Le RGPD (Reglement General sur la Protection des Donnees) est entre en vigueur le 25 mai 2018, mais en 2026, de nombreuses PME belges ne sont toujours pas pleinement conformes. Selon une enquete de l'APD (Autorite de Protection des Donnees), pres de 40 % des PME belges n'ont pas de registre des traitements a jour, et 55 % n'ont pas de politique de confidentialite conforme sur leur site web. Pourtant, les sanctions sont reelles : l'APD a prononce plus de 150 amendes depuis 2019, dont certaines a l'encontre de petites entreprises. Ce guide pratique vous montre comment mettre votre PME en conformite, etape par etape, sans y consacrer des semaines ni un budget exorbitant.
Le RGPD en Belgique : cadre legal et autorite de controle
Le cadre legal
Le RGPD (Reglement UE 2016/679) est un reglement europeen directement applicable dans tous les Etats membres, y compris la Belgique. Il est complete en droit belge par :
- La loi du 30 juillet 2018 relative a la protection des personnes physiques a l'egard des traitements de donnees a caractere personnel (loi-cadre belge)
- La loi du 5 septembre 2018 portant creation de l'Autorite de protection des donnees (APD)
- Diverses legislations sectorielles : loi vie privee au travail, loi sur le marketing electronique, etc.
L'APD (Autorite de Protection des Donnees)
L'APD est l'autorite nationale de controle en Belgique. Elle a succede a l'ancienne Commission de la protection de la vie privee en 2019.
Composition de l'APD :
- Service de premiere ligne : premier contact, plaintes, demandes d'information
- Centre de connaissances : avis, recommandations, lignes directrices
- Service d'inspection : enquetes sur le terrain et en ligne
- Chambre contentieuse : organe decisoire qui prononce les sanctions
Contact : dataprotectionauthority.be – T. +32 (0)2 274 48 00
Bilan des sanctions en Belgique (2019-2025) :
| Annee | Nombre de sanctions | Montant total des amendes |
|---|---|---|
| 2019-2020 | 25 | environ 800 000 EUR |
| 2021 | 40 | environ 1 200 000 EUR |
| 2022 | 35 | environ 1 500 000 EUR |
| 2023 | 38 | environ 2 000 000 EUR |
| 2024 | 42 | environ 2 500 000 EUR |
| 2025 | 50+ | environ 3 000 000 EUR |
Types de sanctions prononcees :
- Avertissements et mises en demeure (les plus frequentes pour les PME)
- Amendes administratives (jusqu'a 20 millions EUR ou 4 % du CA mondial)
- Ordres de mise en conformite avec delai
- Interdiction temporaire de traitement
- Obligation de notifier les personnes concernees
Exemples de sanctions belges marquantes :
- Google Belgium : 600 000 EUR pour non-respect du droit a l'oubli
- Proximus : 20 000 EUR pour marketing direct sans consentement
- Un medecin : 3 000 EUR pour envoi de donnees medicales non securise
- Une PME e-commerce : 10 000 EUR pour absence de registre des traitements et politique de confidentialite defaillante
Les obligations RGPD pour les PME : ce qui vous concerne
Quand le RGPD s'applique-t-il a votre PME ?
