Où la bannière cookies doit-elle apparaître sur un site belge ?

La bannière doit se charger avant qu'un cookie non essentiel ne soit déposé. Elle doit se placer au-dessus du contenu pour ne pas être fermée par accident. Et elle doit rester visible sur chaque page tant que le visiteur n'a pas fait un choix.

Le bouton de refus doit-il être identique au bouton d'acceptation ?

Il doit être aussi facile à utiliser. L'APD attend le même nombre de clics, la même taille, le même poids de couleur et la même position. Un lien gris à côté d'un bouton vert 'Tout accepter' ne suffit pas.

Quelle langue la bannière doit-elle utiliser en Belgique ?

La bannière doit correspondre à la langue de la page d'arrivée. Une page néerlandaise nécessite une bannière néerlandaise, une page française nécessite une bannière française et une page allemande nécessite une bannière allemande. La traduction automatique ne suffit pas pour un texte juridique selon l'APD.

Combien de temps puis-je conserver les consentements cookies ?

Les journaux de consentement relèvent de l'obligation de redevabilité du RGPD. La plupart des praticiens belges les conservent tant que le consentement est actif plus une courte période de preuve. L'APD n'a pas fixé de durée précise mais vous devez pouvoir démontrer quand et comment chaque visiteur a consenti.

Quelles amendes l'APD impose-t-elle réellement pour les bannières cookies ?

La Chambre Contentieuse a infligé à Roularta Media Group une amende de 50 000 euros dans la Décision 85/2022 pour des cookies déposés avant consentement et des cases pré-cochées. IAB Europe a reçu 250 000 euros à la même période. Les petits sites reçoivent généralement d'abord un avertissement puis une amende administrative.

RGPD et confidentialité RGPD et confidentialité

Exigences bannière cookies Belgique : règles APD 2026

Steven | TrustYourWebsite · 20 mai 2026 · Dernière mise à jour : mai 2026

Vos visiteurs belges s'attendent à une bannière cookies dès leur arrivée. Si vous vous trompez, vous n'êtes pas seulement gênant. Vous enfreignez la loi. L'Autorité de protection des données (APD) applique activement les règles cookies et a sanctionné des entreprises qui cachent leur bouton de refus ou utilisent des dark patterns pour forcer le consentement. Ce guide décrit exactement ce que votre bannière cookies doit faire en Belgique. Faites un contrôle gratuit de votre site pour voir si votre bannière est déjà conforme.

Ce guide est le mode d'emploi pratique. Pour l'arrière-plan sur les cas d'application spécifiques (Mediahuis, Roularta), lisez notre analyse approfondie de l'application APD cookies. Pour le fond juridique sur les dark patterns spécifiquement, lisez notre analyse des dark patterns cookies.

Pourquoi les règles cookies belges sont plus strictes qu'il n'y paraît

La Belgique ne se contente pas des règles RGPD génériques. L'APD est connue pour son application stricte. En 2022, la Chambre Contentieuse a jugé que le Transparency and Consent Framework d'IAB Europe violait le RGPD. Cette décision a touché toute l'Europe mais a frappé la Belgique en premier et le plus fort.

L'APD a sanctionné plusieurs entreprises pour dark patterns cookies. Exemples : rendre le bouton de refus plus petit que celui d'acceptation, cacher totalement l'option de refus ou rendre plus difficile le refus que le consentement. Le régulateur s'est aussi attaqué aux cases pré-cochées et aux murs de consentement qui obligent les visiteurs à tout accepter pour entrer sur le site.

La base juridique est directe :

Loi du 13 juin 2005 relative aux communications électroniques (transposition belge de la directive ePrivacy 2002/58/CE)
Recommandation APD 01/2020 sur les cookies et autres outils de traçage (voir publications APD)
Article 4(11) RGPD sur le consentement valide (voir texte intégral RGPD)
Article 7(4) RGPD sur un consentement clair avant traitement
Checklist Cookies APD (octobre 2023) (pdf complet)

La règle de base : prééminence égale, sans dark patterns

La règle la plus importante de l'APD est simple. Votre bouton de refus doit être aussi prééminent que votre bouton d'acceptation. Ce n'est pas négociable.

Ce que "aussi prééminent" signifie :

Même taille de police
Même contraste de couleur
Même taille de bouton
Même position (par exemple sur la même ligne ou tous deux également visibles dans une pile verticale)
Même nombre de clics pour exécuter l'action

Si votre bannière affiche "Tout accepter" en vert et "Personnaliser" en gris minuscule avec trois clics supplémentaires pour refuser réellement, l'APD vous sanctionnera. Si votre site coche par défaut toutes les catégories sauf une, c'est un dark pattern.

