RGPD : nous avons scanné 479 sites de restaurants belges

Vous tenez un restaurant en Belgique. Votre site web affiche le menu, un formulaire de réservation et un plan d'accès. Mais ce site respecte-t-il le RGPD ?

Nous avons scanné 479 sites web de restaurants belges dans 16 villes sur le RGPD, le consentement aux cookies, l'accessibilité et la sécurité. La majorité n'est pas conforme. Scannez votre propre site et voyez le résultat en 60 secondes.

Cet article montre les tendances. Pas de noms. Aucun indice pointant vers un établissement précis.

La méthode en bref

• Période : 14-15 avril 2026.
• Échantillon : 479 scans réussis sur 514 tentatives. 35 sites étaient inaccessibles ou bloquaient l'accès automatisé.
• URL sources : API Google Places avec le terme de recherche « restaurant » dans 20 villes belges, avec un filtre sur un domaine .be propre.
• Exclus : chaînes, franchises et pages de plateformes comme Takeaway, Deliveroo ou TripAdvisor.
• Outillage : scanner automatisé TrustYourWebsite. 13 vérifications universelles plus 2 vérifications spécifiques à la Belgique (numéro d'entreprise et numéro de TVA).
• Vérification multi-pages : pour le numéro d'entreprise, la TVA et Google Maps, nous avons aussi contrôlé les pages de contact, de mentions légales et de confidentialité liées (maximum 5 pages supplémentaires par site).
• Non mesuré : logs serveur, habitudes d'e-mail, comptes de réseaux sociaux ou communication hors ligne.

Les constats en un coup d'œil

Aperçu par catégorie de problème

Consentement aux cookies : conforme ou non ?

Les principaux constats

64,3 % n'ont aucune bannière cookies

Sur les 479 sites scannés, 308 (64,3 %) n'ont pas de bannière cookies. Pas d'avertissement. Pas de choix. Les visiteurs sont trackés immédiatement.

Sur les 171 sites disposant d'une bannière, 58,5 % n'ont pas de bouton de refus fonctionnel. Le visiteur ne peut qu'« accepter » ou atterrit sur une page de paramètres où refuser demande plusieurs clics.

Seuls 71 des 479 restaurants (14,8 %) ont une bannière avec une option de refus équivalente.

L'Autorité de protection des données (APD) applique activement ces règles. En février 2022, l'APD a infligé une amende de 250 000 € à IAB Europe pour le Transparency and Consent Framework. Ce framework était utilisé par des milliers de sites web. La Chambre Contentieuse a jugé que le consentement obtenu via ce framework n'était pas valable au regard du RGPD.

En 2024, l'APD a accentué la pression. Chez Mediahuis, l'astreinte a grimpé jusqu'à 25 000 € par jour et par site de presse tant que les bannières continuaient d'utiliser des couleurs trompeuses et des options de refus cachées. La Chambre Contentieuse a pointé à la fois l'absence d'un vrai bouton « refuser » au même niveau et le contraste de couleurs trompeur entre « accepter » et « refuser ». La Cour des marchés a annulé cette décision le 19 mars 2025 pour des motifs procéduraux. Les critères d'évaluation figurent toujours dans la checklist cookies de l'APD.

En savoir plus : Exigences de la bannière cookies en Belgique.

46,8 % chargent Google Analytics avant consentement

224 des 479 restaurants chargent Google Analytics avant que le visiteur puisse choisir quoi que ce soit. Au total, 39,9 % de tous les sites scannés ont Google Analytics actif. Google Tag Manager tourne sur 38,8 % des sites.

En outre, 11,3 % (54 sites) chargent le pixel Facebook avant consentement.

Dès que Google Analytics ou le pixel Facebook se charge, le site dépose des cookies de tracking et l'adresse IP du visiteur part vers Google ou Meta. Sans consentement préalable, c'est une violation du RGPD. L'APD y est attentive.

68,5 % chargent Google Fonts en externe

328 des 479 sites de restaurants belges chargent Google Fonts directement depuis les serveurs de Google. À chaque visite de page, l'adresse IP du visiteur part vers les États-Unis.

Le raisonnement juridique est clair au regard du RGPD. L'adresse IP est une donnée personnelle selon le Règlement (UE) 2016/679, article 4, §1. Il n'existe pas de base juridique valable pour ce transfert vers un serveur de polices externe, car les mêmes polices peuvent être hébergées localement. L'APD applique la même logique que les autres autorités européennes.

La solution est simple. Téléchargez les polices et hébergez-les sur votre propre serveur. Dix minutes de travail pour un webdesigner.

57,8 % n'ont pas de politique de confidentialité trouvable

202 des 479 restaurants ont une politique de confidentialité trouvable. 277 (57,8 %) n'en ont donc pas.

