Quel est le prix pour la création d'un site internet en Belgique ?

Le coût est variable et dépend entièrement de l'envergure de votre projet (site vitrine, boutique en ligne ou logiciel complexe). Chez LeadCo, nous analysons vos besoins pour vous proposer une solution sur mesure avec un devis gratuit en 24h.

Quelle est la différence de gestion entre un site vitrine et une boutique en ligne ?

Un site vitrine ne demande quasiment aucune gestion de votre part une fois en ligne. En revanche, une boutique en ligne demande un suivi actif (gestion des commandes, envois de colis, stocks), tout comme un magasin physique. Je vous expliquerai les meilleures stratégies logistiques lors de notre premier contact.

Proposez-vous l'hébergement et la maintenance ?

Oui, nous offrons 1 an d'hébergement et 1 mois de maintenance technique exclusivement pour les projets de sites vitrines. Pour les autres projets (e-commerce, logiciels), nous proposons des forfaits adaptés pour garantir la sécurité et la performance de votre outil.

Combien de temps faut-il pour livrer un site web ?

Un site vitrine standard est livré en 2 à 4 semaines. Pour un site e-commerce ou un logiciel sur mesure, comptez généralement 4 à 8 semaines. Nous travaillons en cycles rapides pour vous donner de la visibilité au plus vite.

Quelle agence web choisir à Bruxelles et en Belgique ?

LeadCo est une agence basée à Bruxelles spécialisée dans la conversion. Contrairement aux agences traditionnelles, nous créons des outils stratégiques conçus pour multiplier vos revenus et transformer vos visiteurs en clients payants.

Mon site sera-t-il optimisé pour apparaître sur Google ?

Oui. Chaque site LeadCo inclut une optimisation SEO technique : structure Hn, rapidité de chargement, balises Meta et plan de site (Sitemap). Nous concevons votre site pour qu'il soit une machine à générer des prospects.

Pourquoi choisir LeadCo plutôt que de créer mon site moi-même ?

Une agence apporte l'expertise en conversion (UI/UX) et en performance que les outils gratuits n'offrent pas. Votre site devient un investissement rentable qui travaille pour vous 24h/24, et non une simple dépense.

Faites-vous des logiciels et applications sur mesure ?

Oui, nous développons des logiciels sur mesure, des outils métier, des CRM et des applications web pour automatiser et faire évoluer votre activité. Chaque solution est pensée selon vos besoins spécifiques.

Travaillez-vous en dehors de Bruxelles et de la Belgique ?

Oui, nous travaillons avec des clients dans toute la Belgique, en France, au Luxembourg, en Suisse et à l'international. Tout se fait à distance — brief, maquette, développement et livraison.

RGPD et Site Web en Belgique : Guide Complet de Conformité (2026)

#Pourquoi le RGPD concerne tous les sites web belges

Le RGPD (Règlement Général sur la Protection des Données — règlement UE 2016/679) s'applique dès qu'un site collecte la moindre donnée personnelle d'un résident européen : un email dans un formulaire, une IP loguée par Google Analytics, un cookie de mesure d'audience.

En Belgique, il est complété par la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. Le régulateur belge est l'Autorité de protection des données (APD) — Gegevensbeschermingsautoriteit (GBA) côté néerlandophone.

Que vous soyez une SRL avec 5 employés ou un indépendant en personne physique, dès que votre site a un formulaire de contact, vous traitez des données personnelles. Le RGPD s'applique. Pas d'exception PME.

#Sanctions : ce que dit l'article 83 du RGPD

Les amendes prévues par le RGPD sont graduées en deux paliers :

Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (montant le plus élevé) pour les manquements administratifs (registre de traitement, sécurité, notification de fuite).
Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les manquements aux principes (base légale, consentement, droits des personnes, transferts hors UE).

L'APD belge peut aussi prononcer des avertissements, des mises en demeure, des interdictions de traitement, et publier la décision (effet réputationnel non négligeable).

#Les 6 grands principes à respecter (Article 5)

L'article 5 du RGPD pose les fondations. Tout traitement de données via votre site doit respecter :

Licéité, loyauté, transparence — l'utilisateur sait ce que vous faites de ses données.
Limitation des finalités — les données collectées pour X ne servent pas à Y plus tard.
Minimisation — ne collectez que ce qui est nécessaire (pas d'adresse complète si vous n'envoyez rien par courrier).
Exactitude — les données doivent être à jour ; donnez la possibilité de corriger.
Limitation de conservation — vous ne gardez pas les données « pour toujours ».
Intégrité et confidentialité — sécurité technique (HTTPS, mots de passe, accès restreint).