Le bouton de refus doit exister

Vous ne pouvez pas vous reposer sur un bouton de fermeture (X) comme bouton de refus. Beaucoup de sites belges l'ont tenté. Ils ont placé une petite croix dans le coin en prétendant que les visiteurs pouvaient fermer la bannière. L'APD a tranché : pas acceptable. Les visiteurs doivent pouvoir refuser tous les cookies par une action claire et prééminente, comme ils peuvent tout accepter.

Quelle langue votre bannière doit-elle utiliser ?

La Belgique est répartie sur trois langues officielles. Un site belge doit prévoir le néerlandais, le français ou l'allemand selon le lieu de résidence des visiteurs.

Région	Langue(s) officielle(s)	Attendu pour la bannière
Flandre	Néerlandais	Bannière néerlandaise par défaut pour les visiteurs sur pages néerlandaises.
Wallonie	Français	Bannière française par défaut pour les visiteurs sur pages françaises.
Bruxelles	Néerlandais et français	Correspondre à la langue choisie par le visiteur. Proposer les deux versions.
Cantons de l'Est	Allemand	Bannière allemande pour la petite communauté germanophone de l'est si vous la ciblez.

L'APD a noté que les barrières linguistiques peuvent empêcher un consentement éclairé. Si un Wallon francophone tombe sur une bannière uniquement néerlandaise, ce visiteur n'a pas donné de consentement éclairé dans sa langue. Les widgets de traduction automatique ne remplacent pas une bannière correctement localisée.

Ce que votre bannière doit contenir

1. Divulgation claire : quels cookies vous utilisez et pourquoi

Avant de demander le consentement, dites aux visiteurs quels cookies vous déposez sur leur appareil et ce que vous ferez des données.

Informations obligatoires :

Le nom de chaque cookie ou catégorie de cookies
L'objectif (par exemple "Analytics pour mesurer le trafic" ou "Marketing pour afficher des publicités de nos produits")
La durée (combien de temps le cookie reste sur l'appareil)
Si les données vont à des tiers et où (par exemple "Google Analytics traite en US")

Vous n'avez pas à lister chaque cookie individuel s'ils servent le même objectif mais vous ne pouvez pas être vague. "Divers cookies pour analyse" ne suffit pas. Écrivez "Google Analytics, qui mesure les pages vues et le comportement utilisateur. Les données sont traitées par Google en US."

2. Distinguer cookies nécessaires et optionnels

Les cookies nécessaires (cookies de session et jetons de sécurité par exemple) ne nécessitent pas de consentement sous le RGPD. Les cookies optionnels (analytics, marketing, préférences) si.

Structurez votre bannière pour que les visiteurs puissent :

Tout accepter (consent aux nécessaires plus optionnels)
Refuser tout ce qui est optionnel (les nécessaires sont acceptés automatiquement)
Personnaliser et choisir chaque catégorie individuellement (par exemple "Analytics oui, Marketing non")

L'APD attend ce choix granulaire. Si votre bannière force une décision tout ou rien, vous créez un mur de consentement. C'est interdit.

3. Pas de cases pré-cochées

Consentement actif uniquement. Si votre bannière charge avec "Nécessaire", "Analytics" et "Marketing" déjà cochés, c'est illégal. Le visiteur n'a pas effectivement consenti. La bannière a décidé à sa place.

Vous pouvez et devez pré-cocher les cookies "Nécessaires" s'ils sont vraiment nécessaires au fonctionnement (login, sécurité, préférence de langue). Tout ce qui est optionnel doit être décoché par défaut. La Cour de Justice de l'UE l'a confirmé dans l'arrêt Planet49 (C-673/17), qui s'applique directement en Belgique.

4. Consentement facilement retirable

Le RGPD exige que le consentement soit aussi facile à retirer qu'à donner. Concrètement :

Un menu de paramètres ou centre de préférences accessible depuis chaque page (généralement dans le pied de page ou en-tête)
Un moyen pour les visiteurs de changer d'avis après avoir fermé la bannière initiale
Pas besoin de tout réaccepter pour modifier les préférences

Si votre bannière n'apparaît qu'une fois et n'est plus accessible ensuite, l'APD le signalera.

