facebook-pixel

RGPD en Belgique : Tous Vos Droits Expliqués (Guide 2026)

E
Equipe Securite Lunyb
··10 min read

Depuis mai 2018, le Règlement Général sur la Protection des Données (RGPD) encadre la manière dont les entreprises, administrations et associations traitent tes données personnelles. En Belgique, ce texte européen est appliqué en collaboration avec l'Autorité de Protection des Données (APD), l'organisme qui remplace l'ancienne Commission de la Vie Privée.

Mais concrètement, quels sont tes droits en tant que citoyen belge ? Comment les exercer face à une entreprise qui refuse de coopérer ? Et surtout, que risque une organisation qui ne respecte pas le RGPD ? Ce guide complet répond à toutes ces questions.

Qu'est-ce que le RGPD et pourquoi te concerne-t-il ?

Le RGPD est un règlement européen entré en vigueur le 25 mai 2018. Il s'applique à toute organisation qui traite les données personnelles de résidents européens, peu importe où se trouve le siège de l'entreprise. En clair, que tu commandes sur un site américain ou que tu utilises une application japonaise, si tu vis en Belgique, tes données sont protégées par le RGPD.

Une donnée personnelle, c'est toute information qui permet d'identifier une personne : nom, adresse email, numéro national, adresse IP, photo, géolocalisation, historique d'achat, empreinte digitale, etc. Certaines données dites sensibles (santé, opinions politiques, orientation sexuelle, religion) bénéficient d'une protection renforcée.

Le rôle spécifique de l'APD en Belgique

En Belgique, l'Autorité de Protection des Données (APD), basée à Bruxelles, est l'organe de contrôle indépendant chargé de veiller au respect du RGPD. Elle a plusieurs missions :

  • Recevoir et traiter les plaintes des citoyens
  • Mener des enquêtes et inspections
  • Infliger des sanctions administratives
  • Informer et sensibiliser le public
  • Conseiller le gouvernement sur les projets de loi

Tu peux contacter l'APD directement via son site autoriteprotectiondonnees.be pour déposer une plainte gratuitement.

Les 8 droits fondamentaux du RGPD en Belgique

Le RGPD te confère huit droits que toute organisation traitant tes données doit respecter. Voici le détail de chacun, avec des exemples concrets.

1. Le droit à l'information

Toute organisation qui collecte tes données doit t'informer clairement et de manière transparente sur :

  • Qui elle est (identité du responsable)
  • Pourquoi elle collecte tes données (finalité)
  • La base légale du traitement
  • Combien de temps elle les conserve
  • Avec qui elle les partage
  • Tes droits et comment les exercer

C'est pour ça que tu vois partout des politiques de confidentialité et des bannières de cookies. Une politique de confidentialité illisible ou absente constitue une violation du RGPD.

2. Le droit d'accès

Tu peux demander à n'importe quelle organisation quelles données elle détient sur toi. La réponse doit être fournie dans un délai d'un mois, gratuitement, et doit inclure une copie de toutes les données te concernant.

C'est un droit particulièrement utile pour comprendre l'ampleur du profilage dont tu fais l'objet. Par exemple, une demande auprès de Google ou Facebook révèle souvent des dizaines de gigaoctets de données.

3. Le droit de rectification

Si tes données sont inexactes ou incomplètes, tu peux exiger leur correction. Ce droit est essentiel pour éviter les préjudices (refus de crédit, erreurs administratives, mauvais scoring, etc.).

4. Le droit à l'effacement (droit à l'oubli)

Aussi appelé droit à l'oubli, il te permet de demander la suppression de tes données dans plusieurs cas : données devenues inutiles, retrait de ton consentement, opposition légitime, traitement illicite, etc.

Ce droit est particulièrement utilisé pour faire déréférencer des résultats de recherche Google concernant ta personne. Pour la procédure complète, consulte notre guide dédié : Droit à l'oubli : comment faire la demande.

5. Le droit à la limitation du traitement

Tu peux demander à ce que tes données soient temporairement gelées, sans être supprimées. Utile par exemple pendant que tu contestes leur exactitude ou l'existence même du traitement.

6. Le droit à la portabilité

Ce droit te permet de récupérer tes données dans un format structuré et lisible par machine (CSV, JSON, XML) et de les transférer vers un autre prestataire. C'est utile pour changer de banque, de réseau social ou de service cloud sans perdre ton historique.