Le RGPD s'applique des que vous traitez des donnees a caractere personnel. En pratique, toute PME est concernee, car vous traitez necessairement des donnees personnelles :
- Clients : nom, adresse, email, telephone, historique d'achats
- Employes : donnees d'identification, salaire, evaluations, donnees medicales (medecine du travail)
- Fournisseurs : coordonnees des personnes de contact
- Prospects : donnees collectees via votre site web (formulaires, cookies, newsletter)
- Visiteurs du site web : adresse IP, cookies, donnees de navigation
Les 7 principes fondamentaux du RGPD
Tout traitement de donnees doit respecter ces 7 principes :
| Principe | Signification concrete |
|---|---|
| Liceite, loyaute, transparence | Vous devez avoir une base legale et informer les personnes |
| Limitation des finalites | Ne collectez que pour des finalites precises et legitimes |
| Minimisation des donnees | Ne collectez que les donnees strictement necessaires |
| Exactitude | Gardez les donnees a jour, corrigez les erreurs |
| Limitation de la conservation | Ne gardez pas les donnees plus longtemps que necessaire |
| Integrite et confidentialite | Protegez les donnees contre les acces non autorises |
| Responsabilite (accountability) | Vous devez pouvoir demontrer votre conformite |
Les 6 bases legales pour traiter des donnees
Vous devez pouvoir justifier chaque traitement par l'une de ces 6 bases legales :
- Consentement : la personne a donne son accord explicite (ex : inscription a la newsletter, cookies marketing)
- Execution d'un contrat : le traitement est necessaire pour executer un contrat (ex : livrer une commande, gerer un contrat de travail)
- Obligation legale : la loi vous y oblige (ex : conservation des factures 7 ans, declarations sociales)
- Interet vital : protection de la vie de la personne (rare en PME)
- Mission d'interet public : (rare pour les PME privees)
- Interet legitime : votre interet commercial justifie le traitement, sous reserve de balance avec les droits de la personne (ex : prospection B2B, prevention de la fraude, securite IT)
Attention au consentement :
Le consentement doit etre :
- Libre : pas de case precochee, pas de consentement force
- Specifique : un consentement par finalite
- Eclaire : la personne sait a quoi elle consent
- Univoque : une action claire (cocher une case, cliquer sur "J'accepte")
- Revocable : la personne peut retirer son consentement a tout moment
Guide de mise en conformite en 8 etapes
Etape 1 : Cartographiez vos traitements de donnees (registre des traitements)
Le registre des traitements est le document central de votre conformite RGPD. Il est obligatoire pour toute entreprise de plus de 250 employes, mais aussi pour les PME dont les traitements ne sont pas occasionnels (ce qui est le cas de quasi toutes les PME).
Modele de registre :
Pour chaque traitement, documentez :
| Champ | Exemple (gestion clients) | Exemple (newsletter) |
|---|---|---|
| Nom du traitement | Gestion de la relation client | Envoi de la newsletter |
| Responsable | Gerant de la SRL | Departement marketing |
| Finalite | Facturation, suivi des commandes | Information commerciale |
| Categories de personnes | Clients | Abonnes newsletter |
| Categories de donnees | Nom, adresse, email, TVA, achats | Email, prenom |
| Base legale | Execution du contrat | Consentement |
| Destinataires | Comptable, logiciel de facturation | Mailchimp (sous-traitant) |
| Transfert hors UE | Non | Oui (Mailchimp aux USA) |
| Duree de conservation | 7 ans apres la derniere facture | Jusqu'au desabonnement |
| Mesures de securite | Acces restreint, chiffrement | Double opt-in, lien de desabonnement |
Outils gratuits pour le registre :
- Modele APD : l'APD belge propose un modele Excel gratuit sur son site (dataprotectionauthority.be)
- Modele CNIL : la CNIL francaise propose egalement un modele compatible avec le RGPD
- GDPR Register (gdprregister.eu) : outil en ligne gratuit pour les PME
Etape 2 : Redigez votre politique de confidentialite
Votre politique de confidentialite (ou declaration de vie privee) doit etre accessible sur votre site web et dans vos locaux. Elle doit informer les personnes de maniere claire et comprehensible.
