30% sur les couts de conseil et formation RGPD
- Hub.brussels : Accompagnement gratuit pour les entreprises bruxelloises
- Cheques numeriques (Bruxelles) : Subventions pour la transformation numerique incluant la conformite
Conclusion
La protection des donnees n'est pas seulement une obligation legale pour les entreprises belges : c'est un avantage concurrentiel. Les clients et partenaires sont de plus en plus sensibles a la maniere dont leurs donnees sont traitees, et une gestion exemplaire de la protection des donnees renforce la confiance et la reputation de votre entreprise.
Le paysage reglementaire se complexifie avec l'empilement du RGPD, de la NIS2, du Data Governance Act, du Data Act et de l'AI Act. Mais les principes de base restent les memes : savoir quelles donnees vous collectez, pourquoi, comment vous les protegez et ou elles sont hebergees.
Investissez dans la conformite des aujourd'hui : les couts de prevention sont toujours inferieurs aux couts de remediation apres une violation de donnees. Et profitez des aides regionales belges pour financer votre demarche.
Cet article a ete redige par l'equipe Espero-Soft pour le blog dedie aux entrepreneurs en Belgique. Pour un audit de conformite RGPD ou un accompagnement dans la protection de vos donnees, contactez nos experts.
Tags : #donnees #hebergement #RGPD #cloudsouverain #Belgique