Conformité données personnelles en Belgique : RGPD, CCPA, LGPD, POPIA — guide 2026
Guide complet pour les entreprises belges multinationales : RGPD, CCPA californien, LGPD brésilien et POPIA sud-africain. Obligations de l'APD, loi du 30 juillet 2018 et transferts transfrontaliers.
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokLa Belgique occupe une position singulière dans le paysage mondial de la protection des données : Bruxelles concentre les sièges européens de plusieurs centaines de multinationales, ce qui soumet un nombre croissant d'entreprises belges à une multiplicité de cadres réglementaires simultanés. Au RGPD s'ajoutent le California Consumer Privacy Act (CCPA) et son extension CPRA, la Lei Geral de Proteção de Dados (LGPD) brésilienne et le Protection of Personal Information Act (POPIA) sud-africain. Gérer ces quatre régimes de front n'est plus réservé aux géants technologiques — toute PME belge disposant d'une filiale au Brésil, d'un bureau à Johannesburg ou d'une clientèle en Californie est directement concernée.
La plateforme CheckFile a traité plus de 2,4 millions de documents répartis dans 32 juridictions, permettant à ses clients entreprises de réduire leur temps de traitement documentaire de 83 % tout en maintenant un taux de conformité aux audits de 99,2 % (CheckFile.ai — résultats clients 2025).
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique, financier ou réglementaire. Consultez un conseiller qualifié pour des orientations spécifiques à votre situation.
Quel cadre juridique s'applique aux entreprises belges opérant à l'international ?
Les entreprises belges ayant des activités hors de l'Union européenne doivent simultanément respecter le RGPD pour leurs traitements européens et les lois locales de chaque pays cible. Le principe de territorialité croisée crée des obligations cumulatives, non alternatives.
Le socle belge : RGPD et loi du 30 juillet 2018
Le RGPD (Règlement UE 2016/679) est directement applicable en Belgique depuis le 25 mai 2018. Il est complété par la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (M.B. du 5 septembre 2018), qui précise les marges de manœuvre nationales accordées par le règlement européen : traitements à des fins journalistiques, traitements par les autorités compétentes, délégué à la protection des données dans le secteur public.
L'autorité de contrôle belge est l'Autorité de Protection des Données / Gegevensbeschermingsautoriteit (APD/GBA), dont le siège est établi rue de la Presse 35, 1000 Bruxelles. L'APD dispose d'un pouvoir de sanction allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé, conformément à l'article 83 du RGPD. En 2024, l'APD a prononcé 17 décisions formelles, dont plusieurs concernant des manquements aux bases légales de traitement et aux durées de conservation.
La singularité belge réside dans la concentration de sièges européens à Bruxelles : une entreprise dont le siège social européen est en Belgique peut être désignée comme établissement principal pour l'ensemble de l'UE, ce qui confère à l'APD le rôle d'autorité chef de file (lead supervisory authority) pour toutes les activités de traitement de ce groupe à l'échelle européenne.
Pour les règles applicables au traitement des documents d'identité dans ce cadre, consultez notre guide RGPD et documents d'identité.
CCPA et CPRA : obligations pour les entreprises belges servant la Californie
Le California Consumer Privacy Act (CCPA, Cal. Civ. Code § 1798.100 et seq.), entré en vigueur le 1er janvier 2020, s'applique à toute entreprise qui collecte des données personnelles de résidents californiens et qui remplit l'un des critères suivants : chiffre d'affaires annuel brut supérieur à 25 millions USD, traitement des données de 100 000 consommateurs ou ménages californiens ou plus, ou réalisation de plus de 50 % du chiffre d'affaires annuel par la vente de données personnelles.
Le California Privacy Rights Act (CPRA), adopté par référendum en novembre 2020 et pleinement effectif depuis le 1er janvier 2023, a renforcé le CCPA en créant la California Privacy Protection Agency (CPPA), autorité indépendante chargée de l'application. Les amendes atteignent jusqu'à 7 500 USD par violation intentionnelle.
| Critère | RGPD (APD belge) | CCPA/CPRA (Californie) |
|---|---|---|
| Champ d'application territorial | Établissement dans l'UE ou ciblage de résidents UE | Entreprises servant des résidents californiens (seuils de taille) |
| Base légale obligatoire | Oui — 6 bases légales (art. 6) | Non — opt-out plutôt qu'opt-in (sauf données sensibles) |
| Droit à l'effacement | Art. 17 RGPD | Cal. Civ. Code § 1798.105 |
| Délégué à la protection des données | Obligatoire dans certains cas (art. 37) | Non requis |
| Amende maximale | €20M ou 4 % CA mondial | $7 500/violation intentionnelle |
| Autorité de contrôle | APD/GBA (Belgique) | CPPA + procureurs généraux des États |
Une entreprise belge avec bureau à San Francisco ou clientèle californienne est soumise aux deux régimes simultanément — il est impossible de choisir l'un ou l'autre.
Source : California Privacy Protection Agency — CPRA Full Text
LGPD : obligations pour les entreprises belges opérant au Brésil
La Lei Geral de Proteção de Dados Pessoais (LGPD, Lei n° 13.709/2018), entrée en vigueur en septembre 2020 avec des sanctions applicables depuis août 2021, est la loi brésilienne de protection des données. Son autorité de contrôle, l'Autoridade Nacional de Proteção de Dados (ANPD), a commencé à exercer ses pouvoirs de sanction en 2023.
La LGPD s'applique à toute personne physique ou morale, publique ou privée, qui traite des données personnelles de personnes situées sur le territoire brésilien — peu importe la localisation du responsable de traitement. Une entreprise belge gérant des données de clients, employés ou prestataires brésiliens est donc directement concernée.
Les sanctions LGPD atteignent jusqu'à 2 % du chiffre d'affaires au Brésil au cours du dernier exercice, plafonné à 50 millions de reals brésiliens (BRL) par infraction (art. 52 LGPD). En mai 2023, la plateforme de notation de crédit Serasa Experian a écopé d'une amende de 14,4 millions BRL, première sanction significative de l'ANPD.
Points de convergence LGPD/RGPD exploitables par les entreprises belges : les bases légales de traitement (10 hypothèses dans la LGPD contre 6 dans le RGPD), le droit d'accès, de rectification et d'opposition, ainsi que l'obligation de nommer un délégué (encarregado) sont structurellement similaires. Une politique de conformité RGPD bien documentée constitue une base solide pour étendre la conformité à la LGPD sans repartir de zéro.
Source : Autoridade Nacional de Proteção de Dados — ANPD
POPIA : obligations pour les entreprises belges actives en Afrique du Sud
Le Protection of Personal Information Act (POPIA, Act 4 of 2013), pleinement effectif depuis le 1er juillet 2021, est la loi sud-africaine de protection des données. Son autorité de contrôle est l'Information Regulator (South Africa), présidée par Pansy Tlakula.
POPIA s'applique à tout responsable de traitement établi en Afrique du Sud ou utilisant des moyens de traitement situés sur le territoire sud-africain. Les entreprises belges dont la filiale ou le bureau de représentation est enregistré en Afrique du Sud tombent dans le champ d'application direct.
Les sanctions POPIA sont particulièrement sévères sur le plan pénal : jusqu'à 10 ans d'emprisonnement et/ou une amende de 10 millions de rands sud-africains (ZAR) pour les infractions les plus graves (art. 107 POPIA). En 2022, l'Information Regulator a émis ses premières notices d'infraction contre le Department of Justice and Constitutional Development, marquant le début de l'application active.
La condition particulière de POPIA : les transferts de données personnelles hors d'Afrique du Sud sont uniquement autorisés vers des pays disposant d'un niveau de protection adéquat ou sous garanties contractuelles — mécanisme analogue aux clauses contractuelles types du RGPD mais sans liste de pays adéquats formellement publiée à ce jour.
Source : Information Regulator South Africa
Tableau comparatif : perspective des multinationales belges
| Critère | RGPD / Loi 30 juil. 2018 (APD) | CCPA/CPRA (Californie) | LGPD (Brésil, ANPD) | POPIA (Afrique du Sud) |
|---|---|---|---|---|
| Entrée en vigueur | 25 mai 2018 / 5 sept. 2018 | 1er janv. 2020 (sanctions CPRA : 2023) | Sept. 2020 (sanctions : août 2021) | 1er juil. 2021 |
| Champ territorial | Résidents UE, établissement UE | Résidents californiens (seuils CA) | Personnes sur territoire brésilien | Établissement en Afrique du Sud |
| Amende maximale | €20M ou 4 % CA mondial | $7 500/violation intentionnelle | 2 % CA Brésil, plafonné 50M BRL | 10M ZAR et/ou 10 ans prison |
| Délégué obligatoire | Cas spécifiques (art. 37) | Non | Oui (encarregado) | Non (mais recommandé) |
| Transferts transfrontaliers | SCCs, BCRs, décision d'adéquation | Pas de restriction en soi | Clauses contractuelles / pays adéquat | Conditions contractuelles (pas de liste formelle) |
| Droits des personnes | Accès, rectification, effacement, portabilité, opposition | Accès, effacement, opt-out vente, portabilité, correction | Accès, rectification, anonymisation, portabilité, effacement | Accès, rectification, destruction, opposition |
| Notification de violation | 72h à l'APD (art. 33 RGPD) | 72h (CPRA) | Délai raisonnable à l'ANPD | Dès que possible à l'IR |
Transferts transfrontaliers de données : enjeu stratégique pour les sièges belges
La Belgique est le pays d'établissement principal de nombreux groupes internationaux. Cette position a une conséquence directe sur les transferts de données : le groupe est soumis aux règles strictes du Chapitre V du RGPD pour tout transfert vers des pays tiers.
Les mécanismes légaux disponibles sont : les décisions d'adéquation de la Commission européenne (ex. : Royaume-Uni, Japon, Corée du Sud), les clauses contractuelles types (SCC) adoptées par décision 2021/914 du 4 juin 2021, les règles d'entreprise contraignantes (BCR) approuvées par l'APD en tant qu'autorité chef de file, et les dérogations de l'article 49 pour des transferts occasionnels.
L'APD belge a développé une expertise reconnue dans l'approbation des BCR pour les groupes multinationaux — en 2024, elle a traité 8 demandes de BCR en tant qu'autorité chef de file, plus que toute autre autorité de l'UE.
Pour les entreprises belges traitant des données de résidents californiens (CCPA) ou brésiliens (LGPD), les transferts de retour vers la Belgique — par exemple pour une centralisation au siège — doivent également respecter les dispositions de transfert des lois locales. La cartographie des flux de données (data mapping) est un prérequis indispensable à toute stratégie de conformité multi-cadres.
Pour une démarche structurée de vérification documentaire compatible avec les exigences de chaque régime, consultez notre guide Vérification de documents — guide complet.
Alignement avec la FSMA et la BNB : obligations sectorielles
Les établissements financiers belges soumis à la supervision de la FSMA (Autorité des services et marchés financiers) et de la BNB (Banque nationale de Belgique) font face à une couche supplémentaire d'obligations en matière de protection des données.
La FSMA veille au respect des règles de conduite MiFID II, qui imposent un encadrement strict du traitement des données clients dans le cadre de la distribution de produits financiers. La BNB, dans son rôle de superviseur prudentiel, attend des établissements de crédit qu'ils intègrent les risques liés à la protection des données dans leur dispositif de gestion des risques opérationnels (pilier 2 de Bâle III/CRR2).
Pour les entreprises financières belges actives aux États-Unis, le Gramm-Leach-Bliley Act (GLBA) s'ajoute à cette liste : toute entité affiliée américaine traitant des données financières de clients US doit respecter la Safeguards Rule de la FTC (16 C.F.R. Part 314), révisée en 2023.
La FSMA publie régulièrement des orientations sur la gouvernance des données dans le secteur financier. Son rapport thématique 2024 sur la cybersécurité et la protection des données a mis en évidence des lacunes dans les procédures de notification de violation chez 35 % des entités contrôlées.
Pour un panorama des exigences de conformité documentaire sectorielles en Belgique, consultez notre guide AMLD6 et conformité pour les entités assujetties.
Mise en conformité pratique : approche multi-cadres pour entreprises belges
Une stratégie de conformité multi-cadres efficace repose sur trois principes : le plus haut dénominateur commun, la modularité des politiques et la documentation continue.
Le plus haut dénominateur commun. Identifier les exigences les plus strictes de chaque régime sur chaque point (durée de conservation, droits des personnes, sécurité) et les appliquer globalement. Dans la plupart des cas, le RGPD représente ce plancher élevé, mais POPIA est plus strict sur certains aspects pénaux et LGPD impose une obligation d'encarregado plus systématique que le délégué RGPD.
La modularité des politiques. Concevoir une politique centrale de protection des données conforme au RGPD, puis ajouter des modules spécifiques par juridiction : un module CCPA pour les activités californiennes, un module LGPD pour le Brésil, un module POPIA pour l'Afrique du Sud. Cette architecture évite la redondance tout en garantissant la couverture locale.
La documentation continue. Maintenir un registre des traitements (art. 30 RGPD) structuré par entité légale et par pays permet de démontrer simultanément la conformité à tous les régimes. Les journaux d'audit, les preuves de consentement et les contrats de sous-traitance constituent les pièces justificatives indispensables.
