RGPD sécurité site web : article 32 pour les PME belges
Steven | TrustYourWebsite · 12 juin 2026 · Dernière mise à jour : juin 2026
Chaque site web qui collecte des données personnelles relève du RGPD. Et le RGPD ne s'intéresse pas seulement aux bannières cookies et aux politiques de confidentialité. Il vous oblige aussi à protéger ces données avec des mesures de sécurité adéquates. Lancez un scan gratuit de votre site web pour savoir où vous en êtes dès maintenant.
L'article 32 du RGPD le dit clairement : vous devez mettre en œuvre des « mesures techniques et organisationnelles appropriées » pour protéger les données personnelles. Si votre site web se fait pirater parce que vous avez négligé la sécurité de base, vous ne gérez pas seulement une fuite de données. Vous risquez aussi une amende.
La sécurité des sites web sous le RGPD en Belgique : le cadre légal
En Belgique, l'article 32 du RGPD s'applique directement, renforcé par la Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. Cette loi désigne l'Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA) comme autorité de contrôle belge.
L'APD/GBA dispose d'une Chambre Contentieuse (Geschillenkamer) qui rend les décisions d'application. Lorsqu'une entreprise belge notifie une fuite de données au titre de l'article 33 du RGPD, l'APD/GBA examine quelles mesures de sécurité étaient en place auparavant. Si ces mesures étaient insuffisantes, une violation de l'article 32 peut s'ajouter à l'enquête sur la fuite.
L'APD/GBA a publié des lignes directrices indiquant clairement qu'une sécurité technique insuffisante figure parmi les motifs les plus fréquents de mesures d'application contre les organisations belges. Les petites entreprises n'y échappent pas : l'obligation de mettre en œuvre des mesures « appropriées » s'applique quelle que soit la taille.
Ce que dit réellement l'article 32
Le texte intégral de l'article 32 parle de chiffrement, de pseudonymisation, de confidentialité et de résilience. On dirait un texte écrit pour les banques et les hôpitaux. Mais le mot clé est « appropriées ». Le RGPD n'attend pas d'une boulangerie de cinq personnes qu'elle gère la même opération de sécurité qu'une multinationale. Il attend des mesures proportionnées au risque.
Pour le site web d'une petite entreprise, « approprié » signifie maîtriser les bases. Personne ne vous infligera une amende pour l'absence d'un centre opérationnel de sécurité dédié. Mais on vous sanctionnera si vous faites tourner une installation WordPress obsolète avec un mot de passe administrateur par défaut pendant que votre formulaire de contact collecte des données clients en clair.
Le standard est proportionnel. Un site web qui traite des noms et des adresses e-mail via un formulaire de contact a besoin d'une sécurité différente de celle d'un site qui stocke des dossiers médicaux. Mais les deux ont besoin de quelque chose.
Votre site web traite des données personnelles (oui, même ce formulaire de contact)
Vous pensez peut-être que votre site web est trop simple pour se soucier de la sécurité exigée par le RGPD. Regardez de plus près ce qu'il fait réellement.
Les formulaires de contact collectent des noms, des adresses e-mail, des numéros de téléphone et tout ce que les visiteurs saisissent dans le champ de message. Ce sont des données personnelles.
Les inscriptions à la newsletter stockent des adresses e-mail et parfois des noms. Vous traitez des données personnelles.
Les systèmes de réservation peuvent collecter des noms, des numéros de téléphone, des dates de naissance, voire des informations de santé pour les cabinets médicaux ou les dentistes.
Les outils d'analytics peuvent suivre les adresses IP et le comportement de navigation. Les journaux du serveur font de même.
Si votre site web comporte l'un de ces éléments, les exigences de sécurité du RGPD s'appliquent à vous. Il n'existe aucun seuil de taille minimale. Même un site d'une seule page avec un formulaire de contact relève de cette obligation.
Les mesures de sécurité minimales pour la conformité RGPD
Les « mesures techniques appropriées » pour le site web d'une petite entreprise se résument à six contrôles concrets.
| Contrôle | Ce qu'il fait | Où vérifier | Qui en est responsable |
|---|---|---|---|
| HTTPS partout | Chiffre les données en transit entre le navigateur et le serveur | Cadenas du navigateur sur chaque page | L'hébergeur configure le TLS, vous vérifiez le renouvellement |
| Mises à jour logicielles | Corrige les vulnérabilités connues avant que les attaquants ne les exploitent | Panneau d'administration du CMS, liste des plugins | Vous (ou votre développeur) |
| Contrôles d'accès | Bloque les intrusions par identifiants | Liste des comptes utilisateurs dans votre CMS | Vous |
| Sauvegardes | Permet de restaurer après un incident sans perte de données | Panneau de contrôle de l'hébergement, stockage externe | L'hébergeur + vous |
| En-têtes de sécurité | Protège contre le clickjacking et le cross-site scripting | Mozilla Observatory | Votre développeur ou la configuration de l'hébergement |
| Authentification e-mail | Empêche les attaquants d'usurper votre domaine dans des e-mails de phishing | Enregistrements DNS TXT de votre domaine | Vous ou votre fournisseur DNS |
HTTPS partout
Chaque page doit se charger en HTTPS avec un certificat SSL valide. Sans exception. Cela chiffre les données en transit entre le navigateur de votre visiteur et votre serveur. Si votre site affiche encore « Non sécurisé » dans la barre du navigateur, corrigez cela en premier.
Mises à jour logicielles
Votre CMS, vos plugins, vos thèmes et les logiciels de votre serveur doivent être à jour. Les logiciels obsolètes sont la première cause de compromission des sites web de petites entreprises. Les sites WordPress avec d'anciens plugins sont particulièrement vulnérables.
Contrôles d'accès
Les comptes administrateurs ont besoin de mots de passe forts et d'une authentification à deux facteurs lorsque c'est possible. Les noms d'utilisateur par défaut comme « admin » doivent être changés. Limitez les accès au back-office de votre site web et à votre panneau d'hébergement.
Sauvegardes
Des sauvegardes régulières stockées séparément de votre serveur web. Si votre site est compromis, vous devez pouvoir le restaurer. Une fuite de données est déjà assez grave sans perdre en plus toutes vos données de façon permanente.
En-têtes de sécurité
Les en-têtes de sécurité HTTP protègent vos visiteurs contre des attaques courantes comme le clickjacking et le cross-site scripting. La plupart des configurations d'hébergement sont livrées avec des valeurs par défaut faibles. Vous pouvez vérifier gratuitement les en-têtes de votre site sur Mozilla Observatory.
Authentification e-mail
Si votre domaine envoie des e-mails (et c'est probablement le cas via les notifications de formulaire de contact), configurez les enregistrements SPF, DKIM et DMARC. Ils empêchent les attaquants d'usurper votre domaine pour envoyer des e-mails de phishing à vos clients.
Quand la sécurité échoue : la notification des fuites de données
L'article 33 du RGPD vous oblige à notifier les fuites de données à l'autorité de protection des données dans les 72 heures. En Belgique, cela signifie une notification à l'APD/GBA. Si la fuite présente un risque élevé pour les droits des personnes, vous devez aussi informer les personnes concernées en vertu de l'article 34.
C'est là qu'une mauvaise sécurité de site web devient un vrai problème. Quand votre site se fait pirater à cause d'un plugin obsolète ou d'un mot de passe faible, voici ce qui suit :
- Vous découvrez la fuite (parfois des semaines ou des mois plus tard).
- Vous déterminez quelles données ont été consultées.
- Vous la notifiez à l'APD/GBA dans les 72 heures suivant la découverte.
- L'autorité enquête. Elle demande quelles mesures de sécurité étaient en place.
- Si ces mesures étaient insuffisantes, vous risquez une amende en plus de la fuite elle-même.
L'obligation de notification est ce qui relie une mauvaise sécurité à des amendes réelles. Il ne s'agit pas seulement de prévenir les attaques. Il s'agit de ce qui se passe pendant l'enquête qui suit. Votre site a déjà été compromis ? Notre guide site piraté : que faire explique les étapes à suivre.
L'application des règles : ce que l'APD/GBA examine
Les autorités de protection des données ont infligé des amendes spécifiquement pour une sécurité de site web insuffisante. La Chambre Contentieuse (Geschillenkamer) de l'APD/GBA peut imposer des amendes administratives allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial en vertu de l'article 83(4)-(5) du RGPD. Pour les petites entreprises, l'application commence généralement par une enquête à la suite d'une notification de fuite plutôt que par un audit proactif.
L'Autorité de protection des données publie ses décisions sur son site web. Le schéma observé dans l'application belge et européenne est constant : les autorités ne sanctionnent pas les entreprises parce qu'elles ont été piratées. Elles les sanctionnent parce qu'elles n'avaient pas mis en place une protection raisonnable avant le piratage.
Lisez-en plus sur les amendes RGPD pour les PME pour comprendre le risque réel.
L'écart entre ce que vous croyez et ce qui existe réellement
La plupart des chefs d'entreprise supposent que leur web designer ou leur hébergeur s'est occupé de la sécurité. Parfois c'est le cas. Souvent non.
Votre hébergeur vous fournit un serveur. Il inclut peut-être un pare-feu et une protection DDoS de base. Mais il ne met pas à jour vos plugins WordPress. Il ne configure pas les en-têtes de sécurité. Il ne configure pas vos enregistrements d'authentification e-mail.
Votre web designer a construit le site. Il a peut-être installé un certificat SSL et créé un compte administrateur. Mais a-t-il activé les mises à jour automatiques ? A-t-il supprimé le nom d'utilisateur administrateur par défaut ? A-t-il configuré les en-têtes de sécurité ? Dans la plupart des cas, non.
C'est dans cet écart que se loge le risque. Le RGPD, avec la Loi belge du 30 juillet 2018, place la responsabilité sur vous en tant que responsable du traitement. Vous ne pouvez pas pointer votre hébergeur du doigt et dire « je pensais qu'il s'en occupait ».
Ce qu'il faut faire dès maintenant
N'essayez pas de tout corriger d'un coup. Commencez par les plus grands risques.
Aujourd'hui : Vérifiez si votre site fonctionne en HTTPS. S'il affiche « Non sécurisé » quelque part, corrigez cela en premier.
Cette semaine : Connectez-vous à votre CMS et mettez tout à jour. Le logiciel principal, les plugins, les thèmes. Activez les mises à jour automatiques si votre plateforme le permet.
Ce mois-ci : Remplacez tous les mots de passe par des mots de passe forts et uniques. Activez l'authentification à deux facteurs. Vérifiez vos enregistrements d'authentification e-mail. Passez en revue qui dispose d'un accès administrateur et supprimez les comptes inutiles.
Lancez un scan : Notre scan gratuit de site web vérifie votre site à la recherche de problèmes de sécurité, de lacunes de conformité RGPD et d'autres anomalies. Vous obtenez un score de risque et une liste des points à corriger.
Pour la vue complète de la conformité au-delà de la sécurité, consultez nos obligations RGPD pour les PME belges.
Questions fréquentes
Le RGPD s'applique-t-il à mon site web si je ne vends rien en ligne ?
Oui. Le RGPD s'applique dès que vous traitez des données personnelles de personnes dans l'UE. Un formulaire de contact qui collecte des noms et des adresses e-mail traite des données personnelles. Une inscription à la newsletter traite des données personnelles. Même les journaux du serveur qui enregistrent des adresses IP comptent. Que vous vendiez en ligne ou non n'a aucune importance.
