L'Autorité de Protection des Données (APD) belge intensifie ses contrôles et ses sanctions. Huit ans après l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), la période de tolérance est définitivement terminée. Les entreprises belges, quelle que soit leur taille, doivent démontrer une conformité effective sous peine de sanctions financières lourdes. Ce guide détaillé fait le point sur l'ensemble des obligations, les évolutions réglementaires et les actions concrètes à entreprendre.
Le cadre juridique belge de la protection des données
Les textes fondamentaux
La protection des données en Belgique repose sur une architecture juridique à plusieurs niveaux :
- Règlement (UE) 2016/679 (RGPD) : directement applicable depuis le 25 mai 2018, il constitue le socle commun européen
- Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel : loi belge de mise en oeuvre du RGPD
- Loi du 3 décembre 2017 portant création de l'Autorité de Protection des Données (remplaçant l'ancienne Commission de la Protection de la Vie Privée)
- Arrêté royal du 11 mai 2023 relatif à la certification des DPO en Belgique
- Directive ePrivacy (2002/58/CE) et sa transposition belge : régulation spécifique des cookies, du marketing électronique et des communications électroniques
L'Autorité de Protection des Données (APD)
L'APD est l'autorité de contrôle indépendante belge. Son siège se trouve rue de la Presse 35, 1000 Bruxelles. Elle est composée de plusieurs organes :
| Organe | Mission |
|---|---|
| Comité de direction | Gestion stratégique et administrative |
| Service de première ligne | Accueil des plaintes et demandes de médiation |
| Centre de connaissances | Avis, recommandations et études |
| Service d'inspection | Enquêtes et contrôles sur le terrain |
| Chambre contentieuse | Prononce les sanctions (amendes, injonctions) |
| Chambre des litiges | Résout les litiges entre parties |
Contact : contact@apd-gba.be — Tél. : +32 2 274 48 00 — Site : autoritéprotectiondonnees.be (ou gegevensbeschermingsautoriteit.be en néerlandais)
Bilan chiffré des sanctions en Belgique
L'APD a considérablement renforcé son activité répressive ces dernières années :
| Année | Nombre de décisions contentieuses | Montant total des amendes | Amende maximale individuelle |
|---|---|---|---|
| 2020 | 48 | 800 000 EUR | 600 000 EUR (Google Belgium) |
| 2021 | 65 | 1 200 000 EUR | 250 000 EUR |
| 2022 | 87 | 1 800 000 EUR | 600 000 EUR |
| 2023 | 102 | 2 500 000 EUR | 750 000 EUR |
| 2024 | 118 | 4 100 000 EUR | 1 200 000 EUR |
| 2025 | 134 | 6 800 000 EUR | 2 000 000 EUR |
| 2026 (projection) | 150+ | 10 000 000 EUR+ | Renforcement annoncé |
Décisions marquantes de l'APD
Quelques exemples concrets de sanctions prononcées :
- Proximus (2023) : 50 000 EUR pour des pratiques de marketing direct non conformes, envoi de communications commerciales sans consentement valable
- Secteur immobilier (2024) : 75 000 EUR à une agence immobilière pour conservation excessive de données de locataires et absence de politique de suppression
- E-commerce (2024) : 120 000 EUR pour absence de possibilité effective de supprimer un compte client et dark patterns dans le processus de consentement
- Hôpital (2025) : 200 000 EUR pour accès non contrôlé aux dossiers médicaux par du personnel non autorisé
- Entreprise de marketing digital (2025) : 350 000 EUR pour profilage à grande échelle sans base légale valide et transfert non autorisé de données vers les États-Unis
Les secteurs les plus contrôlés en 2026
Marketing digital et publicité en ligne
L'APD a annoncé que le marketing digital reste une priorité de contrôle. Les infractions les plus fréquentes :
- Cookies et trackers : installation de cookies analytiques ou publicitaires avant le consentement explicite de l'utilisateur. Le simple fait de continuer à naviguer ne constitue PAS un consentement valable (décision APD 2021, confirmée par la CJUE dans l'arrêt Planet49)
- Newsletters et e-mailing : envoi de communications commerciales sans consentement opt-in préalable (article 13 de la loi du 11 mars 2003 sur les services de la société de l'information)
- Profilage marketing : utilisation de données comportementales pour cibler des publicités sans information transparente ni base légale (consentement ou intérêt légitime documenté)
- Pixel tracking : intégration de pixels Meta, Google ou TikTok sans consentement préalable
- Consentement non libre : cookie walls qui bloquent l'accès au contenu sans consentement — considérés comme non conformes par l'APD
Conseil pratique : Votre bandeau cookies doit proposer un bouton "Refuser tout" aussi visible et accessible que le bouton "Accepter tout". Les cases pré-cochées sont interdites.
Ressources humaines et gestion du personnel
Le domaine RH est un terrain de contrôle croissant :
- Surveillance des télétravailleurs : installation de logiciels de monitoring (keyloggers, captures d'écran, surveillance de la webcam) — jugée disproportionnée par l'APD dans plusieurs décisions. La surveillance doit respecter la CCT n° 81 du Conseil National du Travail et la loi du 26 décembre 2022 sur le droit à la déconnexion
- Conservation des CV : les CV de candidats non retenus doivent être supprimés dans un délai raisonnable. L'APD recommande un maximum de 2 ans après le dernier contact, avec consentement explicite du candidat pour la constitution d'une réserve de recrutement
- Données de géolocalisation : les véhicules de société équipés de GPS doivent faire l'objet d'une information claire des travailleurs et d'une proportionnalité dans l'utilisation
- Transferts de données RH : l'utilisation de logiciels RH en mode SaaS (Workday, BambooHR, etc.) hébergés hors UE nécessite des garanties appropriées (clauses contractuelles types, évaluation d'impact du transfert)
- Vidéosurveillance : soumise à la CCT n° 68 et à la loi caméras du 21 mars 2007 — obligation d'information préalable, de déclaration et de proportionnalité
E-commerce et vente en ligne
Les contrôles se multiplient dans le secteur e-commerce :
- Suppression de compte : le client doit pouvoir supprimer son compte et obtenir l'effacement de ses données de manière simple (droit à l'effacement, article 17 RGPD). Un bouton de suppression doit être accessible dans les paramètres du compte
- Données de paiement : les numéros de carte bancaire ne peuvent pas être conservés sans consentement explicite, et la conservation doit être limitée dans le temps. L'utilisation de la tokenisation est recommandée
- Politique de confidentialité : elle doit être rédigée en langage clair et accessible, dans les langues correspondant au public cible (français, néerlandais, allemand pour la Belgique). Elle doit contenir toutes les informations prévues aux articles 13 et 14 du RGPD
- Transferts internationaux : l'hébergement de données clients sur des serveurs américains (AWS US, Google Cloud US) nécessite des garanties supplémentaires post-Schrems II
Santé et données médicales
Le secteur de la santé fait l'objet d'une attention particulière vu la sensibilité des données :
- Données de santé : catégorie spéciale au sens de l'article 9 RGPD, nécessitant des mesures de protection renforcées
- Consentement du patient : doit être spécifique, éclairé et documenté
- Plateforme eHealth : la plateforme fédérale eHealth impose des normes de sécurité strictes pour l'échange de données de santé
- Comité de sécurité de l'information : autorisation préalable nécessaire pour certains traitements de données de santé
Obligations détaillées pour les entreprises en 2026
1. Registre des activités de traitement (article 30 RGPD)
Toute entreprise traitant des données personnelles doit tenir un registre des traitements. En 2026, l'APD exige un registre enrichi comprenant :
| Élément | Description | Obligatoire |
|---|---|---|
| Nom et coordonnées du responsable du traitement | Identification complète de l'entreprise | Oui |
| Finalités du traitement | Pourquoi les données sont traitées (ex. : gestion de la paie, marketing) | Oui |
| Catégories de personnes concernées | Employés, clients, prospects, fournisseurs | Oui |
| Catégories de données | Nom, email, adresse, données financières, etc. | Oui |
| Base légale | Consentement, contrat, obligation légale, intérêt légitime, etc. | Oui |
| Destinataires des données | Sous-traitants, partenaires, autorités | Oui |
| Transferts hors UE | Pays de destination et garanties appropriées | Oui |
| Durées de conservation | Délai précis pour chaque catégorie de données | Oui |
| Mesures de sécurité techniques | Chiffrement, pseudonymisation, contrôle d'accès | Oui (nouveau) |
| Évaluation des risques | Niveau de risque pour chaque traitement | Oui (nouveau) |
| Résultats des DPIA | Synthèse des analyses d'impact réalisées | Oui (nouveau) |
Exemple concret pour une PME de 15 employés vendant en ligne :
Vous devriez avoir au minimum les traitements suivants dans votre registre :
- Gestion des commandes clients (base : contrat)
- Envoi de newsletters (base : consentement)
- Gestion de la comptabilité (base : obligation légale)
- Gestion des ressources humaines (base : contrat + obligation légale)
- Cookies analytiques sur le site web (base : consentement)
- Vidéosurveillance des locaux (base : intérêt légitime)
2. Notification des violations de données (articles 33 et 34 RGPD)
En cas de violation de données personnelles (fuite, piratage, perte, accès non autorisé), les obligations sont les suivantes :
Notification à l'APD
- Délai : 72 heures après avoir pris connaissance de la violation (le RGPD maintient ce délai ; toute réduction future serait introduite par une modification du règlement ou des recommandations sectorielles)
- Formulaire : notification en ligne via le portail de l'APD (databreachnotification.be)
- Contenu : nature de la violation, catégories et nombre de personnes concernées, conséquences probables, mesures prises ou proposées
Notification aux personnes concernées
- Quand : lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes
- Comment : communication directe (email, courrier), en langage clair
- Contenu : description de la violation, recommandations pour se protéger (changement de mot de passe, surveillance de comptes bancaires)
Exemple concret : Une PME wallonne subit un ransomware qui chiffre sa base de données clients (5 000 contacts avec noms, emails, historique d'achats). Elle doit :
- Notifier l'APD dans les 72 heures via le formulaire en ligne
- Informer les 5 000 clients par email de la violation
- Documenter l'incident dans son registre interne des violations
- Prendre des mesures correctives (renforcement de la sécurité, sauvegarde, audit)
3. Délégué à la Protection des Données (DPO)
Quand un DPO est-il obligatoire ?
Le RGPD (article 37) impose la désignation d'un DPO dans trois cas :
- Autorités ou organismes publics (sauf les juridictions)
- Activités de base impliquant un suivi régulier et systématique à grande échelle des personnes concernées
- Traitement à grande échelle de données sensibles (santé, données judiciaires, biométriques, etc.)
L'APD a précisé dans ses recommandations que sont notamment concernés :
- Les entreprises de marketing digital effectuant du profilage
- Les sociétés de sécurité utilisant la vidéosurveillance à grande échelle
- Les prestataires de soins de santé
- Les entreprises traitant des données de plus de 5 000 personnes de manière systématique
Profil du DPO
- Expertise : connaissances approfondies en droit de la protection des données et en sécurité informatique
- Indépendance : le DPO ne peut pas recevoir d'instructions sur l'exercice de ses missions, il ne peut pas être sanctionné pour l'exercice de ses fonctions
- Ressources : l'entreprise doit fournir au DPO les ressources nécessaires (temps, budget, formation continue)
- Déclaration : les coordonnées du DPO doivent être communiquées à l'APD
DPO interne vs externe
| Critère | DPO interne | DPO externe |
|---|---|---|
| Coût annuel estimé | 60 000 – 90 000 EUR (salaire brut) | 5 000 – 25 000 EUR (prestation) |
| Disponibilité | Temps plein ou partiel | Selon contrat (forfait ou à la demande) |
| Connaissance de l'entreprise | Excellente | À développer |
| Indépendance | Risque de conflit d'intérêts | Garantie par nature |
| Adapté pour | Grandes entreprises (250+ employés) | PME et moyennes entreprises |
4. Analyse d'Impact relative à la Protection des Données (DPIA)
Quand une DPIA est-elle obligatoire ?
L'APD a publié une liste de traitements pour lesquels une DPIA est obligatoire (décision n° 01/2019). Parmi les cas les plus fréquents :
- Traitement à grande échelle de données de géolocalisation
- Profilage systématique pour l'octroi de crédits ou d'assurances
- Vidéosurveillance systématique de zones accessibles au public
- Traitement de données biométriques pour l'identification
- Surveillance systématique des employés
- Traitement de données de santé en dehors des soins individuels
- Utilisation de l'intelligence artificielle pour la prise de décision automatisée
Contenu d'une DPIA
- Description systématique du traitement envisagé
- Évaluation de la nécessité et de la proportionnalité
- Évaluation des risques pour les droits et libertés des personnes
- Mesures envisagées pour atténuer les risques
- Avis du DPO (le cas échéant)
5. Transferts internationaux de données
Depuis l'arrêt Schrems II de la CJUE (2020) et l'adoption du Data Privacy Framework (DPF) UE-USA en 2023, les règles de transfert sont les suivantes :
| Destination | Mécanisme requis |
|---|---|
| UE/EEE | Aucun mécanisme supplémentaire |
| Pays avec décision d'adéquation (Japon, Royaume-Uni, Suisse, etc.) | Aucun mécanisme supplémentaire |
| USA (entreprise certifiée DPF) | Transfert autorisé sous le DPF |
| Autres pays tiers | Clauses contractuelles types (CCT) + évaluation d'impact du transfert (TIA) |
Point d'attention pour 2026 : Le Data Privacy Framework fait l'objet de recours devant la CJUE. Les entreprises doivent prévoir un "plan B" en cas d'invalidation (comme ce fut le cas pour le Privacy Shield en 2020).