Le principe d'accountability (article 5.2) impose en plus d'être capable de prouver la conformité. Sans documentation, vous êtes en infraction même si tout est en ordre.

#Les bases légales : pourquoi avez-vous le droit de traiter ?

Tout traitement doit reposer sur l'une des 6 bases légales de l'article 6 du RGPD. Pour un site web typique :

Traitement	Base légale appropriée
Formulaire de contact	Consentement OU intérêt légitime
Newsletter marketing	Consentement explicite (opt-in)
Compte client e-commerce	Exécution d'un contrat
Facturation, comptabilité	Obligation légale
Cookies de mesure d'audience	Consentement (sauf exceptions strictes)
Cookies strictement nécessaires	Pas de consentement requis (art. 129 LCE)
Cookies marketing / retargeting	Consentement explicite

Erreur fréquente : s'appuyer sur l'« intérêt légitime » pour tout. Pour le marketing, la newsletter ou les cookies non essentiels, le consentement est obligatoire.

#Cookies : ce que la recommandation 01/2023 de l'APD impose

L'APD a publié en février 2023 sa recommandation 01/2023 relative au traitement des données à caractère personnel via des cookies et autres traceurs. Combinée à la directive ePrivacy 2002/58/CE (transposée en Belgique dans la loi sur les communications électroniques), elle pose des règles strictes.

#Ce que votre bandeau cookies doit faire

Demander un consentement préalable : les cookies non essentiels ne se déposent pas avant action de l'utilisateur.
Refuser doit être aussi facile qu'accepter : un bouton « Tout refuser » au même niveau visuel que « Tout accepter ». Un bouton « Accepter » seul, ou un bouton « Refuser » caché derrière 3 menus, n'est pas un consentement valable.
Pas de cases pré-cochées (jurisprudence CJUE Planet49, C-673/17).
Granularité : permettre d'accepter par catégorie (mesure d'audience, marketing, etc.).
Continuer à naviguer ≠ consentir : la simple poursuite de la navigation ne vaut pas acceptation.
Possibilité de retirer le consentement aussi facilement qu'il a été donné.
Conservation du consentement : 6 à 13 mois maximum recommandés, puis nouvelle demande.

#Cookies sans consentement (autorisés)

Seuls les cookies strictement nécessaires au service demandé par l'utilisateur sont autorisés sans consentement :

Cookie de session, panier, authentification
Cookie de préférence de langue (si choisi par l'utilisateur)
Cookie de sécurité anti-fraude

Les outils de mesure d'audience ne sont exemptés que sous conditions très restrictives (cf. lignes directrices de la CNIL homologuées par l'APD) : pas de croisement avec d'autres traitements, IP anonymisée, finalité limitée à la statistique. Google Analytics standard ne remplit pas ces critères et nécessite donc un consentement.

#Les mentions obligatoires sur votre site

#1. Politique de confidentialité (privacy policy)

C'est le document central. L'article 13 du RGPD liste les informations à fournir au moment de la collecte :

Identité et coordonnées du responsable du traitement (vous / votre entreprise)
Coordonnées du DPO s'il est désigné
Finalités du traitement et base légale
Intérêts légitimes poursuivis si la base légale est l'intérêt légitime
Destinataires des données (sous-traitants : hébergeur, CRM, mailing, etc.)
Transferts hors UE et garanties (clauses contractuelles types, décision d'adéquation)
Durée de conservation ou critères de détermination
Droits de la personne : accès, rectification, effacement, limitation, portabilité, opposition
Droit de retirer le consentement à tout moment
Droit d'introduire une réclamation auprès de l'APD
Caractère obligatoire ou facultatif de la fourniture des données
Existence d'une décision automatisée (profilage) le cas échéant

#2. Mentions légales

Imposées par les articles VI.45 et XII.6 du Code de droit économique belge :

Nom / dénomination sociale
Adresse géographique (siège social, pas une boîte postale)
Email et numéro de téléphone
Numéro d'entreprise (BCE / TVA)
RPM (registre des personnes morales) compétent
Pour les professions réglementées : ordre, autorité de tutelle, règles professionnelles applicables

#3. CGU / CGV pour l'e-commerce

Obligation supplémentaire si vous vendez en ligne (livre VI du CDE, droit de rétractation de 14 jours, garantie légale de 2 ans, mention de la plateforme ODR de la Commission européenne, etc.).

#Les droits des utilisateurs (Articles 15 à 22)

Tout visiteur dont vous avez les données peut exercer :

Droit	Article	En pratique
Accès	15	Obtenir copie des données qu'on détient sur lui
Rectification	16	Corriger une donnée inexacte
Effacement	17	« Droit à l'oubli » — sous conditions
Limitation	18	Geler le traitement temporairement
Portabilité	20	Recevoir ses données dans un format structuré (CSV, JSON)
Opposition	21	S'opposer au traitement (notamment marketing direct)
Décision automatisée	22	Refuser une décision purement algorithmique

Vous avez 1 mois (prolongeable de 2 mois en cas de complexité) pour répondre à une demande, gratuitement. Une réponse tardive ou absente est l'un des motifs de plainte les plus fréquents auprès de l'APD.

#Le DPO (délégué à la protection des données) : pour qui ?

L'article 37 du RGPD rend le DPO obligatoire dans 3 cas :

Vous êtes une autorité ou un organisme public.
Vos activités principales impliquent un suivi régulier et systématique à grande échelle de personnes (réseaux sociaux, plateformes de tracking, opérateurs telecom).
Vos activités principales reposent sur le traitement à grande échelle de données sensibles (santé, biométrie, judiciaire).

La très grande majorité des PME et indépendants belges ne sont pas soumis à cette obligation. Mais désigner un référent interne et documenter ses missions reste une bonne pratique pour démontrer l'accountability.

#Le registre des activités de traitement (Article 30)

Document interne obligatoire pour toute entreprise de 250 salariés ou plus, ainsi que pour les structures plus petites dont le traitement n'est pas occasionnel, présente un risque pour les personnes, ou porte sur des données sensibles. Concrètement : la quasi-totalité des sites web qui collectent des leads ou ont un fichier client doivent en tenir un.

Il doit contenir, par traitement :

Nom et coordonnées du responsable (et du DPO le cas échéant)
Finalités du traitement
Catégories de personnes et de données
Catégories de destinataires
Transferts hors UE
Durées de conservation
Description des mesures de sécurité

L'APD met à disposition un modèle Excel gratuit sur son site officiel.

#Sous-traitants : un contrat (Article 28) est obligatoire

Tout prestataire qui traite des données pour vous est un sous-traitant au sens RGPD. Ça inclut :

Hébergeur web (OVH, Combell, Vercel, etc.)
Plateforme email (Mailchimp, Brevo, ActiveCampaign)
Outil CRM (HubSpot, Pipedrive)
Outil de mesure d'audience (Google Analytics, Plausible, Matomo)
Plateforme e-commerce (Shopify, WooCommerce hébergé)

Vous devez signer avec chacun un DPA (Data Processing Agreement / contrat de sous-traitance article 28). Les grands prestataires en proposent un standard signable en ligne. Un projet web qui n'a pas listé ses sous-traitants ni signé les DPA est en infraction, même si tout le reste est parfait.

#Transferts hors UE : le sujet sensible

Beaucoup d'outils américains transfèrent les données aux États-Unis. Depuis l'arrêt Schrems II (CJUE, juillet 2020), le Privacy Shield est invalidé. Le EU-US Data Privacy Framework entré en vigueur en juillet 2023 rétablit une décision d'adéquation, mais uniquement pour les entreprises certifiées au DPF.

À vérifier pour chaque outil :

L'éditeur est-il certifié DPF (consultable sur dataprivacyframework.gov) ?
Sinon, des clauses contractuelles types (CCT) sont-elles signées et complétées d'analyses d'impact (TIA) ?
Existe-t-il une option de stockage en UE (souvent dispo en Enterprise) ?

#Notification d'une fuite de données (Article 33)

En cas de violation de données (piratage, fuite, mauvaise configuration), vous avez 72 heures pour notifier l'APD si la fuite présente un risque pour les personnes. Si le risque est élevé, les personnes concernées doivent aussi être informées (article 34).

L'APD accepte les notifications via un formulaire en ligne sur son site officiel. Documenter la fuite, même non notifiable, reste obligatoire en interne.

