Qui doit publier une politique de confidentialité en Belgique ?

Toute personne physique ou morale qui collecte ou traite des données à caractère personnel sur le territoire belge ou s'adressant à des personnes en Belgique. Cela inclut les sites e-commerce, les SaaS, les indépendants, les ASBL, les cabinets médicaux ou juridiques, les médias et même les blogs avec un simple formulaire de contact ou des cookies analytiques. L'obligation découle des articles 13 et 14 RGPD et s'applique indépendamment de la taille de l'organisation.

Quand faut-il mettre à jour la politique de confidentialité ?

La politique doit être mise à jour à chaque changement substantiel : nouvelle finalité de traitement, nouveau sous-traitant, nouveau pays de transfert hors UE, modification des durées de conservation, évolution réglementaire (nouvelle ligne directrice de l'EDPB ou recommandation de l'APD), ou changement de DPO. Il est recommandé de procéder à une révision complète au moins une fois par an. L'APD attend une date de dernière mise à jour visible et un numéro de version sur le document publié.

Quelles sont les mentions obligatoires de l'article 13 RGPD ?

L'article 13 RGPD énumère 11 mentions obligatoires lors de la collecte directe : identité et coordonnées du responsable, coordonnées du DPO, finalités et bases légales, intérêts légitimes le cas échéant, destinataires, transferts hors UE et garanties, durée de conservation, droits des personnes, droit de retirer le consentement, droit de réclamation auprès de l'APD, caractère réglementaire ou contractuel de la fourniture, existence d'un profilage. L'omission d'une seule mention rend la politique non conforme et expose à une amende belge.

Peut-on cumuler plusieurs bases légales pour une même finalité ?

Non. Le Comité européen de la protection des données (EDPB) et l'APD belge sont catégoriques : chaque finalité doit reposer sur une seule base légale clairement identifiée parmi les six prévues à l'article 6 RGPD. La pratique consistant à invoquer simultanément le contrat ET le consentement ET l'intérêt légitime « pour sécuriser » est sanctionnée car elle prive la personne concernée d'informations claires sur ses droits — le retrait du consentement n'a pas le même effet que l'opposition à un traitement fondé sur l'intérêt légitime.

Quels droits les utilisateurs belges peuvent-ils exercer ?

Les articles 15 à 22 RGPD ouvrent sept droits : droit d'accès (Art. 15), droit de rectification (Art. 16), droit à l'effacement ou « à l'oubli » (Art. 17), droit à la limitation (Art. 18), droit à la portabilité (Art. 20), droit d'opposition (Art. 21) et droit de ne pas faire l'objet d'une décision automatisée (Art. 22). S'y ajoute le droit de retirer son consentement à tout moment (Art. 7§3). La réponse doit intervenir dans un délai d'un mois (Art. 12§3 RGPD), prolongeable de deux mois pour les demandes complexes, et être motivée en cas de refus.

Le DPO est-il obligatoire pour mon organisation belge ?

L'article 37 RGPD impose la désignation d'un Délégué à la Protection des Données dans trois cas : autorité ou organisme public (à l'exception des juridictions), traitement à grande échelle nécessitant un suivi régulier et systématique des personnes concernées (par exemple : plateformes de tracking comportemental, opérateurs télécoms), traitement à grande échelle de catégories particulières de données (santé, biométrie, opinions). En dehors de ces cas, la désignation reste facultative en Belgique mais souvent recommandée pour démontrer son accountability (Art. 5§2 RGPD).

Quelles sanctions l'APD peut-elle prononcer ?

La Chambre Contentieuse de l'APD belge peut prononcer des amendes administratives allant jusqu'à 10 millions EUR ou 2 % du chiffre d'affaires mondial pour les manquements à l'information (Art. 83§4 RGPD), et jusqu'à 20 millions EUR ou 4 % du chiffre d'affaires mondial pour les violations des principes fondamentaux ou des droits des personnes (Art. 83§5 RGPD). L'APD peut également prononcer des avertissements, des injonctions de mise en conformité, des limitations temporaires ou définitives de traitement, et publier ses décisions sur son site officiel — ce qui constitue souvent la sanction la plus dissuasive sur le plan réputationnel.

Comment encadrer les transferts de données hors Union européenne ?

Depuis l'arrêt Schrems II (CJUE, juillet 2020), tout transfert hors EEE doit reposer sur un fondement de l'article 46 RGPD. Pour les États-Unis, l'EU-US Data Privacy Framework (décision d'adéquation 2023/1795) couvre les prestataires américains certifiés. Pour les autres pays, les Clauses Contractuelles Types de la Commission (décision 2021/914) sont la solution standard, accompagnées d'une Transfer Impact Assessment (TIA) documentée selon la recommandation 01/2020 de l'EDPB. Les BCR (règles d'entreprise contraignantes) sont une alternative pour les groupes multinationaux. La politique doit lister les pays de destination et la garantie applicable.

Conformité & Données personnellesBE

Modèle gratuit de Politique de Confidentialité pour la Belgique

Une politique de confidentialité prête à l'emploi pour sites web, e-commerces, applications et services en Belgique. Conforme au RGPD (articles 13-14), à la loi belge du 30 juillet 2018 et aux recommandations de l'Autorité de Protection des Données (APD/GBA). Remplissez vos données et téléchargez votre PDF en quelques minutes.

Créer votre Politique de Confidentialité

Utilisation gratuitePDF instantanéAucun compte requis

POLITIQUE DE CONFIDENTIALITÉ

RGPD (UE 2016/679) · Loi Belge Du 30 Juillet 2018 · APD Belgique · Mise À Jour : 01/05/2026 · Version 2.1

RESPONSABLE DU TRAITEMENT

Belgacom Solutions SRL (SRL)

Avenue Louise 54, bte 5, 1050 Bruxelles · N° BCE : 0123.456.789 · Contact : contact@exemple.be · DPO : dpo@exemple.be

Site : exemple.be

Mise à jour : 01/05/2026 · v2.1

Belgacom Solutions SRL, SRL, dont le siège est établi à Avenue Louise 54, bte 5, 1050 Bruxelles, inscrite à la Banque-Carrefour des Entreprises sous le numéro 0123.456.789 (ci-après « nous », « notre société » ou le « Responsable du traitement »), attache la plus grande importance à la protection de vos données personnelles. La présente politique vous informe, conformément aux articles 13 et 14 du Règlement (UE) 2016/679 (RGPD) et à la Loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, de la manière dont vos données sont collectées, utilisées, conservées et protégées dans le cadre de notre commerce électronique « Belgacom Shop » accessible à l'adresse exemple.be.

En utilisant nos services, vous reconnaissez avoir pris connaissance de la présente politique. Pour toute question, vous pouvez nous contacter à l'adresse contact@exemple.be ou écrire directement à notre Délégué à la Protection des Données : dpo@exemple.be.

IDENTITÉ DU RESPONSABLE DU TRAITEMENT

Le responsable du traitement de vos données personnelles est Belgacom Solutions SRL, SRL, inscrite à la BCE sous le n° 0123.456.789, ayant son siège social à Avenue Louise 54, bte 5, 1050 Bruxelles.