Mon hébergeur peut-il être tenu responsable d'une fuite de données ?
Votre hébergeur est un sous-traitant au sens du RGPD. Il a ses propres obligations. Mais vous êtes le responsable du traitement et vous portez la responsabilité principale. Si une fuite survient parce que vous n'avez pas mis à jour vos plugins WordPress, l'hébergeur n'est pas en cause. Vous avez besoin d'un contrat de sous-traitance avec votre hébergeur, mais cela ne transfère pas vos propres obligations de sécurité.
Qu'est-ce qui compte comme une fuite de données à notifier ?
Une violation de données au sens du RGPD comprend toute destruction, perte, altération ou divulgation non autorisée de données personnelles, accidentelle ou illicite. Un formulaire de contact piraté où des messages de clients ont été exposés compte. Une fuite de base de données compte. Même l'envoi accidentel d'une liste de clients à la mauvaise personne compte. Vous devez évaluer si la fuite présente un risque. Si c'est le cas, notifiez-la à l'APD/GBA dans les 72 heures.
Un certificat SSL suffit-il pour être conforme au RGPD ?
Non. Un certificat SSL chiffre les données en transit, ce qui n'est qu'une exigence parmi d'autres. L'article 32 du RGPD couvre bien plus : les contrôles d'accès, les mises à jour logicielles, les sauvegardes, la capacité à restaurer les données après un incident. HTTPS est le strict minimum, pas la ligne d'arrivée.
Comment prouver que j'ai des mesures de sécurité « appropriées » ?
Documentez ce que vous avez fait. Conservez des traces de la date de vos dernières mises à jour, des mesures de sécurité en place, des personnes ayant accès à quoi et des procédures de sauvegarde que vous suivez. Si l'APD/GBA enquête un jour, elle veut voir que vous avez réfléchi à la sécurité et pris des mesures raisonnables. Elle ne cherche pas la perfection. Elle cherche la preuve que vous avez pris le sujet au sérieux.
Vérifiez votre site en 60 secondes
Notre scanner contrôle automatiquement le HTTPS, les en-têtes de sécurité, les logiciels obsolètes et les lacunes de conformité RGPD de votre site.
Vérifiez gratuitement la sécurité de votre site web →
Sources
- Règlement (UE) 2016/679 (RGPD), article 32 (eur-lex.europa.eu)
- Règlement (UE) 2016/679 (RGPD), article 33 (eur-lex.europa.eu)
- Règlement (UE) 2016/679 (RGPD), texte intégral en français (eur-lex.europa.eu)
- Loi du 30 juillet 2018 relative à la protection des personnes physiques (ejustice.just.fgov.be)
- Autorité de protection des données (APD) (autoriteprotectiondonnees.be)
- Gegevensbeschermingsautoriteit (GBA) (gegevensbeschermingsautoriteit.be)
- APD, décisions publiées (autoriteprotectiondonnees.be)
Ceci est une analyse technique, pas un avis juridique. Consultez un avocat pour un conseil juridique spécifique.
Vérifiez votre site web maintenant
Analysez votre site web pour les problèmes de Sécurité et plus de 30 autres vérifications.
Lancer le check gratuitGuides pour votre site web
Site non sécurisé : comment le réparer en Belgique
Votre site belge affiche « Non sécurisé » ? Activez un certificat SSL gratuit, respectez l'article 32 du RGPD et utilisez les outils gratuits du CCB.
Plugins WordPress vulnérables : les alertes du CCB belge
Le CCB belge publie des alertes sur les plugins WordPress vulnérables. Comment suivre les avis du CERT.be, corriger vite et respecter l'article 32 du RGPD.
Site web piraté : que faire maintenant en Belgique ?
Votre site web belge a été piraté ? Étapes de récupération : limiter les dégâts, notifier l'APD sous 72 heures, signaler au CERT.be et revenir en ligne.