Politique de Cookies Belgique
Qu'est-ce qu'un Politique de Cookies Belgique ?
La Politique de Cookies en Belgique est régie par Loi belge du 13 juin 2005 sur les communications electroniques art. 129 et encadre les engagements réciproques des parties contractantes sous le régime du droit belge des obligations.
La Politique de Cookies belge distingue deux catégories fondamentales de cookies. La première catégorie comprend les cookies strictement nécessaires au fonctionnement du site (session utilisateur, sécurité CSRF, panier d'achat, préférence de langue) qui sont exempts de consentement selon l'art. 129 alinéa 3 de la Loi du 13 juin 2005 : le dépôt de ces cookies ne peut être refuse sans altérer l'expérience essentielle du site. La deuxième catégorie comprend les cookies optionnels (analytiques, publicitaires, réseaux sociaux) qui nécessitent un consentement préalable, libre, spécifique, éclaire et univoque de l'utilisateur avant tout dépôt.
Le cadre juridique belge des cookies a été considérablement renforce depuis 2020. L'Autorité de protection des données (APD) belge a publie en 2020 des lignes directrices spécifiques sur les cookies et la gestion du consentement, et le Comité européen de la protection des données (EDPB) a publie les lignes directrices 05/2020 sur le consentement. Ces textes précisent que le consentement aux cookies doit être : spécifique par catégorie (pas d'acceptation globale valide sans distinction analytique/marketing), libre (bouton refuser tout aussi visible que bouton accepter tout), éclaire (information complète sur chaque cookie avant consentement), révocable à tout moment aussi facilement qu'il a été accorde. L'arrêt CJUE Planet49 du 1er octobre 2019 a confirme que les cases pré-cochées ne constituent pas un consentement valide pour les cookies.
Les transferts de données vers les États-Unis via les cookies publicitaires (Google Analytics, Facebook Pixel, Hotjar) sont particulièrement encadres en Belgique depuis l'arrêt Schrems II de la CJUE (16 juillet 2020). L'APD belge, en coordination avec l'EDPB, a constate que l'utilisation de Google Analytics dans sa configuration par défaut implique un transfert de données vers les USA non conforme au RGPD. Depuis juillet 2023, le Cadre Transatlantique de Protection des Données (Data Privacy Framework DPF) autorise de nouveau les transferts vers les entreprises américaines certifiées DPF. Les sites web belges doivent vérifier la certification DPF de chaque service américain utilise ou implémenter les CCT 2021 plus un Transfer Impact Assessment.
La Consent Management Platform (CMP) est l'outil technique qui matérialise la bannière de consentement. Les CMP permettent de recueillir, stocker et prouver les consentements des utilisateurs (obligatoire pour audit APD). En Belgique, les CMP conformes RGPD et IAB TCF v2.2 sont recommandées par l'APD pour les sites utilisant des partenaires publicitaires programmatiques (Google Ad Manager, Thé Trade Desk, etc.). Les principales CMP compatibles avec le droit belge : Axeptio, Didomi, Cookiebot, OneTrust, CookieYes. L'IAB (Interactive Advertising Bureau) a publie le Transparency and Consent Framework (TCF v2.2) comme standard sectoriel pour la publicité programmatique, compatible avec le RGPD.
La durée de validité du consentement aux cookies en Belgique est de 12 mois maximum selon les recommandations de l'APD belge (analogie avec les recommandations CNIL française), après quoi la bannière doit réapparaître pour renouveler le consentement. Cette durée de 12 mois est inférieure a la durée de vie technique de certains cookies publicitaires (jusqu'a 13 mois pour Google Analytics _ga) mais c'est la durée du consentement qui prime. Les journaux de consentement doivent être conserves pour prouver la conformité en cas de contrôle APD.
Quand avez-vous besoin d'un Politique de Cookies Belgique ?
La Politique de Cookies et Bannière de Consentement est requise pour tout site web belge utilisant des cookies ou technologies similaires non strictement essentiels.
Sites e-commerce avec Google Analytics et Facebook Pixel. Pour les boutiques en ligne belges utilisant Google Analytics pour mesurer leur audience et Facebook Pixel pour le retargeting publicitaire, la Politique de Cookies est indispensable. L'APD belge a contrôle plusieurs sites e-commerce belges suite a des plaintes et a exige la mise en conformité de leur bannière cookies. Les boutiques Shopify, WooCommerce et PrestaShop doivent installer un plugin CMP conforme (Cookiebot, Axeptio, CookieYes) et configurer leur Politique de Cookies.
Sites institutionnels et corporate avec outils de mesure. Pour les sites institutionnels (associations, entreprises, ONG) utilisant des outils de mesure d'audience comme Google Analytics, Matomo ou AT Internet, la Politique de Cookies est obligatoire même si les cookies sont anonymises. L'APD belge a confirme que Google Analytics avec anonymisation IP ne dispense pas totalement de consentement car des transferts vers les USA demeurent. Matomo (anciennement Piwik) configure en mode cookieless ou avec cookies strictement anonymises peut être exemptable de consentement selon certaines interprétations.
Blogues et sites de contenu avec publicité display. Pour les sites de contenu (blogues, magazines en ligne, sites d'information) monetises via la publicité display (Google AdSense, Taboola, Outbrain), la gestion du consentement cookies est particulièrement complexe : les partenaires publicitaires du réseau programmatique utilisent des cookies de ciblage (third-party cookies) nécessitant un consentement granulaire conforme au TCF v2.2. Une CMP certifiée TCF v2.2 est généralement requise pour les sites belges participant a l'écosystème publicitaire programmatique.
Applications mobiles avec traceurs. Pour les applications mobiles belges disponibles sur App Store (Apple) ou Google Play (Google), les traceurs d'utilisation (Firebase Analytics, Amplitude, Mixpanel) et les traceurs publicitaires (IDFA iOS, GAID Android) sont soumis a des règles similaires aux cookies web. Apple a impose depuis iOS 14.5 son cadre App Tracking Transparency (ATT) exigeant un consentement explicite pour le suivi cross-app. La Politique de Cookies doit mentionner les traceurs utilises dans l'application.
Sites web des administrations publiques belges. Les sites web des communes belges, SPF, Régions, Communautés et organismes publics sont également soumis aux obligations cookies et RGPD. L'APD belge a contrôle plusieurs sites web d'administrations publiques belges et a constate des non-conformites (absence de bannière cookies, Google Analytics sans consentement). Les administrations publiques doivent donner l'exemple en termes de conformité RGPD.
Que faut-il inclure dans votre Politique de Cookies Belgique ?
La Politique de Cookies et Bannière de Consentement belge conforme comprend plusieurs éléments essentiels qui structurent la gestion du consentement.
Tableau exhaustif des cookies utilises. La Politique de Cookies doit lister tous les cookies et technologies similaires déployés sur le site, en précisant pour chaque cookie : nom exact du cookie, service émetteur (premier ou tiers), finalité précise, durée de vie (session ou durée fixe en jours/mois), catégorie (essentiel, analytique, marketing, réseaux sociaux), émetteur tiers si applicable (Google LLC, Meta Platforms, etc.) avec pays d'établissement. Cette liste doit être mise à jour chaque fois qu'un nouveau cookie est ajoute ou qu'un cookie existant est modifie. Sur forms-légal.com, le modèle de Politique de Cookies belge propose un tableau structurant clair et complet, conforme aux exigences de l'APD belge.
Distinction claire essentiel versus optionnel. La distinction entre cookies essentiels (exempts de consentement) et cookies optionnels (nécessitant consentement) est fondamentale. Les cookies essentiels couvrent : sessions utilisateur et authentification, sécurité (protection CSRF, prévention des attaques), préférences de base (langue, thème), panier d'achat. Les cookies analytiques (mesure d'audience, amélioration du site) et publicitaires (ciblage, retargeting) sont systématiquement optionnels. Les widgets de réseaux sociaux (boutons LinkedIn, Facebook, Twitter) déployant des cookies tiers sont également optionnels.