Coordonnées de contact :
– E-mail : contact@exemple.be
– Téléphone : +32 2 123 45 67
– Délégué à la Protection des Données (DPO) : dpo@exemple.be (désigné conformément à l'article 37 du RGPD)

DONNÉES PERSONNELLES COLLECTÉES

Dans le cadre de notre commerce électronique, nous collectons les catégories de données personnelles suivantes :

Données d'identification (nom, prénom, date de naissance)
Coordonnées de contact (e-mail, téléphone, adresse postale)
Données de compte (identifiants, mot de passe chiffré, préférences)
Données de navigation (adresse IP, type de navigateur, pages visitées)
Données de paiement (numéro de carte tronqué, historique de transactions)
Données comportementales (achats, clics, temps passé sur le site)

Conformément au principe de minimisation (Art. 5§1c RGPD), nous ne collectons que les données strictement nécessaires aux finalités décrites à l'article suivant. Les champs marqués comme obligatoires lors de la collecte sont indispensables à l'exécution du service ; les champs facultatifs ne le sont pas et leur absence n'empêche pas l'utilisation des fonctionnalités essentielles.

FINALITÉS DU TRAITEMENT

Vos données personnelles sont collectées et traitées pour les finalités déterminées, explicites et légitimes suivantes (Art. 5§1b RGPD) :

Exécution du contrat de service ou de vente (livraison, facturation, support)
Création et gestion du compte utilisateur
Communication marketing (newsletter, promotions, offres personnalisées)
Respect des obligations légales (comptabilité, fiscalité, AML)
Sécurité du site et prévention de la fraude
Mesure d'audience et analyse statistique

Aucune donnée personnelle n'est traitée à des fins incompatibles avec les finalités initialement annoncées. Toute utilisation ultérieure pour une finalité distincte fera l'objet d'une information préalable et, le cas échéant, d'une nouvelle base légale conformément aux articles 6§4 et 13§3 du RGPD.

BASES LÉGALES DU TRAITEMENT (ART. 6 RGPD)

Chaque traitement de données personnelles repose sur l'une des bases licites prévues à l'article 6 du RGPD. En fonction de la finalité concernée, nous nous appuyons sur :

Exécution d'un contrat ou de mesures précontractuelles (Art. 6§1b RGPD)
Consentement de la personne concernée (Art. 6§1a RGPD)
Respect d'une obligation légale (Art. 6§1c RGPD)
Intérêt légitime du responsable du traitement (Art. 6§1f RGPD)

Lorsque le traitement est fondé sur votre consentement (Art. 6§1a et 7 RGPD), vous pouvez le retirer à tout moment, sans que ce retrait ne porte atteinte à la licéité du traitement effectué antérieurement. Lorsque nous invoquons un intérêt légitime (Art. 6§1f RGPD), nous procédons à une mise en balance documentée entre cet intérêt et vos droits et libertés fondamentaux ; cette analyse peut être consultée sur demande écrite à notre adresse de contact.

DESTINATAIRES DES DONNÉES

Vos données personnelles sont traitées par notre personnel autorisé, dans la limite stricte de leurs fonctions. Elles peuvent être communiquées aux catégories de destinataires suivantes :

nos sous-traitants (hébergeur, prestataire de paiement, plateforme d'envoi d'e-mails, service de support, etc.), liés par un contrat conforme à l'article 28 du RGPD garantissant un niveau de protection équivalent au nôtre ;
nos partenaires commerciaux autorisés, dans les limites strictement nécessaires à l'exécution du service ;
les autorités publiques compétentes, lorsque la loi belge ou européenne nous y oblige (par exemple : APD, fisc, autorités judiciaires).

En particulier, nos principaux sous-traitants sont les suivants :
OVHcloud (hébergement, France) · Stripe Payments Europe Ltd. (paiement, Irlande) · Mailchimp / Intuit (newsletter, USA — DPF certifié) · Google Workspace (e-mail pro, USA — DPF certifié) · Zendesk EU (support client, Pays-Bas)

Nous ne vendons ni ne louons jamais vos données personnelles à des tiers à des fins commerciales.

DURÉE DE CONSERVATION

Vos données personnelles sont conservées pendant la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, conformément au principe de limitation de la conservation (Art. 5§1e RGPD).

Durées de conservation appliquées :
Compte client : durée du contrat + 5 ans (preuve) — Données comptables : 7 ans (art. III.86 CDE) — Prospection commerciale : 3 ans à compter du dernier contact — Logs de connexion : 12 mois — Cookies analytics : 13 mois

VOS DROITS (ART. 15-22 RGPD)

Conformément aux articles 15 à 22 du RGPD et à la loi belge du 30 juillet 2018, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès (Art. 15) : obtenir la confirmation du traitement et une copie des données traitées ;
Droit de rectification (Art. 16) : faire corriger des données inexactes ou compléter des données incomplètes ;
Droit à l'effacement ou « droit à l'oubli » (Art. 17) : demander la suppression de vos données dans les cas prévus par la loi ;
Droit à la limitation (Art. 18) : restreindre temporairement le traitement en cas de contestation ;
Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine ;
Droit d'opposition (Art. 21) : vous opposer au traitement fondé sur l'intérêt légitime ou à la prospection commerciale ;
Droit de retirer votre consentement (Art. 7§3) à tout moment, lorsque le traitement repose sur celui-ci.

Vous pouvez exercer ces droits en nous contactant à l'adresse contact@exemple.be, accompagnée d'une preuve d'identité. Nous vous répondrons dans un délai d'un mois, prolongeable de deux mois pour les demandes complexes (Art. 12§3 RGPD).

SÉCURITÉ DES DONNÉES (ART. 32 RGPD)

Conformément à l'article 32 du RGPD, nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, et notamment :

chiffrement des données en transit (TLS 1.3) et, lorsque pertinent, au repos (AES-256) ;
contrôle d'accès strict (gestion des rôles, authentification multi-facteurs sur les outils d'administration) ;
sauvegardes régulières chiffrées, conservées sur des serveurs hébergés dans l'Union européenne ;
tests de sécurité périodiques et mises à jour de sécurité appliquées sans délai ;
formation et sensibilisation du personnel à la protection des données.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons l'APD (Autorité de Protection des Données) dans un délai de 72 heures et, si le risque est élevé, nous vous en informerons sans délai injustifié (Art. 33-34 RGPD).

COOKIES ET TRACEURS (LOI DU 13 JUIN 2005, ART. 129)

Notre site utilise des cookies et technologies similaires conformément à l'article 129 de la loi belge du 13 juin 2005 relative aux communications électroniques et aux exigences de l'APD.

Les cookies strictement nécessaires au fonctionnement du site (session, sécurité, panier d'achat) sont déposés sans recueillir votre consentement préalable, conformément à l'exemption prévue par la loi.

Les cookies analytiques, marketing et de réseaux sociaux ne sont déposés qu'après obtention de votre consentement explicite via la bannière cookies présentée à votre première visite. Vous pouvez à tout moment modifier vos choix en cliquant sur le bouton « Gérer mes cookies » accessible en bas de chaque page, ou directement via les paramètres de votre navigateur.

10.

MODIFICATIONS DE LA PRÉSENTE POLITIQUE

Nous nous réservons le droit de modifier la présente politique à tout moment, notamment pour tenir compte des évolutions légales, jurisprudentielles, techniques ou de notre activité. Toute modification substantielle vous sera communiquée par notification visible sur le site ou par e-mail au moins 30 jours avant son entrée en vigueur, lorsque cela est requis par le RGPD. La version en vigueur est toujours celle publiée sur notre site, datée et numérotée en haut de page.

11.

CONTACT

Pour toute question relative à la présente politique ou à l'exercice de vos droits :

E-mail : contact@exemple.be
Délégué à la Protection des Données : dpo@exemple.be
Téléphone : +32 2 123 45 67
Courrier : Avenue Louise 54, bte 5, 1050 Bruxelles

12.

