RGPD et paiement : ce que tout commerçant belge doit savoir en 2026

28 avril 2026 · Nathan Scolas · Conformité Belgique
#RGPD & sécurité

Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur en 2018, mais beaucoup de commerçants belges sous-estiment encore son impact sur leur quotidien de paiement. Voici un guide pratique des obligations clés en 2026.

Données carte : ce que vous pouvez et ne pouvez pas stocker

Vous ne devez jamais stocker :

  • ❌ Le numéro de carte complet (PAN)
  • ❌ Le CVV (3 chiffres au dos)
  • ❌ La piste magnétique
  • ❌ Le code PIN

Ces données sont protégées par la norme PCI DSS. Les stocker, même temporairement, vous expose à des amendes RGPD ET PCI (jusqu'à 100 000 € par incident).

Vous pouvez stocker (sous conditions) :

  • ✅ Les 4 derniers chiffres de la carte (pour identifier dans les rapports)
  • ✅ Le token (référence anonymisée fournie par votre acquéreur)
  • ✅ Le type de carte (Bancontact, Visa, etc.)
  • ✅ Le montant et la date de la transaction

> 💡 Tous les terminaux Smart4invest ne stockent jamais les données carte sensibles côté commerce. Le PAN reste chiffré entre votre terminal et l'acquéreur.

Le registre des traitements : obligatoire

Qu'est-ce que c'est ?

Un document interne listant toutes les données personnelles que vous traitez : noms, emails, numéros de téléphone, transactions, fidélisation, vidéosurveillance, etc.

Qui doit l'avoir ?

Toute PME qui traite des données personnelles "régulièrement" (donc tous les commerces avec fichier client). Y compris l'indépendant qui a un fichier Excel de clients fidèles.

Que doit-il contenir ?

Pour chaque traitement :

  • Finalité (pourquoi vous collectez)
  • Base légale (consentement, contrat, intérêt légitime…)
  • Catégories de données
  • Destinataires (votre acquéreur, votre comptable, etc.)
  • Durée de conservation
  • Mesures de sécurité

> 📋 Template gratuit du registre disponible sur le site de l'APD (Autorité de Protection des Données belge).

Le ticket dématérialisé (par email/SMS)

C'est de plus en plus demandé. Mais attention :

Vous devez :

  • Demander un consentement clair pour envoyer le ticket par email
  • Ne pas utiliser cet email pour autre chose (newsletter, promo…) sans consentement séparé
  • Sécuriser le stockage des emails (mot de passe fort, accès limité)

Vous ne devez pas :

  • ❌ Envoyer automatiquement une newsletter avec l'email "ticket"
  • ❌ Vendre la base d'emails
  • ❌ Conserver les emails au-delà de la durée nécessaire (max 3 ans typique pour comptabilité)

Le consentement marketing : double opt-in

Si vous voulez envoyer newsletter, promo, fidélisation : double opt-in obligatoire.

1. Le client coche une case "J'accepte de recevoir des emails commerciaux" (jamais pré-cochée) 2. Il reçoit un email de confirmation avec lien à cliquer 3. Une fois cliqué, vous pouvez l'ajouter à votre liste

Sans double opt-in : votre base est illégale et chaque envoi peut coûter une amende.

La vidéosurveillance en magasin

Si vous filmez votre commerce :

  • ✅ Affichez un pictogramme RGPD à l'entrée
  • ✅ Conservez les images maximum 30 jours (sauf incident)
  • ✅ Déclarez la caméra à la commune (si voie publique filmée)
  • ✅ Limitez l'accès aux images
  • ❌ Ne filmez pas les zones privées (toilettes, vestiaires)
  • ❌ Ne filmez pas la voie publique sans déclaration

Durée de conservation des données paiement

Pour la comptabilité : 7 ans (loi belge). Pour la réclamation client : 2 ans (garantie légale). Pour la prospection commerciale : 3 ans sans contact (CNIL belge alignée).

Vos clients ont des droits (RGPD)

Tout client peut vous demander :

1. Droit d'accès : "Quelles données avez-vous sur moi ?" 2. Droit de rectification : "Mon nom est mal orthographié" 3. Droit à l'effacement ("droit à l'oubli") : "Supprimez tout" 4. Droit à la portabilité : "Donnez-moi mes données dans un format réutilisable" 5. Droit d'opposition : "Je ne veux plus recevoir vos emails"

Délai de réponse : 30 jours maximum.

> 💡 Préparez un modèle de réponse RGPD prêt à dégainer. Ça vous fait gagner 1 h à chaque demande.

Sanctions et contrôles

L'APD belge (Autorité de Protection des Données) peut :

  • Faire un audit suite à une plainte ou un signalement
  • Imposer des amendes : jusqu'à 20 millions € ou 4 % du CA mondial (selon le plus élevé)
  • Ordonner la suppression de données collectées illégalement
  • Publier la sanction (réputation)

En 2024-2025, l'APD belge a sanctionné :

  • Une chaîne de magasins : 600 000 € pour newsletter sans consentement
  • Un restaurant : 25 000 € pour vidéosurveillance non déclarée
  • Une PME e-commerce : 80 000 € pour conservation d'IBAN clients

Notre checklist RGPD pour PME paiement

  • [ ] Registre des traitements rédigé et à jour
  • [ ] Mention RGPD affichée à l'entrée (vidéosurveillance) et sur site web
  • [ ] Politique de confidentialité publique sur votre site
  • [ ] Bouton "désabonnement" dans chaque email marketing
  • [ ] Consentement double opt-in pour la newsletter
  • [ ] Procédure de réponse aux demandes RGPD (30 jours)
  • [ ] Suppression automatique des données après durée légale
  • [ ] Contrat sous-traitant signé avec acquéreur, e-shop, hébergeur

Smart4invest et le RGPD

Notre engagement :

  • Acquéreur PCI DSS Level 1 (le plus strict)
  • ✅ Aucune donnée carte transmise au commerce (tokenisation)
  • ✅ Hébergement données en Belgique / Union Européenne uniquement
  • Sous-traitance RGPD documentée disponible sur demande
  • ✅ Suppression données client sous 30 jours sur demande

> 🛡 Vous voulez le détail de notre conformité RGPD ? Demandez le dossier compliance, gratuit.

Sources

> 📝 Une question RGPD spécifique à votre commerce ? Parlez à un conseiller Smart4invest, 30 min, gratuit.

Besoin d'un devis personnalisé ?

Un commercial Smart4invest vous rappelle sous 24h ouvrées avec une offre calibrée sur votre métier et vos volumes.

Obtenir un devis →
RGPD paiement PME Belgique : obligations & sanctions 2026 | Smart4invest, Fintech belge pour PME