Mécanisme de consentement valide (IAB TCF v2.2 recommande). La bannière de consentement doit respecter les critères RGPD : premier et deuxième couche claires (bannière initiale + paramètres détaillés), bouton refuser tout aussi visible et accessible que bouton accepter tout (dérogation non admise), absence de tout cookie non essentiel avant consentement (ne pas predepiler des cookies puis demander consentement), conservation du journal de consentement (proof of consent) pendant 3 ans, absence de dark patterns (interface trompeuse incitant au consentement). L'APD belge a sanctionne plusieurs CMP belges utilisant des dark patterns.
Information sur les transferts hors EEE. Pour chaque service tiers impliquant un transfert vers les USA ou d'autres pays hors EEE, la Politique de Cookies doit mentionner : le nom du service et de son éditeur, le pays d'établissement, le mécanisme de conformité RGPD (Décision d'adéquation, CCT 2021, DPF pour les USA), un lien vers la politique de confidentialité du tiers. Post-Schrems II, les principales certifications a vérifier : Google LLC (Google Analytics, Google Ads) : certifie DPF depuis juillet 2023 ; Meta Platforms Inc. (Facebook Pixel) : certifie DPF depuis juillet 2023 ; Hotjar Ltd (Malte, EEE) : adéquation EEE ; HubSpot (USA) : certifie DPF.
Procédures de gestion et retrait du consentement. La Politique de Cookies doit expliquer clairement les modalités de gestion et retrait du consentement : accès au panneau de gestion des préférences (bouton ou lien en pied de page, généralement icône Paramètres cookies ou Gérer mes préférences), retrait aussi facile que l'accordement du consentement (principe RGPD), impact du retrait sur l'expérience du site (les fonctionnalités essentielles ne sont pas affectées), paramertres du navigateur (instructions pour les principaux navigateurs), opt-out des réseaux publicitaires (liens vers les outils d'opt-out sectoriels : Your Online Choices, Google Ads Settings, Facebook Ad Préférences). La durée de validité du consentement (12 mois maximum en Belgique) doit être mentionnée.
Mise à jour et date de version. La Politique de Cookies doit être datée et mise à jour a chaque modification (ajout d'un nouveau service utilisant des cookies, retrait d'un service, évolution des exigences légales). La date de la dernière mise à jour doit être visible en tête du document. En cas de modification substantielle (ajout d'une nouvelle catégorie de cookies), les visiteurs ayant préalablement donne leur consentement doivent en être informes et invites a renouveler leur consentement.
Comment remplir votre Politique de Cookies Belgique
Mettre en conformité la gestion des cookies d'un site web belge avec la Loi du 13 juin 2005 et le RGPD requiert une approche méthodique en plusieurs étapes.
Étape 1 - Auditer les cookies existants. Avant de rédiger la Politique de Cookies, réaliser un audit complet des cookies et traceurs présentes sur le site : utiliser un outil d'audit automatique (CookieBot audit gratuit, OneTrust scanner, Privacy Bée ou simplement les outils développeur du navigateur Chrome en mode inspection). Identifier chaque cookie : nom, domaine émetteur, durée de vie, finalité probable. Regrouper par catégorie : essentiel, analytique, marketing, réseaux sociaux. Vérifier si certains cookies sont déposés avant le consentement (non conforme). Documenter l'audit pour prouver la conformité a l'APD belge.
Étape 2 - Choisir et configurer une CMP (Consent Management Platform). Pour les sites belges de moyenne et grande taille, l'installation d'une CMP est recommandée pour gérer le consentement de manière fiable et auditable. Critères de sélection d'une CMP conforme en Belgique : conformité IAB TCF v2.2 (pour les sites avec publicité programmatique), conservation des preuves de consentement, personnalisation en français et néerlandais, compatibilité avec les principaux CMS (WordPress, Drupal, Joomla, PrestaShop), mise à jour automatique des règles pour les changements légaux. CMP compatibles avec le droit belge : Cookiebot (Usercentrics), Axeptio (française, très utilisée en Belgique), Didomi, OneTrust.
Étape 3 - Catégoriser les cookies par niveau de consentement. Distinguer clairement : cookies strictement nécessaires (aucun consentement requis, toujours actifs) ; cookies analytiques (consentement requis, actives uniquement après consentement) ; cookies marketing et publicitaires (consentement requis, catégorise séparément des analytiques) ; cookies de réseaux sociaux (consentement requis, catégorise séparément). Configurer la CMP pour désactiver par défaut toutes les catégories optionnelles, ne les activer qu'après consentement positif de l'utilisateur.
Étape 4 - Configurer la bannière de consentement conforme. Respect des critères APD belge et EDPB pour la bannière : bouton refuser tout visible et de taille équivalente au bouton accepter tout en première couche ; bouton paramétrer/personnaliser visible permettant un choix granulaire ; aucun cookies non essentiel déposé avant interaction de l'utilisateur ; aucune case pré-cochée dans les paramètres détaillés ; absence de dark patterns (texte trompeur, couleurs incitant au consentement, difficulté de refus). La bannière doit s'afficher a la première visite et réapparaître après 12 mois maximum pour renouvellement du consentement.
Étape 5 - Configurer le stockage des cookies conformément aux durées déclarées. Vérifier que les durées de vie techniques des cookies correspondent aux durées déclarées dans la Politique de Cookies. Si un cookie est déclaré comme durant 13 mois, vérifier que sa date d'expiration technique est bien paramétrée a 13 mois. Certains cookies tiers (Google Analytics) ont des durées par défaut modifiables dans la configuration du service.
Étape 6 - Gérer les transferts hors EEE. Pour chaque service tiers utilisant des cookies et établi hors EEE : vérifier si la certification DPF (Data Privacy Framework) est en vigueur pour les services américains via le portail dataprivacyframework.gov ; si non certifie DPF, vérifier si les CCT 2021 sont en place (généralement dans les conditions du service et le DPA du prestataire) ; réaliser et documenter un Transfer Impact Assessment (TIA) pour les services a risque élevé. Documenter toutes ces vérifications pour l'APD belge.
Étape 7 - Coordonner la Politique de Cookies avec la Politique de Confidentialité. Les deux documents doivent être cohérents et ne pas se contredire sur les finalités, les durées de conservation et les destinataires des données. La Politique de Confidentialité doit renvoyer vers la Politique de Cookies pour les traitements via cookies. La Politique de Cookies doit renvoyer vers la Politique de Confidentialité pour les droits des personnes concernées.
Exigences juridiques pour Politique de Cookies Belgique
La gestion des cookies en Belgique repose sur plusieurs textes légaux européens et belges cumulatifs.
Loi belge du 13 juin 2005 sur les communications électroniques (art. 129). Transposant la Directive ePrivacy 2002/58/CE modifiée par la Directive 2009/136/CE (dite Cookie Directive), l'art. 129 de la Loi du 13 juin 2005 interdit le stockage d'informations dans l'équipement d'un abonne ou utilisateur ou l'accès a des informations déjà stockées, sauf si l'abonne ou l'utilisateur a donne son accord après avoir reçu une information claire et complète sur l'objet du traitement et sur son droit d'opposition. Exception : les cookies strictement nécessaires a la fourniture du service expressément demande par l'utilisateur sont exemptables de consentement. Le non-respect de l'art. 129 peut être sanctionne par l'Autorité belge de la concurrence (ABC) et le Tribunal de l'entreprise.
RGPD art. 6 (bases juridiques) et lignes directrices EDPB. L'art. 6.1.a RGPD impose les conditions du consentement valide pour les cookies non essentiels : libre (pas de contrainte service vs consentement), spécifique (par catégorie et par finalité), éclaire (information préalable complète), univoque (action positive, case a cocher décochée par défaut). L'arrêt CJUE Planet49 du 1er octobre 2019 (C-673/17) a clarifie que les cases pré-cochées ne constituent pas un consentement valide. Les lignes directrices EDPB 05/2020 sur le consentement précisent que le bouton refuser tout doit être aussi visible que le bouton accepter tout.
