RGPD pour les commerces en Belgique : les 6 actions réelles à faire, sans payer 800€ à un consultant

Vous collectez déjà des données personnelles (même si vous ne le savez pas)

Quand on parle de "données personnelles", beaucoup de commerçants pensent à des bases de données compliquées, des serveurs informatiques, des fichiers secrets. En réalité, c'est beaucoup plus simple. Et plus courant. Que ça.

Vous collectez des données personnelles si vous faites l'une de ces choses :

• Vous avez un carnet avec les noms et numéros de téléphone de vos clients
• Vous avez un fichier Excel avec des adresses email pour envoyer des promotions
• Vous utilisez WhatsApp Business et vous avez des conversations avec des clients
• Vous avez un groupe WhatsApp ou Facebook avec vos clients fidèles
• Vous avez un système de carte de fidélité avec les noms des clients
• Vous avez un site web avec un formulaire de contact
• Vous avez une caméra de surveillance dans votre commerce
• Vous gardez l'historique d'achat de vos clients dans votre caisse

Si vous avez répondu oui à ne serait-ce qu'un seul de ces points, vous êtes concerné par le RGPD. Et ce n'est pas grave. La majorité de ce que la loi demande, c'est du bon sens.

Le RGPD en une phrase

Le RGPD, c'est une loi européenne qui dit en substance : "Si vous gardez des informations sur des gens, dites-leur ce que vous en faites, protégez ces informations, et supprimez-les quand ils vous le demandent."

C'est tout. Ce n'est pas plus compliqué que ça. Le problème, c'est que cette loi a été écrite par des juristes, dans un langage juridique, avec des termes qui font peur. Alors les commerçants imaginent qu'il faut engager un avocat et investir des milliers d'euros pour être en règle.

Pour un petit commerce, ce n'est pas le cas. Voici les six choses concrètes que vous devez faire.

Les 6 choses que vous devez faire pour être en règle

1. Dites à vos clients ce que vous collectez et pourquoi

C'est la base de tout. Si vous demandez l'email d'un client, il doit savoir pourquoi. Pas besoin d'un document de 50 pages. Une phrase suffit.

Exemple concret : vous avez un bocal sur votre comptoir où les clients laissent leur carte de visite pour un tirage au sort. Mettez un petit panneau à côté : "Vos coordonnées seront utilisées uniquement pour vous contacter si vous gagnez et pour vous envoyer nos promotions. Vous pouvez demander leur suppression à tout moment."

Si vous avez un site web avec un formulaire de contact, ajoutez une phrase sous le bouton "Envoyer" : "En soumettant ce formulaire, vous acceptez que nous utilisions vos coordonnées pour répondre à votre demande."

Pas de jargon juridique. Pas de texte en tout petit que personne ne lit. Juste de la transparence.

2. Obtenez le consentement avant d'envoyer du marketing

C'est la règle qui pose le plus de problèmes aux petits commerces. Vous ne pouvez pas ajouter quelqu'un à votre liste d'emails ou votre groupe WhatsApp sans son accord explicite.

"Explicite" signifie que la personne a fait une action claire pour dire oui. Cocher une case, remplir un formulaire, vous donner sa carte de visite en sachant qu'elle recevra des promotions. Ce n'est pas "je l'ai ajouté au groupe parce qu'il est venu trois fois au commerce".

En pratique :

• Pour vos emails : utilisez un système avec un formulaire d'inscription (Mailchimp, Brevo, etc.) où le client s'inscrit lui-même
• Pour WhatsApp : demandez "Est-ce que je peux vous envoyer nos promotions par WhatsApp ?" avant d'ajouter quelqu'un
• Pour un groupe Facebook : les gens doivent demander à rejoindre, pas être ajoutés sans leur accord

3. Permettez à vos clients de se désinscrire facilement

Chaque email commercial que vous envoyez doit contenir un lien de désinscription visible. Pas caché en tout petit à la fin. Pas un lien qui ne marche pas. Un vrai bouton sur lequel on clique et c'est fait.

Si un client vous dit "Je ne veux plus recevoir vos messages", vous devez le retirer de votre liste dans les meilleurs délais. Pas dans un mois. Pas "quand j'y penserai". Tout de suite.

Pour WhatsApp, c'est pareil : si quelqu'un vous demande de ne plus lui écrire, vous arrêtez. Point.

4. Sécurisez les données que vous gardez

C'est souvent là que les petits commerces ont le plus de travail à faire, parce que la sécurité des données, ça ne leur a jamais traversé l'esprit.

Quelques règles simples :

• Votre fichier Excel avec les emails de vos clients ? Mettez un mot de passe dessus. Pas "1234". Un vrai mot de passe.
• Votre ordinateur au commerce ? Il doit avoir un mot de passe de session. Si vous partez en pause et que quelqu'un peut accéder à vos fichiers, c'est un problème.
• Votre téléphone avec WhatsApp Business ? Verrou d'écran activé. Toujours.
• Vos sauvegardes ? Si votre ordinateur tombe en panne, est-ce que vous perdez toutes les données clients ? Faites une copie sur un disque externe ou dans le cloud.
• Votre réseau WiFi ? Changez le mot de passe par défaut de votre box. Et ne donnez pas le mot de passe de votre réseau professionnel aux clients.

Ce n'est pas de la haute technologie. C'est de la prudence de base. Comme fermer la porte de votre commerce à clé le soir.

5. Ne partagez pas les données sans accord

Vous avez une liste de 200 clients fidèles avec leurs emails. Votre voisin commerçant vous demande si vous pouvez la lui envoyer pour sa prochaine promotion. La réponse est non. Pas sans avoir demandé à chaque client s'il est d'accord.

De même, si vous utilisez un outil en ligne (un logiciel de caisse, une plateforme d'emailing, un outil de réservation), vérifiez dans leurs conditions ce qu'ils font avec les données de vos clients. La plupart des outils sérieux sont conformes au RGPD, mais ça vaut le coup de vérifier.

6. Supprimez les données quand on vous le demande

Si un client vous écrit pour dire "Je veux que vous supprimiez toutes mes données", vous devez le faire. Supprimer son email de votre liste, effacer ses coordonnées de votre fichier, retirer sa fiche de votre logiciel de caisse si possible.

Vous avez un mois maximum pour traiter la demande. En pratique, faites-le dans la semaine. C'est plus simple et ça montre que vous respectez vos clients.

Exception : si vous devez garder certaines données pour des raisons légales (facturation, comptabilité), vous pouvez les conserver. Mais vous ne pouvez plus les utiliser pour du marketing.

Les erreurs que les commerçants font sans le savoir

Le groupe WhatsApp avec tous vos clients

Vous avez créé un groupe WhatsApp "Clients fidèles de [votre commerce]" avec 80 personnes. Problème : chaque membre voit le numéro de téléphone de tous les autres. Vous venez de partager les données personnelles de 80 personnes entre elles, sans leur consentement.

La solution : utilisez les "listes de diffusion" de WhatsApp Business au lieu d'un groupe. Chaque client reçoit votre message individuellement, sans voir les autres contacts. Ou mieux, utilisez les messages automatiques de WhatsApp Business qui permettent d'envoyer des nouvelles à tous vos contacts sans créer de groupe.

L'email en copie visible à 200 personnes

Vous envoyez un email de promotion à toute votre liste, et au lieu de mettre les adresses en "CCI" (copie cachée), vous les mettez en "À" ou "CC". Résultat : chaque destinataire voit l'adresse email de tous les autres. C'est une violation du RGPD, et en plus c'est gênant.

La solution : utilisez toujours le champ CCI pour les envois groupés. Ou mieux encore, utilisez un vrai outil d'emailing (Mailchimp, Brevo) qui gère ça automatiquement.

Les anciennes données que vous gardez "au cas où"

Vous avez un fichier avec les emails de clients qui ne sont pas venus depuis 3 ans. Vous les gardez en vous disant "peut-être qu'un jour je leur enverrai quelque chose". Le RGPD dit que vous ne devez pas conserver les données plus longtemps que nécessaire. Si un client n'a pas interagi avec votre commerce depuis des années, supprimez ses données.

Règle simple : faites un nettoyage une fois par an. Supprimez les contacts inactifs depuis plus de 2 ans. Votre liste sera plus petite, mais plus pertinente.

La caméra de surveillance sans panneau

Si vous avez une caméra dans votre commerce, vous devez afficher un panneau visible à l'entrée indiquant : qu'il y a une caméra, pourquoi (sécurité), combien de temps vous gardez les images, et comment contacter le responsable. C'est obligatoire en Belgique.

Les cookies et votre site web

Si vous avez un site web. Même un site simple. Il utilise probablement des cookies. Les cookies, ce sont de petits fichiers que votre site dépose sur l'ordinateur des visiteurs pour se souvenir d'eux.

Certains cookies sont nécessaires au fonctionnement du site (par exemple, mémoriser la langue choisie). Ceux-là, vous pouvez les utiliser sans demander la permission.

Mais si votre site utilise Google Analytics pour mesurer le trafic, ou si vous avez un pixel Facebook pour la publicité, vous devez demander le consentement des visiteurs avant d'activer ces cookies. C'est pour ça que vous voyez des bannières "Accepter les cookies" sur tous les sites.

Pour un petit commerce, la solution la plus simple est d'installer un bandeau de consentement basique. Des outils gratuits comme Cookiebot (gratuit jusqu'à 100 pages) ou Complianz font ça très bien.

La politique de confidentialité : votre bouclier

Chaque site web doit avoir une page "Politique de confidentialité". Ça fait peur, mais en réalité c'est un document assez simple qui dit :

• Qui vous êtes (nom du commerce, adresse)
• Quelles données vous collectez (email via le formulaire de contact, cookies, etc.)
• Pourquoi vous les collectez (répondre aux demandes, envoyer des promotions si consentement)
• Combien de temps vous les gardez
• Avec qui vous les partagez (votre hébergeur, votre outil d'emailing, etc.)
• Comment les visiteurs peuvent exercer leurs droits (vous contacter par email)

Ce n'est pas un document qu'il faut faire rédiger par un avocat à 2 000 euros. Pour un petit commerce, une page claire et honnête de 500 mots suffit largement.

Les amendes : faut-il avoir peur ?

On entend souvent parler d'amendes de millions d'euros pour les entreprises qui ne respectent pas le RGPD. C'est vrai. Mais ces amendes gigantesques sont pour les Google, Facebook et Amazon de ce monde.

Pour un petit commerce en Belgique, la réalité est différente. L'Autorité de protection des données (APD), qui est l'organisme belge chargé de faire respecter le RGPD, privilégie l'avertissement et l'accompagnement avant la sanction pour les petites structures.

Concrètement :

• Si un client se plaint auprès de l'APD, vous recevrez d'abord un courrier vous demandant de vous mettre en conformité
• Si vous corrigez le problème, ça s'arrête généralement là
• Les amendes pour les petites entreprises, quand elles arrivent, sont proportionnelles. Quelques centaines à quelques milliers d'euros, pas des millions
• L'APD en Belgique a prononcé des amendes allant de 2 000 à 50 000 euros pour des PME, mais c'est dans des cas de négligence grave ou de refus de coopérer

Le vrai risque pour un petit commerce, ce n'est pas l'amende. C'est la perte de confiance de vos clients. Si quelqu'un apprend que vous avez partagé son numéro de téléphone sans son accord, ou que sa carte de fidélité a été piratée, il ne reviendra plus. Et il le dira à ses amis.

Le cas particulier de WhatsApp

Beaucoup de commerçants à Bruxelles utilisent WhatsApp pour communiquer avec leurs clients. C'est pratique, rapide, et tout le monde l'a. Mais il y a des règles à respecter.

WhatsApp classique vs WhatsApp Business : Si vous utilisez WhatsApp pour votre commerce, passez à WhatsApp Business. C'est gratuit, et il offre des fonctionnalités adaptées aux professionnels : profil d'entreprise, messages automatiques, étiquettes pour organiser vos contacts.

Consentement : Vous ne pouvez envoyer des messages commerciaux (promotions, offres) qu'aux personnes qui vous ont donné leur accord. Un client qui vous a écrit une fois pour demander vos horaires ne vous a pas donné le droit de lui envoyer vos promotions chaque semaine.

Groupes : Comme on l'a vu, les groupes posent un problème de confidentialité. Préférez les listes de diffusion ou les messages individuels.

Sauvegarde : Les conversations WhatsApp contiennent des données personnelles. Si vous changez de téléphone, assurez-vous que l'ancien est bien effacé.

Un plan d'action simple pour vous mettre en conformité

Voici ce que vous pouvez faire cette semaine, sans dépenser un euro :

1. Lundi : Faites la liste de toutes les données personnelles que vous gardez (carnets, fichiers Excel, logiciel de caisse, WhatsApp, emails)
2. Mardi : Pour chaque type de données, notez pourquoi vous les gardez et depuis combien de temps
3. Mercredi : Supprimez les données que vous n'utilisez plus (contacts inactifs depuis 2+ ans, anciens fichiers)
4. Jeudi : Mettez un mot de passe sur vos fichiers clients, vérifiez que votre ordinateur et votre téléphone sont verrouillés
5. Vendredi : Ajoutez un lien de désinscription à vos emails commerciaux si ce n'est pas déjà fait

En cinq jours, sans rien dépenser, vous serez déjà bien plus en règle que 90 % des petits commerces.

Pourquoi un accompagnement fait la différence

Le RGPD n'est pas un sujet que la plupart des commerçants maîtrisent. Et c'est normal. Votre métier, c'est de servir vos clients, pas de lire des textes de loi. Mais ignorer ces règles peut vous coûter cher, en amendes comme en réputation.

Un accompagnement, c'est quelqu'un qui regarde votre situation concrète : quels outils vous utilisez, quelles données vous collectez, où sont les risques. Et qui vous dit exactement quoi changer, dans quel ordre, sans jargon.

Chez Hebora, on ne remplace pas un avocat spécialisé en RGPD. Mais on vous aide à mettre en place les bases : sécuriser vos fichiers, configurer vos outils correctement, rédiger votre politique de confidentialité, installer un bandeau de cookies sur votre site. Les choses concrètes qui vous mettent en conformité au quotidien.

Parce que protéger les données de vos clients, ce n'est pas une contrainte administrative. C'est une marque de respect. Et vos clients le ressentent.

Sur le terrain : une boulangerie d'Anderlecht qui a évité 1 200€ d'amende RGPD

Une boulangerie d'Anderlecht, 3 employés, fichier clients de 800 personnes pour la newsletter mensuelle des offres et nouveautés. Ce fichier était constitué progressivement depuis 4 ans, principalement à partir d'inscriptions au comptoir : « vous voulez recevoir nos nouveautés ? Donnez-moi votre email ». Aucun consentement écrit, aucun registre, aucune politique de confidentialité.

En 2025, un client mécontent (différend sur une commande de gâteau d'anniversaire) a déposé une plainte à l'APD pour traitement de ses données sans consentement explicite. L'APD a ouvert un dossier. Premier signal envoyé à la boulangère : sans action corrective sous 30 jours, l'amende minimale serait de 1 200€ (proportionnelle à la taille de l'entreprise).

Plan de mise en conformité réalisé en 5 jours : (1) email à toute la base demandant un nouveau consentement explicite, avec lien de désinscription immédiat, 540 personnes sur 800 ont re-confirmé, les 260 autres ont été supprimées du fichier. (2) Rédaction d'une politique de confidentialité simple en français, affichée en boutique et sur le site. (3) Création d'un registre des traitements basique (fichier Excel de 3 pages). (4) Modification du formulaire d'inscription pour qu'il soit clair, explicite, avec case à cocher non pré-remplie. (5) Notification à l'APD des mesures prises.

Conclusion : aucune amende, dossier clos en 6 semaines. Coût réel : 4 heures de travail de la boulangère + 200€ d'accompagnement externe pour la rédaction de la politique de confidentialité. Vs 1 200€ d'amende + temps perdu + image dégradée. Le RGPD n'est pas compliqué, il devient compliqué quand on attend qu'un client se plaigne.

Ressources officielles et organismes de référence

Pour aller plus loin et rester à jour sur la réglementation RGPD en Belgique :

• RGPD.be, Site officiel belge dédié au RGPD. Ressources, guides, modèles de documents.
• Autorité de Protection des Données (APD), L'organe belge responsable du RGPD. Vous pouvez déposer plainte en cas de violation.
• European Data Protection Board (EDPB), Autorité européenne qui harmonise l'interprétation du RGPD dans tous les pays membres.
• CNIL (Commission Nationale de l'Informatique et des Libertés), Homologue français, avec ressources pédagogiques très claires sur le RGPD.
• Google Privacy Center, Si vous utilisez Google Analytics ou Google Ads, consultez les conditions de conformité RGPD.

Pour les commerçants belges spécifiquement :

• Belgium.be, Portail officiel avec guides pour entrepreneurs et commerces sur les obligations légales.
• Guichet d'Entreprises, Service belge gratuit pour les questions juridiques et administratives des commerces. Disponible via guichet.gob.be.

Questions fréquentes

Un commerce de moins de 10 employés doit-il vraiment se conformer au RGPD ?

Oui, dès qu'il traite des données personnelles (nom, email, téléphone, données de paiement). Mais l'effort proportionné prévu par le RGPD signifie qu'un petit commerce n'a pas les mêmes obligations qu'une grande entreprise : pas besoin de DPO, registre des traitements simplifié, mesures techniques adaptées à votre taille.

Quel est le risque réel d'une plainte RGPD pour un commerce belge ?

L'APD (Autorité de Protection des Données) traite environ 7 000 plaintes par an en Belgique, dont la grande majorité se solde par un avertissement ou une amende symbolique. Pour un commerce de quartier qui n'a rien fait du tout, l'amende moyenne est de 250 à 2 500€. Les très grosses amendes (millions d'euros) concernent les grandes entreprises et les fuites massives.

Faut-il un consentement écrit pour ajouter un client à sa newsletter ?

Oui, et c'est l'erreur la plus commune. Une case pré-cochée par défaut sur votre formulaire est illégale. L'inscription doit être active (le client coche lui-même) et conservée comme preuve (date, heure, formulaire utilisé). Si vous reprenez votre carnet d'adresses Excel de vos clients réguliers, vous devez leur demander un consentement explicite avant de leur envoyer la première newsletter.

Que faire si je perds un fichier client (ordinateur volé, fuite, erreur d'envoi) ?

Vous devez notifier l'APD dans les 72 heures via leur portail en ligne, et informer les clients concernés si le risque est élevé pour leurs droits. Ne pas le faire est l'erreur qui transforme une petite fuite en grosse amende. La notification en bonne foi protège plus qu'elle ne dénonce.

Mon site WordPress avec Google Analytics est-il conforme RGPD ?

Pas par défaut. Google Analytics installe des cookies de tracking qui exigent un consentement explicite via une bannière. Plus simple : utilisez une alternative europeenne (Plausible, Matomo en mode 'sans cookies', Fathom) qui ne nécessite pas de consentement. Ça réduit aussi la friction sur votre site et améliore le taux de conversion.