Politique de Confidentialité RGPD Belgique
Qu'est-ce qu'un Politique de Confidentialité RGPD Belgique ?
La Politique de Confidentialité RGPD Belgique est le document d'information obligatoire que tout responsable du traitement établi en Belgique ou traitant des données de personnes se trouvant en Belgique doit mettre a disposition des personnes concernées, conformément aux articles 13 et 14 du Règlement UE 2016/679 (RGPD) et a la Loi belge du 30 juillet 2018 relative a la protection des personnes physiques à l'égard des traitements de données a caractère personnel.
La Politique de Confidentialité diffère conceptuellement du registre des activités de traitement (RAT) qui est un document interne obligatoire pour les organisations de plus de 250 employés (art. 30 RGPD), et du Data Processing Agreement (DPA) qui est le contrat entre responsable du traitement et sous-traitant (art. 28 RGPD). La Politique de Confidentialité est tournée vers les personnes extérieures dont les données sont traitées : visiteurs du site web, clients, prospects, employés, fournisseurs. Sa vocation est d'informer et de permettre l'exercice effectif des droits RGPD.
Le cadre légal impose le contenu minimum de la Politique de Confidentialité en Belgique. L'art. 13 RGPD (collecte directe auprès de la personne) et l'art. 14 RGPD (collecte indirecte via tiers ou sources publiques) listent exhaustivement les informations a fournir : identité et coordonnées du responsable du traitement et du DPO (Délégué a la Protection des Données), finalités et bases juridiques de chaque traitement, intérêts légitimes poursuivis si base art. 6.1.f, destinataires et catégories de destinataires, transferts hors EEE et garanties, durées de conservation, droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition, retrait du consentement), droit de réclamation auprès de l'Autorité de protection des données (APD) belge.
L'Autorité de protection des données (APD) belge (Gegevensbeschermingsautoriteit / GBA) est l'autorité de contrôle nationale compétente, établie par la Loi du 3 décembre 2017 portant création de l'Autorité de protection des données. Siège : avenue de la Presse 35, 1000 Bruxelles, www.autoriteprotectiondonnees.be. L'APD belge peut prononcer des amendes administratives allant jusqu'a 20 millions EUR ou 4% du chiffre d'affaires mondial annuel (art. 83 RGPD), émettre des avertissements, mises en demeure et injonctions, et accorder ou refuser des certifications RGPD.
Le principe de transparence est fondamental en droit belge des données personnelles. La Politique de Confidentialité doit être rédigée en termes clairs, simples et compréhensibles, accessible avant toute collecte de données (lien visible en pied de page de chaque page du site web, dans le formulaire d'inscription, dans les emails transactionnels). La version en vigueur doit être datée et un historique des versions conserve pour audit. La Cour constitutionnelle belge dans son arrêt n 28/2020 du 27 février 2020 a confirme que le droit a la protection des données personnelles est un droit fondamental protège par l'art. 22 de la Constitution belge, complémentaire au RGPD.
Les sanctions APD belge pour absence ou insuffisance de la Politique de Confidentialité sont significatives. Depuis 2021, l'APD belge a prononce plusieurs amendes notables : 50.000 EUR contre une administration communale belge pour absence de registre des activités de traitement et politique de confidentialité inadéquate (décision 38/2021) ; plusieurs avertissements et injonctions pour des PME belges dont la politique de confidentialité était insuffisante ou introuvable sur leur site web. Depuis 2023, l'APD belge renforce ses contrôles sur les sites web belges suite a des plaintes de l'organisation noyb (None of Your Business, Max Schrems).
Quand avez-vous besoin d'un Politique de Confidentialité RGPD Belgique ?
La Politique de Confidentialité RGPD est requise dans toutes les situations ou une organisation belge collecte et traite des données personnelles de personnes physiques.
Sites web et applications mobiles. Tout site web belge collectant des données (formulaire de contact, newsletter, e-commerce, création de compte utilisateur, cookies analytiques ou marketing) doit afficher une Politique de Confidentialité accessible et conforme RGPD. L'APD belge a sanctionne plusieurs entreprises belges pour absence de politique de confidentialité sur leur site web ou pour une politique trop vague. Les applications mobiles disponibles sur App Store ou Google Play sont soumises aux mêmes obligations RGPD et leurs politiques de confidentialité sont vérifiées par les stores.
E-commerce et boutiques en ligne. Pour les boutiques en ligne belges (Shopify, WooCommerce, PrestaShop, Magento) traitant des commandes clients (nom, adresse de livraison, email, données de paiement), la Politique de Confidentialité est obligatoire et doit être accessible avant chaque commande. Les acheteurs doivent être informes spécifiquement de la transmission de leurs données aux transporteurs (bpost, DHL, UPS, Colruyt), aux processeurs de paiement (Bancontact/Payconiq, Stripe, Adyen) et aux prestataires de marketing.
Ressources humaines et gestion du personnel. Les employeurs belges doivent informer leurs employés (et candidats lors d'un recrutement) du traitement de leurs données personnelles : données de paie (ONSS, services des pensions), gestion des absences et du temps de travail, évaluation des performances, outils de surveillance du travail (selon le règlement collectif CCT 68 sur la surveillance électronique). L'ONSS et le SPF Sécurité sociale reçoivent des données de paie via la déclaration DMFA (Déclaration multifonctionnelle aurait été soumise).
Clients et prospects (CRM). Les entreprises belges utilisant un CRM pour gérer leurs contacts clients et prospects (Salesforce, HubSpot, Teamleader, Efficy) doivent disposer d'une Politique de Confidentialité claire informant de l'utilisation des données a des fins de gestion commerciale, de prospection, de segmentation et d'envoi d'offres commerciales. Le consentement explicite est requis pour les communications marketing (ePrivacy Directive 2002/58/CE, transposée par la Loi du 13 juin 2005 sur les communications électroniques).
Professions de santé et données sensibles. Les cabinets médicaux, dentaires, de kinésithérapie, les pharmacies, les hôpitaux et cliniques belges traitent des données de santé, catégorie spéciale au sens de l'art. 9 RGPD, soumise a des règles plus strictes. La Politique de Confidentialité doit mentionner la base juridique spécifique pour les données de santé (art. 9.2 RGPD), le secret médical conforme a la déontologie médicale belge (ACMB), la communication aux mutuelles (INAMI/RIZIV) et aux assureurs.
Organisations sans but lucratif et associations. Les ASBL belges et fondations gèrent souvent des données de membres, de donateurs et de bénéficiaires. La Politique de Confidentialité d'une ASBL doit couvrir : le traitement des cotisations et des dons, la communication avec les membres, l'utilisation de plateformes de fundraising, les événements et manifestations. Même les petites ASBL de moins de 250 employés sont soumises au RGPD si elles traitent des données a risque élevé (données sensibles, données d'enfants, surveillance systématique).
Que faut-il inclure dans votre Politique de Confidentialité RGPD Belgique ?
La Politique de Confidentialité belge conforme au RGPD doit contenir des éléments précis et exhaustifs, définis par les articles 13 et 14 du RGPD.
Identification complète du responsable du traitement et du DPO. Dénomination sociale, forme juridique, siège social, numéro BCE, adresse email dedicee aux demandes de protection des données (recommande : privacy@société.be ou dpo@société.be), téléphone. Si un Délégué a la Protection des Données (DPO) a été désigne (obligatoire pour les autorités publiques, les organisations traitant des données sensibles a grande échelle ou effectuant une surveillance systématique de personnes, art. 37 RGPD), ses coordonnées complètes doivent figurer dans la Politique de Confidentialité. La désignation du DPO doit être notifiée a l'APD belge via son portail en ligne. Sur forms-légal.com, le modèle de Politique de Confidentialité belge est conforme aux exigences RGPD et aux lignes directrices de l'APD belge.
Finalities et bases juridiques de chaque traitement. Pour chaque activité de traitement, la Politique de Confidentialité doit préciser la finalité (pourquoi les données sont traitées) et la base juridique applicable parmi les six bases de l'art. 6 RGPD : exécution du contrat (art. 6.1.b) pour les transactions commerciales ; obligation légale (art. 6.1.c) pour les obligations comptables, fiscales et administratives ; intérêt vital (art. 6.1.d) rarement applicable ; intérêt public (art. 6.1.e) pour les autorités publiques ; intérêt légitime (art. 6.1.f) pour la sécurité, la prévention de la fraude et les statistiques ; consentement (art. 6.1.a) pour le marketing direct et les cookies non essentiels (doit être libre, spécifique, éclaire et univoque, retractable à tout moment). Pour les données sensibles (art. 9 RGPD : santé, origine ethnique, opinions politiques, etc.), une base additionnelle spécifique est requise.
Durées de conservation spécifiques et justifiées. Les durées de conservation doivent être spécifiques (pas de mention vague comme durée nécessaire), justifiées par la finalité du traitement et respecter les minimums légaux belges : 10 ans pour les documents comptables et factures (art. 26 Loi du 17 juillet 1975 sur la comptabilité des entreprises) ; 7 ans pour les registres salariaux (ONSS) ; 5 ans pour les justificatifs TVA ; 3 ans pour les données de contact commerciales (recommande APD belge) ; 13 mois pour les cookies analytiques (recommande CNIL FR, applicable en BE par analogie) ; 12 mois pour les journaux de sécurité. A l'expiration de ces délais, suppression irrévocable ou anonymisation.
Destinataires et sous-traitants. Lister toutes les catégories de destinataires : sous-traitants techniques (hébergeur cloud, outil d'emailing, CRM, processeur de paiement) ; sous-traitants métier (comptable externe, cabinet d'avocats, agence marketing) ; autorités publiques (SPF Finances, ONSS, INAMI/RIZIV, autorités judiciaires) ; partenaires commerciaux (plateformes de distribution, revendeurs). Pour chaque sous-traitant, préciser le pays d'établissement et, si hors EEE, les garanties RGPD (adéquation de la Commission européenne, clauses contractuelles types CCT 2021, règles d'entreprise contraignantes). Post-Schrems II (CJUE 16 juillet 2020), les transferts vers les États-Unis via le cadre Privacy Shield invalide sont remplacées par les CCT 2021 plus les transfer impact assessments (TIA).
Droits des personnes concernées et procédures d'exercice. Énumération de tous les droits RGPD (art. 15 a 22) : accès, rectification, effacement, limitation du traitement, portabilité, opposition, droit de ne pas faire l'objet d'une décision automatisée. Pour chaque droit, préciser : la procédure d'exercice (email, formulaire en ligne, courrier recommande), les pièces justificatives requises (copie de pièce d'identité pour vérification d'identité), le délai de réponse (1 mois maximum, extensible a 3 mois pour les demandes complexes avec information du demandeur, art. 12 RGPD), les cas de refus légitimes (demande manifestement infondée ou excessive). Indiquer clairement le droit de plainte auprès de l'APD belge si la réponse est insatisfaisante.
Sécurité et mesures de protection. Mention des mesures de sécurité implémentées sans compromettre la sécurité par information excessive : chiffrement en transit (TLS/HTTPS), chiffrement au repos, contrôles d'accès, authentification multifacteur, sauvegardes, procédures de reprise après sinistre, formation du personnel, audits de sécurité. Mention de la procédure de notification de violation de données : information de l'APD belge dans les 72 heures (art. 33 RGPD), information des personnes concernées si risque élevé (art. 34 RGPD).
Comment remplir votre Politique de Confidentialité RGPD Belgique
Rédiger une Politique de Confidentialité conforme au RGPD belge requiert une analyse préalable des activités de traitement avant la rédaction du document.
Étape 1 - Cartographier les activités de traitement. Avant de rédiger la politique, établir un inventaire complet des activités de traitement : pour chaque activité, noter la finalité (pourquoi), la base juridique (sur quelle base légale), les catégories de données collectées (quelles données), les catégories de personnes concernées (qui), les destinataires (a qui), les durées de conservation (combien de temps), les transferts hors EEE (si applicable). Cet inventaire sert de base au registre des activités de traitement (RAT) obligatoire pour les organisations de plus de 250 employés (art. 30 RGPD) et facultatif mais recommande pour les plus petites.
Étape 2 - Identifier les bases juridiques adéquates. Pour chaque traitement, identifier la base juridique la plus appropriée parmi les six options de l'art. 6 RGPD. Ne pas systématiquement utiliser le consentement (art. 6.1.a) si une autre base est plus appropriée : l'exécution du contrat (art. 6.1.b) couvre naturellement les traitements lies a la relation commerciale ; l'obligation légale (art. 6.1.c) couvre les obligations comptables et fiscales ; l'intérêt légitime (art. 6.1.f) peut couvrir la sécurité et la prévention de la fraude si le bilan intérêt/droits penche en faveur du responsable du traitement. N'utiliser le consentement que pour les traitements véritablement optionnels (marketing direct, cookies analytiques non essentiels, profilage).
Étape 3 - Définir les durées de conservation. Rechercher les durées de conservation applicables pour chaque catégorie de données : durées imposées par la loi belge (comptabilité 10 ans, registres salariaux 7 ans, documents TVA 5 ans), recommandations de l'APD belge (données de contact 3 ans après fin de relation, cookies analytiques 13 mois), durées propres a l'entreprise justifiées par la finalité (archivage de projets pendant la durée du projet + 2 ans). Documenter ces durées dans le registre des activités de traitement.
Étape 4 - Identifier et documenter les destinataires. Pour chaque sous-traitant et tiers destinataire, vérifier : si le sous-traitant est établi dans l'EEE (pas de formalité supplémentaire) ou hors EEE (vérifier la décision d'adéquation ou les garanties adéquates CCT 2021). Conclure des accords de sous-traitance conformes a l'art. 28 RGPD avec chaque sous-traitant. Vérifier que les sous-traitants américains disposent bien du certification Data Privacy Framework (successor du Privacy Shield invalide) ou des CCT 2021 plus TIA.
Étape 5 - Rédiger la politique en termes clairs. La Politique de Confidentialité doit être rédigée en français clair et compréhensible pour le grand public (principe de transparence, art. 5.1.a RGPD). Éviter le jargon juridique excessif. Utiliser des titres et sous-titres clairs, des tableaux pour les finalités et durées si possible, des listes a puces pour les droits. La version francophone est obligatoire en Wallonie et a Bruxelles ; une version neerlandophone est recommandée pour les activités en Flandre.
Étape 6 - Assurer l'accessibilité de la politique. La Politique de Confidentialité doit être : facilement accessible sur le site web (lien permanent en pied de page de chaque page, lien dans chaque formulaire de collecte de données, mention dans les emails transactionnels), disponible en format imprimable (PDF), rédigée de manière clairement lisible (police minimum 11 points, contraste suffisant). Conserver un historique des versions avec date de chaque mise à jour pour audit APD.
Étape 7 - Coordonner avec la bannière de cookies. La Politique de Confidentialité ne remplace pas le bandeau/bannière de cookies (gestion du consentement pour les cookies non essentiels selon la Loi du 13 juin 2005, art. 129). Les deux documents sont complémentaires et doivent être cohérents. La Politique de Confidentialité peut intégrer une section cookies ou renvoyer vers un document Cookie Policy sépare, plus détaillé.
Étape 8 - Mettre en place un processus de mise à jour. La Politique de Confidentialité doit être revue et mise à jour régulièrement : lors de chaque nouveau traitement significatif, lors de chaque nouveau sous-traitant, lors de chaque modification de la base juridique d'un traitement existant, après chaque violation de données, lors des évolutions législatives majeures. Dater chaque version et conserver un historique. Notifier les personnes concernées des modifications significatives par email ou avis visible sur le site web.
Exigences juridiques pour Politique de Confidentialité RGPD Belgique
La Politique de Confidentialité en Belgique est soumise a un cadre légal strict issu du RGPD européen et de la Loi belge du 30 juillet 2018.
Obligation d'information (RGPD art. 13 et 14). L'art. 13 RGPD impose une information complète lors de la collecte directe de données auprès des personnes. L'art. 14 RGPD impose une information lors de la collecte indirecte (via tiers, sources publiques, achats de bases de données). Les deux dispositions listent des éléments obligatoires identiques augmentes d'éléments spécifiques a chaque mode de collecte. L'absence d'information ou une information insuffisante constitue une violation du RGPD, pouvant être sanctionnée par l'APD belge.
Droit belge spécifique (Loi du 30 juillet 2018). La Loi du 30 juillet 2018 relative a la protection des personnes physiques à l'égard des traitements de données a caractère personnel constitue la loi de mise en oeuvre du RGPD en Belgique. Elle désigne l'APD belge comme autorité de contrôle (art. 4), spécifié les conditions du consentement des mineurs (art. 8 RGPD et droit belge : 13 ans minimum en Belgique pour les services de la société de l'information, conformément a la marge nationale admise par l'art. 8 RGPD), précise les conditions du traitement des données de santé.
Base juridique du consentement (RGPD art. 6.1.a et Loi du 13 juin 2005). Le consentement pour le marketing direct et les cookies non essentiels doit être : libre (sans contrainte ni couplage service vs consentement), spécifique (par finalité distincte), éclaire (information préalable complète), univoque (action positive, case a cocher décochée par défaut). La Loi du 13 juin 2005 sur les communications électroniques (art. 129) transpose la Directive ePrivacy pour les cookies. L'APD belge a publie en 2020 des lignes directrices spécifiques sur les cookies et la gestion du consentement, alignées avec les lignes directrices EDPB.
Sanctions APD belge. L'APD belge dispose de larges pouvoirs de sanction (art. 58 RGPD et Loi du 3 décembre 2017) : amendes administratives jusqu'a 20 millions EUR ou 4% du chiffre d'affaires mondial (art. 83 RGPD, deux niveaux selon la gravite de l'infraction) ; avertissements et réprimandes ; injonctions de mise en conformité ; limitation ou interdiction du traitement ; certification ou retrait de certification. Les infractions a l'obligation d'information (art. 13-14 RGPD) peuvent être sanctionnées jusqu'a 20 millions EUR ou 4% du chiffre d'affaires mondial.
Principe de responsabilité (accountability, RGPD art. 5.2 et 24). Le responsable du traitement doit être capable de démontrer à tout moment la conformité de ses traitements au RGPD (principe d'accountability). Cela implique : tenir un registre des activités de traitement (art. 30 RGPD), documenter les bases juridiques, conserver les politiques de confidentialité historiques, documenter les analyses d'impact (AIPD art. 35 RGPD pour les traitements a haut risque), former le personnel.
Erreurs courantes à éviter dans votre Politique de Confidentialité RGPD Belgique
Plusieurs erreurs fréquentes affectent la conformité des Politiques de Confidentialité belges et exposent les organisations a des sanctions APD.
Erreur 1 - Politique générique copiée-collée non adaptée. Copier une politique de confidentialité d'un site concurrent ou d'un modèle générique sans l'adapter aux activités spécifiques de l'organisation est la première cause de non-conformité. Une politique générique mentionnant des finalités non pratiquées ou omettant des finalités réelles (marketing, profilage) est non conforme. Bonne pratique : rédiger une politique spécifique basée sur l'inventaire réel des activités de traitement.
Erreur 2 - Bases juridiques incorrectes ou systématiquement consentement. De nombreuses organisations utilisent systématiquement le consentement (art. 6.1.a RGPD) comme base juridique pour tous les traitements, alors que d'autres bases sont plus appropriées et moins contraignantes. Exemple : utiliser le consentement pour le traitement des données de commande alors que l'exécution du contrat (art. 6.1.b) est la base correcte. Conséquence : si le consentement est retire, l'organisation doit cesser le traitement, ce qui peut bloquer le service. Bonne pratique : choisir la base juridique la plus appropriée pour chaque traitement.
Erreur 3 - Durées de conservation absentes ou irréalistes. Mentionner des durées vagues comme durée nécessaire ou durée raisonnable sans préciser est insuffisant selon l'APD belge. Mentionner des durées trop longues (conservation indéfinie, 50 ans) pour des données de contact marketing est disproportionné. Bonne pratique : préciser les durées exactes par catégorie de données, justifiées par la finalité et les obligations légales belges.
Erreur 4 - Transferts hors UE non documentes post-Schrems II. Depuis l'arrêt Schrems II de la CJUE (16 juillet 2020), les organisations utilisant des services américains (Google Analytics, Facebook, AWS US, Mailchimp) sans documenter les garanties adéquates (CCT 2021 plus TIA) violent le RGPD. L'APD belge a sanctionne plusieurs organisations belges suite aux plaintes de noyb. Bonne pratique : auditer tous les transferts hors EEE, vérifier les mécanismes de conformité, documenter les TIA.
Erreur 5 - Droit de plainte APD belge non mentionne. L'art. 13.2.d RGPD impose de mentionner explicitement le droit de plainte auprès de l'autorité de contrôle compétente. L'omission de la mention de l'APD belge (avenue de la Presse 35, 1000 Bruxelles) avec ses coordonnées est une infraction au RGPD. Bonne pratique : toujours mentionner l'APD belge avec ses coordonnées complètes et le lien vers son site web (www.autoriteprotectiondonnees.be).
Questions Fréquentes
Oui, une Politique de Confidentialité conforme au RGPD est obligatoire pour tout site web belge qui collecte des données personnelles de visiteurs ou clients. Le RGPD (Règlement UE 2016/679 art. 13) impose une information complète des personnes dont les données sont collectées, et cette information est généralement matérialisée par une Politique de Confidentialité accessible sur le site web. En Belgique, l'Autorité de protection des données (APD) contrôle les sites web belges et peut prononcer des amendes pour absence ou insuffisance de la Politique de Confidentialité. Les amendes APD belge peuvent atteindre 20 millions EUR ou 4% du chiffre d'affaires mondial (art. 83 RGPD). Même un site vitrine simple avec un formulaire de contact collectant un nom et un email est soumis à cette obligation. L'APD belge a publie un guide pratique pour les TPE/PME belges disponible sur son site web, qui explique comment se conformer au RGPD avec des ressources limitées.
La Politique de Confidentialité et la Politique de Cookies sont deux documents distincts mais complémentaires en droit belge. La Politique de Confidentialité (ou politique de protection des données) couvre l'ensemble des activités de traitement de données personnelles de l'organisation : collecte via formulaires, gestion des clients, ressources humaines, marketing, comptabilité. Elle est basée sur les art. 13-14 du RGPD. La Politique de Cookies (ou notice cookies) couvre spécifiquement l'utilisation des cookies et technologies similaires (pixels de suivi, empreinte digitale du navigateur) sur le site web, et gère le consentement pour les cookies non essentiels. Elle est basée sur l'art. 129 de la Loi belge du 13 juin 2005 sur les communications électroniques (transposant la Directive ePrivacy 2002/58/CE) et les lignes directrices de l'APD belge sur les cookies de 2020. En pratique, la Politique de Confidentialité peut intégrer une section cookies ou renvoyer vers un document Cookie Policy sépare. Le bandeau/bannière de consentement aux cookies (consent management platform ou CMP) est un élément separatoire recueillant le consentement actif et granulaire de l'utilisateur avant tout dépôt de cookies non essentiels.
L'Autorité de protection des données (APD) belge dispose de larges pouvoirs de sanction définis par l'art. 58 RGPD et la Loi du 3 décembre 2017 portant création de l'APD. Amendes administratives : niveau 1 (art. 83.4 RGPD) jusqu'a 10 millions EUR ou 2% du chiffre d'affaires mondial pour les violations des obligations du responsable et du sous-traitant (obligations de sécurité, DPA, registre des activités de traitement, DPO, AIPD, etc.) ; niveau 2 (art. 83.5 RGPD) jusqu'a 20 millions EUR ou 4% du chiffre d'affaires mondial pour les violations des principes fondamentaux du RGPD (licite, loyauté, transparence, minimisation, exactitude, limitation de conservation, sécurité) et des droits des personnes (accès, rectification, effacement, opposition, portabilité). Mesures correctrices non pécuniaires : avertissements, réprimandes, injonctions de mise en conformité dans un délai fixe, limitation temporaire ou définitive du traitement, interdiction du traitement, retrait de certification. L'APD belge a prononce plusieurs amendes notables depuis 2019, notamment contre des entreprises de marketing direct, des éditeurs de jeux vidéo et des administrations publiques belges.
