Liste de contrôle RGPD pour PME belges (2026) : 35 points essentiels

En 2024, l'APD (Autorité de Protection des Données) a imposé à Mediahuis une astreinte de 25 000 € par jour pour une bannière cookies non conforme. En 2022, elle a rendu une décision historique contre IAB Europe, concluant que le TCF (Transparency and Consent Framework) utilisé par des milliers de sites publicitaires ne reposait pas sur une base légale valable. Ce ne sont pas des cas isolés réservés aux grands groupes.

L'APD le dit clairement dans son plan stratégique : les PME belges sont une priorité de contrôle. Votre site web traite probablement plus de données personnelles que vous ne le pensez. Voici 35 points à vérifier, organisés par domaine.

---

Vérifiez votre site en 60 secondes

Notre scanner teste automatiquement plusieurs éléments de cette liste : bannière cookies, scripts de tracking, numéro BCE, politique de confidentialité.

Scanner mon site gratuitement →

---

Domaine 1 : Identification légale sur le site (5 points)

☐ 1. Numéro BCE affiché

Le Code de droit économique (CDE, Livre III) oblige toutes les entreprises belges à afficher leur numéro BCE (numéro à 10 chiffres, format 0123.456.789) sur leur site web. Il doit figurer dans le pied de page et dans les mentions légales. L'absence de ce numéro peut valoir une amende du SPF Économie allant jusqu'à 80 000 €.

☐ 2. Numéro de TVA affiché (pour les assujettis)

Les entreprises assujetties à la TVA doivent afficher leur numéro de TVA au format BE suivi du numéro BCE (exemple : BE 0123.456.789). Ce numéro doit figurer sur le site, dans les factures et dans les CGV si vous vendez en ligne.

☐ 3. Nom complet de l'entreprise et adresse physique

L'adresse géographique complète (pas une boîte postale) doit figurer sur le site. Pour les SPRL/SRL, mentionnez aussi la forme juridique.

☐ 4. Adresse email et moyen de contact

Un email de contact valide et surveillé doit être accessible. Pour les entreprises soumises au RGPD, ce canal sert aussi à traiter les demandes d'exercice de droits.

☐ 5. Informations bilingues pour les entreprises bruxelloises

Si votre entreprise est établie en Région de Bruxelles-Capitale et s'adresse au public, les informations légales essentielles (mentions légales, CGV, informations sur les services) doivent être disponibles en français et en néerlandais. C'est une obligation régionale distincte du RGPD.

---

Domaine 2 : Bannière cookies et consentement (7 points)

☐ 6. Bannière cookies présente et visible

Si votre site place des cookies non essentiels (analytics, marketing, tracking de tiers), une bannière de consentement est obligatoire en vertu de la loi du 13 juin 2005 sur les communications électroniques et du RGPD.

☐ 7. Bouton « Tout refuser » aussi visible que « Tout accepter »

L'APD a sanctionné Mediahuis (Décision 113/2024) pour avoir affiché un bouton d'acceptation coloré et proéminent avec un bouton de refus nettement moins visible. Les deux options doivent être présentées de façon équivalente.

☐ 8. Pas de scripts de tracking chargés avant le consentement

Testez en cliquant sur « Refuser » dans votre propre bannière. Ouvrez ensuite l'onglet Réseau dans les outils de développement du navigateur (F12). Si vous voyez des requêtes vers google-analytics.com, facebook.com ou d'autres trackers, votre bannière ne bloque pas correctement.

☐ 9. Pas de cases pré-cochées dans les paramètres de cookies

Les catégories de cookies non essentiels (analytics, marketing) ne peuvent pas être activées par défaut dans un panneau de paramètres détaillé. L'utilisateur doit faire un choix actif.

☐ 10. Consentement enregistré et respecté lors des visites suivantes

Le consentement doit être mémorisé pour une durée minimale de 6 mois. La bannière ne doit pas réapparaître à chaque visite si l'utilisateur a déjà fait un choix.

☐ 11. Lien de modification des préférences accessible depuis toutes les pages

Un lien « Gérer mes cookies » ou « Paramètres de confidentialité » dans le pied de page permet aux utilisateurs de modifier leur consentement à tout moment.

☐ 12. Pas de cookie wall bloquant l'accès au contenu

Un cookie wall (qui refuse l'accès au site sans consentement aux cookies publicitaires) n'est pas autorisé dans la plupart des cas. L'APD a confirmé cette position dans ses lignes directrices.

---

Domaine 3 : Politique de confidentialité (7 points)

☐ 13. Politique de confidentialité présente et accessible

La politique doit être accessible depuis chaque page via un lien dans le pied de page. C'est une obligation découlant de l'article 13 du RGPD et de la loi du 30 juillet 2018 relative à la protection des données en Belgique.

☐ 14. Identité du responsable de traitement clairement mentionnée

La politique doit nommer le responsable de traitement (votre entreprise) avec son adresse complète et son numéro BCE. Si votre entreprise dispose d'un délégué à la protection des données (DPO), ses coordonnées de contact doivent figurer dans la politique.

☐ 15. Finalités du traitement décrites pour chaque catégorie de données

Chaque finalité (répondre aux demandes de contact, envoyer la newsletter, analyser le trafic) doit être décrite, avec la base légale applicable : consentement, intérêt légitime, contrat ou obligation légale.

☐ 16. Durées de conservation précisées

La politique doit indiquer combien de temps chaque catégorie de données est conservée. En Belgique, le Code des sociétés et des associations impose 10 ans de conservation pour les documents comptables, ce qui est plus long que le délai de 7 ans souvent cité pour d'autres pays. Cette spécificité belge doit se refléter dans la politique pour les données à caractère comptable (factures, données clients liées aux transactions).

☐ 17. Destinataires tiers listés

Chaque outil ou prestataire qui traite des données pour votre compte doit être mentionné. Google Analytics, Mailchimp, Stripe, Shopify, votre hébergeur : tous sont des sous-traitants au sens du RGPD. Listez-les dans la politique.

☐ 18. Droits des personnes concernées expliqués

La politique doit décrire les droits des utilisateurs : accès, rectification, suppression, portabilité, opposition et limitation. Elle doit indiquer comment les exercer concrètement (adresse email, formulaire) et dans quel délai vous répondrez (30 jours maximum sous RGPD).

☐ 19. Transferts hors UE mentionnés

Si vous utilisez des services américains (Google, Meta, Amazon, Stripe), des données sont transférées vers les États-Unis. Depuis l'accord UE-États-Unis de 2023 (Data Privacy Framework), ces transferts sont légaux pour les entreprises certifiées. Mentionnez néanmoins ces transferts dans la politique et vérifiez que vos prestataires sont bien certifiés DPF.

---

Domaine 4 : Formulaires et collecte de données (6 points)

☐ 20. Case de consentement non pré-cochée pour les newsletters

La case d'inscription à une newsletter ou à des communications marketing ne peut pas être cochée par défaut. L'utilisateur doit choisir activement. C'est une exigence du RGPD et de la loi du 13 juin 2005.

☐ 21. Information sur la finalité au point de collecte

Chaque formulaire doit indiquer, au moment de la saisie, ce qui sera fait avec les données. Un lien vers la politique de confidentialité complète est insuffisant si l'utilisation principale n'est pas mentionnée sur le formulaire lui-même.

☐ 22. Lien de désinscription fonctionnel dans chaque email marketing

Chaque email commercial doit contenir un lien de désinscription qui fonctionne en un clic. Ce lien doit conduire à une désinscription effective dans un délai de 10 jours ouvrables au maximum.

☐ 23. Preuve du consentement conservée

Vous devez pouvoir démontrer, si l'APD le demande, que tel utilisateur a donné son consentement à telle date et pour telle finalité. La plupart des outils d'email marketing (Mailchimp, Brevo) journalisent cela automatiquement. Vérifiez que vous avez accès à ces logs.

☐ 24. Formulaire de contact avec politique de rétention claire

Si quelqu'un vous envoie un message via le formulaire de contact, combien de temps conservez-vous cette donnée ? Dans votre politique, dites-le. « Jusqu'à la résolution de la demande, puis 1 an » est une réponse raisonnable et vérifiable.

☐ 25. Pas de champ de formulaire superflus

Le principe de minimisation des données (RGPD art. 5) interdit de collecter plus de données que nécessaire. Un formulaire de contact n'a pas besoin de la date de naissance ou du numéro de téléphone si ce n'est pas indispensable au service.

---

Domaine 5 : Sous-traitants et contrats (4 points)

☐ 26. Contrats de traitement de données signés avec les outils tiers

Pour chaque outil qui traite des données de vos clients en votre nom, vous devez avoir un contrat de traitement de données (data processing agreement, DPA). Google, Mailchimp, Stripe, Shopify, votre hébergeur : tous proposent ces clauses dans leur espace client ou leurs conditions générales.

☐ 27. Inventaire des sous-traitants à jour

Tenez un registre simple : outil, finalité, données traitées, localisation des serveurs. Ce document n'est pas obligatoire pour toutes les PME, mais il simplifie considérablement la réponse à un contrôle APD.

☐ 28. Google Fonts hébergé localement ou remplacé

Le chargement de Google Fonts depuis les serveurs de Google envoie l'adresse IP de chaque visiteur à Google sans consentement préalable. L'APD suit les lignes directrices du CEPD sur ce point. La solution la plus simple est d'héberger les fichiers de polices localement.

☐ 29. Google Maps et YouTube chargés uniquement après consentement

Ces intégrations chargent des cookies tiers dès que la page s'affiche. Remplacez l'intégration directe par une image de prévisualisation qui charge la vraie intégration seulement après que l'utilisateur a cliqué et accepté les cookies concernés.

---

Domaine 6 : Sécurité et obligations techniques (6 points)

☐ 30. Site en HTTPS avec certificat valide

Une connexion non sécurisée est un risque de sécurité des données personnelles. Votre certificat SSL/TLS doit être valide et à jour. Google et la plupart des hébergeurs fournissent des certificats Let's Encrypt gratuitement.

☐ 31. Plugins et CMS à jour

Un plugin WordPress ou WooCommerce non mis à jour est une surface d'attaque fréquente. Des données personnelles de clients compromises par une faille connue constituent un manquement RGPD. Activez les mises à jour automatiques pour les composants non critiques.

☐ 32. Procédure de notification de violation de données

Si votre site est piraté et que des données personnelles sont compromises, vous avez 72 heures pour notifier l'APD. Savez-vous qui est responsable de cette notification dans votre organisation ? Avez-vous le contact de l'APD sous la main ?

☐ 33. Registre des activités de traitement (pour les traitements à risque)

Les PME dont le traitement de données n'est pas « occasionnel » sont tenues de tenir un registre des activités de traitement (RAT). Pour la plupart des sites commerciaux actifs, ce registre est obligatoire. Un fichier Excel suffit pour commencer.

☐ 34. Mots de passe d'administration suffisamment forts

L'administration de votre site et de votre CMS protège l'accès à toutes les données personnelles qu'il contient. Un mot de passe administrateur faible est un risque de sécurité direct.

☐ 35. Sauvegardes régulières des données

Des sauvegardes régulières protègent les données de vos clients en cas d'incident. Vérifiez que les sauvegardes sont effectuées automatiquement et que vous pouvez restaurer un état récent si nécessaire.

---

Ce que l'APD a sanctionné ces dernières années

APD vs IAB Europe (Décision n° 21/2022) : L'APD a conclu dans sa décision du 2 février 2022 que le TCF (Transparency and Consent Framework), le système de gestion du consentement utilisé par des milliers de sites publicitaires, ne reposait pas sur une base légale valable et que IAB Europe était co-responsable de traitement, avec une amende de 250 000 €. Le 14 mai 2025, la Cour des marchés de Bruxelles a annulé la décision n° 21/2022 pour des raisons procédurales, mais a confirmé l'amende de 250 000 € et le raisonnement central de l'APD : les TC-strings sont des données à caractère personnel et IAB Europe est co-responsable de traitement.

APD vs Mediahuis (Décision 113/2024) : Astreinte de 25 000 € par jour pour une bannière cookies avec dark patterns : bouton d'acceptation proéminent, bouton de refus peu visible. La décision est publique sur le site de l'APD.

Balayage cookies APD 2023-2024 : L'APD a mené des contrôles systématiques de bannières cookies sur des sites belges, ciblant aussi bien les grandes entreprises que les PME des secteurs du retail et des services.

Pour un audit complet de votre site web, consultez notre guide d'audit RGPD pas-à-pas.

---

Sources

• APD (Autorité de Protection des Données)
• RGPD (Règlement 2016/679) sur EUR-Lex
• Loi du 30 juillet 2018 relative à la protection des données (ejustice.just.fgov.be)
• Loi du 13 juin 2005 sur les communications électroniques (ejustice.just.fgov.be)

---

Ceci est une analyse technique, pas un avis juridique. Pour un accompagnement adapté à votre situation, consultez un avocat ou un conseiller en conformité RGPD.