Site non sécurisé : comment le réparer en Belgique
Steven | TrustYourWebsite · 12 juin 2026 · Dernière mise à jour : juin 2026
Entre deux clients et la comptabilité, vous avez ouvert votre propre site web sur votre téléphone et Chrome vous a accueilli avec « Non sécurisé » dans la barre d'adresse. Pour un commerce, un cabinet ou un restaurant belge qui vit de la confiance locale, cette étiquette fait mal. Bonne nouvelle d'abord : ce n'est ni un virus ni une intrusion. Si vous soupçonnez un vrai piratage, suivez plutôt notre plan d'action site web piraté. L'étiquette signale simplement aux visiteurs que le trafic entre leur navigateur et votre serveur circule sans chiffrement, parce qu'un certificat SSL manque ou est mal configuré.
Deux éléments rendent ce guide belge plutôt que générique. Premièrement, un formulaire de contact non chiffré touche à vos obligations sous l'article 32 du RGPD, dont l'APD assure la surveillance en Belgique. Deuxièmement, le gouvernement fédéral propose des outils gratuits pour exactement ce type d'hygiène de base, via Safeonweb@work et le Centre pour la Cybersécurité Belgique. Nous couvrons les deux, juste après la réparation pratique.
L'avertissement, décodé
Un navigateur peut charger vos pages via deux protocoles. HTTP envoie tout en texte lisible sur le réseau. HTTPS enveloppe le même trafic dans un chiffrement, de sorte que personne entre votre client et votre serveur ne peut le lire ou le modifier. Depuis 2018, les grands navigateurs signalent activement la variante non chiffrée : Chrome affiche « Non sécurisé » à côté de l'adresse, Firefox barre son cadenas et Safari désactive discrètement certaines fonctions sur les pages HTTP.
Trois conséquences en découlent pour une petite entreprise. Google intègre le HTTPS dans son classement, donc l'avertissement vous coûte de la visibilité. Les visiteurs hésitent, et un formulaire de contact sur une page étiquetée non sécurisée récolte moins de messages et moins de commandes. Et juridiquement, dès que ce formulaire demande un nom ou une adresse e-mail, vous traitez des données personnelles sur une connexion que n'importe qui sur le chemin réseau pourrait intercepter.
Ce que le droit belge attend d'un site non chiffré
L'article 32 du RGPD oblige toute entreprise qui traite des données personnelles à prendre des « mesures techniques et organisationnelles appropriées ». En Belgique, cette obligation est ancrée par la loi du 30 juillet 2018 et surveillée par l'Autorité de protection des données (APD/GBA).
« Approprié » est un standard proportionnel. Personne n'attend d'une boulangerie de cinq personnes qu'elle gère un centre opérationnel de sécurité. Mais le chiffrement est nommé explicitement dans l'article 32, les certificats ne coûtent rien et l'activation prend quelques minutes. Une page en HTTP simple qui collecte des coordonnées de clients via un formulaire de contact ou de réservation est donc difficile à défendre comme appropriée si l'APD examine un jour votre sécurité, par exemple après une notification de fuite de données. Notre guide RGPD et sécurité du site web traite l'article 32 en profondeur. La version courte pour cet article : corriger l'avertissement du navigateur et atteindre le seuil légal sont une seule et même tâche.
Trouvez la cause avant de réparer
L'avertissement a quatre déclencheurs courants, et le remède varie selon le déclencheur.
Le certificat n'a jamais été installé. Typique des sites construits avant que le HTTPS ne devienne la norme. Personne n'a jamais activé l'option chez l'hébergeur.
Le certificat a expiré. Les certificats Let's Encrypt sont valables 90 jours, les payants généralement un an. Un renouvellement raté ou oublié fait revenir l'avertissement du jour au lendemain.
Du contenu mixte. La page elle-même circule en HTTPS, mais une image, un script ou une feuille de style à l'intérieur pointe encore vers une adresse http://. Une seule ressource non sécurisée fait basculer toute la page en non sécurisé.
Une redirection manquante. Le SSL fonctionne, mais l'ancienne adresse HTTP répond toujours sans renvoyer vers HTTPS, donc quiconque tape votre domaine sans préfixe atterrit sur la version non chiffrée.
Un scan gratuit vous dit en 30 secondes lequel des quatre concerne votre site.
La réparation, étape par étape
1. Vérifiez ce que vous avez déjà
Ouvrez le site dans Chrome et cliquez sur l'icône à gauche de l'adresse. « La connexion est sécurisée » signifie qu'un certificat existe et que votre problème est une redirection ou du contenu mixte, passez donc directement aux étapes 3 et 4. « Non sécurisé » signifie que vous commencez à l'étape 2.
2. Activez un certificat gratuit chez votre hébergeur
Les entreprises belges hébergent typiquement soit chez un fournisseur belge comme Combell ou Register.be, soit chez un hébergeur mutualisé international, soit sur un constructeur de sites. Le chemin diffère, la destination est la même.
Hébergement mutualisé belge et international. Connectez-vous au panneau de contrôle et cherchez une section nommée SSL, SSL/TLS ou Sécurité. Les hébergeurs basés sur cPanel l'exposent sous « SSL/TLS Status » : sélectionnez votre domaine et lancez AutoSSL, qui installe et configure un certificat gratuit tout seul. Les panneaux avec intégration Let's Encrypt ont généralement un simple interrupteur. Comptez cinq à dix minutes pour l'activation. Si vous ne trouvez pas l'option, demandez au support de votre hébergeur quel certificat votre formule inclut avant d'en acheter un. Un certificat Let's Encrypt gratuit est techniquement équivalent à un payant pour le site d'une petite entreprise.
Constructeurs de sites (Wix, Squarespace, Shopify). La plateforme gère elle-même les certificats. Un avertissement ici signifie presque toujours qu'un domaine personnalisé a été connecté de façon incomplète. Ouvrez les paramètres du domaine et vérifiez que l'option SSL est activée.
WordPress infogéré (Kinsta, WP Engine, Cloudways) et plateformes comme Vercel ou Netlify. Les certificats sont provisionnés automatiquement par domaine. Un avertissement persistant remonte généralement à des enregistrements DNS qui pointent vers la mauvaise cible.
3. Redirigez tout le trafic vers HTTPS
Un certificat seul ne suffit pas. L'adresse http:// doit renvoyer les visiteurs vers la version chiffrée, sinon les anciens liens et les domaines tapés à la main continuent d'atterrir sur la variante non sécurisée.
Sur WordPress, le plugin Really Simple SSL met en place la redirection et répare la majorité du contenu mixte en une fois. Sur un hébergement Apache, vous pouvez ajouter la règle vous-même dans .htaccess :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Les utilisateurs de cPanel trouveront un interrupteur « Force HTTPS Redirect » sous Domains. Les constructeurs de sites gèrent la redirection eux-mêmes dès que le certificat est actif.
4. Traquez le contenu mixte
Ouvrez le site dans Chrome et appuyez sur F12 pour les DevTools, puis sélectionnez l'onglet Console. Les ressources non sécurisées apparaissent comme des entrées jaunes ou rouges indiquant « Mixed Content: The page was loaded over HTTPS, but requested an insecure resource ».
Le remède consiste à passer ces adresses de ressources en https://. Sur WordPress, le plugin Better Search Replace réécrit chaque référence http://votresite.be dans la base de données en un seul passage. Les adresses codées en dur dans un thème ou dans du CSS personnalisé se corrigent à la main. Une ressource externe sans version HTTPS doit être remplacée par une qui en propose une.
5. Informez Google du changement
Google traite les versions HTTP et HTTPS d'un domaine comme des sites distincts. Ajoutez la propriété HTTPS dans Search Console, régénérez votre sitemap avec des adresses HTTPS et mettez à jour le lien dans votre fiche Google Business Profile, vos canaux sociaux et les éventuels annuaires.
L'aide gratuite du gouvernement belge
La Belgique est l'un des rares pays de l'UE à disposer d'une couche de soutien gratuite et dédiée pour exactement cette catégorie de problèmes. Safeonweb@work est le volet entreprises du programme Safeonweb, géré par le Centre pour la Cybersécurité Belgique (CCB), l'autorité fédérale en matière de cybersécurité. Trois éléments y valent votre temps une fois votre certificat en ordre.
- Le CyberFundamentals Framework. CyberFundamentals traduit des standards comme le NIST CSF, ISO 27001 et les CIS Controls en mesures concrètes, réparties en quatre niveaux d'assurance. Le niveau « Small » est écrit pour les micro-organisations sans connaissances informatiques internes, ce qui en fait une étape suivante réaliste après le HTTPS.
- Une auto-évaluation gratuite et des modèles de politiques, pour situer votre organisation et mettre des règles de base sur papier.
- Des alertes de cybermenaces et un Quick Scan Report pour les organisations enregistrées, qui liste les vulnérabilités de vos actifs en ligne.
Et si vous faites un jour face à un véritable incident plutôt qu'à un problème de configuration, le CERT national du CCB reçoit les signalements via notif.safeonweb.be ou incident@ccb.belgium.be. Le guide site piraté lié en haut de page parcourt ce scénario, y compris la notification de fuite de données à l'APD dans les 72 heures.
Votre domaine .be et DNS Belgium
Les extensions .be, .vlaanderen et .brussels sont gérées par DNS Belgium, le registre belge, qui mène son propre programme de sécurité autour de la zone, y compris le support de DNSSEC, un protocole qui protège l'intégrité des réponses DNS pour votre nom de domaine.
Deux clarifications qui épargnent de la confusion aux propriétaires de sites belges. Un nom de domaine et un certificat sont deux choses distinctes : DNS Belgium gère le nom, tandis que votre hébergeur ou une autorité de certification délivre le certificat SSL, donc le registre ne peut pas « activer le HTTPS » à votre place. Et DNSSEC ne remplace pas le HTTPS, car l'un authentifie les requêtes DNS et l'autre chiffre le trafic vers votre site. Demandez à votre registrar si DNSSEC est actif pour votre domaine, puis traitez le certificat comme un point séparé de la même liste de contrôle.
Questions fréquentes
Le HTTPS est-il légalement obligatoire pour un site web belge ?
Aucun texte ne nomme le HTTPS littéralement. L'article 32 du RGPD exige des mesures de sécurité appropriées au risque, et la loi belge du 30 juillet 2018 transpose cette obligation en droit belge sous la surveillance de l'APD. Le chiffrement en transit étant gratuit et trivialement disponible, un formulaire non chiffré qui collecte des données personnelles est très difficile à justifier comme approprié. Pour un site purement statique sans formulaires ni connexion, la pression juridique est moindre, mais l'avertissement du navigateur et l'effet sur le classement demeurent.
Combien coûte un certificat SSL ?
Généralement rien. Let's Encrypt délivre des certificats gratuits et la plupart des formules d'hébergement les incluent. Les certificats payants de fournisseurs comme DigiCert ou Sectigo coûtent de quelques dizaines à quelques centaines d'euros par an et n'ajoutent rien dont le site d'une petite entreprise ait techniquement besoin. Si votre hébergeur facture le SSL de base, demandez d'abord s'il supporte Let's Encrypt, et envisagez de changer d'hébergeur si la réponse est non.
Combien de temps un certificat reste-t-il valable ?
Les certificats Let's Encrypt durent 90 jours et se renouvellent automatiquement. Les certificats payants courent typiquement sur un an. Votre hébergeur gère le renouvellement dans presque tous les cas. Sur un serveur autogéré, planifiez le renouvellement automatique avec Certbot.
Le passage au HTTPS peut-il casser mon site ?
Rarement, et quand cela arrive les dégâts sont cosmétiques : du contenu mixte qui se manifeste par des images cassées ou des styles manquants, corrigé avec les mises à jour d'URL de l'étape 4. Faites une sauvegarde avant de commencer, comme avant toute modification.
Le chiffrement ralentit-il mon site web ?
Non. TLS 1.3 ajoute une surcharge négligeable, et le HTTPS débloque HTTP/2, qui rend souvent les pages plus rapides qu'elles ne l'étaient en HTTP simple.
Où puis-je vérifier le reste de la conformité de mon site ?
Lancez la vérification RGPD de votre site web pour la Belgique. Elle passe en revue votre bannière de cookies, votre politique de confidentialité et votre sécurité en plus de la configuration SSL.
Vérifiez gratuitement le certificat SSL, la redirection et le contenu mixte de votre site web sur trustyourwebsite.com/scan. Résultat en 30 secondes.
Sources
- Règlement (UE) 2016/679 (RGPD), article 32 - Sécurité du traitement (eur-lex.europa.eu)
- Loi du 30 juillet 2018 - loi belge sur la protection des données (ejustice.just.fgov.be)
- Autorité de protection des données / APD (autoriteprotectiondonnees.be)
- Safeonweb@work - Centre pour la Cybersécurité Belgique (atwork.safeonweb.be)
- CyberFundamentals Framework (atwork.safeonweb.be)
- Signaler un incident - CCB / CERT.be (ccb.belgium.be)
- DNS Belgium, registre des extensions .be, .vlaanderen et .brussels (dnsbelgium.be)
- Let's Encrypt (letsencrypt.org)
Ceci est une analyse technique, pas un avis juridique. Consultez un avocat pour un conseil juridique spécifique.
Vérifiez votre site web maintenant
Analysez votre site web pour les problèmes de Sécurité et plus de 30 autres vérifications.
Lancer le check gratuitGuides pour votre site web
Plugins WordPress vulnérables : les alertes du CCB belge
Le CCB belge publie des alertes sur les plugins WordPress vulnérables. Comment suivre les avis du CERT.be, corriger vite et respecter l'article 32 du RGPD.
RGPD sécurité site web : article 32 pour les PME belges
RGPD et sécurité site web en Belgique : l'article 32 exige des mesures appropriées pour protéger les données personnelles. Ce que les PME belges doivent faire.
Site web piraté : que faire maintenant en Belgique ?
Votre site web belge a été piraté ? Étapes de récupération : limiter les dégâts, notifier l'APD sous 72 heures, signaler au CERT.be et revenir en ligne.