RGPD Belgique : guide conformité APD et loi 2018

Q: Quelle est l’autorité de contrôle RGPD en Belgique ?

L’Autorité de Protection des Données (APD), en néerlandais Gegevensbeschermingsautoriteit (GBA), créée par la loi du 3 décembre 2017 et opérationnelle depuis le 25 mai 2018. Siège à Bruxelles, rue de la Presse 35.

Q: Quel est le montant maximum d’une sanction APD ?

Comme partout dans l’UE : 20 M€ ou 4 % du CA mondial (article 83 RGPD). En pratique, l’APD belge a une politique modérée — sanction la plus élevée 250 000 € (IAB Europe, 2022). La doctrine évolue toutefois vers des sanctions plus fortes pour les manquements graves.

Q: Le numéro de registre national peut-il être utilisé librement ?

Non. Son utilisation est strictement encadrée par la loi du 8 août 1983. Pour la plupart des traitements privés, une autorisation préalable du Comité sectoriel du Registre national est nécessaire, sauf cas d’usage limités (employeur, banque, mutuelle).

En une phrase. En Belgique, le RGPD est complété par la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (“loi cadre”). L’autorité de contrôle est l’Autorité de Protection des Données (APD / GBA), indépendante depuis 2018. L’APD a prononcé plus de 200 décisions depuis 2018 et infligé plus de 5 M€ de sanctions cumulées, dont une décision marquante contre l’IAB Europe (250 000 €) et plusieurs sanctions sectorielles entre 2023 et 2025.

Le cadre belge ajoute des spécificités notables : compétence d’office de l’APD, procédure contentieuse particulière (Chambre Contentieuse), conséquences pénales possibles, et tradition de transparence judiciaire (décisions publiées en français et néerlandais). Ce guide synthétise les obligations pour les organisations actives en Belgique.

Pour les autres juridictions : RGPD Suisse, RGPD Luxembourg, article 6 RGPD.

Points clés

L’APD (Gegevensbeschermingsautoriteit en néerlandais) est l’autorité compétente, basée à Bruxelles.
Loi cadre du 30 juillet 2018 complète le RGPD avec spécificités belges.
Six organes : Comité de direction, Secrétariat général, Première ligne, Centre de connaissances, Service d’inspection, Chambre Contentieuse.
Sanctions cumulées 2018-2025 : > 5 M€, décision phare contre IAB Europe (250 k€).
DPO obligatoire dans le secteur public et pour les traitements à grande échelle.

1. Cadre légal belge

Trois textes principaux :

Règlement (UE) 2016/679 RGPD : directement applicable
Loi du 30 juillet 2018 : cadre de mise en œuvre + protection hors champ RGPD (justice pénale, services de renseignement)
Loi du 3 décembre 2017 portant création de l’APD

Plusieurs lois sectorielles complètent : loi caméras (2007), loi vidéosurveillance, code judiciaire (procédure), etc.

2. L’Autorité de Protection des Données (APD)

Structure unique en Europe : l’APD est composée de six organes indépendants :

Organe	Rôle
Comité de direction	Stratégie, présidence
Secrétariat général	Support
Première ligne	Information, médiation, plaintes
Centre de connaissances	Avis, recommandations
Service d’inspection	Enquêtes
Chambre Contentieuse	Sanctions

Ce design sépare l’investigation (inspection) du jugement (chambre contentieuse), garantissant une procédure équitable.

3. Compétences de l’APD

Traitement des plaintes (>1 500 par an depuis 2020)
Contrôles d’initiative
Sanctions financières et correctives
Avis sur projets de loi
Recommandations sectorielles
Médiation
Coopération européenne (chef de file ou autorité concernée)

4. Désignation d’un DPO en Belgique

Obligation RGPD article 37 + spécificités belges :

Toutes les autorités publiques belges (sans exception)
Tout responsable dont l’activité principale exige un suivi régulier et systématique à grande échelle
Traitement à grande échelle de catégories particulières

Recommandations APD : DPO bilingue (français + néerlandais minimum) pour les organisations fédérales, contact direct avec la direction, formation continue documentée.

5. Notification de violation (data breach)

Procédure :

Notification dans les 72 heures à l’APD via formulaire en ligne (data-breach@apd-gba.be)
Modèle de formulaire trilingue (FR/NL/EN)
Communication aux personnes concernées si risque élevé

L’APD publie chaque année un rapport sur les notifications : 2 230 violations notifiées en 2023 (en hausse de 15 %).