Actions concrètes à mettre en place
Check-list de conformité RGPD pour 2026
Priorité 1 : fondamentaux
- Registre des traitements complet et à jour (article 30)
- Politique de confidentialité conforme (articles 13-14) sur votre site web
- Bandeau cookies conforme avec refus facile
- Contrats de sous-traitance (article 28) signés avec tous vos prestataires IT
- Procédure de gestion des demandes d'exercice des droits (accès, effacement, portabilité)
Priorité 2 : sécurité
- Mesures de sécurité techniques documentées (chiffrement, MFA, sauvegardes)
- Procédure de notification des violations de données
- Registre interne des violations de données
- Tests de sécurité réguliers (pentest annuel recommandé)
Priorité 3 : gouvernance
- DPO désigné (si obligatoire) et déclaré à l'APD
- DPIA réalisées pour les traitements à risque
- Formation annuelle des employés à la protection des données
- Politique de conservation et de suppression des données
Priorité 4 : marketing
- Base de données marketing assainie (consentements valides, opt-out fonctionnel)
- Processus de consentement opt-in documenté
- Gestion des désinscriptions effective sous 10 jours ouvrables
- Suppression des comptes clients inactive depuis plus de 3 ans (recommandation APD)
Barème des amendes RGPD
Le RGPD prévoit deux niveaux d'amendes :
| Niveau | Montant maximum | Infractions concernées |
|---|---|---|
| Niveau 1 | 10 millions EUR ou 2 % du CA mondial | Registre des traitements, sécurité, DPO, DPIA |
| Niveau 2 | 20 millions EUR ou 4 % du CA mondial | Principes de base, droits des personnes, transferts internationaux |
Pour une PME belge avec un CA de 2 millions EUR :
- Amende de niveau 1 max : 10 millions EUR (le plafond absolu, pas le pourcentage)
- Amende de niveau 2 max : 20 millions EUR
En pratique, l'APD belge calibre ses amendes en fonction de la taille de l'entreprise, de la gravité, du caractère intentionnel et des mesures correctives prises. Les amendes pour les PME belges varient généralement entre 2 000 et 100 000 EUR.
Ressources et assistance
Outils gratuits de l'APD
- Modèle de registre des traitements : disponible sur le site de l'APD
- Guide pratique pour les PME : brochure téléchargeable
- FAQ : réponses aux questions fréquentes
- Formulaire de plainte en ligne : pour les citoyens
Organismes de soutien
| Organisme | Service | Contact |
|---|---|---|
| APD | Plaintes, avis, médiations | autoritéprotectiondonnees.be |
| SPF Économie | Guide e-commerce et données | economie.fgov.be |
| CCB (Centre pour la Cybersécurité Belgique) | Signalement d'incidents, conseils sécurité | ccb.belgium.be |
| safeonweb.be | Sensibilisation des citoyens et PME | safeonweb.be |
| CNIL (France) | Ressources francophones utiles (non contraignantes en Belgique) | cnil.fr |
Formations et certifications
- Certification CIPP/E (Certified Information Privacy Professional/Europe) — reconnue internationalement
- Certification DPO : l'APD a défini un cadre de certification (schéma EUROCERT)
- Formations continues proposées par Agoria, BELTUG, et les universités belges (KU Leuven, ULB, UCLouvain)
Conclusion
Le RGPD n'est plus un sujet d'avenir mais une réalité quotidienne pour chaque entreprise belge. L'APD dispose désormais des moyens humains et financiers pour mener des contrôles à grande échelle et prononcer des sanctions dissuasives. La conformité RGPD n'est pas seulement une obligation légale : c'est un investissement dans la confiance de vos clients, la sécurité de vos données et la pérennité de votre activité. Commencez par le registre des traitements et la politique de confidentialité, puis progressez méthodiquement. Un accompagnement par un DPO externe ou un cabinet spécialisé est un investissement rentable pour les PME qui ne disposent pas de l'expertise en interne.
Tags : #RGPD #protectiondesdonnées #vieprivée #APD #sanctions