7. Le droit d'opposition

Tu peux t'opposer à tout moment au traitement de tes données, notamment pour la prospection commerciale, le profilage marketing ou la recherche statistique. Pour la prospection, l'opposition est absolue : l'entreprise doit immédiatement arrêter.

8. Le droit de ne pas faire l'objet d'une décision automatisée

Tu as le droit de refuser une décision entièrement automatisée qui a des effets significatifs sur toi (refus d'un crédit par algorithme, embauche automatisée, etc.). Tu peux exiger l'intervention d'un humain.

Tableau récapitulatif des droits RGPD

Droit Délai de réponse Coût Cas d'usage typique
Information Immédiat Gratuit Politique de confidentialité, bannière cookies
Accès 1 mois Gratuit Savoir quelles données une entreprise détient
Rectification 1 mois Gratuit Corriger une adresse ou un nom mal orthographié
Effacement 1 mois Gratuit Supprimer un compte ou déréférencer Google
Limitation 1 mois Gratuit Geler des données pendant un litige
Portabilité 1 mois Gratuit Changer de banque en gardant son historique
Opposition Immédiat (prospection) Gratuit Se désinscrire d'une newsletter, refuser un profilage
Décision automatisée 1 mois Gratuit Contester un refus de crédit algorithmique

Comment exercer concrètement tes droits RGPD ?

Exercer tes droits est en principe simple, mais nécessite de respecter une procédure claire pour être efficace. Voici la marche à suivre en 6 étapes.

  1. Identifie le responsable du traitement : c'est l'entreprise ou l'organisme qui décide pourquoi et comment tes données sont utilisées. Son nom figure dans la politique de confidentialité.
  2. Trouve le DPO (Délégué à la Protection des Données) : les grandes organisations et les entreprises traitant beaucoup de données doivent en désigner un. Ses coordonnées sont publiques.
  3. Rédige une demande écrite : par email ou courrier recommandé, précise clairement quel droit tu invoques, ton identité (avec copie d'un document d'identité si demandé), et l'objet exact de ta demande.
  4. Attends la réponse (1 mois maximum) : ce délai peut être prolongé de 2 mois pour les demandes complexes, avec justification.
  5. En cas de refus ou d'absence de réponse : relance l'organisation, puis prépare une plainte à l'APD.
  6. Dépose une plainte auprès de l'APD : via le formulaire en ligne sur autoriteprotectiondonnees.be. La procédure est gratuite.

Modèle de courrier type

Voici un exemple simple :

"Madame, Monsieur,

Conformément à l'article 15 du RGPD, je vous demande de me communiquer l'ensemble des données personnelles que vous détenez me concernant, ainsi que les finalités du traitement, les destinataires et la durée de conservation. Vous voudrez bien me répondre dans le délai légal d'un mois. Ci-joint la copie de ma carte d'identité pour justifier de mon identité.

Cordialement,

[Nom, Prénom, Date]"

Sanctions : que risquent les entreprises en Belgique ?

Le RGPD prévoit des sanctions particulièrement dissuasives. En Belgique, l'APD peut infliger :

  • Des avertissements et rappels à l'ordre pour les infractions mineures
  • Des amendes administratives jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial pour les infractions dites "simples"
  • Des amendes jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial pour les infractions graves (violation des droits fondamentaux, traitement illicite)

Depuis 2019, l'APD belge a infligé plusieurs sanctions notables : 600 000 € à Google pour non-respect du droit à l'oubli, 50 000 € à une société de télécoms pour manque d'information, ou encore des amendes à des communes pour des fuites de données.

Cas particuliers en Belgique

Cookies et traceurs sur les sites web

En Belgique, la loi impose le consentement préalable, libre, spécifique et éclairé pour tout cookie non essentiel. Concrètement :

  • Les bannières "tout accepter/tout refuser" doivent proposer les deux options avec la même visibilité
  • Les cookies analytiques et marketing nécessitent un consentement
  • Les cookies techniques (panier, session) sont autorisés sans consentement

Pour renforcer ta protection contre le pistage, utilise un navigateur qui bloque les traceurs par défaut. Découvre les meilleurs navigateurs respectueux de la vie privée en 2026.

Registre national et données publiques

En Belgique, le numéro national est une donnée particulièrement sensible. Son utilisation est strictement encadrée par la loi du 8 août 1983 et nécessite en général une autorisation spécifique. Aucune entreprise privée ne peut te le demander sans base légale claire.