Contenu obligatoire :
- Identite et coordonnees du responsable du traitement (votre entreprise)
- Coordonnees du DPO (si vous en avez un)
- Finalites et bases legales de chaque traitement
- Categories de donnees traitees
- Destinataires ou categories de destinataires
- Transferts vers des pays tiers (hors UE) et garanties
- Durees de conservation
- Droits des personnes (acces, rectification, effacement, portabilite, opposition, limitation)
- Droit d'introduire une reclamation aupres de l'APD
- Caractere obligatoire ou facultatif de la fourniture des donnees
Erreurs frequentes dans les politiques de confidentialite :
- Copier-coller un modele generique sans l'adapter a votre situation
- Utiliser un jargon juridique incomprehensible
- Ne pas mentionner les sous-traitants (hebergeur, CRM, outil d'emailing)
- Oublier les transferts hors UE (Mailchimp, Google Analytics, Facebook)
- Ne pas indiquer les durees de conservation
Etape 3 : Gerez les cookies de votre site web
Les cookies sont un sujet sensible en Belgique. L'APD et la directive ePrivacy imposent des regles strictes :
Classification des cookies :
| Type | Exemples | Consentement necessaire ? |
|---|---|---|
| Strictement necessaires | Panier d'achat, session, securite | Non |
| Fonctionnels | Preferences de langue, connexion | Depend (recommande oui) |
| Analytiques | Google Analytics, Matomo | Oui |
| Marketing / publicitaires | Facebook Pixel, Google Ads, retargeting | Oui |
Obligations :
- Bandeau de cookies : afficher un bandeau au premier acces, permettant d'accepter ou refuser chaque categorie de cookies
- Pas de cases precochees : les cases doivent etre decochees par defaut (arret Planet49, CJUE 2019)
- Refus aussi facile que l'acceptation : le bouton "Refuser" doit etre aussi visible que le bouton "Accepter"
- Pas de "cookie wall" : vous ne pouvez pas bloquer l'acces au site si l'utilisateur refuse les cookies (position de l'APD)
Solutions techniques :
- Cookiebot : solution CMP (Consent Management Platform) populaire, conforme RGPD. Gratuit jusqu'a 1 page, payant a partir de 9 EUR/mois
- Tarteaucitron.js : solution open source et gratuite, tres utilisee dans l'espace francophone
- Complianz : plugin WordPress, a partir de 5 EUR/mois
- Axeptio : solution francaise, interface soignee, a partir de 19 EUR/mois
Etape 4 : Securisez les donnees personnelles
Le RGPD exige des "mesures techniques et organisationnelles appropriees" pour proteger les donnees. Pour une PME, cela signifie concretement :
Mesures techniques :
- Mots de passe : politique de mots de passe forts (12 caracteres minimum, complexes, uniques). Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass)
- Authentification a deux facteurs (2FA) : activez-la sur tous les comptes critiques (email, CRM, banque, cloud)
- Chiffrement : chiffrez les disques durs des ordinateurs portables (BitLocker sur Windows, FileVault sur Mac)
- Antivirus et pare-feu : maintenez-les a jour
- Mises a jour : appliquez systematiquement les mises a jour de securite des logiciels et systemes d'exploitation
- Sauvegardes : sauvegarde reguliere (quotidienne) des donnees, sur un support externe ou dans le cloud, testez la restauration
- Acces restreint : chaque employe ne doit acceder qu'aux donnees necessaires a sa fonction (principe du moindre privilege)
- WiFi securise : WPA3, mot de passe complexe, reseau invite separe
Mesures organisationnelles :
- Sensibilisation des employes : formez vos employes aux bonnes pratiques (phishing, mots de passe, signalement d'incidents)
- Procedures ecrites : procedure en cas de violation de donnees, procedure d'exercice des droits, procedure de suppression
- Contrats avec les sous-traitants : clauses RGPD obligatoires (article 28)
- Politique de bureau propre : pas de documents contenant des donnees personnelles laisses sans surveillance
Etape 5 : Gerez les sous-traitants (article 28)
Tout sous-traitant qui traite des donnees personnelles pour votre compte doit signer un contrat de sous-traitance (Data Processing Agreement ou DPA) conforme a l'article 28 du RGPD.
Sous-traitants courants pour une PME belge :
| Sous-traitant | Type de donnees | Base dans l'UE ? |
|---|---|---|
| Comptable / fiduciaire | Donnees financieres, employes | Oui (generalement) |
| Hebergeur web (Combell, OVH, Hostinger) | Donnees site web, emails | Depend |
| Logiciel CRM (HubSpot, Salesforce, Teamleader) | Donnees clients | Depend (souvent USA) |
| Outil d'emailing (Mailchimp, Brevo, ActiveCampaign) | Emails des abonnes | Depend (souvent USA) |
| Logiciel comptable (Exact, Yuki, Octopus, BOB50) | Donnees financieres | Oui (generalement) |
| Service cloud (Google Workspace, Microsoft 365) | Toutes les donnees | USA (clauses contractuelles types) |
| Secretariat social (Securex, Partena, Liantis, Acerta) | Donnees employes | Oui |
| Logiciel de paie | Donnees salariales | Oui |
Transferts hors UE (vers les USA notamment) :
Depuis l'arret Schrems II (2020) et le EU-US Data Privacy Framework (2023) :
- Les transferts vers les entreprises americaines certifiees sous le Data Privacy Framework sont autorises
- Pour les autres, vous devez utiliser des clauses contractuelles types (SCC) adoptees par la Commission europeenne
- Verifiez si votre sous-traitant americain est certifie : dataprivacyframework.gov
Etape 6 : Respectez les droits des personnes
Le RGPD accorde 8 droits aux personnes dont vous traitez les donnees :
| Droit | Ce que cela signifie | Delai de reponse |
|---|---|---|
| Acces | La personne peut demander une copie de ses donnees | 1 mois |
| Rectification | Corriger des donnees inexactes | 1 mois |
| Effacement (droit a l'oubli) | Supprimer les donnees (sauf obligation legale de conservation) | 1 mois |
| Limitation | Restreindre temporairement le traitement | 1 mois |
| Portabilite | Recevoir ses donnees dans un format lisible par machine | 1 mois |
| Opposition | S'opposer au traitement (interet legitime, marketing direct) | Immediatement (marketing direct) |
| Non-profilage | Ne pas etre soumis a une decision automatisee | 1 mois |
| Retrait du consentement | Retirer son consentement a tout moment | Immediatement |
Procedure pratique :
- Designez une personne responsable de traiter les demandes (le DPO si vous en avez un, sinon le gerant)
- Creez une adresse email dediee (ex : privacy@votreentreprise.be)
- Verifiez l'identite du demandeur avant de repondre
- Repondez dans le delai d'1 mois (prolongeable de 2 mois si la demande est complexe)
- Documentez chaque demande et votre reponse (preuve de conformite)
Etape 7 : Preparez-vous aux violations de donnees
Une violation de donnees (data breach) est tout incident de securite entrainant la destruction, la perte, l'alteration ou la divulgation non autorisee de donnees personnelles.
Exemples concrets :
- Un employe envoie par erreur un fichier client a la mauvaise personne
- Un ordinateur portable contenant des donnees clients est vole
- Votre site web est pirate et les donnees des utilisateurs sont exposees
- Un ransomware chiffre vos donnees (et potentiellement les exfiltre)
- Un email de phishing permet a un attaquant d'acceder a votre CRM
Obligations en cas de violation :
- Documentez l'incident (nature, donnees concernees, nombre de personnes, consequences)
- Evaluez le risque pour les personnes concernees
- Notifiez l'APD dans les 72 heures si le risque n'est pas negligeable (formulaire en ligne sur dataprotectionauthority.be)
- Notifiez les personnes concernees "dans les meilleurs delais" si le risque est eleve (ex : donnees financieres, donnees de sante exposees)
- Prenez des mesures correctives pour limiter les degats et eviter la recurrence
Modele de registre des violations :
Meme si la violation ne necessite pas de notification a l'APD, vous devez la documenter dans un registre interne (obligation de l'article 33(5) du RGPD).
Etape 8 : Designez un DPO si necessaire
Le DPO (Data Protection Officer ou Delegue a la Protection des Donnees) est obligatoire dans 3 cas :
- Vous etes un organisme public
- Vos activites de base consistent en un suivi regulier et systematique de personnes a grande echelle
- Vos activites de base consistent en un traitement a grande echelle de donnees sensibles (sante, biometrie, condamnations)
En pratique, pour la plupart des PME belges, le DPO n'est pas obligatoire. Cependant, il est fortement recommande de designer une personne responsable de la conformite RGPD au sein de l'entreprise.