6. Sanctions APD 2018-2025

Date	Entité	Montant	Motif
Févr. 2022	IAB Europe	250 000 €	Vices structurels TCF cookies
2020-2024	Sociétés télécom	50-100 k€ chacune	Marketing direct
2023	Pharmacie	75 000 €	Sécurité défaillante
2024	Plateforme de notation	200 000 €	Bases légales et droits
2024	Société de recouvrement	150 000 €	Conservation et information
2025	Plusieurs PME	5-25 k€	Manquements divers

L’APD a une politique de sanction plus modérée que la CNIL française, mais avec une forte publicité des décisions.

7. Procédure contentieuse devant la Chambre Contentieuse

Étapes :

Plainte ou contrôle d’office
Enquête par le Service d’inspection (3-12 mois)
Rapport d’inspection transmis à la Chambre Contentieuse
Audition contradictoire
Décision motivée publiée
Recours possible devant la Cour des marchés (recours suspensif)

Délai moyen plainte → décision : 18 à 30 mois.

8. Spécificités sectorielles belges

Banque et assurance : la Banque Nationale de Belgique et la FSMA ont des compétences propres complémentaires à l’APD.

Santé : la plateforme eHealth structure les échanges de données de santé ; l’INAMI intervient sur les remboursements.

Travail : la CCT n°81 (conseil national du travail) encadre la surveillance des communications électroniques au travail — référence majeure complétant le RGPD.

Vidéosurveillance : déclaration au commissariat de police local + signalisation obligatoire.

9. Catégories particulières : règles belges

La loi du 30 juillet 2018 précise les conditions de traitement de catégories particulières (article 9 §2 RGPD), notamment :

Données génétiques (article 9 §2(h))
Données de santé : autorisation de traitement par des médecins ou sous leur responsabilité
Données judiciaires : régime spécifique articles 10 et 73 de la loi

Le numéro national (Rijksregisternummer / numéro de registre national) est encadré par une loi de 1983 — son traitement nécessite généralement une autorisation préalable.

10. Transferts internationaux et brexit

Spécificité : la Belgique abrite plusieurs institutions européennes (Commission, Conseil, Parlement) soumises au règlement (UE) 2018/1725 (RGPD institutions UE) et contrôlées par le CEPD (Contrôleur Européen de la Protection des Données), distinct de l’APD.

Post-Brexit : le Royaume-Uni bénéficie d’une décision d’adéquation (jusqu’en juin 2025, renouvelée). Les transferts vers le RU restent libres.

11. Coopération avec autres autorités

La Belgique étant siège de nombreuses entreprises internationales, l’APD participe activement aux procédures de guichet unique (one-stop-shop) du RGPD :

Microsoft Europe : siège à Munich, APD belge concernée
Plusieurs filiales US ayant choisi la Belgique comme établissement principal

Le mécanisme de cohérence européen (article 63 RGPD) est régulièrement activé par l’APD.

12. Conseils pratiques pour entreprises actives en Belgique

Identifier l’autorité chef de file si activité multi-pays
DPO bilingue FR/NL indispensable
Mentions d’information dans les deux langues nationales + EN si activité internationale
Veille des décisions APD publiées (autoriteprotectiondonnees.be / gegevensbeschermingsautoriteit.be)
Connaître la CCT 81 si surveillance des employés
Anticiper les sanctions sectorielles (recouvrement, télécom, marketing direct ciblés par l’APD)

FAQ

Quelle est l’autorité de contrôle RGPD en Belgique ?

L’Autorité de Protection des Données (APD), en néerlandais Gegevensbeschermingsautoriteit (GBA), créée par la loi du 3 décembre 2017 et opérationnelle depuis le 25 mai 2018. Siège à Bruxelles, rue de la Presse 35.

Comment notifier une violation de données à l’APD ?

Via le formulaire en ligne sur autoriteprotectiondonnees.be, dans les 72 heures après la prise de connaissance. Modèle disponible en français, néerlandais et anglais. Notification rétroactive possible avec justification du retard.

Faut-il un DPO en français ou en néerlandais ?

Pour la plupart des organisations actives en Belgique : un DPO bilingue FR/NL est recommandé, notamment pour les administrations fédérales et entreprises actives sur tout le territoire. À Bruxelles, le bilinguisme est imposé pour les services publics.

Quel est le montant maximum d’une sanction APD ?

Comme partout dans l’UE : 20 M€ ou 4 % du CA mondial (article 83 RGPD). En pratique, l’APD belge a une politique modérée — sanction la plus élevée 250 000 € (IAB Europe, 2022). La doctrine évolue toutefois vers des sanctions plus fortes pour les manquements graves.

Le numéro de registre national peut-il être utilisé librement ?

Non. Son utilisation est strictement encadrée par la loi du 8 août 1983. Pour la plupart des traitements privés, une autorisation préalable du Comité sectoriel du Registre national est nécessaire, sauf cas d’usage limités (employeur, banque, mutuelle).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial

Written by

Dr. Thiébaut Devergranne

Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →