Site construit par IA en Belgique : qui paie devant l'APD ?

Votre prestataire a livré votre site en trois jours en utilisant Cursor et Claude. Six mois plus tard, l'Autorité de protection des données vous adresse un courrier sur les cookies déposés avant consentement. Votre prestataire demande à ChatGPT si l'on peut faire porter la responsabilité à l'IA. La réponse courte est non, et cet article explique qui paie réellement.

<figure className="my-8"> <svg role="img" aria-labelledby="responsabilite-ia-be-title" aria-describedby="responsabilite-ia-be-desc" viewBox="0 0 1200 675" xmlns="http://www.w3.org/2000/svg" style={{ maxWidth: '100%', height: 'auto' }}> <title id="responsabilite-ia-be-title">La responsabilité va vers l'éditeur du site, pas vers l'outil d'IA.</title> <desc id="responsabilite-ia-be-desc">Diagramme à cinq parties : éditeur du site (responsable de traitement) au centre, agence ou freelance en haut à droite, fournisseur d'outil IA en bas à droite, Autorité de protection des données à gauche, personne concernée en bas. Une flèche rouge va de l'APD à l'éditeur, étiquetée "sanctionne ici". Une relation contractuelle bidirectionnelle relie l'éditeur et l'agence. La relation agence-fournisseur d'IA est en pointillés avec l'étiquette "CGU : outputs au risque de l'agence". Aucune ligne directe entre le fournisseur d'IA et l'éditeur. Un symbole de barrière marque "absence de lien contractuel".</desc> <rect x="0" y="0" width="1200" height="675" fill="#FFFFFF"/> <rect x="450" y="280" width="300" height="115" rx="10" fill="#1B7D56"/> <text x="600" y="320" textAnchor="middle" fontFamily="Instrument Serif, serif" fontSize="22" fontWeight="600" fill="#FFFFFF">Éditeur du site</text> <text x="600" y="358" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="13" fill="#FFFFFF">Responsable de traitement (Art. 4(7) RGPD)</text> <rect x="900" y="120" width="240" height="90" rx="10" fill="#D97706"/> <text x="1020" y="158" textAnchor="middle" fontFamily="Instrument Serif, serif" fontSize="20" fontWeight="600" fill="#FFFFFF">Agence ou</text> <text x="1020" y="184" textAnchor="middle" fontFamily="Instrument Serif, serif" fontSize="20" fontWeight="600" fill="#FFFFFF">Freelance</text> <rect x="900" y="460" width="240" height="90" rx="10" fill="#525252"/> <text x="1020" y="500" textAnchor="middle" fontFamily="Instrument Serif, serif" fontSize="20" fontWeight="600" fill="#FFFFFF">Fournisseur</text> <text x="1020" y="525" textAnchor="middle" fontFamily="Instrument Serif, serif" fontSize="20" fontWeight="600" fill="#FFFFFF">d'outil IA</text> <rect x="40" y="290" width="240" height="95" rx="10" fill="#B91C1C"/> <text x="160" y="335" textAnchor="middle" fontFamily="Instrument Serif, serif" fontSize="22" fontWeight="600" fill="#FFFFFF">APD</text> <text x="160" y="365" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="12" fill="#FFFFFF">Autorité de protection</text> <rect x="490" y="555" width="220" height="65" rx="10" fill="#FFFFFF" stroke="#1A1A1A" strokeWidth="2"/> <text x="600" y="595" textAnchor="middle" fontFamily="Instrument Serif, serif" fontSize="18" fontWeight="600" fill="#1A1A1A">Personne concernée</text> <path d="M 280 338 L 445 338" stroke="#B91C1C" strokeWidth="4" fill="none"/> <polygon points="445,338 432,331 432,345" fill="#B91C1C"/> <text x="362" y="325" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="14" fontWeight="500" fill="#B91C1C">sanctionne ici</text> <path d="M 750 320 L 900 200" stroke="#525252" strokeWidth="2" fill="none"/> <polygon points="900,200 887,200 894,212" fill="#525252"/> <polygon points="750,320 757,308 763,322" fill="#525252"/> <text x="850" y="240" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="13" fontWeight="500" fill="#525252">contrat</text> <path d="M 1020 460 L 1020 215" stroke="#525252" strokeWidth="2" strokeDasharray="6,4" fill="none"/> <polygon points="1020,210 1014,222 1026,222" fill="#525252"/> <text x="1035" y="345" fontFamily="DM Sans, sans-serif" fontSize="12" fill="#525252">CGU : outputs au</text> <text x="1035" y="362" fontFamily="DM Sans, sans-serif" fontSize="12" fill="#525252">risque de l'agence</text> <line x1="830" y1="500" x2="760" y2="380" stroke="#B91C1C" strokeWidth="2" strokeDasharray="3,4"/> <line x1="760" y1="500" x2="830" y2="380" stroke="#B91C1C" strokeWidth="2" strokeDasharray="3,4"/> <text x="795" y="465" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fontWeight="500" fill="#B91C1C">pas de lien contractuel</text> <path d="M 600 555 L 600 400" stroke="#525252" strokeWidth="2" fill="none"/> <polygon points="600,395 593,407 607,407" fill="#525252"/> <text x="612" y="490" fontFamily="DM Sans, sans-serif" fontSize="12" fill="#525252">action Art. 82</text> </svg> <figcaption>Quand quelque chose dysfonctionne, l'APD et la personne concernée se tournent vers l'éditeur. La chaîne agence-fournisseur d'IA reste en arrière-plan, régie par des contrats auxquels l'éditeur n'est pas partie.</figcaption> </figure>

La réponse courte : c'est vous

L'article 4(7) du RGPD définit le responsable de traitement comme la personne physique ou morale qui détermine les finalités et les moyens du traitement des données à caractère personnel. L'éditeur du site décide des cookies déposés, des scripts d'analyse chargés, du fonctionnement du formulaire de contact et de la destination des données. L'outil d'IA qui a écrit le code n'est ni responsable de traitement ni sous-traitant pour les visiteurs du site. Il a traité le prompt du développeur, ce qui est une transaction distincte avec une contrepartie distincte.

L'Autorité de protection des données s'intéresse à qui exploite le site. C'est la personne inscrite à la BCE, désignée dans la politique de confidentialité, et qui encaisse les paiements. L'APD ne demandera pas quel outil a généré le bandeau cookies.

Pourquoi l'outil d'IA n'est pas dans la boucle

Trois faits structurels écartent le fournisseur d'IA de la chaîne.

Premièrement, les conditions générales des principaux outils d'IA pour le développement reportent la responsabilité des outputs sur l'utilisateur. Le schéma est constant chez OpenAI, Anthropic, GitHub Copilot, Cursor et Lovable en mai 2026. Les outputs sont fournis "en l'état". L'utilisateur les vérifie. L'utilisateur indemnise le fournisseur contre toute réclamation de tiers découlant des outputs. Quand votre prestataire accepte le code suggéré par Cursor, le poids juridique de cette décision retombe sur le prestataire, pas sur Cursor.

Deuxièmement, le fournisseur d'IA n'est ni responsable de traitement ni sous-traitant pour les visiteurs de votre site. L'avis 28/2024 du Comité européen de la protection des données du 17 décembre 2024 est explicite : les rôles et responsabilités doivent être définis avant le traitement, et le déployeur d'un modèle d'IA porte ses propres obligations de responsabilité même lorsque le modèle a été développé par un tiers. Ce déployeur, c'est votre site, sur votre domaine, traitant les données de vos visiteurs.

Troisièmement, la proposition de directive sur la responsabilité en matière d'IA qui devait harmoniser tout cela a été retirée. La Commission l'a inscrite au programme de retrait dans son programme de travail 2025 le 11 février 2025, et le retrait a été publié au JO C/2025/5423 le 6 octobre 2025. Le cadre clair attendu en 2026 ne viendra pas.

Et le prestataire qui a utilisé l'IA ?

La chaîne de responsabilité client-prestataire existe bien avant l'IA. La même logique qui s'applique à un prestataire ayant utilisé des images non licenciées s'applique à celui qui a utilisé un assistant d'IA pour générer du code. <!-- TODO: remplacer par /be/fr/guides/droit-auteur-webdesign-belgique quand disponible --> Vers l'extérieur, c'est l'éditeur qui est exposé. En interne, c'est le contrat éditeur-prestataire qui régit la répartition des coûts.

La couche IA ajoute un fait structurel. Le contrat entre votre prestataire et le fournisseur d'IA garantit presque toujours le fournisseur, pas le prestataire ni son client. Vous n'avez jamais signé avec OpenAI ou Anthropic. Votre prestataire si. Votre prestataire a promis au fournisseur d'IA que c'est lui, le prestataire, qui assumerait le risque d'utiliser les outputs. Cette promesse ne remonte pas jusqu'à vous, et elle ne vous ouvre aucune voie vers le service juridique du fournisseur d'IA.

En pratique, le contrat entre vous et votre prestataire est le seul document qui compte quand vous voulez faire remonter le coût. Sans clause de garantie de conformité, sans clause de déclaration d'usage d'IA et sans clause d'indemnisation, vous négociez en position faible.

Ce qui change le 9 décembre 2026, et ce qui ne change pas

<figure className="my-8"> <svg role="img" aria-labelledby="pld-tijdlijn-be-fr-title" aria-describedby="pld-tijdlijn-be-fr-desc" viewBox="0 0 1100 360" xmlns="http://www.w3.org/2000/svg" style={{ maxWidth: '100%', height: 'auto' }}> <title id="pld-tijdlijn-be-fr-title">Chronologie de responsabilité : ce qui change et ce qui ne change pas le 9 décembre 2026 en Belgique.</title> <desc id="pld-tijdlijn-be-fr-desc">Chronologie horizontale de 2024 à 2027 avec quatre dates d'ancrage. Sous la chronologie, trois bandes parallèles montrent la responsabilité continue de l'éditeur sous RGPD, RAE et loi cookies, une nouvelle voie de responsabilité sans faute contre les fournisseurs d'IA à partir du 9 décembre 2026 sous la directive responsabilité produits, plus une proposition retirée de directive sur la responsabilité en matière d'IA.</desc> <rect x="0" y="0" width="1100" height="360" fill="#FFFFFF"/> <line x1="80" y1="80" x2="1040" y2="80" stroke="#1A1A1A" strokeWidth="2"/> <text x="80" y="50" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#525252">2024</text> <text x="320" y="50" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#525252">2025</text> <text x="560" y="50" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#525252">2026</text> <text x="880" y="50" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#525252">2027</text> <circle cx="180" cy="80" r="6" fill="#525252"/> <text x="180" y="106" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fontWeight="500" fill="#525252">8 déc. 2024</text> <text x="180" y="120" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="10" fill="#525252">PLD entre en vigueur</text> <circle cx="430" cy="80" r="6" fill="#B91C1C"/> <text x="430" y="106" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fontWeight="500" fill="#B91C1C">6 oct. 2025</text> <text x="430" y="120" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="10" fill="#B91C1C">Directive IA retirée</text> <circle cx="640" cy="80" r="6" fill="#D97706"/> <text x="640" y="106" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fontWeight="500" fill="#D97706">2 août 2026</text> <text x="640" y="120" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="10" fill="#D97706">Règlement IA Art. 50</text> <circle cx="780" cy="80" r="9" fill="#1B7D56"/> <text x="780" y="106" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="12" fontWeight="600" fill="#1B7D56">9 déc. 2026</text> <text x="780" y="121" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="10" fontWeight="500" fill="#1B7D56">PLD applicable aux nouveaux produits</text> <rect x="80" y="170" width="960" height="30" fill="#1B7D56"/> <text x="90" y="190" fontFamily="DM Sans, sans-serif" fontSize="13" fontWeight="500" fill="#FFFFFF">Bande 1 : éditeur toujours responsable sous RGPD, RAE et loi cookies</text> <rect x="780" y="220" width="260" height="30" fill="#1B7D56" fillOpacity="0.7"/> <text x="790" y="240" fontFamily="DM Sans, sans-serif" fontSize="13" fontWeight="500" fill="#FFFFFF">Bande 2 : PLD contre fournisseur d'IA (nouveaux produits)</text> <rect x="80" y="270" width="350" height="30" fill="#B91C1C" fillOpacity="0.3"/> <text x="90" y="290" fontFamily="DM Sans, sans-serif" fontSize="13" fontWeight="500" fill="#1A1A1A">Bande 3 : Directive IA (retirée oct. 2025)</text> <text x="560" y="335" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#525252">Votre responsabilité ne commence pas en 2026. Une nouvelle voie contre les fournisseurs d'IA, oui, mais uniquement pour les nouveaux produits.</text> </svg> <figcaption>Votre responsabilité ne commence pas en décembre 2026. Une nouvelle responsabilité pour les fournisseurs d'IA, oui, mais uniquement pour les dommages aux personnes physiques et uniquement pour les produits mis sur le marché après cette date.</figcaption> </figure>

La directive (UE) 2024/2853, la nouvelle directive sur la responsabilité du fait des produits défectueux, traite pour la première fois les logiciels et systèmes d'IA comme des produits au sens de son article 4. La Belgique doit la transposer avant le 9 décembre 2026 (article 24). À partir de cette date, elle s'applique aux produits mis sur le marché ou mis en service après la bascule. Les produits préexistants restent régis par la directive 85/374/CEE.

Pour la question du site construit par IA, cela signifie que, fin 2026, une personne ayant subi un dommage matériel du fait d'un outil d'IA défectueux pourra agir directement contre le fournisseur de l'outil sous un régime de responsabilité sans faute. Les logiciels open source développés en dehors d'une activité commerciale sont exclus (article 2(2)), mais les assistants de codage commerciaux sont pleinement concernés. La voie est ouverte pour des dommages aux personnes physiques. Ce n'est pas un moyen pour vous, l'éditeur, de récupérer une amende APD, et la directive ne couvre pas rétroactivement les sites construits avant la bascule.

Ce qui ne change pas le 9 décembre 2026 : qui est responsable de traitement, contre qui l'APD sanctionne et qui paie une amende RGPD. La PLD ajoute une nouvelle voie contre le fournisseur d'IA pour une catégorie étroite de préjudices. Elle ne supprime pas la ligne de responsabilité qui pèse sur vous. La directive mérite son propre article. <!-- TODO: remplacer par /be/fr/guides/directive-responsabilite-produits-2026 quand le cluster #5 sera publié -->

Trois scénarios concrets

Le bandeau cookies généré par IA n'a pas de bouton "tout refuser" fonctionnel. L'APD sanctionne l'éditeur sous l'article 4(11) RGPD et l'article 129 de la loi du 13 juin 2005 sur les communications électroniques (transposition de l'article 5(3) ePrivacy). Le prestataire peut être responsable contractuellement envers vous, mais seulement si le contrat exigeait la conformité cookies. Les règles APD sur les bannières cookies en Belgique sont la question la moins chère à régler avant la mise en ligne.

<figure className="my-8"> <svg role="img" aria-labelledby="defauts-bandeau-be-title" aria-describedby="defauts-bandeau-be-desc" viewBox="0 0 800 480" xmlns="http://www.w3.org/2000/svg" style={{ maxWidth: '100%', height: 'auto' }}> <title id="defauts-bandeau-be-title">Quatre défauts fréquents des bandeaux cookies produits par des outils d'IA.</title> <desc id="defauts-bandeau-be-desc">Maquette d'un bandeau de consentement avec quatre défauts annotés : bouton refuser grisé, cases pré-cochées pour analytics et marketing, requêtes réseau vers Google Analytics et Facebook tracking qui partent avant interaction de l'utilisateur, plus un lien de pied de page manquant pour révoquer le consentement. Chaque défaut est étiqueté avec l'article RGPD ou ePrivacy qu'il viole.</desc> <rect x="0" y="0" width="800" height="480" fill="#FFFFFF"/> <rect x="40" y="100" width="540" height="280" rx="8" fill="#FFFFFF" stroke="#1A1A1A" strokeWidth="2"/> <text x="60" y="135" fontFamily="Instrument Serif, serif" fontSize="18" fontWeight="600" fill="#1A1A1A">Nous respectons votre vie privée</text> <text x="60" y="160" fontFamily="DM Sans, sans-serif" fontSize="12" fill="#525252">Ce site utilise des cookies pour améliorer votre expérience.</text> <rect x="60" y="190" width="14" height="14" fill="#1B7D56"/> <text x="84" y="202" fontFamily="DM Sans, sans-serif" fontSize="12" fill="#1A1A1A">Analytique (Google Analytics)</text> <rect x="60" y="215" width="14" height="14" fill="#1B7D56"/> <text x="84" y="227" fontFamily="DM Sans, sans-serif" fontSize="12" fill="#1A1A1A">Marketing (Facebook Pixel)</text> <rect x="60" y="270" width="100" height="32" rx="4" fill="#1B7D56"/> <text x="110" y="291" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="13" fontWeight="500" fill="#FFFFFF">Tout accepter</text> <rect x="170" y="270" width="100" height="32" rx="4" fill="#E5E5E5"/> <text x="220" y="291" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="13" fill="#A3A3A3">Tout refuser</text> <text x="60" y="340" fontFamily="DM Sans, sans-serif" fontSize="10" fill="#525252">(pas de lien paramètres persistant)</text> <line x1="160" y1="225" x2="620" y2="225" stroke="#B91C1C" strokeWidth="1" strokeDasharray="3,3"/> <text x="630" y="218" fontFamily="DM Sans, sans-serif" fontSize="11" fontWeight="500" fill="#B91C1C">Pré-cocher n'est</text> <text x="630" y="232" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#B91C1C">pas un consentement</text> <text x="630" y="246" fontFamily="DM Sans, sans-serif" fontSize="10" fill="#B91C1C">(C-673/17 Planet49)</text> <line x1="270" y1="285" x2="620" y2="285" stroke="#D97706" strokeWidth="1" strokeDasharray="3,3"/> <text x="630" y="282" fontFamily="DM Sans, sans-serif" fontSize="11" fontWeight="500" fill="#D97706">Refuser doit être</text> <text x="630" y="296" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#D97706">aussi visible qu'accepter</text> <text x="630" y="310" fontFamily="DM Sans, sans-serif" fontSize="10" fill="#D97706">(Art. 4(11) RGPD)</text> <line x1="160" y1="340" x2="620" y2="340" stroke="#D97706" strokeWidth="1" strokeDasharray="3,3"/> <text x="630" y="340" fontFamily="DM Sans, sans-serif" fontSize="11" fontWeight="500" fill="#D97706">Retirer doit être</text> <text x="630" y="354" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#D97706">aussi simple que donner</text> <text x="630" y="368" fontFamily="DM Sans, sans-serif" fontSize="10" fill="#D97706">(Art. 7(3) RGPD)</text> <rect x="40" y="410" width="540" height="40" rx="4" fill="#FEE2E2"/> <text x="60" y="430" fontFamily="DM Sans, sans-serif" fontSize="11" fontWeight="500" fill="#B91C1C">Arrière-plan : google-analytics.com part, facebook.com/tr part</text> <text x="60" y="444" fontFamily="DM Sans, sans-serif" fontSize="10" fill="#B91C1C">avant toute interaction (Art. 129 loi 13.06.2005)</text> </svg> <figcaption>Quatre défauts que l'APD recherche. Aucun n'est excusé par "c'est l'IA qui l'a fait".</figcaption> </figure>

Le formulaire de contact généré par IA envoie des données vers un service américain sans clauses contractuelles types. C'est une violation du chapitre V du RGPD, sanctionnée contre vous comme responsable de traitement. Les obligations fiscales belges imposent par ailleurs une conservation de 10 ans pour certaines catégories comptables depuis la loi du 28 janvier 2022, ce que votre registre de traitement doit refléter. Le prestataire a peut-être adopté un schéma par défaut de Cursor ou Claude qui code en dur le tiers. Le prestataire vous doit la correction et, si le contrat le prévoit, l'amende.

Les textes alternatifs générés par IA sont faux ou absents sur la plupart des images. Le règlement européen d'accessibilité traite l'entreprise qui exploite le site comme l'opérateur économique. Depuis le 28 juin 2025, la plupart des sites e-commerce B2C au-dessus des seuils PME doivent fournir des alt-textes WCAG 2.1 AA sur les images fonctionnelles. Les sanctions RAE sous l'application belge pointent vers l'éditeur, pas vers l'IA. Un alt-texte généré par IA qui hallucine est pire que pas d'alt-texte du tout, parce qu'un lecteur d'écran le lit avec confiance à un visiteur aveugle.

Comment renvoyer le risque vers votre prestataire

Le contrat est votre seul levier. Avant de signer, exigez :

• Une clause d'indemnisation qui vous nomme et qui couvre les réclamations de tiers liées à la non-conformité du site livré.
• Une garantie de conformité : le prestataire garantit que le site respecte le RGPD, la loi du 13 juin 2005 sur les communications électroniques, le règlement européen d'accessibilité et le droit de la consommation au moment de la livraison.
• Une clause de déclaration d'usage d'IA : le prestataire liste quels outils d'IA ont généré quels livrables. Pas comme bouclier juridique, mais comme entrée pour vos propres obligations de transparence au titre de l'article 50 du règlement IA à partir du 2 août 2026. <!-- TODO: remplacer par /be/fr/guides/reglement-ia-editeurs-sites quand le cluster #4 sera publié -->
• Une clause de droit de scan : vous pouvez lancer un scan de conformité avant la recette et les points critiques doivent être corrigés.
• Une fenêtre de support après livraison : le prestataire corrige les défauts de conformité découverts dans les 90 premiers jours à ses frais.

Un prestataire qui résiste à ces clauses vous envoie un signal : il n'est pas confiant dans ce qu'il livre.

Ce que vous pouvez vérifier dès aujourd'hui

Cinq points que vous pouvez contrôler sans développeur. Deux minutes par point.

1. Le bandeau cookies a un bouton "tout refuser" aussi visible que "tout accepter" et ne pré-coche rien.
2. Les scripts analytiques et marketing ne se chargent qu'après consentement.
3. La politique de confidentialité porte le nom réel de votre entreprise et son numéro BCE, pas un placeholder du type [Votre entreprise] laissé par un gabarit IA.
4. Les alt-textes sont présents sur les images produits clés et décrivent l'image plutôt que de dire "image de".
5. Un visiteur uniquement au clavier peut atteindre les pages principales et le tunnel de commande sans souris.

En cas de doute, notre scan de conformité gratuit contrôle RGPD, cookies, accessibilité et droits d'image. Il ne vous dira pas si vos outils d'IA sont légaux. Il vous dira si le site qu'ils ont aidé à construire l'est.

Questions fréquentes

Si mon prestataire a utilisé Lovable, Bolt ou v0 pour construire mon site belge, suis-je responsable des manquements RGPD ?

Oui. L'article 4(7) du RGPD définit le responsable de traitement comme la personne qui détermine les finalités et les moyens du traitement. C'est vous, que le code ait été écrit par un humain ou par une IA. L'Autorité de protection des données sanctionne le responsable de traitement, pas l'outil.

Puis-je attaquer OpenAI ou Anthropic si leur outil a produit du code non conforme ?

Quasiment jamais. Vous n'avez pas de contrat avec eux en tant qu'utilisateur final d'un outil choisi par votre prestataire. Leurs conditions d'utilisation placent la responsabilité des outputs sur l'utilisateur. À partir du 9 décembre 2026 la nouvelle directive produits ouvre une voie étroite de responsabilité sans faute, mais uniquement pour les dommages aux personnes physiques et uniquement pour les produits mis sur le marché après cette date.

Le règlement IA impose-t-il un étiquetage de mon site construit par IA en Belgique ?

Cela dépend de ce que l'IA a généré. À partir du 2 août 2026, l'article 50 du règlement IA exige l'étiquetage des images, audios, vidéos et textes générés par IA susceptibles d'induire en erreur, plus l'étiquetage des deepfakes. Le code lui-même n'est pas concerné.

Que change le 9 décembre 2026 avec la directive 2024/2853 ?

La Belgique doit transposer la nouvelle directive responsabilité produits à cette date. À partir de là, la directive traite les logiciels et systèmes d'IA comme des produits et ouvre une voie de responsabilité sans faute contre le producteur pour les dommages aux personnes physiques, mais uniquement pour les produits mis sur le marché après le 9 décembre 2026. Vos obligations de responsable de traitement RGPD ne changent pas.

Mon prestataire exclut tout usage d'IA dans son contrat. Cela me protège-t-il ?

Pas contre l'APD. Le régulateur regarde le responsable de traitement, qui est vous. Une exclusion entre vous et votre prestataire ne fait que déterminer qui rembourse qui en interne. Remplacez toute clause d'exclusion d'IA par une garantie de conformité : le prestataire garantit que le site livré respecte le RGPD, la loi du 13 juin 2005, la directive accessibilité et le droit de la consommation au moment de la livraison.

Pour aller plus loin

Pour creuser les questions abordées dans cet article :

• La chaîne client-prestataire existe avant l'IA. Comment la responsabilité du webdesigner fonctionne en cas d'images non licenciées sera traité dans un article dédié. <!-- TODO: remplacer par /be/fr/guides/droit-auteur-webdesign-belgique quand disponible -->
• La bascule du 9 décembre 2026. La nouvelle directive responsabilité produits mérite un traitement dédié. <!-- TODO: remplacer par /be/fr/guides/directive-responsabilite-produits-2026 quand publié -->
• Les obligations de transparence du règlement IA à partir du 2 août 2026. <!-- TODO: remplacer par /be/fr/guides/reglement-ia-editeurs-sites quand publié -->
• Le bandeau cookies est l'endroit où la plupart des sites construits par IA échouent en premier. Bannière cookies APD en Belgique est la question la moins chère à régler.
• Pour un contrôle RGPD général de votre site, voir Vérification RGPD pour les sites web belges.

Cet article est une analyse technique, pas un conseil juridique. L'auteur n'est pas votre avocat et n'est pas le responsable de traitement de votre site. Pour un avis qui engage, parlez à l'un des deux.