La désignation d'un Délégué a la Protection des Données (DPO ou Data Protection Officer) est obligatoire en Belgique pour trois catégories d'organisations définies a l'art. 37 RGPD : les autorités et organismes publics (à l'exception des juridictions agissant dans le cadre de leur mission judiciaire) ; les organisations dont les activités de base exigent un suivi régulier et systématique des personnes a grande échelle ; les organisations dont les activités de base portent sur le traitement a grande échelle de catégories spéciales de données (art. 9 RGPD : santé, origine raciale, opinions politiques, etc.) ou de données relatives a des condamnations pénales. Le DPO doit posséder des compétences spécialisées en matière de droit et de pratiques de protection des données, peut être un employé interne ou un prestataire externe, ne peut recevoir d'instructions dans l'exercice de ses missions et ne peut être pénalisé pour l'exercice de ses fonctions (indépendance garantie). Sa désignation doit être notifiée a l'APD belge via le portail en ligne et ses coordonnées publiées dans la Politique de Confidentialité. Même lorsque la désignation n'est pas obligatoire, elle est fortement recommandée comme bonne pratique pour les organisations traitant des données sensibles ou de nombreuses données clients.
Suite a l'arrêt Schrems II de la Cour de Justice de l'Union européenne (16 juillet 2020) invalidant le Privacy Shield UE-USA, les transferts de données personnelles vers les États-Unis doivent reposer sur des mécanismes alternatifs. Mécanismes valides depuis 2020 : Clauses Contractuelles Types (CCT) adoptées par la Commission européenne le 4 juin 2021 (Décision 2021/914), accompagnées obligatoirement d'un Transfer Impact Assessment (TIA) évaluant le niveau de protection dans le pays destinataire ; Règles d'Entreprise Contraignantes (BCR) pour les transferts intra-groupe multinational ; Dérogations spécifiques de l'art. 49 RGPD (consentement explicite, exécution du contrat, intérêt public) uniquement pour des transferts ponctuels et non systématiques. Depuis juillet 2023, le Cadre Transatlantique de Protection des Données (Data Privacy Framework DPF) entre en vigueur entre l'UE et les USA, permettant à nouveau les transferts vers les entreprises américaines certifiées DPF sans CCT. En Belgique, l'APD belge et les organisations de défense des droits (noyb notamment) surveillent étroitement la conformité des transferts et ont déposé plusieurs plaintes contre des sites web belges utilisant Google Analytics ou Facebook sans mécanisme adéquat.
En Belgique, les durées de conservation des données personnelles sont encadrées par plusieurs textes légaux cumulatifs. Obligations légales minimales de conservation : 10 ans pour les documents comptables et factures (art. 26 Loi du 17 juillet 1975 sur la comptabilité des entreprises) ; 7 ans pour les registres salariaux et déclarations ONSS ; 5 ans pour les justificatifs TVA (Code TVA belge de 1969) ; 5 ans pour les dossiers médicaux (mais recommandations professionnelles variant selon spécialité) ; 10 ans minimum pour les actes notariés et documents avec voie de recours longue. Recommandations APD belge pour les données marketring et commerciales : données de contact des clients : 3 ans après la fin de la relation commerciale ; cookies analytiques : 13 mois maximum (par analogie avec lignes directrices CNIL française) ; listes de prospection B2C : 3 ans sans interaction, après quoi demander renouvellement du consentement ou supprimer. Pour les données de ressources humaines : CV des candidats non retenus : 1 an (avec consentement du candidat) ou 6 mois ; dossiers employés : pendant toute la durée du contrat plus 5 ans après départ. Le principe de minimisation (art. 5.1.c RGPD) impose de ne pas conserver les données au-delà de ce qui est nécessaire. Toute conservation au-delà des minimums légaux doit être justifiée par la finalité du traitement.