Données médicales et mutuelles

Les données de santé bénéficient d'une protection renforcée. Les mutuelles, hôpitaux et médecins doivent respecter des règles strictes de confidentialité, notamment via le réseau eHealth et le consentement éclairé pour tout partage.

Fuites de données et notifications

En cas de fuite de données (data breach), l'organisation a 72 heures pour notifier l'APD et informer les personnes concernées si le risque est élevé. Si tu reçois une telle notification, change immédiatement tes mots de passe et surveille tes comptes. Notre guide sur les signes d'un téléphone piraté peut également t'aider à détecter des activités suspectes.

Bonnes pratiques pour protéger tes données au quotidien

Connaître ses droits, c'est bien. Prévenir les abus, c'est mieux. Voici quelques réflexes essentiels :

  1. Limite les informations que tu partages : ne remplis que les champs obligatoires des formulaires
  2. Utilise des alias email pour les inscriptions non essentielles
  3. Lis (au moins en diagonale) les politiques de confidentialité des services que tu utilises
  4. Refuse les cookies non nécessaires systématiquement
  5. Active l'authentification à deux facteurs sur tous tes comptes importants
  6. Fais des demandes d'accès régulières pour surveiller ce qui est collecté sur toi
  7. Utilise des liens courts sécurisés lorsque tu partages des URL sensibles. Des plateformes comme Lunyb permettent de créer des liens raccourcis avec statistiques anonymisées et protection contre le tracking abusif

Que faire si un site refuse de respecter tes droits ?

Malheureusement, certaines organisations trainent des pieds. Voici la procédure d'escalade :

  1. Relance formelle par courrier recommandé avec accusé de réception
  2. Contact du DPO si tu ne l'as pas encore fait
  3. Plainte à l'APD avec toutes les preuves (échanges d'emails, courriers, captures d'écran)
  4. Action en justice devant le tribunal de première instance en cas de préjudice, avec possibilité de demander des dommages et intérêts
  5. Recours collectif via des associations comme Test-Achats qui peuvent porter plainte pour un groupe de citoyens

Questions fréquentes

Le RGPD s'applique-t-il aux petites entreprises belges ?

Oui, le RGPD s'applique à toute entreprise, quelle que soit sa taille, dès qu'elle traite des données personnelles. Cependant, certaines obligations (comme la désignation d'un DPO ou la tenue d'un registre complet) sont allégées pour les entreprises de moins de 250 employés qui ne traitent pas de données à grande échelle ou de données sensibles.

Combien de temps une entreprise peut-elle conserver mes données ?

Il n'existe pas de durée universelle. Le principe est la minimisation : les données ne doivent être conservées que pour la durée strictement nécessaire à la finalité poursuivie. Par exemple, les factures doivent être conservées 7 ans (obligation comptable), tandis qu'un CV envoyé spontanément ne devrait pas être gardé plus de 2 ans. La politique de confidentialité doit préciser ces durées.

Puis-je exercer mes droits RGPD gratuitement ?

Oui, toutes les demandes RGPD sont en principe gratuites. Une organisation ne peut facturer des frais que si les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif. Le dépôt d'une plainte à l'APD est également gratuit.

Que faire si une entreprise étrangère (hors UE) traite mes données ?

Le RGPD s'applique à toute organisation qui traite les données de résidents européens, peu importe sa localisation. Tu peux exercer tes droits même auprès d'entreprises basées aux États-Unis, en Chine ou ailleurs. Ces entreprises doivent en principe désigner un représentant dans l'UE que tu peux contacter directement.

Un employeur peut-il surveiller mes emails professionnels ?

La surveillance des emails est encadrée par la Convention Collective de Travail n°81 en Belgique. L'employeur doit informer les travailleurs de manière transparente, respecter la proportionnalité et ne pas ouvrir le contenu privé sans procédure spécifique. Toute surveillance systématique et non annoncée est illégale.

Conclusion

Le RGPD est l'un des textes les plus protecteurs au monde en matière de vie privée, et la Belgique l'applique via une autorité active et accessible. Connaître tes 8 droits fondamentaux — information, accès, rectification, effacement, limitation, portabilité, opposition et décision automatisée — te donne un vrai pouvoir face aux entreprises et administrations.

N'hésite pas à exercer ces droits régulièrement : plus les citoyens s'en saisissent, plus les organisations sont incitées à respecter réellement la protection des données. Et si tu rencontres un refus, l'APD est là pour te soutenir. Ta vie privée est un droit fondamental, pas un privilège.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles