Que vérifie l'APD lors d'un contrôle de site web ?

L'APD examine en priorité la bannière cookies (présence du bouton de refus, absence de scripts chargés avant consentement), la politique de confidentialité (exhaustivité, durées de conservation), les formulaires de collecte (consentement explicite) et les contrats avec les sous-traitants. Elle peut agir sur plainte ou de sa propre initiative.

Comment savoir si ma bannière cookies fonctionne correctement ?

Cliquez sur Tout refuser dans votre propre bannière, puis ouvrez les outils de développement du navigateur (F12, onglet Réseau). Si des requêtes vers google-analytics.com, facebook.com ou d'autres trackers apparaissent, votre bannière ne bloque pas les scripts avant consentement. C'est le test exact que l'APD effectue.

Combien de temps ai-je pour répondre à une demande d'exercice de droits RGPD ?

Vous avez 30 jours calendrier pour répondre à une demande d'accès, de rectification, de suppression ou de portabilité. Ce délai peut être prolongé de deux mois supplémentaires pour les demandes complexes, à condition d'informer la personne concernée dans le premier délai de 30 jours.

Ai-je besoin d'un DPO (délégué à la protection des données) ?

La plupart des PME belges n'ont pas l'obligation légale de nommer un DPO. L'obligation s'applique aux organismes publics, aux entreprises qui traitent à grande échelle des données sensibles (santé, données biométriques) ou qui réalisent un profilage systématique à grande échelle. En dehors de ces cas, un DPO est recommandé mais pas obligatoire.

RGPD et confidentialité

Audit RGPD de votre site web : guide pas-à-pas pour PME belges

Steven | TrustYourWebsite · 4 mai 2026 · Dernière mise à jour : mai 2026

En Belgique, l'APD (Autorité de Protection des Données) peut ouvrir un dossier de contrôle sur plainte d'un utilisateur ou de sa propre initiative. En 2022, elle a rendu une décision qui a secoué le secteur publicitaire mondial entier : le TCF d'IAB Europe, le système de consentement utilisé par des milliers de sites belges et européens, ne respectait pas le RGPD. En 2024, elle a imposé 25 000 € par jour à Mediahuis pour une bannière cookies mal configurée.

Ces décisions montrent quelque chose d'important : l'APD regarde les détails techniques, pas seulement les grandes déclarations d'intention. Un audit RGPD sérieux de votre site web, c'est précisément regarder ce que l'APD regarde.

Ce guide vous aide à faire cet audit vous-même, étape par étape.

Avant de commencer : ce dont vous avez besoin

Vous n'avez pas besoin d'être développeur pour auditer votre propre site. Mais vous avez besoin d'un accès au navigateur avec les outils de développement (F12 dans Chrome, Firefox ou Edge) et d'un accès en lecture à votre CMS ou à votre hébergeur.

Notre scanner automatise plusieurs étapes de cet audit.

Lancer un scan gratuit de mon site →

Étape 1 : cartographier ce que votre site collecte

Avant de vérifier la conformité, il faut savoir ce que vous traitez. Passez en revue votre site page par page et notez :

Les formulaires actifs : formulaire de contact, inscription à la newsletter, demande de devis, formulaire de réservation, checkout e-commerce. Chaque formulaire est un point de collecte de données personnelles.

Les outils analytics : Google Analytics, Matomo, Adobe Analytics, Microsoft Clarity, Hotjar. Ces outils collectent des adresses IP et des comportements de navigation, qui sont des données personnelles sous le RGPD.

Les pixels et trackers marketing : Facebook Pixel, LinkedIn Insight Tag, Google Ads Conversion Tracking, TikTok Pixel. Ces scripts envoient des données comportementales à des plateformes publicitaires tierces.

Les widgets tiers : boutons de partage social (Facebook Like, Twitter Follow), cartes Google Maps intégrées, vidéos YouTube ou Vimeo embarquées. Ces éléments déposent souvent des cookies dès le chargement de la page, avant tout consentement.

Les outils de chat et de support : Intercom, Zendesk, Freshchat. Ces outils collectent des données de conversation qui peuvent être très sensibles.

Créez une liste simple. Elle sera la base de votre registre des activités de traitement, que la plupart des PME actives doivent tenir en vertu du RGPD et de la loi du 30 juillet 2018.

Étape 2 : tester votre bannière cookies

La bannière cookies est la première chose que l'APD vérifie. Son test est simple et reproductible : un inspecteur visite votre site, clique sur « Refuser tout » et observe si des scripts de tracking se chargent malgré le refus.

Comment reproduire ce test

Ouvrez votre site dans un onglet de navigation privée (pour commencer sans cookies préexistants)
Ne touchez pas encore à la bannière. Regardez si des scripts se chargent avant que vous ayez fait un choix (F12 > Réseau > filtrez sur « analytics » ou « facebook »)
Cliquez sur « Refuser tout » dans la bannière
Rechargez la page et observez à nouveau le trafic réseau

Ce que vous devez voir après le refus : aucune requête vers google-analytics.com, facebook.com/tr, td.doubleclick.net ou d'autres domaines de tracking. Si ces requêtes apparaissent, votre plateforme de gestion du consentement (CMP) ne bloque pas correctement les scripts.

Les problèmes les plus fréquents

Scripts chargés en dur dans le code : si Google Analytics est inséré directement dans le HTML sans passer par un gestionnaire de balises, la bannière ne peut pas le bloquer. La solution est de passer par Google Tag Manager en mode « Consent Mode ».

Plateforme CMP mal configurée : beaucoup de plugins de bannière cookies sont installés mais pas configurés. La bannière s'affiche mais les scripts ne sont pas conditionnés au consentement. Vérifiez les paramètres de votre CMP.

Paramètres par défaut incorrects : certains plugins cochent les catégories analytics et marketing par défaut dans les paramètres détaillés. C'est interdit. L'utilisateur doit choisir activement.

La décision APD n° 21/2022 du 2 février 2022 contre IAB Europe (confirmée dans son raisonnement par la Cour des marchés de Bruxelles le 14 mai 2025) a établi que le simple fait d'afficher une interface de consentement ne suffit pas si le consentement n'est pas réellement obtenu avant le traitement des données. Le mécanisme doit fonctionner de bout en bout.

Étape 3 : auditer votre politique de confidentialité

Une politique de confidentialité présente ne suffit pas. L'APD évalue son contenu, pas seulement son existence. Posez-vous ces questions en lisant votre propre politique :

Elle parle de votre entreprise spécifiquement

La politique mentionne-t-elle le nom complet de votre entreprise, son numéro BCE et son adresse ? Ou est-ce un modèle générique avec des placeholders non remplis ? Une politique qui décrit des activités que vous n'exercez pas (par exemple, une section sur les enfants de moins de 16 ans alors que vous n'avez aucun service pour mineurs) est un signal négatif.

Les durées de conservation sont précises

Chaque catégorie de données doit avoir une durée de conservation indiquée. En Belgique, le Code des sociétés et des associations impose 10 ans de conservation pour les données comptables. C'est une spécificité belge : si vos données clients sont liées à des transactions (factures, historique de commande), la durée de conservation de 10 ans s'applique à la dimension comptable, même si vous souhaiteriez supprimer les données marketing plus tôt.

Un exemple de formulation correcte : « Les données liées à vos commandes (nom, adresse de livraison, montant) sont conservées 10 ans à des fins comptables conformément au Code des sociétés et des associations belge. Les données de profil marketing sont supprimées 2 ans après votre dernière interaction. »

Les sous-traitants sont listés par nom

Lister « des prestataires tiers » sans les nommer ne satisfait pas le RGPD. L'APD attend des noms : « Google LLC (Google Analytics, Google Tag Manager) », « The Rocket Science Group LLC (Mailchimp) », « Stripe Inc. (traitement des paiements) ». Pour chaque tiers, mentionnez où se trouvent ses serveurs et si des données sont transférées hors de l'Union européenne.

Les droits des personnes sont expliqués concrètement

La politique doit décrire comment un utilisateur peut exercer ses droits. « Contactez-nous par email à privacy@votreentreprise.be » est suffisant si cet email est bien surveillé. Évitez les formules vagues comme « vous pouvez exercer vos droits conformément à la réglementation en vigueur ».

Pour les PME bruxelloises : la politique est bilingue

En Région de Bruxelles-Capitale, les entreprises qui s'adressent au public ont l'obligation de fournir l'information aux consommateurs en français et en néerlandais. Si votre site a un public bruxellois, votre politique de confidentialité doit exister dans les deux langues et être accessible depuis chaque page.

Étape 4 : vérifier les formulaires

Chaque formulaire de votre site est un point de collecte qui doit respecter le RGPD. Vérifiez chaque formulaire actif :

Pour les formulaires de contact

Le formulaire explique-t-il ce qui sera fait avec le message avant que l'utilisateur clique sur Envoyer ?
La politique de confidentialité est-elle liée depuis le formulaire ?
La durée de conservation des messages est-elle indiquée ou accessible ?