RÉCLAMATION AUPRÈS DE L'AUTORITÉ DE CONTRÔLE

Si, après nous avoir contactés, vous estimez que vos droits en matière de protection des données ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'Autorité de Protection des Données (APD), autorité de contrôle belge compétente :

Autorité de Protection des Données / Gegevensbeschermingsautoriteit (GBA)
Rue de la Presse 35, 1000 Bruxelles
Téléphone : +32 2 274 48 00 — E-mail : contact@apd-gba.be
Site : www.autoriteprotectiondonnees.be

Vous conservez en outre la possibilité d'introduire un recours juridictionnel devant les tribunaux belges compétents (Art. 79 RGPD).

13.

INVENTAIRE DÉTAILLÉ DES COOKIES

Le tableau ci-dessous détaille l'ensemble des cookies déposés sur notre site, leur finalité, leur durée de conservation et l'éditeur, conformément aux recommandations de l'APD (Recommandation 01/2020) :

Cookies strictement nécessaires (sans consentement requis) :
– session_id : maintien de la session utilisateur · 30 minutes · interne
– csrf_token : protection contre les attaques CSRF · session · interne
– cookie_consent : mémorisation de vos choix cookies · 12 mois · interne

Cookies analytiques (consentement requis) :
– _ga, _ga_* : Google Analytics 4 · 13 mois · Google Ireland Ltd. (USA-DPF)
– _pk_id, _pk_ses : Matomo Analytics · 13 mois · auto-hébergé (UE)

Cookies marketing et publicitaires (consentement requis) :
– _fbp : Meta Pixel · 90 jours · Meta Platforms Ireland (USA-DPF)
– NID, IDE : Google Ads, retargeting · 13 mois · Google Ireland Ltd. (USA-DPF)
– _li_id : LinkedIn Insight Tag · 6 mois · LinkedIn Ireland

Vous pouvez à tout moment refuser, accepter sélectivement ou retirer votre consentement via le centre de préférences cookies accessible en bas de chaque page (« Gérer mes cookies »).

14.

TRANSFERTS DE DONNÉES HORS UNION EUROPÉENNE (ART. 44-49 RGPD)

Certains de nos sous-traitants étant établis en dehors de l'Espace économique européen, vos données peuvent faire l'objet d'un transfert vers les pays suivants :
États-Unis (USA-DPF), Royaume-Uni (décision d'adéquation 2021/1772)

Ces transferts sont encadrés par les garanties appropriées suivantes : EU-US Data Privacy Framework (décision d'adéquation 2023/1795). Vous pouvez obtenir une copie des garanties mises en place sur simple demande à notre adresse de contact.

Pour les transferts vers les États-Unis, nous vérifions systématiquement la certification de nos prestataires au EU-US Data Privacy Framework (décision d'adéquation 2023/1795). Pour les autres destinations, nous appliquons les Clauses Contractuelles Types de la Commission européenne (décision 2021/914), complétées si nécessaire par des mesures supplémentaires conformément à la jurisprudence Schrems II et aux recommandations 01/2020 de l'EDPB.

15.

DÉCISIONS AUTOMATISÉES ET PROFILAGE (ART. 22 RGPD)

Nous avons recours à des traitements automatisés, y compris du profilage, dans le cadre suivant :
Scoring anti-fraude lors des transactions par carte (basé sur historique d'achat, géolocalisation IP, empreinte navigateur). Recommandations produit personnalisées dans le compte client.

Ces traitements peuvent produire des effets juridiques vous concernant ou vous affecter de manière significative. Conformément à l'article 22 du RGPD, vous disposez du droit :

de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé ;
d'obtenir une intervention humaine de notre part ;
d'exprimer votre point de vue et de contester la décision ;
d'obtenir des informations sur la logique sous-jacente, l'importance et les conséquences prévues du traitement.

Pour exercer ces droits, contactez-nous à contact@exemple.be en précisant la décision concernée.

16.

TABLEAU DÉTAILLÉ DES DURÉES DE CONSERVATION

En complément de l'article relatif à la durée de conservation, le tableau ci-dessous détaille les durées appliquées pour chaque catégorie de finalité, conformément au principe de limitation de la conservation (Art. 5§1e RGPD) :

Compte client actif : durée du contrat — Compte client clôturé : 5 ans (preuve) — Données comptables et fiscales : 7 ans (art. III.86 CDE) — Données de prospection : 3 ans après dernier contact — Logs serveur : 12 mois — Logs sécurité (tentatives de connexion) : 6 mois — Vidéosurveillance des locaux : 30 jours — Cookies analytics : 13 mois — Cookies marketing : 6 mois

À l'expiration des durées indiquées, les données sont définitivement supprimées de nos systèmes actifs ou anonymisées de manière irréversible à des fins statistiques.

17.

PROCÉDURE EN CAS DE VIOLATION DE DONNÉES (ART. 33-34 RGPD)

Nous avons mis en place une procédure documentée de gestion des violations de données :

Détection : surveillance continue par outils SIEM, journalisation centralisée, alertes en temps réel ;
Qualification : analyse de l'incident par notre équipe sécurité dans les 24 heures suivant la détection ;
Notification à l'APD : dans un délai de 72 heures via la plateforme officielle (Art. 33 RGPD), incluant la nature de la violation, les catégories de personnes et de données concernées, les conséquences probables et les mesures prises ;
Communication aux personnes concernées : sans délai injustifié lorsque la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés (Art. 34 RGPD) ;
Documentation : tenue d'un registre interne de toutes les violations, qu'elles aient ou non été notifiées à l'APD.

Politique de Confidentialité — Belgacom Solutions SRL
Version 2.1 · Mise à jour le 01/05/2026
Document publié unilatéralement par le responsable du traitement — aucune signature requise.

Qu'est-ce qu'une politique de confidentialité en Belgique ?

Une politique de confidentialité — également appelée « déclaration de confidentialité » ou « privacy notice » — est un document légal unilatéral par lequel le responsable du traitement informe les personnes concernées de la manière dont leurs données personnelles sont collectées, utilisées, conservées, partagées et protégées. En Belgique, ce document est obligatoire pour toute personne ou organisation qui traite des données à caractère personnel : sites de e-commerce, plateformes SaaS, indépendants, ASBL, hôpitaux, établissements financiers, médias en ligne ou simples blogs équipés d'un formulaire de contact ou de cookies analytiques.

L'obligation de fournir une politique de confidentialité découle directement des articles 13 et 14 du Règlement général sur la protection des données (RGPD, Règlement UE 2016/679). Ces dispositions imposent au responsable du traitement de communiquer aux personnes concernées un ensemble précis d'informations dès la collecte des données : identité du responsable, finalités, bases légales, destinataires, durées de conservation, droits, transferts hors Union européenne et procédure de réclamation auprès de l'Autorité de Protection des Données (APD). En Belgique, ces exigences sont complétées par la Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (LCV).

Au-delà de l'obligation légale, la politique de confidentialité est devenue un standard de confiance numérique en Belgique. L'APD/GBA inflige régulièrement des sanctions financières aux organisations dont les politiques sont absentes, génériques ou non conformes : copier-coller depuis un site étranger, absence de base légale par finalité, oubli des recommandations 01/2020 sur les cookies. Une politique bien rédigée — claire, spécifique à votre activité, à jour des dernières évolutions du RGPD — protège votre organisation contre les amendes (jusqu'à 20 millions EUR ou 4 % du chiffre d'affaires mondial selon l'article 83 RGPD) et renforce la relation de confiance avec vos utilisateurs belges.

Ce que contient ce modèle

Le modèle de politique de confidentialité belge de Doxuno couvre toutes les mentions obligatoires des articles 13 et 14 du RGPD, complétées par les sections Expert recommandées par l'APD pour résister à un audit GBA en Belgique.

Identité du responsable du traitement

Dénomination, BCE, siège, e-mail et coordonnées du DPO conformes à l'article 13§1a RGPD

Données personnelles collectées

Catégories détaillées avec respect du principe de minimisation (Art. 5§1c RGPD)

Finalités du traitement

Finalités déterminées, explicites et légitimes selon l'article 5§1b RGPD

Bases légales (Art. 6 RGPD)

Consentement, contrat, obligation légale, intérêt légitime — une base par finalité

Destinataires et sous-traitants

Sous-traitants article 28 RGPD, partenaires et autorités publiques belges

Durées de conservation

Durées indicatives (compte client, comptabilité 7 ans CDE, prospection, logs)

Droits des personnes (Art. 15-22)

Accès, rectification, effacement, limitation, portabilité, opposition, retrait du consentement

Sécurité des données (Art. 32)

Mesures techniques et organisationnelles : chiffrement TLS 1.3, MFA, sauvegardes UE

Cookies (Loi 13/06/2005, art. 129)

Distinction cookies essentiels / analytiques / marketing — consentement APD

Transferts hors UE (Art. 44-49)

EU-US DPF, Clauses Contractuelles Types, BCR — analyse post-Schrems II

Profilage et décisions automatisées

Information renforcée article 22 RGPD pour scoring, recommandations, segmentation

Réclamation auprès de l'APD

Coordonnées complètes de l'Autorité de Protection des Données belge à Bruxelles

Comment créer votre politique de confidentialité en Belgique

Aucune compétence juridique n'est requise. Le formulaire Doxuno vous guide section par section et génère un document conforme aux exigences belges en quelques minutes.

1
Identifiez le responsable du traitement
Indiquez la dénomination sociale exacte enregistrée à la Banque-Carrefour des Entreprises (BCE), la forme juridique (SRL, SA, ASBL, indépendant), le siège social, le numéro d'entreprise à 10 chiffres et l'e-mail de contact général. Si votre activité l'impose (article 37 RGPD : organismes publics, traitement à grande échelle de données sensibles, suivi systématique), désignez un Délégué à la Protection des Données et publiez son adresse e-mail dédiée.
2
Décrivez votre site et votre secteur
Renseignez l'URL du site ou de l'application, le nom commercial du service et le secteur d'activité (e-commerce, SaaS, services professionnels, santé, finance, média). Fixez la date de dernière mise à jour et le numéro de version — éléments visibles en tête de page et exigés par l'APD pour démontrer votre démarche d'actualisation continue de la politique.
3
Sélectionnez les données et finalités
Cochez les catégories de données réellement traitées (identification, contact, navigation, paiement, comportement, localisation), les finalités poursuivies (exécution du contrat, gestion de compte, marketing, obligations légales, sécurité) et la base légale RGPD applicable à chacune (consentement, contrat, obligation légale, intérêt légitime). Le principe de minimisation interdit de collecter au-delà du nécessaire.
4
Précisez conservation, sous-traitants et cookies
Indiquez vos durées de conservation par catégorie (par défaut : compte client durée du contrat + 5 ans, comptabilité 7 ans selon l'article III.86 CDE, logs 12 mois). Listez vos principaux sous-traitants au sens de l'article 28 RGPD (hébergeur, paiement, e-mailing, support). Activez la clause cookies de base conforme à l'article 129 de la loi belge du 13 juin 2005.
5
Activez les clauses Expert et téléchargez
Pour une politique résistante à un audit APD, activez les sections Expert : inventaire détaillé des cookies (recommandation 01/2020), analyse des transferts hors UE post-Schrems II, profilage et décisions automatisées (Art. 22), traitement de catégories spéciales (Art. 9), tableau exhaustif des durées et procédure documentée de gestion des violations (Art. 33-34). Votre politique est générée en PDF professionnel, prête à être publiée sur votre site belge.

Considérations juridiques en Belgique

La politique de confidentialité est un document juridique sensible. Plusieurs aspects méritent une attention particulière avant la publication, notamment lorsque vous traitez des données sensibles ou opérez dans un secteur réglementé en Belgique.

Ce modèle est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour les sites traitant des données de santé, des données bancaires ou s'adressant à des mineurs, ainsi qu'en cas de contrôle ou d'audit par l'APD, consultez un avocat spécialisé en droit de la protection des données inscrit au barreau belge.

Contenu vérifié par des juristes spécialisés en droit belge de la protection des données. Les clauses ont été passées en revue à la lumière des recommandations de l'APD/GBA et de la jurisprudence belge récente en matière de RGPD.

Articles 13 et 14 RGPD — Information préalable obligatoire

Les articles 13 et 14 du Règlement (UE) 2016/679 imposent au responsable du traitement de fournir à la personne concernée, dès la collecte directe (Art. 13) ou indirecte (Art. 14) des données, un ensemble exhaustif d'informations : identité et coordonnées du responsable, coordonnées du DPO le cas échéant, finalités du traitement et base légale, intérêts légitimes poursuivis, destinataires ou catégories de destinataires, transferts vers des pays tiers et garanties applicables, durée de conservation, existence des droits (accès, rectification, effacement, limitation, portabilité, opposition), droit de réclamation auprès de l'APD. L'omission d'une seule de ces mentions constitue une violation susceptible d'amende administrative en Belgique.

Loi du 30 juillet 2018 (LCV) et compétence de l'APD/GBA

En Belgique, la Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (dite « LCV ») complète et adapte le RGPD au droit belge. Elle confère à l'Autorité de Protection des Données (APD) — ou Gegevensbeschermingsautoriteit (GBA) en néerlandais — un pouvoir de contrôle, d'enquête et de sanction. La Chambre Contentieuse de l'APD peut prononcer des amendes administratives allant jusqu'à 20 millions EUR ou 4 % du chiffre d'affaires mondial annuel (Art. 83 RGPD), ainsi que des injonctions de mise en conformité, des limitations temporaires de traitement et la publicisation des sanctions.

Loi du 13 juin 2005 — Cookies et traceurs (art. 129)

En matière de cookies et de technologies de suivi similaires, l'article 129 de la Loi du 13 juin 2005 relative aux communications électroniques transpose la directive ePrivacy (2002/58/CE modifiée). Le dépôt de cookies non strictement nécessaires (analytiques, publicitaires, réseaux sociaux) requiert le consentement préalable, libre, spécifique, éclairé et univoque de l'utilisateur. L'APD a publié en 2020 une Recommandation 01/2020 détaillant les exigences pratiques : bannière non manipulatrice, refus aussi simple que l'acceptation, granularité par finalité, inventaire détaillé des cookies. Le non-respect de l'article 129 est sanctionné distinctement du RGPD.

Règles sectorielles : santé, financier, mineurs

Certains secteurs imposent des obligations renforcées. Le traitement de données de santé est encadré par l'article 9 RGPD et la Loi du 22 août 2002 relative aux droits du patient ; le secret médical impose des mesures de sécurité particulières et un Registre des traitements détaillé (Art. 30 RGPD). Le secteur financier doit composer avec la directive PSD2, la loi belge anti-blanchiment du 18 septembre 2017 et les conservations longues exigées (10 ans). Pour les sites accessibles à des mineurs, l'article 8 RGPD fixe l'âge de consentement aux services de la société de l'information à 13 ans en Belgique (transposition LCV) — en deçà, le consentement parental est requis. Une politique de confidentialité doit refléter ces spécificités sectorielles.

Questions fréquentes

Prêt à publier une politique de confidentialité conforme au droit belge ?

Remplissez vos données et obtenez en quelques minutes une politique de confidentialité conforme au RGPD, à la loi belge du 30 juillet 2018 et aux recommandations de l'APD/GBA. Gratuit, sans compte requis pour la version de base.

Créer votre Politique de Confidentialité Parcourir tous les modèles

Gratuit · PDF instantané · Aucun compte requis