Votre restaurant dispose d'un formulaire de réservation ? Alors vous collectez des données personnelles. Le Règlement (UE) 2016/679, article 13 impose alors une politique de confidentialité transparente. Elle décrit quelles données vous collectez, pourquoi, sur quelle base juridique et combien de temps vous les conservez.

82,3 % n'affichent pas de numéro d'entreprise

Seuls 85 des 479 restaurants (17,7 %) mentionnent leur numéro d'entreprise (BCE) sur la page d'accueil ou sur les pages habituelles de contact et de mentions légales.

La Banque-Carrefour des Entreprises enregistre chaque entreprise inscrite. Le Code de droit économique, article III.25, impose la mention sur toute communication professionnelle. Les sites web en font expressément partie. Le SPF Économie y veille.

Le numéro de TVA est plus souvent affiché. 200 restaurants (41,8 %) mentionnent un numéro de TVA belge. En Belgique, c'est culturellement plus courant qu'aux Pays-Bas. Il figure par défaut au bas des factures et il est plus souvent repris sur le site web.

40,9 % chargent Google Maps sans consentement

196 des 479 restaurants ont une carte Google Maps intégrée qui se charge dès l'ouverture de la page. Aucun consentement aux cookies. Chaque visite de page envoie l'adresse IP du visiteur vers Google aux États-Unis.

En savoir plus : RGPD pour les restaurants et l'horeca en Belgique.

Accessibilité : l'angle mort

Sur les 5 993 images contrôlées, 2 584 (43,1 %) n'avaient pas de texte alternatif. C'est la description que les lecteurs d'écran lisent aux visiteurs aveugles et malvoyants. Sur 330 des 479 sites (68,9 %), le texte alternatif manque pour au moins une image.

Depuis le 28 juin 2025, la loi européenne sur l'accessibilité (Directive (UE) 2019/882) est en vigueur. En Belgique, le SPF Économie et l'Inspection économique surveillent les obligations d'accessibilité des services numériques comme l'e-commerce. Les amendes vont jusqu'à 80 000 € (ou 4 % du chiffre d'affaires annuel) pour une infraction ordinaire et jusqu'à 200 000 € (ou 6 % du chiffre d'affaires annuel) en cas de mauvaise foi, décimes additionnels compris.

Les micro-entreprises (moins de 10 travailleurs et moins de 2 millions € de chiffre d'affaires) bénéficient d'une période transitoire jusqu'à juin 2030. Beaucoup de restaurants indépendants relèvent de cette exception, jusqu'à ce qu'ils la dépassent.

Sécurité : les bases manquent souvent

33,8 % des sites tournent sous WordPress (162 sites). WordPress est une cible populaire des attaques automatisées, car les versions obsolètes et les plugins vulnérables sont faciles à détecter.

Les en-têtes de sécurité ne sont pas une obligation légale en soi. Mais le Règlement (UE) 2016/679, article 32 impose des « mesures techniques appropriées » pour protéger les données personnelles. En cas de fuite de données causée par l'absence de sécurité de base, l'APD en tient compte dans son appréciation.

Belgique contre Pays-Bas : la comparaison

La Belgique fait mieux que les Pays-Bas sur le tracking (moins de GA et de pixel Facebook avant consentement) et sur l'affichage du numéro d'entreprise. Les Pays-Bas ont plus souvent un bouton de refus fonctionnel quand une bannière existe. Les deux pays obtiennent de mauvais scores sur Google Fonts, Google Maps et les politiques de confidentialité.

Spécifique à l'horeca : AFSCA et transparence

Un restaurant, c'est plus qu'un site web. L'AFSCA (Agence fédérale pour la sécurité de la chaîne alimentaire) impose aux établissements horeca d'afficher visiblement leur agrément ou leur enregistrement dans l'établissement. Pour les consommateurs, il existe aussi Foodweb, où vous pouvez consulter les résultats d'inspection par établissement.

Vous vendez ou livrez aussi en ligne ? Placez alors votre enregistrement AFSCA, votre numéro d'entreprise et votre numéro de TVA dans le pied de page ou sur une page de contact. Cela rejoint l'obligation de mention de l'article III.25 du Code de droit économique et l'attente de transparence de l'AFSCA pour les activités B2C.

Ce que cela signifie pour votre restaurant

L'APD est l'une des autorités de protection des données les plus actives d'Europe. L'affaire IAB Europe et l'astreinte Mediahuis (annulée en mars 2025 par la Cour des marchés pour des motifs procéduraux) montrent que la Chambre Contentieuse est prête à imposer de lourdes sanctions aux acteurs systémiques. Les petits établissements sont rarement sanctionnés directement. Mais ils reçoivent des plaintes de consommateurs et des demandes d'accès au titre du RGPD.

La bonne nouvelle : la plupart des problèmes se règlent en une demi-journée.

Plan d'action : quatre interventions pour un site de restaurant conforme au RGPD en 2026

1. Placez votre numéro d'entreprise dans le pied de page de chaque page. Ajoutez aussi le numéro de TVA et, le cas échéant, votre enregistrement AFSCA. Conforme à l'article III.25 du Code de droit économique et aux exigences de transparence pour l'horeca.
2. Demandez à votre webdesigner d'héberger Google Fonts en local. Téléchargez les polices, placez-les sur votre propre serveur et adaptez le CSS. Cela évite le transfert d'adresses IP vers Google.
3. Installez une bannière cookies avec un bouton de refus équivalent. Même position, même taille et même couleur que le bouton « accepter ». Les scripts de tracking ne se chargent qu'après consentement.
4. Publiez une politique de confidentialité. Partez d'un texte modèle et adaptez-le à votre formulaire de réservation, votre usage de Google Analytics et votre intégration Google Maps.

Scannez votre site gratuitement en 60 secondes et voyez où vous en êtes.

Méthodologie

• Période : 14-15 avril 2026.
• Nombre de sites scannés : 479 sur 514 tentatives. 35 sites inaccessibles ou accès automatisé bloqué.
• Méthode de sélection : Google Maps et l'API Places pour « restaurant » dans 20 villes belges, avec un filtre sur le domaine .be.
• Villes : Bruxelles, Anvers, Gand, Bruges, Louvain, Liège, Namur, Malines, Hasselt, Courtrai, Ostende, Turnhout, Saint-Nicolas, Alost, Charleroi et Mons. Quatre autres villes testées n'ont produit aucun résultat valide.
• Critères de sélection : restaurant indépendant avec son propre domaine .be. Pas de chaînes internationales. Pas de pages de plateformes (Takeaway, Deliveroo, TripAdvisor).
• Scanner : scanner de conformité automatisé TrustYourWebsite.
• Vérifications par site : 13 universelles plus 2 spécifiques à la Belgique (numéro d'entreprise et numéro de TVA).
• Vérification multi-pages : pour le numéro d'entreprise, le numéro de TVA et Google Maps, nous avons aussi contrôlé les pages de contact, de mentions légales et de confidentialité liées (maximum 5 pages supplémentaires par site).
• Non mesuré : logs serveur, habitudes d'e-mail, comptes de réseaux sociaux ou communication hors ligne.

Cette étude est un instantané. Les sites web changent en permanence. Aucun restaurant n'est cité nommément. Ceci est une analyse technique, pas un avis juridique.

Questions fréquentes

Quel est le niveau de conformité des sites de restaurants belges en 2026 ?

Notre scan de 479 sites de restaurants belges montre que 64,3 % n'ont pas de bannière cookies, que 46,8 % chargent Google Analytics avant consentement et que 57,8 % n'ont pas de politique de confidentialité trouvable.

Quelle autorité fait appliquer le RGPD pour les restaurants belges ?

L'Autorité de protection des données (APD) est le régulateur belge de la vie privée. En 2022, l'APD a infligé une amende historique à IAB Europe pour le cadre de consentement utilisé par des milliers de sites web.

Un restaurant belge doit-il afficher son numéro d'entreprise sur son site web ?

Oui. Les entreprises belges doivent mentionner leur numéro d'entreprise (BCE) sur leur site web, leurs e-mails et leurs factures. Seuls 17,7 % des restaurants scannés le font.

Un restaurant doit-il aussi afficher son enregistrement AFSCA en ligne ?

L'AFSCA impose aux établissements horeca d'afficher visiblement leur agrément ou leur enregistrement dans l'établissement. Si vous vendez ou livrez aussi en ligne, il est préférable de mentionner ces données sur votre site web, à côté du numéro d'entreprise et du numéro de TVA.

---

Vous voulez savoir comment votre site de restaurant se situe ? Scannez gratuitement en 60 secondes.

Sources

• Règlement (UE) 2016/679 - Règlement général sur la protection des données (eur-lex.europa.eu)
• Directive (UE) 2019/882 - Acte législatif européen sur l'accessibilité (eur-lex.europa.eu)
• Code de droit économique - loi de codification du 28 février 2013 (ejustice.just.fgov.be)
• GBA/APD - décision IAB Europe (gegevensbeschermingsautoriteit.be)
• GBA/APD - mesures contre Mediahuis (gegevensbeschermingsautoriteit.be)
• APD - arrêt de la Cour des marchés du 19 mars 2025, AR/1690 (autoriteprotectiondonnees.be)
• SPF Économie - Banque-Carrefour des Entreprises (economie.fgov.be)
• Banque-Carrefour des Entreprises - recherche publique (kbopub.economie.fgov.be)

Ceci est une analyse technique, pas un avis juridique. Consultez un avocat pour un conseil juridique spécifique.