La case de consentement est-elle décochée par défaut ?
Le texte de la case décrit-il clairement ce que l'utilisateur va recevoir ?
L'email de confirmation de bienvenue contient-il un lien de désinscription fonctionnel ?

Pour les formulaires e-commerce (checkout)

Les cases d'opt-in marketing sont-elles séparées des conditions générales obligatoires ?
Les données collectées au checkout sont-elles limitées à ce qui est nécessaire à la commande ?
La politique de confidentialité est-elle accessible depuis la page de paiement ?

Le marketing B2B par email est autorisé en Belgique en vertu du Code de droit économique, sous conditions : il doit exister un lien commercial préalable et une option de désinscription doit être proposée dans chaque email. Le B2C par email requiert un consentement préalable explicite.

Étape 5 : contrôler les ressources externes

Plusieurs catégories de ressources externes sont problématiques au regard du RGPD :

Google Fonts

Charger des polices depuis les serveurs de Google (via fonts.googleapis.com) envoie l'adresse IP de chaque visiteur à Google à chaque chargement de page, sans consentement. La solution est d'héberger les fichiers de polices localement sur votre serveur. Des outils comme google-webfonts-helper.herokuapp.com simplifient ce téléchargement.

Google Maps intégré

Une carte Google Maps intégrée directement charge des cookies dès l'affichage de la page. Remplacez l'intégration par une image statique de la carte avec un bouton « Voir la carte interactive » qui charge la vraie carte uniquement si l'utilisateur clique dessus (et que les cookies cartographiques ont été acceptés).

Vidéos YouTube et Vimeo

Même comportement : une vidéo YouTube intégrée en iframe charge des cookies publicitaires dès le chargement. Utilisez l'URL d'intégration sans cookies (youtube-nocookie.com) ou conditionnez le chargement de l'iframe au consentement.

Étape 6 : vérifier les contrats avec vos sous-traitants

Pour chaque outil identifié à l'Étape 1, vérifiez que vous avez signé (ou accepté électroniquement) un contrat de traitement de données (data processing agreement, DPA).

Outil	Où trouver le DPA
Google Analytics	myaccount.google.com → Données et confidentialité → DPA
Mailchimp	Les conditions générales de Mailchimp incluent le DPA par défaut depuis 2020
Shopify	Paramètres → Légal → DPA
Stripe	Les conditions de service incluent le DPA pour les marchands européens
Votre hébergeur	Dans l'espace client ou sur demande au support

Conservez une copie ou un lien vers chaque DPA dans un dossier dédié. Si l'APD vous le demande, vous devez pouvoir les produire rapidement.

Ce que l'APD peut faire si elle trouve des manquements

L'APD dispose d'une palette de mesures graduées. Elle peut :

Adresser un avertissement sans amende, avec un délai de mise en conformité
Prononcer une injonction de se conformer dans un délai précis
Infliger une amende administrative jusqu'à 20 millions € ou 4 % du chiffre d'affaires mondial annuel pour les infractions graves
Imposer une astreinte comme dans l'affaire Mediahuis (25 000 € par jour)
Ordonner la suspension d'un traitement de données

Pour une PME qui fait de bonne foi et coopère, les chances d'en arriver aux amendes maximales sans avertissement préalable sont faibles. La coopération, la transparence et la démonstration d'efforts de mise en conformité sont des facteurs atténuants reconnus.

Pour compléter cet audit avec une liste de contrôle détaillée, consultez notre liste de contrôle RGPD en 35 points et notre guide sur la bannière cookies APD.

Sources

Ceci est une analyse technique, pas un avis juridique. Pour un accompagnement personnalisé, consultez un avocat spécialisé en protection des données ou un conseil en conformité RGPD.

Vérifiez votre site web maintenant

Analysez votre site web pour les problèmes de RGPD et confidentialité et plus de 30 autres vérifications.

Scanner votre site gratuitement

Guides pour votre site web

Bandeaux cookies et dark patterns en Belgique: les pratiques interdites en 2026

Les 12 dark patterns de bandeaux cookies selon la taxonomie CEPD. Decision APD Mediahuis, amende Google EUR 325M CNIL et ce que le scanner detecte apres refus.

Bannière cookies Belgique : amendes et règles de l'APD pour votre site

Ce que l'APD exige pour votre bannière cookies. Dark patterns, bouton Tout refuser, amendes APD. L'affaire Mediahuis expliquée. Vérification gratuite.

Declaration de confidentialite de votre site web en Belgique: obligations RGPD et APD 2026

Les 14 mentions obligatoires d'une declaration de confidentialite selon l'article 13 RGPD. Recommandation APD 01/2025, amende Black Tiger et checklist PME.