Lignes directrices APD belge sur les cookies (2020 et suivantes). L'APD belge a publie des recommandations spécifiques sur les cookies, alignées avec les lignes directrices EDPB et prenant en compte les spécificités du droit belge. Points clés : durée maximale de validité du consentement 12 mois (recommandation APD) ; interdiction stricte des dark patterns dans les bannières (couleurs trompeuses, frictions artificielles pour refuser) ; obligation de conservation des preuves de consentement ; cookie walls (bloquer le contenu sans consentement) généralement considérés comme non conformes car le consentement ne serait pas libre.
IAB TCF v2.2 et publicité programmatique. Pour les sites utilisant des partenaires publicitaires de l'écosystème programmatique (Google Ad Manager, Thé Trade Desk, Amazon Advertising), le Transparency and Consent Framework (TCF) version 2.2 de l'Interactive Advertising Bureau Europe est le standard sectoriel. L'APD belge a surveille et sanctionne l'IAB Europe en 2022 pour insuffisances du TCF v2.2 (décision du 2 février 2022), entraînant des modifications importantes du cadre. Les sites belges utilisant le TCF v2.2 doivent s'assurer d'utiliser une CMP implémentant la version la plus récente et conforme du TCF.
Directive NIS2 et cybersecurite des sites web (Loi du 26 avril 2024). La Directive UE 2022/2555 (NIS2) impose aux fournisseurs de services numériques des obligations de sécurité renforcées. Les exploitants de sites web importants ou essentiels doivent mettre en oeuvre des mesures de sécurité incluant la gestion des risques, la notification des incidents et des mesures de continuité d'activité. Ces obligations de sécurité s'appliquent également aux cookies et aux systèmes de gestion du consentement : une CMP compromise pourrait exposer l'opérateur a des sanctions NIS2.
Erreurs courantes à éviter dans votre Politique de Cookies Belgique
Plusieurs erreurs courantes dans la gestion des cookies belges exposent les opérateurs de sites web a des sanctions APD.
Erreur 1 - Cookies non essentiels déposés avant le consentement. Beaucoup de sites web déposent des cookies analytiques (Google Analytics) ou publicitaires (Facebook Pixel) avant que l'utilisateur ait clique sur la bannière de consentement. Cette pratique viole l'art. 129 de la Loi du 13 juin 2005 et l'art. 6 RGPD. L'APD belge a sanctionne des sites pour cette raison. Bonne pratique : configurer la CMP pour bloquer strictement tout script de cookies non essentiels jusqu'au consentement positif de l'utilisateur.
Erreur 2 - Bouton refuser tout absent ou masque. De nombreux sites web belges affichent un bouton Accepter tout prominent en première couche et dissimulent le bouton de refus dans une deuxième couche (Personnaliser) ou ne proposent pas de bouton refuser tout en première couche. L'APD belge (et l'EDPB dans ses lignes directrices 05/2020 mises à jour) exige que le refus soit aussi accessible que l'acceptation. Bonne pratique : afficher les boutons Accepter tout et Refuser tout de manière équivalente en première couche de la bannière.
Erreur 3 - Cases pré-cochées dans le gestionnaire de préférences. Afficher les catégories de cookies optionnels avec des cases déjà cochées dans le panneau de personnalisation viole le principe du consentement univoque (action positive requise). L'arrêt CJUE Planet49 a clairement invalidé cette pratique. Bonne pratique : toutes les catégories optionnelles doivent être décochées par défaut dans le panneau de personnalisation.
Erreur 4 - Cookie Wall ou Pay-or-Consent model. Bloquer l'accès au contenu d'un site jusqu'a ce que l'utilisateur accepte tous les cookies non essentiels (cookie wall) est généralement considère comme une violation du principe de liberté du consentement RGPD, car le consentement n'est pas véritablement libre si l'accès au service en dépend. L'APD belge a exprime des réserves sur les cookie walls. Exception nuancée : les modèles de type consentement ou abonnement payant (subscription model) peuvent être admis si l'abonnement est propose a un prix raisonnable, mais la légalité varie selon les autorités nationales.
Erreur 5 - Politique de Cookies non mise à jour après changement de service. Beaucoup d'opérateurs de sites web ajoutent de nouveaux services tiers (nouvel outil de marketing, nouveau réseau social, nouveau processeur de paiement) sans mettre à jour leur Politique de Cookies. Les cookies déposés par ces nouveaux services ne sont pas mentionnes dans la politique ni pris en compte dans la bannière de consentement. Bonne pratique : réaliser un audit de cookies après chaque modification technique significative du site et mettre à jour la Politique de Cookies en conséquence.
Erreur 6 - Google Analytics sans configuration de conformité post-Schrems II. Google Analytics dans sa configuration par défaut (sans anonymisation IP et avec transmission des données vers les USA) est considère comme non conforme au RGPD par plusieurs APD européennes dont l'APD belge. Bonne pratique : configurer Google Analytics 4 avec les paramètres de conformité RGPD (désactivation des données de signaux Google, paramétrage de conservation des données a 2 mois minimum, activation de l'anonymisation), ou migrer vers Matomo (solution europenne) en mode cookieless ou sur serveur propre.
Questions Fréquentes
En Belgique, les cookies strictement nécessaires au fonctionnement du site web sont exemptables de consentement en vertu de l'art. 129 alinéa 3 de la Loi du 13 juin 2005 sur les communications électroniques. Ces cookies exemptables comprennent : les cookies de session utilisateur (maintien de l'authentification pendant la navigation) ; les cookies de sécurité (protection CSRF, prévention des attaques XSS) ; les cookies de préférence de base (mémorisation de la langue sélectionnée, du mode d'affichage) ; les cookies de panier d'achat (maintien du contenu du panier pour les sites e-commerce) ; certains cookies d'équilibrage de charge serveur. A contrario, les cookies analytiques (Google Analytics, Matomo avec cookies), les cookies publicitaires et de ciblage (Facebook Pixel, Google Ads), les cookies de réseaux sociaux (boutons de partage LinkedIn, Facebook) et les cookies de personnalisation avancée (profilage comportemental) nécessitent un consentement préalable. La frontière entre essentiel et optionnel doit être appréciée strictement : en cas de doute, l'APD belge conseille de demander le consentement.
La légalité des cookie walls (bloquer l'accès au contenu sans consentement aux cookies) est une question controversée en droit belge. La position dominante des autorités européennes de protection des données, y compris l'APD belge, est que les cookie walls purs violent le principe de liberté du consentement RGPD art. 7.4 : si l'accès au service est conditionne au consentement aux cookies non essentiels, le consentement n'est pas véritablement libre. Cependant, le modèle alternatif dit consentement ou abonnement payant (pay or consent ou consentement ou équivalence financière) est admis sous conditions par certaines autorités (dont l'APD belge dans sa recommandation de janvier 2024 n 01/2024) : l'abonnement payant doit être propose a un prix raisonnable représentant la juste valeur du service, les deux options doivent être clairement présentées, et l'accès par abonnement ne doit pas collecter plus de données que l'accès sans consentement publicitaire. Les éditeurs de presse belges en ligne utilisent ce modèle depuis 2023-2024. Les PME et sites institutionnels ne devraient généralement pas implémenter de cookie walls en raison du risque légal.
Google Analytics (GA4) dans sa configuration par défaut est considère comme posant des problèmes de conformité RGPD en Belgique et dans plusieurs pays de l'UE, principalement en raison des transferts de données vers les États-Unis. L'APD belge a suivi les positions de l'APD autrichienne (Datenschutzbehorde) et de la CNIL française qui ont constate en 2022 des violations du RGPD liées a l'utilisation de Google Analytics sans mesures de conformité adéquates. Depuis juillet 2023, Google LLC est certifiée au Data Privacy Framework (DPF) entre l'UE et les USA, ce qui lève la principale objection juridique pour les transferts de données GA4 vers les USA. La certification DPF de Google peut être vérifiée sur le portail dataprivacyframework.gov. Recommandations pratiques pour utiliser GA4 en conformité en Belgique : recueillir le consentement préalable via une CMP conforme avant de charger le script GA4 ; configurer GA4 avec anonymisation des données (désactiver les signaux Google, limiter la conservation des données a 2 mois dans les paramètres GA4) ; ou migrer vers une alternative européenne sans transfert hors UE (Matomo self-hosted, Piano Analytics, AT Internet).