En Belgique, la langue de rédaction de la Politique de Confidentialité dépend du territoire et de l'audience ciblée. Règles juridiques linguistiques : en Wallonie (région de langue française), les documents destines aux consommateurs et usagers doivent être en français (Décret du 30 juin 1982 sur la protection de la langue française en Wallonie) ; en Flandre (région de langue néerlandaise), les documents destines aux consommateurs et usagers doivent être en néerlandais (Decreet gebruik van talen in bestuurszaken van 19 juli 1973) ; a Bruxelles-Capitale (région bilingue), les documents peuvent être en français ou en néerlandais, selon la langue du destinataire ; dans les communes de la région de langue allemande, l'allemand est applicable. Pour les entreprises actives sur tout le territoire belge, il est recommande de disposer d'une Politique de Confidentialité en français, en néerlandais et éventuellement en allemand. Pour les sites web s'adressant a un public européen, une version en anglais est également recommandée. Le RGPD n'impose pas de langue spécifique mais exige une information claire et compréhensible pour les personnes concernées, ce qui implique l'utilisation de leur langue.
Si l'Autorité de protection des données (APD) belge ouvre une enquête sur votre organisation suite a une plainte, un incident ou une inspection pro-active, plusieurs étapes doivent être suivies. Réponse immédiate : designer un interlocuteur unique (le DPO si désigne, ou un responsable juridique senior) pour gérer les communications avec l'APD ; rassembler toute la documentation sur les activités de traitement en cause (registre RAT, politiques de confidentialité historiques, accords de sous-traitance, mesures de sécurité documentées). Coopération avec l'APD : l'art. 31 RGPD impose la coopération pleine et entière avec l'APD ; répondre dans les délais impartis aux demandes d'information ; fournir tous les documents requis ; ne pas obstruer l'enquête. Redressement proactif : si des non-conformites sont identifiées, les corriger avant ou pendant l'enquête démontré la bonne foi et peut réduire les sanctions ; implémenter les mesures correctives demandées par l'APD. Recours : si l'APD prononce une amende ou une mesure corrective, l'organisation peut former un recours devant la Cour des marches (juridiction spécialisée dans les litiges de régulation économique) dans un délai de 30 jours à compter de la notification de la décision. Assistance juridique : faire appel a un avocat spécialisé en droit des données personnelles (OBFG en Wallonie et Bruxelles) des le début de l'enquête est fortement recommande.
Ce modèle est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les lois varient selon la juridiction et évoluent avec le temps. Consultez un avocat qualifié pour obtenir des conseils adaptés à votre situation.Clause de non-responsabilité complète
Une erreur ? Signalez-le-nousDocuments Connexes
Vous pourriez également trouver ces documents utiles :
Mentions Légales Site Web Belgique
Modèle de Mentions Légales Site Web conforme au CDE art. XII.6 et Loi belge du 11/3/2003 pour sites web belges. Inclut identification éditeur, hébergeur, propriété intellectuelle, responsabilité, données personnelles et droit applicable.
Politique de Cookies Belgique
Modèle de Politique Cookies et Bannière Consentement conforme a la Loi belge du 13/6/2005 art. 129 et RGPD art. 6 pour sites web belges. Inclut cookies essentiels, analytiques, publicitaires, gestion des préférences et transferts hors UE post-Schrems II.
Registre des Activités de Traitement RGPD Belgique (Article 30)
Registre des activités de traitement conforme à l'article 30 RGPD et à la Loi belge du 30 juillet 2018 (LCDP). Fiches de traitement avec finalités, bases légales, catégories de données, destinataires, délais de conservation et mesures de sécurité.
Accord de Traitement de Données (DPA) Belgique
Modèle d'Accord de Traitement de Données (DPA/Data Processing Agreement) conforme au RGPD art. 28 et a la Loi belge du 30/7/2018 pour la relation responsable-sous-traitant en Belgique. Inclut obligations sécurité, sous-traitants ultérieurs, notification violations et restitution des données.