RGPD et données de paiement : obligations en Belgique en 2026

09 juin 2026 · Nathan Scolas · Réglementation belge

RGPD et données de paiement : obligations en Belgique en 2026

Le RGPD s'applique à tout commerçant belge qui collecte des données de paiement. Les sanctions vont jusqu'à 4 % du CA mondial. Voici l'essentiel pour ne pas se planter.

Les données concernées par le RGPD

Tous ces éléments sont des données personnelles sous RGPD :

  • Numéro de carte bancaire (PAN).
  • Nom, prénom du porteur.
  • Date d'expiration.
  • Cryptogramme (CVV).
  • IP de la transaction (si e-commerce).
  • Email de confirmation.
  • Téléphone (si SMS de reçu).

À cela s'ajoutent : adresse de livraison, historique d'achat, programme fidélité, etc.

La règle d'or : minimisation

Vous ne devez collecter et stocker que ce qui est strictement nécessaire à votre activité. Concrètement :

Numéro de carte masqué (4 derniers chiffres) pour le ticket et le reçu. ✓ Email pour le reçu si demandé. ✓ Historique transaction (montant, date, type carte) pour la comptabilité.

CVV : interdit absolu, ne JAMAIS stocker. C'est la règle PCI-DSS la plus stricte. ✗ Numéro complet de carte : interdit hors moment de la transaction. ✗ Données non nécessaires : ne demandez pas l'âge si vous ne vendez pas d'alcool.

Durée de conservation

  • Transaction comptable : 7 ans (obligation fiscale belge).
  • Programme fidélité : 3 ans après dernière interaction (max).
  • Newsletter : jusqu'à désinscription explicite + 30 jours.
  • Données de paiement : strictement minimum technique.

Après ces durées : anonymisation ou suppression obligatoire.

Vos obligations concrètes

1. Politique de confidentialité

Page dédiée sur votre site listant :

  • Quelles données vous collectez.
  • À quelles fins.
  • Avec qui vous les partagez (acquéreur, comptable, plateforme e-commerce).
  • Combien de temps vous les gardez.
  • Comment exercer vos droits (accès, rectification, suppression, portabilité).

2. Consentement explicite

Si vous envoyez une newsletter, le client doit cocher activement une case (pas pré-cochée).

3. Délégué à la protection des données (DPO)

Obligatoire si :

  • Vous traitez à grande échelle des données sensibles (santé).
  • Vous êtes une autorité publique.
  • Volume très important de données régulièrement traitées.

Pour un commerce standard belge : pas de DPO obligatoire, mais avoir un point de contact RGPD désigné est recommandé.

4. Notification de violation

Si vous avez une fuite de données (TPE volé avec données, fichier client hacké), vous devez :

  • Notifier l'APD (Autorité de Protection des Données belge) sous 72h.
  • Notifier les clients affectés sans délai si risque élevé.

Sanctions en Belgique

L'APD belge a infligé en 2024-2025 :

  • 2 amendes >100 000 € à des e-commerces qui ne géraient pas le consentement cookies.
  • 15 amendes 5 000-50 000 € à des PME pour défaut de politique de confidentialité.
  • Plusieurs avertissements sans amende pour des boulangeries/restaurants au programme fidélité mal géré.

Smart4invest : conformité incluse

Tous les terminaux et caisses Smart4invest sont conformes RGPD by design :

  • Numéro de carte automatiquement masqué (4 derniers chiffres seuls).
  • CVV jamais stocké.
  • Logs sécurisés et chiffrés.
  • Suppression automatique des données >7 ans.
  • Données hébergées en UE (Belgique + France).

Notre équipe peut aussi auditer votre site e-commerce et votre programme fidélité.

Contactez-nous pour un audit RGPD gratuit.

Besoin d'un devis personnalisé ?

Un commercial Smart4invest vous rappelle sous 24h ouvrées avec une offre calibrée sur votre métier et vos volumes.

Obtenir un devis →
RGPD et données de paiement : obligations en Belgique en 2026 | Smart4invest, Fintech belge pour PME