Checklist pour l'implémentation

Élément	À faire	À ne pas faire
Bouton refus	Même taille, poids de couleur et position que accepter.	Cacher derrière "Paramètres" ou utiliser un lien gris.
Cases pré-cochées	Laisser les catégories optionnelles décochées par défaut.	Pré-cocher analytics ou marketing.
Liste des cookies	Nommer chaque outil avec objectif, durée et tiers.	Utiliser des termes vagues comme "divers cookies".
Retrait	Prévoir un lien permanent "Paramètres cookies".	Forcer les visiteurs à effacer les cookies pour changer d'avis.
Transferts	Indiquer clairement les processeurs US ou hors UE.	Cacher dans une longue politique sans mention dans la bannière.

Interface de consentement : à faire et à éviter

À faire

Placer "Tout refuser" et "Tout accepter" côte à côte avec le même poids visuel.
Laisser les catégories optionnelles décochées au premier chargement.
Afficher un lien permanent "Paramètres cookies" en pied de page.
Adapter la langue de la bannière à celle de la page.

À éviter

Un "Accepter" vert à côté d'un lien gris minuscule "Refuser".
Pré-cocher les catégories analytics ou marketing.
Compter sur la croix de fermeture (X) comme choix de refus.
Bloquer le contenu tant que les cookies ne sont pas acceptés.

Transferts vers les US et autres pays tiers

Si vous utilisez Google Analytics, Google Ads ou tout autre outil qui envoie des données vers les US, vous devez le mentionner clairement. L'APD se préoccupe des transferts car le RGPD ne permet les transferts que vers des pays disposant d'une décision d'adéquation. Les US ont un statut conditionnel via le Data Privacy Framework UE-US, et dans d'autres cas le transfert nécessite des garanties spécifiques telles que les Clauses Contractuelles Types.

Dans votre bannière, soyez explicite :

"Google Analytics traite les données aux États-Unis. Google a adopté les Clauses Contractuelles Types pour protéger vos données."
Lien vers les conditions de traitement de données ou le DPA de Google
Appliquer la même transparence aux autres outils basés aux US

Étapes pour se mettre en conformité

Étape 1 : auditer votre bannière actuelle

Si vous en avez déjà une, vérifiez :

Le bouton refus est-il de même taille et couleur qu'accepter ?
Les visiteurs peuvent-ils refuser sans plusieurs clics ?
Les objectifs sont-ils clairement expliqués, pas vagues ?
Les visiteurs peuvent-ils personnaliser chaque catégorie ?
Existe-t-il un menu de préférences accessible plus tard ?
Des cases sont-elles pré-cochées ? (Ne doivent pas l'être, sauf "Nécessaire")
Les transferts vers les US par exemple sont-ils expliqués ?

Vous pouvez aussi utiliser notre scanner gratuit pour détecter automatiquement les problèmes les plus courants.

Étape 2 : choisir une plateforme de consentement cookies conforme

Tous les gestionnaires de consentement cookies ne se valent pas en Belgique. L'APD a critiqué plusieurs outils populaires pour avoir facilité les dark patterns. Cherchez des plateformes qui :

Imposent une prééminence égale entre boutons
Bloquent les catégories optionnelles pré-cochées
Fournissent un centre de préférences permanent
Offrent des modèles de divulgation clairs
Incluent les traductions néerlandais, français et allemand

Exemples à examiner : Cookiebot, OneTrust, Osano et Complianz. Lisez leur documentation RGPD spécifiquement pour la Belgique.

Étape 3 : rédiger des catégories de cookies claires

Créez des descriptions simples, non techniques :

Nécessaire : "Ces cookies vous maintiennent connecté, mémorisent votre choix de langue et protègent contre les menaces de sécurité."
Analytics : "Ils nous aident à comprendre quelles pages vous visitez et combien de temps vous restez, pour améliorer notre site."
Marketing : "Ils vous affichent des publicités de nos produits sur d'autres sites selon ce que vous avez consulté ici."
Préférences : "Ils mémorisent vos choix comme le fuseau horaire ou la devise pour ne pas avoir à les ressaisir."

Étape 4 : documenter vos flux de données

Cartographiez :

Quels outils vous utilisez (Google Analytics, Meta Pixel, plateforme d'email marketing)
Où chaque outil traite les données
Combien de temps les données sont conservées
Quelle base juridique vous invoquez (consentement, intérêt légitime, contrat)

Cela vous aide à rédiger des divulgations cookies exactes. Cela vous prépare aussi si l'APD pose des questions. Notre checklist RGPD belge et notre guide audit du site parcourent le tableau de conformité plus large.