L'APD belge recommande une durée maximale de 12 mois pour la validité du consentement aux cookies, par analogie avec les recommandations de la CNIL française et les bonnes pratiques européennes. Après 12 mois, la bannière de consentement doit réapparaître pour permettre a l'utilisateur de renouveler, modifier ou retirer son consentement. Cette durée de 12 mois pour le consentement diffère de la durée de vie technique des cookies (jusqu'a 13 mois pour le cookie _ga de Google Analytics) : c'est la durée du consentement qui prime sur la durée technique. En pratique, la CMP (Consent Management Platform) doit être configurée pour afficher automatiquement la bannière après 12 mois et invalidater les consentements antérieurs. Les journaux de consentement (proof of consent) doivent être conserves pendant 3 ans minimum pour prouver la conformité a l'APD belge en cas de contrôle. Le RGPD ne fixe pas de durée maximale pour le consentement mais précise qu'il doit être révocable à tout moment aussi facilement qu'il a été accorde.
Les boutons de partage et widgets de réseaux sociaux (bouton LinkedIn Share, Facebook Like, Twitter/X widget, etc.) intégrés dans un site web belge déposent des cookies tiers sur l'appareil du visiteur, même si ce dernier n'est pas connecte au réseau social concerne. Ces cookies de réseaux sociaux sont catégorises comme optionnels et nécessite un consentement préalable spécifique en Belgique. Deux approches techniques permettent de gérer ces widgets de manière conforme au RGPD. Solution 1 - Chargement conditionnel : le script du widget de réseau social est charge uniquement si l'utilisateur a consenti aux cookies de réseaux sociaux dans la bannière CMP. Un placeholder (image de remplacement) peut afficher un message indiquant que le widget est désactivé en l'absence de consentement, avec un lien vers la politique de cookies. Solution 2 - Liens de partage statiques : remplacer les widgets dynamiques (qui chargent des scripts tiers) par de simples liens de partage statiques (URL de partage génériques type https://www.linkedin.com/sharing/share-offsite?url=...) qui ne déposent pas de cookies sur l'appareil de l'utilisateur. Cette seconde solution est recommandée pour les sites peu monetises souhaitant éviter la complexité de gestion du consentement des widgets sociaux.
Les sanctions pour non-conformité a la réglementation cookies en Belgique peuvent être prononcées par plusieurs autorités selon la nature de l'infraction. L'Autorité de protection des données (APD) belge peut sanctionner les violations du RGPD liées aux cookies : amendes jusqu'a 20 millions EUR ou 4% du chiffre d'affaires mondial pour les violations des bases juridiques et du consentement (art. 83.5 RGPD) ; jusqu'a 10 millions EUR ou 2% du CA pour les violations des obligations de sécurité et de notification (art. 83.4 RGPD) ; avertissements, réprimandes et injonctions de mise en conformité. L'APD belge a prononce plusieurs amendes liées aux cookies depuis 2020, notamment contre des opérateurs de sites web belges n'ayant pas de bannière de consentement conforme. L'Inspection économique du SPF Économie peut sanctionner les violations de la Loi du 13 juin 2005 art. 129 spécifiquement. Le Tribunal de l'entreprise peut être saisi par des tiers (concurrents, associations de consommateurs) pour faire cesser les pratiques non conformes. En pratique, les PME belges sont le plus souvent l'objet d'avertissements et injonctions de mise en conformité dans un premier temps, les amendes importantes étant reserved aux violations graves et répètes.
