Registre des traitements RGPD en Belgique : guide APD
Steven | TrustYourWebsite · 16 juin 2026 · Dernière mise à jour : juin 2026
Le registre des traitements en Belgique, ou registre des activités de traitement, est l'inventaire écrit de chaque utilisation de données personnelles dans votre entreprise. L'article 30 du RGPD (règlement 2016/679) impose au responsable de traitement de tenir ce document. L'Autorité de protection des données (APD) le réclame en premier lors d'un contrôle ou après une plainte.
Vous ne savez pas quels outils tiers votre site sollicite ? Analysez votre site gratuitement pour obtenir la liste des trackers et scripts avant de remplir votre registre.
Allez directement au modèle de registre pour une PME belge, ou lisez la suite pour les règles.
Qui doit tenir un registre ?
L'article 30.5 du RGPD prévoit une dispense pour les organisations de moins de 250 travailleurs. Elle ne s'applique que si les trois conditions suivantes sont réunies en même temps :
- Le traitement est occasionnel et non une activité régulière
- Le traitement ne présente aucun risque pour les droits et libertés des personnes
- Aucune donnée sensible n'est traitée (santé, convictions, religion, biométrie, infractions)
En pratique, la dispense est très étroite. L'APD rappelle dans son vade-mecum pour les PME que la quasi-totalité des organisations doivent tenir un registre.
| Si vous avez... | Pourquoi le registre s'impose |
|---|---|
| Un site avec mesure d'audience | Traitement régulier, pas de dispense |
| Une newsletter | Traitement régulier, pas de dispense |
| Un fichier clients | Traitement régulier, pas de dispense |
| Des réservations avec régime alimentaire | Donnée sensible, pas de dispense |
| Du personnel déclaré à l'ONSS | Traitement régulier, pas de dispense |
Ce que le registre doit contenir
Pour un responsable de traitement, chaque traitement documente :
- Le nom et les coordonnées du responsable et de son représentant éventuel
- Le nom du DPD si vous en avez désigné un
- Les finalités du traitement, par exemple envoyer des confirmations de commande ou mesurer l'audience
- Les catégories de personnes, clients, visiteurs, travailleurs ou candidats
- Les catégories de données, noms, e-mails, adresses IP, données financières ou de santé
- Les destinataires, chaque prestataire qui reçoit des données. Chaque sous-traitant exige un contrat de sous-traitance au titre de l'article 28
- Les transferts hors UE, le pays et la garantie applicable (clauses contractuelles types, décision d'adéquation)
- La durée de conservation de chaque catégorie de données
- Une description générale des mesures de sécurité (chiffrement, contrôle des accès, sauvegardes)
Le modèle de registre de l'APD
Vous n'avez pas à partir d'une feuille blanche. L'APD met à disposition un modèle de registre et un vade-mecum pensés pour les PME. La loi belge du 30 juillet 2018 complète le RGPD sans modifier l'obligation de registre.
Le modèle couvre les champs de l'article 30.1. Vous remplacez les exemples par votre situation et vous obtenez un registre exploitable en moins d'une heure.
Modèle de registre pour une PME belge
Voici un tableau à adapter. Chaque ligne correspond à un traitement.
Entreprise : [Nom de votre entreprise]
Numéro d'entreprise (BCE) : [Votre numéro BCE]
Contact : [Adresse e-mail pour les questions de données]
Dernière mise à jour : [Date]
| Traitement | Finalité | Personnes | Catégories de données | Base légale | Destinataires | Transfert hors UE | Conservation |
|---|---|---|---|---|---|---|---|
| Mesure d'audience | Comprendre la navigation | Visiteurs | Adresse IP, pages vues | Consentement | Outil d'analytics | Selon l'outil | 25 mois |
| Formulaire de contact | Répondre aux demandes | Visiteurs, prospects | Nom, e-mail, message | Intérêt légitime | Hébergeur e-mail | Aucun | 1 an |
| Newsletter | Communication marketing | Abonnés | Nom, e-mail | Consentement | Routeur d'e-mails | Selon l'outil | Durée de l'abonnement |
| Commandes | Exécuter les commandes | Clients | Nom, adresse, paiement | Contrat | Prestataire de paiement | Selon l'outil | 7 ans (comptabilité) |
| Paie | Rémunérer le personnel | Travailleurs | Nom, compte, salaire | Obligation légale | Secrétariat social | Aucun | 7 ans |
| Recrutement | Recruter | Candidats | Nom, CV, coordonnées | Mesures précontractuelles | Outil RH | Aucun | 1 an après contact |
Durées de conservation en droit belge
La durée de conservation est le champ que l'APD examine en premier. Évitez la mention « aussi longtemps que nécessaire » et indiquez une durée précise avec sa base.
