RGPD 2026 : les 5 erreurs les plus fréquentes des PME belges
Absence de base juridique, outils américains sans garanties, registre des traitements inexistant : découvrez les 5 erreurs RGPD les plus courantes chez les PME belges et comment les corriger avant un contrôle de l'APD.
Depuis l'entrée en vigueur du RGPD en mai 2018, les PME belges ont eu huit ans pour se mettre en conformité. Pourtant, l'Autorité de Protection des Données (APD) continue de traiter chaque année des centaines de plaintes et de constater les mêmes manquements, souvent chez les mêmes profils d'entreprises. En 2026, le contexte s'est durci : les amendes augmentent, les contrôles s'intensifient et les plaignants sont mieux informés.
Voici les cinq erreurs les plus fréquentes que nous observons chez nos clients PME — et, surtout, comment les corriger.
Erreur n°1 : aucune base juridique documentée pour les traitements
L'erreur
Votre entreprise collecte des adresses e-mail pour envoyer une newsletter. Vos commerciaux enregistrent les numéros de téléphone de prospects dans un CRM. Votre service RH conserve des données médicales pour le suivi des absences. Mais sur quels fondements juridiques reposent ces traitements ?
Le RGPD identifie six bases légales possibles (article 6) : le consentement, l'exécution d'un contrat, une obligation légale, la sauvegarde d'intérêts vitaux, une mission d'intérêt public, et l'intérêt légitime. Or, beaucoup de PME n'ont jamais formellement déterminé laquelle s'applique à chacun de leurs traitements.
Pourquoi c'est grave
Sans base juridique documentée, vous ne pouvez pas prouver que votre traitement est licite. En cas de contrôle ou de plainte, l'absence de documentation est en elle-même une infraction. L'APD peut infliger une amende allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour traitement illicite de données personnelles.
En Belgique, la décision APD n°08/2023 a sanctionné une entreprise de marketing direct pour avoir envoyé des communications commerciales sans pouvoir prouver ni le consentement ni l'intérêt légitime justifiant les envois.
Comment corriger
Dressez l'inventaire de vos traitements et, pour chacun, assignez une base juridique. Documentez ce choix dans votre registre des traitements (voir erreur n°3). Une règle simple : ne choisissez pas le consentement par défaut. Si le traitement est nécessaire à l'exécution d'un contrat ou à une obligation légale, utilisez ces bases — elles sont plus robustes et ne peuvent pas être retirées par la personne concernée.
Erreur n°2 : utilisation d'outils américains sans garanties adéquates
L'erreur
Google Workspace pour la messagerie et les documents, Mailchimp pour les newsletters, HubSpot pour le CRM, Zoom pour les réunions. Ces outils sont pratiques et bien intégrés. Mais ils exposent vos données à des risques juridiques sérieux.
Le CLOUD Act américain de 2018 permet aux autorités américaines d'exiger l'accès aux données stockées par des entreprises américaines, quel que soit l'emplacement physique des serveurs. Même un datacenter AWS à Francfort est concerné. Par ailleurs, le Data Privacy Framework (DPF), le cadre encadrant les transferts UE-États-Unis depuis 2023, fait l'objet de contestations juridiques et pourrait être invalidé par la Cour de Justice de l'UE.
Pourquoi c'est grave
Utiliser un service américain sans mécanisme de transfert valide constitue une infraction à l'article 44 du RGPD. L'autorité néerlandaise (AP) a sanctionné plusieurs organisations pour transferts illicites vers les États-Unis. En Belgique, l'APD a publié des lignes directrices rappelant que le DPF ne dispense pas les entreprises d'évaluer les risques résiduels.
Comment corriger
Pour chaque outil américain utilisé, vérifiez :
- Que le fournisseur est certifié DPF et que vous avez signé des Clauses Contractuelles Types (CCT)
- Que vous avez réalisé un Transfer Impact Assessment (TIA) documentant les risques résiduels
- Que des mesures techniques supplémentaires (chiffrement de bout en bout, pseudonymisation) ont été mises en place si nécessaire
Pour les données sensibles ou stratégiques, envisagez des alternatives européennes : Infomaniak, OVHcloud, Nextcloud, Proton. La migration n'est pas toujours nécessaire, mais elle doit être une décision consciente et documentée.
Erreur n°3 : pas de registre des traitements
L'erreur
L'article 30 du RGPD impose à toute organisation de tenir un registre des activités de traitement. Ce document recense tous les traitements de données personnelles effectués par l'entreprise, avec pour chacun : la finalité, les catégories de données, les personnes concernées, les destinataires, les durées de conservation et les mesures de sécurité.
Officiellement, cette obligation ne concerne que les entreprises de plus de 250 salariés. Mais l'exception est large : le registre est également obligatoire pour les structures plus petites dès lors que les traitements sont susceptibles de comporter un risque pour les droits et libertés, portent sur des données sensibles, ou ne sont pas occasionnels. En pratique, presque toutes les PME actives sont concernées.