Options pour les PME :
- DPO interne : un employe forme au RGPD (formation de 2 a 5 jours, cout : 1 000 a 3 000 EUR)
- DPO externe : un consultant ou cabinet specialise. Cout : 300 a 800 EUR/mois pour une PME
- Personne de reference : sans le titre officiel de DPO, designez un referent RGPD interne
Budget RGPD pour une PME belge
Estimation des couts de mise en conformite
| Poste | PME de 1 a 5 personnes | PME de 5 a 50 personnes |
|---|---|---|
| Audit initial (consultant) | 1 000 a 3 000 EUR | 3 000 a 8 000 EUR |
| Redaction politique de confidentialite | 500 a 1 500 EUR | 1 500 a 3 000 EUR |
| Registre des traitements | Gratuit (modele APD) a 1 000 EUR | 1 000 a 3 000 EUR |
| Solution de gestion des cookies | 0 a 200 EUR/an | 200 a 600 EUR/an |
| Contrats sous-traitants (DPA) | 500 a 2 000 EUR | 2 000 a 5 000 EUR |
| Formation des employes | 500 a 1 500 EUR | 1 500 a 5 000 EUR |
| DPO externe (si necessaire) | 300 a 500 EUR/mois | 500 a 1 000 EUR/mois |
| Total mise en conformite | 2 500 a 8 000 EUR | 8 000 a 25 000 EUR |
| Cout annuel de maintien | 500 a 2 000 EUR/an | 2 000 a 10 000 EUR/an |
Faire appel a un consultant RGPD en Belgique
Plusieurs cabinets et consultants se sont specialises en conformite RGPD pour les PME belges :
- DPO-as-a-Service : plusieurs prestataires proposent un DPO externalise a temps partiel
- Cabinets d'avocats : beaucoup de cabinets belges ont un departement "privacy" (Stibbe, Linklaters, Lydian, Simont Braun, etc.)
- Organismes sectoriels : l'UCM, Unizo et les federations professionnelles proposent souvent des guides et des formations RGPD adaptes a leur secteur
Cas pratiques par secteur
E-commerce belge
Principaux enjeux RGPD :
- Cookies et tracking (Google Analytics, Facebook Pixel, retargeting)
- Newsletter et marketing direct (consentement, lien de desabonnement)
- Conservation des donnees de commande (7 ans pour les obligations comptables, mais pas les donnees marketing)
- Sous-traitants multiples (plateforme e-commerce, paiement, livraison, CRM, emailing)
- Avis clients (base legale, droit de suppression)
Cabinet medical / paramedical
Principaux enjeux RGPD :
- Donnees de sante = donnees sensibles (article 9 RGPD) : protection renforcee
- DPO potentiellement obligatoire si traitement a grande echelle
- Dossier medical electronique : mesures de securite renforcees
- Transfert de dossier entre professionnels : consentement du patient
- Conservation : 30 ans pour les dossiers medicaux en Belgique
Horeca
Principaux enjeux RGPD :
- Cameras de surveillance : declaration aupres de la police, pictogrammes, registre
- WiFi gratuit : conservation des logs de connexion (1 an, loi telecom)
- Reservation en ligne : conservation limitee, pas de reutilisation marketing sans consentement
- Programme de fidelite : consentement pour le profiling et le marketing personalise
Profession liberale (avocat, comptable, consultant)
Principaux enjeux RGPD :
- Secret professionnel et RGPD : articulation des deux obligations
- Donnees sensibles possibles (dossiers juridiques, donnees financieres)
- Transfert de dossiers entre professionnels
- Archivage securise (obligations ordinales et legales)
Checklist de conformite RGPD pour PME
- Registre des traitements de donnees redige et a jour
- Politique de confidentialite publiee sur le site web
- Bandeau de cookies conforme (pas de cases precochees, refus facile)
- Formulaires de contact et d'inscription conformes (mention d'information, consentement)
- Contrats de sous-traitance (DPA) signes avec tous les sous-traitants
- Mesures de securite techniques en place (mots de passe, 2FA, chiffrement, sauvegardes)
- Procedure d'exercice des droits des personnes documentee
- Procedure en cas de violation de donnees documentee
- Formation/sensibilisation des employes realisee
- DPO designe ou personne de reference identifiee
- Durees de conservation definies pour chaque traitement
- Transferts hors UE identifies et encadres (SCC ou Data Privacy Framework)
Conclusion
La conformite RGPD n'est pas un projet ponctuel mais un processus continu. Pour une PME belge, la mise en conformite initiale represente un investissement de quelques milliers d'euros et de quelques semaines de travail, mais elle vous protege contre des sanctions pouvant atteindre des centaines de milliers d'euros, sans compter le prejudice de reputation. Commencez par les bases : le registre des traitements, la politique de confidentialite et les cookies. Puis ameliorez progressivement votre niveau de conformite. L'APD belge adopte une approche pedagogique pour les PME de bonne foi qui font des efforts de mise en conformite, mais elle n'hesite pas a sanctionner les entreprises qui ignorent completement leurs obligations.
Tags : #RGPD #protectiondonnées #PME #conformité #Belgique