CheckFile.ai accompagne 85+ clients entreprises dans la vérification documentaire conforme aux exigences multi-juridictionnelles, avec une réduction du temps de traitement de 83 % et un taux de conformité aux audits de 99,2 % (CheckFile.ai — solutions entreprise).
Découvrez comment CheckFile.ai sécurise le traitement documentaire selon les normes ISO 27001 et les exigences de chaque cadre réglementaire.
Checklist de conformité multi-cadres pour entreprises belges
| Étape | RGPD/APD | CCPA/CPRA | LGPD | POPIA |
|---|---|---|---|---|
| Cartographie des traitements | Registre art. 30 | Data inventory | Relatório de impacto | PAIA manual |
| Base légale documentée | Art. 6 + 9 | Notices obligatoires | Art. 7 LGPD (10 bases) | Condition s.11 POPIA |
| Délégué / responsable désigné | DPO si requis | Non requis | Encarregado obligatoire | Information Officer recommandé |
| Notification de violation | 72h à l'APD | 72h (CPRA) | Délai raisonnable ANPD | Dès que possible à l'IR |
| Transferts transfrontaliers | SCCs / BCRs / adéquation | Pas de restriction propre | Clauses contractuelles | Conditions art. 72 POPIA |
| Audit annuel | Recommandé par APD | Audit CPPA | Recommandé ANPD | Recommandé IR |
Pour une checklist d'audit de conformité complète, consultez notre guide Checklist d'audit de conformité.
FAQ — Conformité données personnelles pour entreprises belges à l'international
L'APD belge peut-elle sanctionner une entreprise pour violation du CCPA ou de la LGPD ?
Non. L'APD n'a compétence que pour les violations du RGPD et de la loi du 30 juillet 2018. Les violations du CCPA relèvent de la CPPA californienne et du procureur général de Californie ; les violations de la LGPD relèvent de l'ANPD brésilienne. En revanche, si une violation de la LGPD implique également un manquement au RGPD (par exemple, absence de base légale pour un transfert vers le Brésil), l'APD peut intervenir sur le volet RGPD.
Une entreprise belge dont le siège européen est à Bruxelles est-elle automatiquement soumise à l'APD comme autorité chef de file ?
En principe, oui : l'article 56 du RGPD désigne l'autorité de contrôle de l'établissement principal comme chef de file. L'établissement principal est celui où sont prises les décisions sur les finalités et moyens du traitement. Si les décisions relatives aux traitements pan-européens sont prises à Bruxelles, l'APD est chef de file. Mais cette désignation peut être contestée si d'autres entités du groupe exercent un contrôle effectif depuis d'autres États membres.
Le CCPA s'applique-t-il aux données des employés des entreprises belges établies en Californie ?
Depuis le 1er janvier 2023, le CPRA a supprimé l'exemption temporaire qui excluait les données des employés. Les travailleurs californiens d'une entreprise belge bénéficient donc de tous les droits CCPA/CPRA, y compris le droit de savoir, le droit à l'effacement et le droit à la limitation de l'utilisation des données sensibles.
Quelles sanctions spécifiques risque une entreprise belge en cas de violation POPIA en Afrique du Sud ?
POPIA prévoit des sanctions pénales et civiles. Sur le plan pénal, les dirigeants peuvent être condamnés à jusqu'à 10 ans d'emprisonnement pour les infractions les plus graves (traitement illicite délibéré, violation répétée). Sur le plan civil, l'Information Regulator peut infliger des amendes jusqu'à 10 millions ZAR. Les personnes concernées peuvent également introduire une action en réparation directement devant les tribunaux sud-africains.
Comment gérer un droit à l'effacement reçu simultanément sous RGPD, LGPD et CCPA pour le même individu ?
La meilleure pratique consiste à traiter la demande selon le régime le plus protecteur, c'est-à-dire le RGPD dans la plupart des cas. Documenter la réponse en faisant référence aux trois bases légales (art. 17 RGPD, art. 18 LGPD, Cal. Civ. Code § 1798.105) démontre la conformité multi-cadres et constitue une pièce d'audit solide. Un délai de réponse de 30 jours calendaires satisfait les trois régimes.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique, financier ou réglementaire. Les informations présentées reflètent l'état des textes au 18 mars 2026. La réglementation en matière de protection des données évolue rapidement ; consultez un conseiller juridique qualifié et les publications officielles de l'APD, de l'ANPD, de la CPPA et de l'Information Regulator pour des orientations spécifiques à votre situation.