Tous les cookies nécessitent-ils mon consentement en Belgique ?

Non. Seuls les cookies non-essentiels exigent un consentement préalable au sens de l'article 129 § 1 de la Loi du 13 juin 2005 : analytics (Google Analytics, Hotjar, Matomo), marketing (Meta Pixel, Google Ads, LinkedIn Insight Tag), fonctionnels (mode sombre, géolocalisation), et cookies tiers de réseaux sociaux. Les cookies strictement nécessaires au fonctionnement technique (session d'authentification, sécurité CSRF, panier d'achat actif, balancement de charge) sont exemptés de consentement, mais doivent figurer dans votre politique pour la transparence.

Un bandeau avec uniquement « Accepter tout » est-il légal en Belgique ?

Non, et c'est l'erreur la plus sanctionnée par l'APD/GBA. La Recommandation n° 01/2015 (mise à jour 2020) est explicite : le bandeau doit afficher sur le même niveau visuel et avec la même mise en forme « Accepter tout » , « Refuser tout » et « Paramétrer » . L'absence d'un bouton de refus aussi visible que celui d'acceptation constitue un dark pattern qualifié de non-conforme par l'APD, par l'EDPB (Lignes directrices 03/2022) et par la jurisprudence Planet49 de la CJUE. Des sites belges ont été sanctionnés à hauteur de 50 000 EUR ou plus pour ce seul motif en 2024.

Puis-je retirer mon consentement aux cookies à tout moment ?

Oui, c'est une exigence absolue de l'article 7 § 3 du RGPD : le retrait du consentement doit être aussi facile que son octroi . Concrètement, votre politique doit décrire la procédure de retrait, votre site doit afficher en permanence un bouton « Gérer mes cookies » (généralement en pied de page) qui rouvre le bandeau de paramétrage, et toute CMP digne de ce nom (Cookiebot, OneTrust, Axeptio, Didomi) implémente cette fonction nativement. Le retrait n'affecte pas la licéité des traitements antérieurs, mais bloque immédiatement le dépôt de nouveaux cookies non-essentiels.

Les cookies tiers (YouTube, Meta Pixel) engagent-ils ma responsabilité ?

Oui, en partie. La CJUE a jugé dans l'arrêt Wirtschaftsakademie (C-210/16) puis Fashion ID (C-40/17) que l'exploitant d'un site qui intègre un plugin tiers (bouton « J'aime », Pixel Meta) est responsable conjoint du traitement au sens de l'article 26 RGPD pour la phase de collecte. Vous devez donc : (a) signer un accord de responsabilité conjointe avec le tiers (Meta propose un addendum standard, Google fournit un DPA), (b) informer l'utilisateur de cette responsabilité conjointe dans votre politique de cookies, et (c) recueillir un consentement valide avant tout dépôt de cookie tiers. Au-delà de la phase de collecte, le tiers (Meta, Google) est responsable indépendant pour ses traitements ultérieurs.

Google Analytics est-il toujours autorisé en Belgique après Schrems II ?

Oui, sous conditions. Après l'invalidation du Privacy Shield par l'arrêt Schrems II (CJUE C-311/18, 16 juillet 2020), l'utilisation de Google Analytics avait été remise en question par plusieurs autorités européennes (CNIL France, Garante Italie, Datenschutzbehörde Autriche). Depuis le 10 juillet 2023, le nouveau Data Privacy Framework (UE-US DPF) a rétabli un cadre d'adéquation pour les transferts vers les entités américaines certifiées au DPF — ce qui est le cas de Google LLC. Pour être conforme en Belgique : (a) utilisez Google Analytics 4 (et non Universal Analytics, désactivé), (b) activez l'anonymisation IP et désactivez le partage de données avec Google Signals, (c) signez le DPA Google Analytics, et (d) mentionnez explicitement le DPF dans votre politique de cookies (le présent modèle le fait automatiquement quand vous activez la section Expert).

Dois-je tenir un journal des consentements pour la conformité APD/GBA ?

Oui. L'article 7 § 1 du RGPD impose au responsable du traitement de pouvoir démontrer que la personne concernée a donné son consentement. En cas d'audit ou de plainte auprès de l'APD/GBA, vous devrez produire la preuve : pour chaque utilisateur ayant interagi avec votre bandeau, l'horodatage du choix, la version de la politique en vigueur à ce moment, les catégories acceptées/refusées, et la méthode éventuelle de retrait. Toutes les CMP sérieuses (Cookiebot, OneTrust, Axeptio, Didomi) génèrent ce log automatiquement. La durée recommandée par l'APD/GBA est de 36 mois à compter du dernier choix utilisateur. Sans ce journal, votre défense devant l'APD est quasi-impossible — d'où la section Expert de notre modèle qui décrit explicitement votre dispositif.

Les murs cookies (« cookie walls ») sont-ils légaux en Belgique ?

En principe non. Un « cookie wall » qui conditionne l'accès à un site à l'acceptation de cookies non-essentiels viole le critère du consentement « libre » au sens de l'article 4(11) RGPD et de l'article 7 § 4. L'EDPB a confirmé cette position dans ses Lignes directrices 5/2020. La seule exception envisageable, encore débattue, est le modèle « pay or okay » (payer un abonnement pour accéder sans cookies, ou accepter les cookies pour un accès gratuit) — le régulateur autrichien et la CNIL française ont commencé à l'admettre sous conditions strictes en 2023-2024. L'APD/GBA n'a pas encore tranché formellement sur ce point, mais reste dans la ligne EDPB. Pour un site belge standard, abstenez-vous de tout mécanisme qui pénalise un refus de cookies non-essentiels.

Que dois-je faire si l'APD me notifie une plainte ou un audit ?

Réagissez immédiatement et de manière documentée. (1) Récupérez les logs de votre CMP pour la période concernée. (2) Vérifiez que votre politique de cookies actuelle correspond bien à ce qui est dépôt sur le site (faites un audit DevTools de tous les cookies). (3) Si vous identifiez une non-conformité, mettez-la en conformité immédiatement et documentez la correction (un screenshot horodaté du nouveau bandeau aide). (4) Répondez à l'APD dans le délai imparti (généralement 30 jours) avec : votre politique, votre log de consentements anonymisé, la preuve de votre dispositif technique de blocage des cookies avant consentement, et la liste de vos sous-traitants tiers. Une réaction rapide et documentée transforme souvent une amende potentielle en simple rappel à l'ordre.

Conformité & Vie privéeBE

Modèle gratuit de Politique de Cookies pour la Belgique

Une politique de cookies professionnelle, prête à publier sur votre site web belge. Conforme à l'article 129 § 1 de la Loi du 13 juin 2005, au RGPD et à la Recommandation APD/GBA n° 01/2015. Remplissez les informations de votre entreprise, choisissez vos catégories de cookies et téléchargez un PDF prêt à coller sur votre site.

Créer votre Politique de Cookies

Utilisation gratuitePDF instantanéAucun compte requis

POLITIQUE DE COOKIES

Loi Du 13 Juin 2005 (Art. 129 § 1) · RGPD (UE 2016/679) · APD Belgique · Mise À Jour : 01/05/2026 · Version 2.1

ÉDITEUR DU SITE

Exemple Shop SRL (SRL)

Avenue Louise 54, bte 12, 1050 Bruxelles · N° BCE : 0789.123.456 · Site : https://exemple-shop.be · Contact : contact@exemple-shop.be

Mise à jour : 01/05/2026 · Version 2.1

Site concerné : https://exemple-shop.be

La présente politique de cookies décrit l'utilisation de cookies et de technologies similaires sur le site https://exemple-shop.be (ci-après le « Site »), édité par Exemple Shop SRL, inscrite à la BCE sous le numéro 0789.123.456.

Elle est rédigée conformément à l'article 129 § 1 de la Loi belge du 13 juin 2005 relative aux communications électroniques (transposition de l'article 5(3) de la Directive ePrivacy 2002/58/CE modifiée), au Règlement général sur la protection des données (RGPD — UE 2016/679) et aux recommandations de l'Autorité de Protection des Données (APD/GBA), notamment la Recommandation n° 01/2015 mise à jour en 2020.

Aucun cookie non-essentiel n'est déposé avant que vous n'ayez donné votre consentement actif via notre bandeau de consentement, conformément aux Lignes directrices 5/2020 du Comité européen de la protection des données (EDPB).

QU'EST-CE QU'UN COOKIE ?

Un cookie est un petit fichier texte déposé sur votre ordinateur, votre tablette ou votre smartphone lors de la visite d'un site web. Il permet au site de mémoriser des informations sur votre visite — préférence de langue, contenu d'un panier, identification de session — pour faciliter votre navigation ultérieure.

La présente politique vise également les technologies similaires (pixels invisibles, balises web, local storage, session storage, fingerprinting) qui poursuivent des finalités équivalentes et sont soumises au même régime juridique en vertu de l'article 129 § 1 de la Loi du 13 juin 2005.

CADRE LÉGAL APPLICABLE

Le dépôt et la lecture de cookies sur votre appareil sont régis par :
a) l'article 129 § 1 de la Loi du 13 juin 2005 relative aux communications électroniques, qui exige le consentement préalable, libre, spécifique, éclairé et univoque de l'utilisateur ;
b) les articles 6, 7 et 13 du RGPD (UE 2016/679), lorsque les cookies traitent des données à caractère personnel ;
c) les recommandations de l'APD/GBA (notamment la Recommandation n° 01/2015 mise à jour en 2020) ;
d) les Lignes directrices 5/2020 de l'EDPB sur le consentement.

Conformément à ces textes, notre bandeau de consentement présente sur le même niveau visuel les boutons « Accepter tout », « Refuser tout » et « Paramétrer », et aucun cookie non-essentiel n'est activé tant que vous n'avez pas opéré un choix actif.

COOKIES ESSENTIELS (SANS CONSENTEMENT REQUIS)

Les cookies dits « strictement nécessaires » sont indispensables au fonctionnement technique du Site et à la fourniture du service que vous avez expressément demandé. Conformément à l'article 129 § 1 de la Loi du 13 juin 2005, ils ne nécessitent pas votre consentement, mais nous vous en informons ci-dessous en toute transparence.

Notre Site utilise les cookies essentiels suivants :
— Cookies de session : maintien de votre identification pendant la visite (durée : session navigateur).
— Cookies de sécurité : protection contre les attaques CSRF et détection de tentatives d'intrusion (durée : session ou 12 mois).
— Cookies de panier d'achat : conservation des articles sélectionnés (durée : 30 jours maximum).
— Cookies de balancement de charge : répartition du trafic entre nos serveurs (durée : session).
— Cookies de préférence linguistique : mémorisation de la langue choisie pour l'affichage (durée : 12 mois).

COOKIES DE MESURE D'AUDIENCE (ANALYTICS)

Avec votre consentement préalable, nous utilisons Google Analytics 4 (Google Ireland Ltd.) pour mesurer l'audience du Site, comprendre les parcours utilisateurs et améliorer notre offre.

Ces cookies recueillent notamment : pages visitées, temps passé, source du trafic, type d'appareil et navigateur, et un identifiant pseudonymisé. Leur durée de vie typique est de 13 mois maximum, conformément à la recommandation APD/GBA.

Note importante (Schrems II) : Google Analytics 4 implique un transfert de données vers les États-Unis. Nous nous appuyons sur le mécanisme du Data Privacy Framework (UE-US DPF) entré en vigueur en juillet 2023, ainsi que sur les Clauses contractuelles types (décision UE 2021/914) et l'anonymisation IP. Vous pouvez à tout moment retirer votre consentement (voir section « Comment retirer votre consentement »).

COOKIES PUBLICITAIRES ET DE MARKETING

Avec votre consentement préalable, nous utilisons des cookies publicitaires pour afficher des annonces personnalisées sur le Site ou sur des plateformes tierces, et pour mesurer la performance de nos campagnes marketing.

Outils utilisés : Meta Pixel (Facebook and Instagram Ads), Google Ads, LinkedIn Insight Tag.

Ces cookies peuvent être déposés par des sociétés tierces (Meta Platforms Ireland Ltd., Google Ireland Ltd., LinkedIn Ireland Unlimited Company) qui agissent en qualité de responsables conjoints du traitement (art. 26 RGPD) ou de responsables indépendants. Leur durée de vie typique est de 13 mois maximum.

Le retrait du consentement est possible à tout moment et bloque immédiatement le dépôt de nouveaux cookies publicitaires.

COOKIES FONCTIONNELS

Avec votre consentement préalable, nous utilisons des cookies fonctionnels pour mémoriser vos préférences personnalisées : affichage en mode sombre/clair, taille de police, géolocalisation approximative pour les livraisons, et personnalisation du contenu affiché.

Ces cookies améliorent votre confort de navigation mais ne sont pas indispensables au fonctionnement du Site. Leur durée de vie typique est de 12 mois maximum. Vous pouvez les désactiver à tout moment via le gestionnaire de consentement.

COOKIES TIERS — RÉSEAUX SOCIAUX ET CONTENUS EMBARQUÉS

Notre Site peut intégrer des contenus provenant de plateformes tierces (vidéos YouTube ou Vimeo, publications LinkedIn, posts Instagram, fil Twitter/X). Lorsque vous interagissez avec ces contenus, ces plateformes peuvent déposer leurs propres cookies sur votre appareil.

Plateformes concernées : YouTube (mode no-cookie), LinkedIn, Instagram.

Ces cookies sont régis par les politiques de confidentialité respectives de chaque plateforme, en leur qualité de responsables de traitement indépendants. Pour limiter leur dépôt, nous utilisons lorsque possible le mode « no-cookie » (par exemple youtube-nocookie.com) qui retarde le dépôt jusqu'à votre interaction effective avec le contenu.

COMMENT RETIRER VOTRE CONSENTEMENT

Conformément à l'article 7 § 3 du RGPD, vous pouvez retirer votre consentement à tout moment, aussi facilement que vous l'avez donné. Pour ce faire :
a) cliquez sur le bouton « Gérer mes cookies » visible en permanence en bas de chaque page du Site ;
b) modifiez vos préférences par catégorie (analytics, marketing, fonctionnels) ou refusez tous les cookies non-essentiels ;
c) videz les cookies déjà déposés via les paramètres de votre navigateur (Chrome, Firefox, Safari, Edge).

Le retrait du consentement n'affecte pas la licéité du traitement effectué avant ce retrait. Aucun cookie non-essentiel ne sera plus déposé après votre choix.

VOS DROITS RGPD

Lorsque les cookies traitent des données à caractère personnel vous concernant, vous bénéficiez des droits suivants (articles 15 à 22 du RGPD) :
— droit d'accès aux données vous concernant (art. 15) ;
— droit de rectification (art. 16) ;
— droit à l'effacement / « droit à l'oubli » (art. 17) ;
— droit à la limitation du traitement (art. 18) ;
— droit à la portabilité (art. 20) ;
— droit d'opposition (art. 21).

Pour exercer ces droits, contactez-nous à l'adresse contact@exemple-shop.be.

Vous disposez également du droit d'introduire une réclamation auprès de l'Autorité de Protection des Données (APD/GBA), Rue de la Presse 35, 1000 Bruxelles — www.autoriteprotectiondonnees.be.

10.

MODIFICATIONS DE LA PRÉSENTE POLITIQUE

La présente politique peut être modifiée à tout moment pour refléter l'évolution de notre Site, de la législation applicable ou des recommandations de l'APD/GBA. La version en vigueur est systématiquement celle publiée sur cette page, datée et numérotée.

Toute modification substantielle vous sera notifiée via le bandeau de consentement, qui sollicitera à nouveau votre choix actif lorsque les nouvelles finalités l'exigent.

11.

NOUS CONTACTER

Pour toute question relative à la présente politique de cookies ou à la protection de vos données personnelles, vous pouvez nous joindre :
— par e-mail : contact@exemple-shop.be
— DPO : dpo@exemple-shop.be
— par téléphone : +32 2 555 12 34
— par courrier postal : Avenue Louise 54, bte 12, 1050 Bruxelles

Autorité de contrôle : Autorité de Protection des Données (APD/GBA) — Rue de la Presse 35, 1000 Bruxelles — www.autoriteprotectiondonnees.be.

12.

INVENTAIRE DÉTAILLÉ DES COOKIES (TRANSPARENCE INTÉGRALE)

Conformément à l'obligation de transparence (art. 13 RGPD) et aux recommandations de l'APD/GBA, voici l'inventaire complet des cookies déposés sur le Site, avec leur fournisseur, leur finalité, leur durée de vie et leur catégorie.

Nom du cookie	Fournisseur	Finalité	Durée	Catégorie
_ga	Google Ireland Ltd.	Mesure d'audience — distinction utilisateurs	13 mois	analytics
_ga_XXXXXXX	Google Ireland Ltd.	État de session GA4	13 mois	analytics
_fbp	Meta Platforms Ireland Ltd.	Pixel Meta — attribution publicitaire	90 jours	marketing
li_at	LinkedIn Ireland Ltd.	Insight Tag — conversions LinkedIn Ads	6 mois	marketing
lang_pref	Exemple Shop (1ère partie)	Préférence linguistique utilisateur	12 mois	fonctionnel
cart_session	Exemple Shop (1ère partie)	Conservation du panier d'achat	30 jours	essentiel

13.

PLATEFORME DE GESTION DU CONSENTEMENT (CMP)

Pour collecter, gérer et enregistrer vos consentements de manière conforme, nous utilisons la plateforme Cookiebot (Cybot A/S, Danemark) (identifiant : CB-7f3a9b2c1d).

Cette CMP nous permet de :
a) présenter le bandeau de consentement avec les boutons « Accepter tout », « Refuser tout » et « Paramétrer » sur le même niveau visuel, conformément à la Recommandation APD/GBA n° 01/2015 ;
b) bloquer techniquement le dépôt des cookies non-essentiels avant consentement actif (preuve d'absence de pré-cochage) ;
c) enregistrer chaque consentement avec horodatage, version de la politique acceptée et choix par catégorie.

14.

JOURNALISATION DES CONSENTEMENTS — PREUVE EN CAS D'AUDIT APD

Conformément à l'article 7 § 1 du RGPD (« le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement »), nous conservons un journal détaillé des consentements collectés.

Pour chaque consentement, nous enregistrons :
— un identifiant pseudonymisé (hachage de l'IP + user-agent) ;
— l'horodatage précis du choix ;
— la version de la présente politique de cookies en vigueur lors du consentement ;
— les catégories acceptées et refusées (analytics / marketing / fonctionnels) ;
— la méthode de retrait éventuel et son horodatage.

Ces preuves sont conservées pendant 36 mois à compter du dernier choix de l'utilisateur, conformément à la durée recommandée par l'APD/GBA pour pouvoir répondre à un audit.

15.

GESTION FINE PAR APPAREIL ET NAVIGATEUR

Les cookies sont stockés localement sur chaque appareil et chaque navigateur que vous utilisez. Vos choix sur un ordinateur ne sont pas automatiquement répercutés sur votre smartphone ou sur un autre navigateur.

Vous pouvez configurer chaque navigateur pour refuser systématiquement les cookies non-essentiels :
— Chrome : Paramètres → Confidentialité et sécurité → Cookies et autres données de site ;
— Firefox : Préférences → Vie privée et sécurité → Cookies et données de site ;
— Safari : Préférences → Confidentialité ;
— Edge : Paramètres → Cookies et autorisations de site.

Nous respectons également le signal navigateur Do Not Track (DNT) lorsqu'il est activé : aucun cookie analytique ou marketing n'est alors déposé, même en l'absence de choix explicite via notre bandeau.

16.

TRANSFERTS INTERNATIONAUX HORS UE/EEE

Certains cookies tiers (notamment Google Analytics 4, Meta Pixel, LinkedIn Insight Tag) impliquent un transfert de données vers les États-Unis ou d'autres pays tiers à l'Union européenne.

Conformément aux articles 44 à 49 du RGPD et à l'arrêt Schrems II de la CJUE (16 juillet 2020, C-311/18), nous nous appuyons sur les garanties suivantes :
a) Décision d'adéquation UE-US Data Privacy Framework (entrée en vigueur le 10 juillet 2023) pour les entités américaines certifiées au DPF ;
b) Clauses contractuelles types de la Commission UE — décision 2021/914 du 4 juin 2021 — pour les transferts hors champ du DPF ;
c) mesures techniques complémentaires : anonymisation IP, désactivation du partage de données pour la publicité, pseudonymisation côté serveur.

La liste des sous-traitants concernés et de leurs garanties est tenue à jour dans notre registre des activités de traitement (art. 30 RGPD).

17.

COOKIES TIERS — RÉPARTITION DES RESPONSABILITÉS

Lorsque des cookies sont déposés par des tiers (régies publicitaires, plateformes sociales, fournisseurs d'analytics), la qualification juridique varie :
a) Responsables conjoints du traitement (art. 26 RGPD) : nous partageons la responsabilité avec le tiers lorsque nous déterminons conjointement les finalités et les moyens (typique pour Meta Pixel et certains pixels publicitaires) ;
b) Responsables indépendants : le tiers est seul responsable lorsqu'il poursuit ses propres finalités (profilage publicitaire global, par exemple) ;
c) Sous-traitants (art. 28 RGPD) : pour les cookies déposés exclusivement pour notre compte (analytics auto-hébergés).

Précisions complémentaires : Responsabilité conjointe avec Meta Platforms Ireland Ltd. pour le Pixel (art. 26 RGPD — accord signé en mars 2024). DPA signé avec Google Analytics et LinkedIn Ireland. Mesures techniques : anonymisation IP activée, désactivation du partage avec Google Signals.

Qu'est-ce qu'une politique de cookies en Belgique ?

Une politique de cookies est un document publié par l'éditeur d'un site web qui informe les visiteurs des cookies déposés sur leur appareil, de leur finalité, de leur durée et de leurs droits. En Belgique, sa publication est obligatoire dès qu'un site dépose un cookie autre que strictement nécessaire au fonctionnement technique. La base légale est double : l'article 129 § 1 de la Loi belge du 13 juin 2005 relative aux communications électroniques (transposition de la Directive ePrivacy 2002/58/CE) pour le consentement préalable, et le Règlement général sur la protection des données (RGPD — UE 2016/679) pour la transparence et les droits des personnes concernées.

L'Autorité de Protection des Données belge (APD/GBA) a précisé ses attentes dans la Recommandation n° 01/2015 mise à jour en 2020 : le bandeau de consentement doit présenter, sur le même niveau visuel et avec la même mise en forme, les boutons « Accepter tout », « Refuser tout » et « Paramétrer ». Aucun cookie non-essentiel (analytics, marketing, fonctionnel) ne peut être déposé avant que l'utilisateur n'ait fait un choix actif. Le pré-cochage des cases, les bandeaux qui obligent à descendre dans les paramètres pour refuser, et les murs cookies (« cookie walls ») sont expressément qualifiés de pratiques non-conformes.

Concrètement, vous avez besoin d'une politique de cookies conforme dans tous les cas suivants : votre site utilise Google Analytics (même en mode anonymisé), vous avez intégré le Pixel Meta ou un autre tag publicitaire, votre boutique en ligne utilise des cookies de panier au-delà du strict nécessaire, vous embarquez des vidéos YouTube ou des posts LinkedIn, ou vous utilisez un chat en direct comme Tawk.to ou Intercom. Sans politique conforme et sans bandeau valide, l'APD peut prononcer des amendes RGPD allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial — et l'autorité belge a déjà sanctionné plusieurs sites en 2023-2024 pour des bandeaux non conformes.

Ce que contient ce modèle

Le modèle Doxuno couvre l'ensemble des points exigés par l'APD/GBA et le RGPD pour une politique de cookies belge solide, et propose une section Expert pour les sites qui veulent prouver leur conformité en cas d'audit.

Identification de l'éditeur

Raison sociale, BCE/KBO, siège social, contact DPO et URL exacte du site

Définition pédagogique du cookie

Explication accessible incluant les technologies similaires (pixels, local storage)

Cadre légal complet

Loi 13/06/2005 art. 129 § 1, RGPD art. 6/7/13, Recommandation APD/GBA 01/2015

Cookies essentiels — sans consentement

Session, sécurité, panier, balancement de charge, préférence linguistique

Cookies analytics (consentement)

Google Analytics 4, Matomo, Plausible, Hotjar — durées et finalités précisées

Cookies marketing & publicitaires

Meta Pixel, Google Ads, LinkedIn Insight Tag — qualification responsabilité

Cookies fonctionnels & sociaux

Préférences personnalisées, vidéos embarquées en mode no-cookie

Procédure de retrait du consentement

Instructions pas-à-pas + paramètres navigateurs (Chrome, Firefox, Safari, Edge)

Vos droits RGPD (art. 15–22)

Accès, rectification, effacement, opposition, portabilité — coordonnées APD/GBA

Inventaire détaillé (Expert)

Tableau cookie par cookie : nom, fournisseur, finalité, durée, catégorie

CMP & journalisation (Expert)

Configuration Cookiebot, OneTrust, Axeptio + log consentements (preuve audit APD)

Transferts USA & Schrems II (Expert)

Mention Data Privacy Framework + clauses contractuelles types 2021/914

Comment créer votre politique de cookies en Belgique

Aucune expertise juridique requise. Cinq étapes pour produire un document conforme APD/GBA et RGPD que vous pourrez publier en quelques minutes sur votre site belge.

1
Renseignez l'identité de l'éditeur du site
Indiquez la raison sociale exacte de votre entreprise (telle qu'enregistrée à la BCE), votre numéro d'entreprise (format 0xxx.xxx.xxx), l'adresse du siège social en Belgique et l'URL exacte du site concerné. Ajoutez l'e-mail de votre DPO si vous en avez désigné un (obligatoire pour les organismes publics et certains traitements à grande échelle au sens de l'article 37 RGPD).
2
Cochez les cookies essentiels présents sur votre site
Identifiez les cookies strictement nécessaires au fonctionnement technique de votre site : cookies de session pour l'authentification, cookies de sécurité contre les attaques CSRF, cookies de panier d'achat pour les e-commerces, cookies de balancement de charge entre serveurs et cookies de préférence linguistique. Ces cookies ne nécessitent pas de consentement, mais doivent figurer dans votre politique pour la transparence (art. 13 RGPD).
3
Listez les cookies non-essentiels et leurs outils
Indiquez si votre site utilise Google Analytics 4, Matomo, Plausible ou Hotjar pour la mesure d'audience. Précisez vos outils marketing (Meta Pixel, Google Ads, LinkedIn Insight Tag). Mentionnez les contenus tiers embarqués (YouTube, LinkedIn, Instagram) qui déposent leurs propres cookies. Pour chacun, le modèle générera automatiquement la clause détaillée avec finalité, durée et identité du fournisseur.
4
Activez la section Expert pour preuve d'audit
Pour les sites à enjeu réel (e-commerce, B2B, médias), activez la section Expert et complétez l'inventaire détaillé cookie par cookie (nom technique, fournisseur, finalité, durée, catégorie). Sélectionnez votre CMP (Cookiebot, OneTrust, Axeptio, Didomi, Tarteaucitron) et précisez la durée de journalisation des consentements — 36 mois étant la valeur recommandée par l'APD/GBA.
5
Téléchargez le PDF et publiez-le sur votre site
Votre politique de cookies est générée en PDF Doxuno avec mise en page professionnelle, prête à être publiée sur une page dédiée de votre site (généralement /politique-cookies). Pensez à insérer un lien permanent en pied de page, à associer un bouton « Gérer mes cookies » accessible depuis chaque page, et à actualiser la politique à chaque modification substantielle de vos cookies tiers.

Considérations juridiques en Belgique

La conformité d'une politique de cookies en Belgique repose sur quatre piliers : la loi nationale, le RGPD européen, les recommandations contraignantes de l'APD/GBA et la jurisprudence post-Schrems II sur les transferts internationaux. Voici les points clés à maîtriser avant publication.

Ce modèle est fourni à titre informatif et ne constitue pas un conseil juridique personnalisé. Pour les sites traitant des données sensibles à grande échelle, les médias visés par la directive SMA, ou si vous avez un doute sur la qualification d'un cookie spécifique, consultez un avocat belge spécialisé en droit du numérique ou contactez directement l'APD/GBA via le service Premier-Ligne.

Contenu vérifié au regard de la Loi belge du 13 juin 2005, du RGPD, des Recommandations APD/GBA n° 01/2015 (mise à jour 2020) et des Lignes directrices EDPB 5/2020 sur le consentement.

Loi du 13 juin 2005 — Article 129 § 1 (transposition ePrivacy)

L'article 129 § 1 de la Loi belge du 13 juin 2005 relative aux communications électroniques transpose en droit belge l'article 5(3) de la Directive ePrivacy 2002/58/CE telle que modifiée par la Directive 2009/136/CE. Il pose le principe absolu : aucun stockage d'information sur le terminal de l'utilisateur, ni aucun accès à des informations déjà stockées, ne peut avoir lieu sans le consentement préalable, libre, spécifique, éclairé et univoque de l'abonné ou de l'utilisateur. Deux exceptions existent : (a) la transmission technique d'une communication via un réseau de communications électroniques, et (b) lorsque le stockage ou l'accès est strictement nécessaire à la fourniture d'un service expressément demandé. Toute autre finalité — analytics, marketing, profilage, personnalisation — exige un consentement préalable conforme. Ne pas respecter cette disposition expose à la fois à des sanctions administratives par l'APD/GBA et à des sanctions pénales prévues par la loi de 2005 elle-même.

Recommandation APD/GBA n° 01/2015 (mise à jour 2020) — Bandeau cookies

L'APD/GBA a publié en 2015 sa recommandation pivot sur les cookies, mise à jour en 2020 pour intégrer les exigences du RGPD et les arrêts Planet49 (CJUE C-673/17) et Orange Romania (CJUE C-61/19). Les exigences clés : (1) le bandeau doit présenter sur le même niveau visuel et avec la même mise en forme les boutons « Accepter tout », « Refuser tout » et « Paramétrer » — un bouton « Refuser » placé en gris pâle alors que « Accepter » est en vert vif est qualifié de dark pattern non-conforme ; (2) le pré-cochage des cases est expressément interdit (consentement non-actif) ; (3) le simple fait de continuer à naviguer ne vaut pas consentement ; (4) les murs cookies (« cookie walls ») qui conditionnent l'accès au site à l'acceptation de cookies non-essentiels sont en principe non-conformes ; (5) la preuve du consentement doit être conservée par le responsable de traitement.

Lignes directrices EDPB 5/2020 — Consentement valide

Le Comité européen de la protection des données (EDPB) a adopté en mai 2020 ses Lignes directrices 5/2020 sur le consentement au sens du RGPD. Elles précisent que le consentement doit être : (a) libre — sans déséquilibre de pouvoir et sans conséquence négative en cas de refus ; (b) spécifique — granulaire par finalité, ce qui implique que le bandeau doit permettre d'accepter analytics sans accepter marketing, par exemple ; (c) éclairé — l'utilisateur doit comprendre quels cookies seront déposés, par qui, pour combien de temps et avec quelles conséquences ; (d) univoque — exprimé par un acte positif clair, jamais par défaut. Le retrait du consentement doit être aussi facile que son octroi (art. 7 § 3 RGPD), ce qui justifie le bouton permanent « Gérer mes cookies » en pied de page que recommande la présente politique.

Sanctions APD/GBA et amendes RGPD applicables

Les violations de la législation sur les cookies en Belgique exposent à un cumul de sanctions. Volet RGPD : l'APD peut prononcer une amende administrative allant jusqu'à 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial (art. 83 § 5 RGPD). Plusieurs sites belges ont été sanctionnés en 2023-2024 pour des montants allant de 5 000 à 100 000 EUR pour bandeaux non conformes (absence du bouton « Refuser tout », pré-cochage, dépôt de cookies avant consentement). Volet Loi 13/06/2005 : l'IBPT peut prononcer des sanctions administratives spécifiques liées aux communications électroniques. Action en cessation : tout intéressé (concurrent, association de consommateurs, particulier) peut introduire une action en cessation devant le Président du Tribunal de l'entreprise, comme l'a confirmé la Recommandation 01/2015. La mise en conformité doit donc être considérée comme un investissement de protection, non comme un coût optionnel.

Questions fréquentes

Publiez votre politique de cookies en quelques minutes

Conforme à la Loi belge du 13 juin 2005, au RGPD et aux Recommandations APD/GBA. PDF gratuit, prêt à publier sur votre site belge. Activez la section Expert pour la preuve audit.

Créer votre Politique de Cookies Parcourir tous les modèles

Gratuit · PDF instantané · Aucun compte requis