#Checklist de conformité : 12 points actionnables

Pour un site PME/indépendant, voici l'essentiel à vérifier :

✅ HTTPS actif sur l'ensemble du site (certificat SSL valide)
✅ Politique de confidentialité complète conforme à l'article 13
✅ Mentions légales conformes au CDE
✅ Bandeau cookies avec « Tout refuser » au même niveau qu'« Tout accepter »
✅ Pas de cookies non essentiels avant consentement
✅ Cases non pré-cochées sur les formulaires (newsletter, etc.)
✅ Mention du droit d'opposition sur chaque email marketing (lien désinscription en 1 clic)
✅ Registre des traitements tenu à jour
✅ DPA signés avec chaque sous-traitant
✅ Process documenté pour répondre aux demandes d'exercice de droits sous 1 mois
✅ Mesures de sécurité documentées (mots de passe forts, MFA, sauvegardes, journalisation)
✅ Procédure de notification de fuite préparée (qui contacter, sous quel délai)

#Erreurs fréquentes constatées par l'APD

Sur la base des décisions publiques de l'APD ces dernières années, voici les manquements récurrents :

Bandeau cookies non conforme (« Accepter » plus visible que « Refuser », ou bouton de refus absent)
Cookies déposés avant consentement (notamment Google Analytics, Meta Pixel)
Non-réponse aux demandes d'accès ou réponse au-delà du délai d'un mois
Politique de confidentialité générique (copiée d'un autre site, mentions manquantes)
Newsletter sans opt-in actif (case pré-cochée, ou pas de case du tout)
Pas de DPA signé avec les sous-traitants principaux
Conservation indéfinie des leads dans le CRM

#Combien coûte la mise en conformité d'un site PME ?

Pour un site vitrine ou e-commerce de PME en Belgique, en 2026 :

Audit RGPD initial par un consultant spécialisé : 800 € – 2 500 € selon la taille
Solution de gestion du consentement (CMP) : 0 € – 100 €/mois (Cookiebot, Axeptio, Didomi, ou solution open source comme Klaro)
Rédaction des mentions par un juriste : 400 € – 1 200 €
DPO externe (si nécessaire) : 150 € – 600 €/mois

Une PME peut atteindre une conformité solide pour 1 500 € à 4 000 € en investissement initial, plus quelques dizaines d'euros par mois pour la CMP. À mettre en regard du plafond de sanction de 20 millions d'euros.

#FAQ

#Mon site n'a qu'un formulaire de contact, suis-je vraiment concerné ?

Oui. Dès qu'un nom et un email sont collectés, vous traitez des données personnelles. La politique de confidentialité, les mentions légales et les bases de sécurité sont obligatoires.

#Google Analytics est-il interdit en Belgique ?

Non, mais son usage standard nécessite un consentement préalable explicite via un bandeau cookies conforme. Une alternative est d'utiliser des outils comme Plausible (hébergé en UE) ou Matomo auto-hébergé, qui peuvent — selon configuration — ne pas nécessiter de consentement.

#Est-ce que j'ai besoin d'un DPO pour ma PME ?

Dans la grande majorité des cas, non. Le DPO n'est obligatoire que pour les autorités publiques et les entreprises dont l'activité principale repose sur du suivi à grande échelle ou des données sensibles. Désigner un référent interne reste une bonne pratique.

#Puis-je copier la politique de confidentialité d'un autre site ?

Non. Chaque politique doit refléter vos finalités, vos sous-traitants, vos durées de conservation. Une politique générique copiée est d'ailleurs l'un des manquements les plus fréquemment relevés par l'APD.

#Combien de temps puis-je conserver les leads d'un formulaire de contact ?

Il n'existe pas de durée fixe imposée par le RGPD : c'est le principe de proportionnalité. Pour un lead non transformé, 2 à 3 ans est une fourchette généralement raisonnable. Pour un client actif, la durée court pendant la relation contractuelle + délai légal (souvent 7 ans pour la comptabilité belge).

#Que faire si je reçois une plainte de l'APD ?

Répondez rapidement et précisément. L'APD privilégie souvent une approche pédagogique avant la sanction si vous démontrez votre bonne foi et corrigez le manquement. Faites-vous accompagner par un juriste spécialisé dès le premier courrier.

À retenir : la conformité RGPD n'est pas un projet que l'on « termine ». C'est un processus continu de documentation, de revue des sous-traitants et d'amélioration. Mais 80 % de la valeur s'obtient en quelques semaines de travail structuré, et c'est l'un des meilleurs investissements que peut faire une PME belge — autant pour le risque réglementaire que pour la confiance des clients.

LeadCo Agency

Fondateur de LeadCo

Développeur web et expert en conversion basé à Bruxelles. Je crée des sites qui transforment vos visiteurs en clients payants.

Découvrir nos services

Continuez votre lecture

Besoin d’un site qui convertit ?

Discutons de votre projet gratuitement

Demander un devis