Une CMP (Consent Management Platform) n'est pas légalement obligatoire en droit belge ou européen, mais elle est fortement recommandée pour tout site web belge utilisant des cookies non essentiels, pour plusieurs raisons pratiques. Une CMP assure la gestion technique correcte du consentement : blocage automatique des scripts non essentiels avant consentement, enregistrement et stockage des preuves de consentement, interface utilisateur conforme (bouton refuser tout visible, cases décochées par défaut), renouvellement automatique du consentement après 12 mois. Une CMP facilite la conformité aux règles changeantes : mise à jour automatique des règles pour les évolutions légales (décisions APD, lignes directrices EDPB, nouvelles directives), certification IAB TCF v2.2 pour l'écosystème publicitaire. Sans CMP, la gestion manuelle des consentements est techniquement complexe et difficile a documenter pour prouver la conformité a l'APD belge. Les sites belges de petite taille avec uniquement Google Analytics peuvent utiliser une CMP légère (CookieYes gratuit, Cookiebot version lite). Les sites avec publicité programmatique (Google Ad Manager, réseaux d'affiliation) doivent utiliser une CMP certifiée IAB TCF v2.2.
La mise en conformité cookies d'un site WordPress belge suit les étapes suivantes. Étape 1 : auditer les plugins et services tiers qui déposent des cookies sur votre site WordPress. Utiliser un plugin d'audit de cookies (Cookiebot Scanner, WP-Optimize Cookie Scanner) ou les outils développeur du navigateur Chrome (onglet Application > Cookies). Étape 2 : choisir et installer un plugin CMP WordPress conforme RGPD et APD belge. Options recommandées pour WordPress : Cookiebot by Usercentrics (payant, très complet, TCF v2.2 certifie) ; CookieYes (plan gratuit suffisant pour les PME) ; Axeptio (plan gratuit disponible, interface en français). Étape 3 : configurer la CMP pour bloquer les scripts non essentiels. Pour Google Analytics : passer par Google Tag Manager (GTM) avec déclenchement conditionnel selon le consentement CMP ; ou utiliser le plugin GA4 WordPress avec consentement mode v2 intégré. Pour Facebook Pixel : utiliser GTM avec déclenchement conditionnel. Pour les plugins de réseaux sociaux : désactiver les widgets intégrés natifs, utiliser des solutions de chargement conditionnel. Étape 4 : rédiger et publier la Politique de Cookies via le modèle disponible sur forms-légal.com, accessible en pied de page du site. Étape 5 : tester la conformité avec un outil en ligne (Cookie Scanner de Cookiebot, outil de vérification de l'APD belge) et corriger les éventuels cookies non conformes encore déposés avant consentement.
Ce modèle est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les lois varient selon la juridiction et évoluent avec le temps. Consultez un avocat qualifié pour obtenir des conseils adaptés à votre situation.Clause de non-responsabilité complète
Une erreur ? Signalez-le-nousDocuments Connexes
Vous pourriez également trouver ces documents utiles :
Politique de Confidentialité RGPD Belgique
Modèle de Politique de Confidentialité conforme au RGPD art. 13-14 et a la Loi belge du 30/7/2018 pour sites web et applications belges. Inclut finalités, bases juridiques, durées de conservation, droits des personnes et superviseur APD belge.
Mentions Légales Site Web Belgique
Modèle de Mentions Légales Site Web conforme au CDE art. XII.6 et Loi belge du 11/3/2003 pour sites web belges. Inclut identification éditeur, hébergeur, propriété intellectuelle, responsabilité, données personnelles et droit applicable.
Registre des Activités de Traitement RGPD Belgique (Article 30)
Registre des activités de traitement conforme à l'article 30 RGPD et à la Loi belge du 30 juillet 2018 (LCDP). Fiches de traitement avec finalités, bases légales, catégories de données, destinataires, délais de conservation et mesures de sécurité.
Accord de Traitement de Données (DPA) Belgique
Modèle d'Accord de Traitement de Données (DPA/Data Processing Agreement) conforme au RGPD art. 28 et a la Loi belge du 30/7/2018 pour la relation responsable-sous-traitant en Belgique. Inclut obligations sécurité, sous-traitants ultérieurs, notification violations et restitution des données.