Étape 5 : créer un centre de préférences permanent

Ajoutez un lien "Paramètres cookies" ou "Paramètres de confidentialité" dans votre pied de page. Sur cette page, le visiteur doit pouvoir :

Revoir toutes les catégories de cookies et leurs objectifs
Modifier ses choix de consentement
Retirer son consentement entièrement
Télécharger une copie de ses préférences

Erreurs courantes à éviter

"Accepter" en vert, "Refuser" en gris. Même une légère différence de couleur signale la manipulation. Rendez-les vraiment égaux.
Cacher le lien des paramètres. Si les visiteurs doivent chercher votre centre de préférences, ce n'est pas facilement accessible.
Supposer que youtube-nocookie.com suffit. L'embed no-cookie de YouTube nécessite quand même un consentement si vous collectez des statistiques sur l'interaction des visiteurs.
Traduire négligemment. Une bannière mal traduite déroute les non-francophones et non-néerlandophones, ce que l'APD voit comme un problème de consentement.
Utiliser "intérêt légitime" comme fourre-tout. L'APD est sceptique sur les cookies marketing au titre de l'intérêt légitime. Le consentement est plus sûr.

Sanctions en cas d'erreur

L'APD est habilitée à sanctionner les entreprises sous le RGPD jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial, le plus élevé des deux. Pour les amendes administratives sous la loi du 13 juin 2005, des montants distincts s'appliquent.

L'application belge est concrète. La Chambre Contentieuse a infligé à Roularta Media Group 50 000 euros dans la Décision 85/2022 pour des cookies déposés avant consentement et des cases pré-cochées de tiers sur Knack et Le Vif. L'affaire IAB Europe de février 2022 a conduit à une amende de 250 000 euros et a réorganisé la gestion du consentement dans l'AdTech à travers l'Europe. Notre analyse approfondie de l'application APD cookies détaille l'affaire.

L'APD accepte aussi des plaintes de visiteurs individuels. Une seule plainte bien documentée sur votre bannière cookies peut déclencher une enquête.

Résumé et checklist

Avant de lancer votre bannière cookies, confirmez :

Le bouton de refus est aussi prééminent qu'accepter
Aucune case pré-cochée pour les cookies optionnels
Explication claire de chaque catégorie de cookies et objectif
Choix granulaire au lieu de tout ou rien
Divulgations des transferts de données (surtout pour les outils US)
Centre de préférences accessible depuis chaque page
Bannière disponible en néerlandais, français et allemand si pertinent
Retrait facile du consentement
Pas de barrière linguistique pour comprendre le consentement

L'APD n'attend pas la perfection. Elle attend le respect du choix du visiteur et la transparence. Une bannière qui rend le refus aussi facile que l'acceptation, explique clairement ce que vous faites des données et laisse les visiteurs changer d'avis plus tard satisfait la norme. Restez direct, évitez les astuces de design et vous restez conforme.

Pour des conseils spécifiques, consultez l'Autorité de protection des données (APD) ou la Gegevensbeschermingsautoriteit (GBA) sur www.autoriteprotectiondonnees.be. Ils publient également des résumés de décisions en anglais.

Vérifiez votre site web maintenant

Analysez votre site web pour les problèmes de RGPD et confidentialité et plus de 30 autres vérifications.

Lancer le check gratuit

Guides pour votre site web

Site construit par IA en Belgique : qui paie devant l'APD ?

Votre prestataire a utilisé Cursor ou Lovable. Si le site enfreint le RGPD ou la loi cookies, l'APD vous sanctionne, pas OpenAI. Ce qui change en 2026.

Bannière cookies Belgique : règles et amendes APD

Ce que l'APD exige pour votre bannière cookies en Belgique. Dark patterns, bouton Tout refuser, décisions Roularta et Mediahuis. Vérification gratuite.

Obligations RGPD PME Belgique : checklist 2026

Obligations RGPD pour les PME belges en 2026 : checklist pratique des mentions obligatoires, des amendes de l’APD et un scan gratuit du site.

Audit RGPD site web Belgique : guide PME et APD

Comment auditer votre site web pour la conformité RGPD en Belgique. APD, loi 30 juillet 2018, TCF 2022, politique de confidentialité bilingue bruxelloise.

Liste de contrôle RGPD PME belges 2026 : 35 points

35 points de contrôle RGPD pour PME belges. APD, loi 30 juillet 2018, numéro BCE, cookies, sous-traitants. Ce que l'APD vérifie vraiment lors d'un contrôle.