Union européenneRGPD et IA ActMis à jour le 2026-04-18

Belgique

Ce qui s’applique à toi si tu traites des données personnelles en Belgique ou pour des personnes résidant en Belgique.

La Belgique applique le RGPD européen (2018), transposé et précisé par la loi du 30 juillet 2018. L’Autorité de protection des données (APD) est l’autorité nationale. L’AI Act européen (2024/1689) s’applique directement, avec entrée en vigueur progressive jusqu’en 2027. La Belgique a aussi des spécificités linguistiques (régions francophone, néerlandophone, germanophone) qui peuvent imposer une information client dans la langue appropriée. Le Centre pour la cybersécurité Belgique (CCB) joue un rôle croissant sur les incidents techniques.

CHAMP D'APPLICATION

À qui ça s'applique, à qui ça ne s'applique pas.

Ça s'applique à toi si

+Toute entreprise établie en Belgique qui collecte ou traite des données personnelles, y compris les indépendants et micro-entreprises.
+Toute entreprise étrangère qui cible des personnes en Belgique (e-commerce, service en ligne, marketing).
+Les outils IA, y compris à destination interne, dès qu’ils traitent des données identifiantes.

Ça ne s'applique pas à

−Les données anonymisées de manière irréversible.
−Les traitements purement personnels sans finalité professionnelle.
−Certains traitements de personnes morales qui ne contiennent aucune donnée rattachable à une personne physique.

POINTS CLÉS

5 points à retenir.

APD, autorité de contrôle belge

L’Autorité de protection des données (anciennement Commission vie privée) est l’interlocuteur national pour toutes les questions RGPD. Elle reçoit les notifications de violations, instruit les plaintes, publie des recommandations sectorielles.

Obligations RGPD harmonisées

Mêmes obligations qu’ailleurs dans l’UE : registre des traitements, base légale identifiée, politique de confidentialité, droits des personnes, notifications sous 72 heures. La loi du 30 juillet 2018 précise les modalités nationales de certaines exceptions (recherche scientifique, archives, journalisme).

Spécificités linguistiques

Les informations aux personnes (politique de confidentialité, notifications) doivent être accessibles dans la langue appropriée : français en région francophone, néerlandais en Flandre, allemand pour les cantons germanophones. L’anglais ne suffit pas pour une activité locale.

CCB pour les incidents techniques

Le Centre pour la cybersécurité Belgique accompagne les entreprises sur les incidents cyber et coordonne la réponse sectorielle. Il est complémentaire de l’APD : l’APD reçoit les violations de données personnelles, le CCB conseille sur les aspects techniques et de continuité.

AI Act européen applicable

Pratiques interdites applicables depuis février 2025 (scoring social, manipulation subliminale, identification biométrique temps réel). Obligations sur les systèmes à haut risque en application progressive de 2026 à 2027. Obligations de transparence (art. 50) pour les systèmes d’IA interagissant avec des personnes.

DÉTAILS

Ce qu'il faut savoir.

Qu’est-ce qu’une donnée personnelle en droit belge ?

La définition du RGPD s’applique directement : toute information relative à une personne physique identifiée ou identifiable. Les données sensibles (santé, origine, opinions, religion, orientation sexuelle, biométrie identifiante) sont soumises au régime renforcé de l’article 9 du RGPD. La loi belge ajoute certaines catégories, notamment les données relatives à la sécurité sociale ou au fisc, qui sont traitées comme sensibles par certaines jurisprudences locales.

Bases légales et consentement

Les six bases légales du RGPD s’appliquent. Pour les mineurs, la Belgique a fixé l’âge du consentement numérique à 13 ans (plus bas que certains pays de l’UE). Le consentement parental est requis pour les mineurs de moins de 13 ans. Les formulaires de consentement doivent être clairs, spécifiques, séparés des conditions générales.

Transferts hors UE

Mêmes règles qu’en France : décisions d’adéquation, clauses contractuelles types, règles d’entreprise contraignantes, dérogations limitées. L’APD belge a publié plusieurs recommandations sur les transferts vers les États-Unis et sur l’encadrement des outils IA hébergés hors UE.

Droits des personnes

Accès, rectification, effacement, limitation, portabilité, opposition, droit de ne pas faire l’objet d’une décision exclusivement automatisée. Délai d’un mois, prolongeable de deux mois. L’APD traite les plaintes dans un délai variable, souvent plusieurs mois en pratique.

Violations de données

Notification à l’APD sous 72 heures en cas de risque. Notification aux personnes concernées si le risque est élevé. L’APD accepte une notification simplifiée en cas d’incident mineur, mais toute notification doit être documentée dans le registre interne des violations.

Sanctions

Mêmes plafonds que dans le reste de l’UE : 20 M€ ou 4 % du chiffre d’affaires mondial (RGPD), 35 M€ ou 7 % du CA (AI Act). L’APD belge prononce des sanctions plus rares que la CNIL française, mais publie régulièrement des mises en demeure qui servent de jurisprudence de fait.

SOURCES OFFICIELLES

Aller à la source.

Autorité de protection des données (APD)Centre pour la cybersécurité Belgique (CCB)Loi du 30 juillet 2018 (transposition RGPD)Texte officiel du RGPD Texte officiel de l’AI Act

NOTES

Cette fiche résume les obligations principales en Belgique. Pour les cas complexes (multilinguisme, sous-traitance transfrontalière, traitement de données sensibles, clientèle internationale), un accompagnement par un juriste belge ou un DPO est recommandé. Le site compagnon met à jour cette fiche à chaque évolution de l’APD ou des positions sectorielles (secteur financier, soins de santé, fonction publique).