| Catégorie | Durée | Base |
|---|---|---|
| Livres et pièces comptables | 7 ans | Code de droit économique, art. III.86 |
| Pièces TVA | 7 ans | Code de la TVA, art. 60 |
| Fiches de paie | 5 ans après la fin du contrat | Loi du 3 juillet 1978 |
| Données clients (gestion) | 3 ans après la fin de la relation | Recommandation APD |
| Cookies (durée de vie) | 13 mois, données 25 mois | Recommandation APD |
Erreurs courantes à éviter
| Erreur | À faire à la place |
|---|---|
| « Données conservées le temps nécessaire » | Indiquer une durée chiffrée et sa base légale |
| Confondre finalité et base légale | « Répondre aux demandes » est une finalité, la base est l'intérêt légitime ou le contrat |
| N'inscrire que sa propre société comme destinataire | Lister chaque sous-traitant qui reçoit des données |
| Oublier les adresses IP | Une IP est une donnée personnelle dès que vos journaux la consignent |
| Ne pas mettre à jour | Revoir le registre à chaque nouvel outil ou prestataire |
Ce que l'APD fait de votre registre
Le registre est un document interne. Vous n'avez pas à le publier. Mais l'APD peut l'exiger lors d'un contrôle ou après une plainte. Un registre absent ou incomplet est en soi un manquement, et un signal qui déclenche un examen plus poussé.
Un bon registre prouve que vous avez réfléchi à vos traitements et que vos obligations RGPD pour PME belges sont posées.
Étapes pratiques pour créer votre registre
- 1Partez d'un modèlePartez du modèle de l'APD ou d'un tableur.
- 2Listez vos outilsListez chaque outil et service qui touche des données.
- 3Une ligne par traitementNotez finalité, base légale, destinataires et durée.
- 4Analysez votre siteRepérez analytics, cartes, widgets de chat et scripts.
- 5Ajoutez le hors-ligneIncluez formulaires papier, notes téléphoniques et vidéosurveillance.
- 6Datez et revoyezDatez et programmez une revue tous les 6 à 12 mois.
- Partez du modèle de l'APD ou d'un tableur
- Listez chaque outil et service qui touche des données personnelles
- Remplissez les colonnes pour chaque traitement à partir du tableau ci-dessus
- Passez votre site en revue pour repérer l'analytics, les cartes, les widgets de chat et les autres scripts
- Incluez le hors-ligne, formulaires papier, registres téléphoniques, vidéosurveillance
- Datez le registre et programmez une revue tous les 6 à 12 mois
Pour les points visibles de votre site, lancez d'abord un audit RGPD de votre site web.
Questions fréquentes
Une PME belge de moins de 250 travailleurs doit-elle tenir un registre ?
Le plus souvent oui. L'article 30.5 du RGPD ne dispense que si les trois conditions sont réunies : traitement occasionnel, absence de risque et absence de données sensibles. Une entreprise avec un site, une newsletter ou du personnel reste soumise à l'obligation.
Quelle autorité contrôle le registre en Belgique ?
L'Autorité de protection des données (APD). Elle peut réclamer le registre lors d'un contrôle ou après une plainte.
Le registre doit-il être public ?
Non. C'est un document interne. Seule l'APD, sur demande, ainsi que votre DPD éventuel et votre direction y ont accès.
Cet article est une analyse technique et ne constitue pas un conseil juridique. Consultez un juriste pour votre situation spécifique.
Sources
Vérifiez votre site web maintenant
Analysez votre site web pour les problèmes de RGPD et confidentialité et plus de 30 autres vérifications.
Lancer le check gratuitGuides pour votre site web
Bannière cookies Belgique : règles et amendes APD
Ce que l'APD exige pour votre bannière cookies en Belgique. Dark patterns, bouton Tout refuser, décisions Roularta et Mediahuis. Vérification gratuite.
Exigences bannière cookies Belgique : règles APD 2026
Ce que votre bannière cookies doit contenir selon l'APD et l'art. 10/2 de la loi-cadre du 30 juillet 2018. Boutons égaux, texte trilingue, sans dark patterns.
Google Fonts RGPD : stopper la fuite d'adresses IP
Google Fonts chargé depuis les serveurs de Google envoie l'IP de vos visiteurs aux États-Unis. Un tribunal allemand a jugé cela contraire au RGPD. La solution.
Liste de contrôle RGPD PME belges 2026 : 35 points
35 points de contrôle RGPD pour PME belges. APD, loi 30 juillet 2018, numéro BCE, cookies, sous-traitants. Ce que l'APD vérifie vraiment lors d'un contrôle.
Politique de confidentialité Belgique : modèle gratuit
Politique de confidentialité Belgique : générateur gratuit et modèle. APD comme autorité, Loi du 30 juillet 2018, numéro d'entreprise BCE.