Pourquoi c'est grave
Le registre est le premier document qu'un inspecteur de l'APD demande lors d'un contrôle. Son absence est sanctionnable directement. De plus, sans registre, vous ne pouvez pas piloter votre conformité RGPD : vous ne savez pas ce que vous traitez, et donc vous ne pouvez pas protéger correctement.
Comment corriger
Commencez par un tableau simple (Excel ou Google Sheets, puis migrez vers un outil dédié) avec les colonnes suivantes : nom du traitement, responsable interne, finalité, base juridique, catégories de données, personnes concernées, destinataires, transferts hors UE, durée de conservation, mesures de sécurité. Renseignez-le traitement par traitement, en partant des activités les plus courantes : RH, clients, prospects, fournisseurs, site web. Nous détaillons la méthode complète dans notre guide dédié au registre des traitements.
Erreur n°4 : ignorer l'obligation de notification des violations de données (72 heures)
L'erreur
Un employé perd un ordinateur portable contenant des données clients. Un ransomware chiffre vos serveurs. Un e-mail est envoyé à la mauvaise liste. Ces incidents arrivent — et beaucoup d'entreprises, soit n'ont aucun processus en place pour les détecter, soit les gèrent en interne sans notifier l'APD.
L'article 33 du RGPD impose pourtant de notifier toute violation de données à l'APD dans un délai de 72 heures après en avoir pris connaissance, sauf si la violation est peu susceptible d'engendrer un risque pour les droits et libertés des personnes concernées.
Pourquoi c'est grave
L'absence de notification est sanctionnée par l'APD, mais ce qui aggrave souvent la situation, c'est la tentative de dissimulation. En Belgique, la décision APD n°114/2023 a infligé une amende à une entreprise non seulement pour la violation elle-même, mais pour avoir attendu plus de trois semaines avant de notifier — sans justification valable.
Comment corriger
Mettez en place un processus interne de gestion des incidents :
- Détection : qui peut signaler un incident ? (tout collaborateur ayant accès à des données)
- Évaluation : est-ce une violation notifiable ? Documentez le raisonnement même si vous concluez à la non-notification
- Notification à l'APD : utilisez le formulaire en ligne de l'APD, dans les 72 heures
- Notification aux personnes concernées : si la violation est susceptible d'engendrer un risque élevé (article 34 RGPD)
- Documentation : consignez tout dans un registre des violations, même celles non notifiées
Erreur n°5 : traiter le consentement comme la seule base juridique valable
L'erreur
Par souci de prudence — ou par méconnaissance des autres bases juridiques — beaucoup de PME demandent le consentement pour absolument tous leurs traitements. Résultat : des bannières de cookies surchargées, des formulaires d'inscription alambiqués, et surtout, des bases de données instables car le consentement peut être retiré à tout moment.
Pourquoi c'est grave
Le consentement est la base juridique la plus contraignante du RGPD. Il doit être libre, spécifique, éclairé et univoque. Un consentement obtenu via une case pré-cochée, une formulation ambiguë ou un rapport de déséquilibre (par exemple, employeur/employé) n'est pas valide. Utiliser le consentement là où l'intérêt légitime ou l'exécution d'un contrat seraient plus appropriés crée une fragilité inutile.
Par ailleurs, l'APD belge a émis des recommandations claires sur les cookies : un simple bandeau "OK" sans possibilité de refuser équivalent n'est pas un consentement valide. La décision APD n°21/2023 a sanctionné un éditeur de site web belge pour une pratique de recueil de consentement non conforme.
Comment corriger
Appliquez la règle du "choix de la base la plus adaptée" :
| Situation | Base recommandée |
|---|---|
| Exécution d'un contrat (ex. livraison) | Exécution du contrat (art. 6.1.b) |
| Obligation légale (ex. conservation comptable) | Obligation légale (art. 6.1.c) |
| Prospection commerciale B2B | Intérêt légitime (art. 6.1.f) avec TBI |
| Newsletter opt-in | Consentement (art. 6.1.a) |
| Cookies analytiques | Consentement (art. 6.1.a) |
| RH — gestion administrative | Exécution du contrat / Obligation légale |
Réservez le consentement aux situations où il est véritablement le mécanisme le plus pertinent — et assurez-vous alors qu'il est collecté correctement.
Conclusion : la conformité RGPD, un processus continu
Ces cinq erreurs ont un point commun : elles résultent d'une approche réactive plutôt que structurée. La conformité RGPD n'est pas un projet ponctuel à cocher une fois pour toutes. C'est un processus continu qui exige documentation, formation et révision régulière.
En 2026, l'APD dispose de ressources accrues pour ses contrôles et coopère activement avec les autres autorités européennes via le Comité Européen de la Protection des Données (CEPD). Les entreprises qui n'ont pas construit de programme de conformité solide s'exposent à des risques croissants.
La bonne nouvelle : beaucoup de ces erreurs sont corrigibles rapidement, avec une méthode claire et une priorité sur la documentation.
Vous souhaitez évaluer votre niveau de conformité RGPD et identifier vos zones de risque prioritaires ?