RGPD et site web en Belgique : la checklist complète pour être en règle en 2026

ParAbdellah

Le RGPD est entré en vigueur en 2018 et reste plus que jamais d’actualité en 2026. Pourtant, la plupart des sites web de PME belges ne sont pas vraiment conformes — souvent par méconnaissance plutôt que par mauvaise volonté. Voici la checklist complète pour mettre votre site en règle.

Pourquoi prendre le RGPD au sérieux

Le RGPD (Règlement Général sur la Protection des Données) n’est pas qu’une formalité administrative. Trois bonnes raisons de s’y conformer vraiment :

  • Risque financier réel : amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel
  • Plaintes individuelles : tout citoyen peut déposer plainte auprès de l’Autorité de Protection des Données belge (APD)
  • Confiance des clients : un site clairement conforme rassure et fait passer pour un acteur sérieux

L’APD belge a déjà sanctionné plusieurs PME pour des manquements considérés comme « basiques ». Personne n’est trop petit pour être visé.

Les 3 documents légaux obligatoires

Tout site web professionnel en Belgique doit comporter ces trois pages, accessibles facilement (généralement en pied de page) :

1. Mentions légales

Obligatoires pour identifier qui est derrière le site. Doivent contenir :

  • Nom légal de l’entreprise (raison sociale)
  • Forme juridique (SRL, SA, indépendant…)
  • Numéro d’entreprise (BCE)
  • Numéro de TVA (si assujetti)
  • Adresse du siège social
  • Email et téléphone de contact
  • Hébergeur du site (nom et coordonnées)
  • Directeur de publication

2. Politique de confidentialité

C’est le document RGPD principal. Il explique de manière claire :

  • Quelles données personnelles vous collectez (nom, email, IP, comportement de navigation…)
  • Pourquoi vous les collectez (finalité)
  • Sur quelle base légale (consentement, contrat, intérêt légitime…)
  • Combien de temps vous les conservez
  • Avec qui vous les partagez (sous-traitants, services tiers)
  • Quels sont les droits du visiteur (accès, rectification, suppression, portabilité)
  • Comment exercer ces droits (email dédié)
  • Coordonnées de votre Délégué à la Protection des Données (DPO) si vous en avez un

3. Politique de cookies

Liste exhaustive des cookies utilisés sur votre site, avec pour chacun :

  • Le nom du cookie
  • Sa finalité (essentiel, analytique, marketing…)
  • Sa durée de conservation
  • L’éditeur (vous ou un tiers comme Google, Meta…)

Le bandeau cookies : ce qui est vraiment exigé

C’est l’élément le plus visible et le plus mal géré des sites belges. Voici les règles strictes applicables en 2026 :

Ce qui est OBLIGATOIRE

  • Le bandeau doit apparaître avant tout dépôt de cookie non essentiel
  • Boutons « Accepter » et « Refuser » doivent être aussi visibles l’un que l’autre
  • Le visiteur doit pouvoir choisir cookie par cookie (paramétrage granulaire)
  • Possibilité de retirer son consentement à tout moment, aussi facilement qu’il a été donné
  • Aucun cookie analytique ou marketing avant consentement explicite

Ce qui est INTERDIT

  • « Continuer à naviguer vaut consentement » — illégal depuis 2020
  • Cookie wall qui bloque l’accès au site sans accepter — illégal
  • Bouton « Accepter tout » très visible et « Refuser » caché en petit — pratique sanctionnée
  • Pré-cocher les cases d’acceptation par défaut — interdit
  • Différence visuelle volontaire entre Accepter et Refuser (couleurs, tailles)

Les solutions techniques en 2026

Sur WordPress, plusieurs extensions gratuites ou payantes gèrent correctement le RGPD : Complianz (référence en Belgique), Cookiebot (premium mais ultra-complet), Real Cookie Banner (bon rapport qualité-prix). Évitez les solutions « basiques » qui se contentent d’afficher un bandeau sans bloquer les cookies.

Les formulaires de contact : pièges fréquents

Tout formulaire qui collecte des données personnelles (même un simple « nom + email + message ») doit :

  • Contenir une case à cocher non précochée pour le consentement RGPD
  • Indiquer la finalité précise (ex : « vos données seront utilisées uniquement pour répondre à votre demande »)
  • Inclure un lien vers la politique de confidentialité
  • Préciser la durée de conservation des données
  • Mentionner les droits du visiteur

Si vous envoyez ensuite des newsletters ou des relances commerciales à partir de ces données, il vous faut un consentement séparé spécifique pour ces envois (case à cocher distincte du consentement principal).

Les outils tiers à surveiller absolument

La plupart des PME ne réalisent pas combien d’outils tiers peuvent compromettre leur conformité. Voici les principaux à auditer :

Google Analytics

Sujet sensible. Google Analytics dans sa version standard a été déclaré non conforme au RGPD par plusieurs autorités européennes (notamment en France et Italie). En 2026, plusieurs alternatives sont à considérer : Plausible (analytics simple et conforme), Matomo (open source, hébergé chez vous), Fathom. Si vous tenez à GA, il faut au minimum le configurer en mode « anonymisation IP ».

Pixel Meta (Facebook)

Outil de tracking très intrusif. Ne doit absolument jamais se charger avant consentement explicite. Si vous faites de la publicité Meta, configurez-le via Google Tag Manager avec déclencheur conditionnel sur consentement.

Polices Google Fonts

Souvent oublié : charger les polices depuis googlefonts.com transmet l’IP de chaque visiteur à Google. Plusieurs jugements en Allemagne ont condamné cette pratique. Solution : héberger les polices localement sur votre serveur.

Vidéos YouTube intégrées

Une vidéo YouTube intégrée dépose plusieurs cookies dès le chargement de la page, avant tout clic. Solution : utiliser le mode « youtube-nocookie.com » ou intégrer la vidéo seulement après consentement.

Les obligations spécifiques aux entreprises belges

En plus du RGPD européen, la Belgique a quelques particularités :

  • Loi sur la protection des données du 30 juillet 2018 — qui transpose le RGPD avec des précisions belges
  • Autorité de Protection des Données (APD) — votre interlocuteur en cas de plainte ou de demande de conseil
  • Code de droit économique — contient des règles supplémentaires pour les ventes en ligne
  • Loi e-commerce belge — impose des informations spécifiques pour tout site marchand

Faut-il un Délégué à la Protection des Données (DPO) ?

Pas systématiquement. Un DPO n’est obligatoire que si :

  • Vous traitez des données à grande échelle
  • Vous traitez des données sensibles (santé, religion, opinions politiques…)
  • Vous êtes une autorité publique

Pour la majorité des PME bruxelloises (commerces, services, professions libérales), aucun DPO n’est obligatoire. Mais désigner un référent interne reste une bonne pratique.

Checklist rapide : où en êtes-vous ?

Cochez mentalement ce qui est en place sur votre site :

  • Page « Mentions légales » complète et à jour
  • Page « Politique de confidentialité » personnalisée (pas une copie générique)
  • Page « Politique de cookies » listant tous les cookies utilisés
  • Bandeau cookies avec boutons Accepter et Refuser également visibles
  • Aucun cookie analytique ou marketing avant consentement explicite
  • Formulaires avec case RGPD non précochée
  • Possibilité claire de retirer son consentement à tout moment
  • Polices hébergées localement (pas via Google Fonts)
  • Vidéos YouTube en mode no-cookie ou avec consentement préalable
  • Email RGPD dédié pour les demandes (ex : rgpd@votreentreprise.be)

Si vous avez moins de 7 cases cochées, vous n’êtes probablement pas conforme. Mais la bonne nouvelle, c’est que tout cela peut se mettre en place en quelques heures avec les bons outils.

Notre approche RGPD chez Agence BTA

Chez Agence Web Marketing BTA, la conformité RGPD est incluse par défaut dans tous nos sites. Nous configurons les bandeaux cookies, rédigeons des modèles de politique de confidentialité personnalisés, et installons les outils de gestion conformes. Pour les sites existants, nous proposons aussi un audit RGPD avec plan d’action concret.

Notre projet de référence, le site de la Grande Mosquée de Bruxelles, est un exemple concret de site institutionnel pleinement conforme RGPD : bandeau cookies fonctionnel, politique de confidentialité claire, formulaires conformes.

En résumé

Le RGPD n’est pas qu’une obligation administrative — c’est aussi un argument de confiance auprès de vos clients. En 2026, ne pas être conforme c’est prendre des risques financiers réels et envoyer un mauvais signal à votre marché.

La bonne nouvelle ? Une mise en conformité bien menée prend généralement entre 1 et 3 jours de travail pour une PME, et coûte rarement plus de 500 à 1 500 €. Un investissement minime au regard des amendes potentielles et du gain de crédibilité auprès de vos clients.

Audit RGPD gratuit de votre site

Vous voulez savoir précisément où vous en êtes ? Nous proposons un audit RGPD gratuit en 24h avec un rapport clair : conformité actuelle, points à corriger, plan d’action priorisé.

Demander mon audit RGPD gratuit
Voir nos services

⚠️ Cet article est informatif et ne constitue pas un conseil juridique. Pour les cas complexes, nous recommandons de consulter un avocat spécialisé en droit du numérique ou de contacter directement l’Autorité de Protection des Données belge.

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *