Donnees personnelles dans les factures : ce que dit le RGPD

Les factures, qu’elles soient papier ou electroniques, contiennent des donnees a caractere personnel. Cette realite, souvent sous-estimee par les entreprises, prend une dimension nouvelle avec la reforme de la facturation electronique obligatoire qui impose la circulation de volumes massifs de factures via des plateformes de dematerialisation. Le RGPD s’applique integralement aux traitements de donnees personnelles operes dans le cadre de la facturation. Cet article analyse les donnees concernees, les obligations qui en decoulent et les mesures a mettre en oeuvre pour concilier facturation et protection des donnees.

Quelles donnees personnelles figurent dans les factures ?

Les donnees directement identifiantes

Une facture, meme dans un contexte exclusivement B2B, contient frequemment des donnees permettant d’identifier directement une personne physique.

Le nom et le prenom du dirigeant ou du contact figurent sur la majorite des factures, en particulier lorsque l’entreprise est une entreprise individuelle, un auto-entrepreneur ou une profession liberale. La denomination sociale d’un entrepreneur individuel comprend generalement le nom de la personne physique.

L’adresse professionnelle correspond souvent au domicile personnel du dirigeant dans le cas des micro-entreprises et des entreprises individuelles exercant depuis leur domicile. Cette adresse est une donnee personnelle sensible du point de vue de la vie privee.

Les coordonnees de contact (adresse email nominative, numero de telephone direct) du responsable comptable, du commercial ou du signataire constituent des donnees personnelles.

Les coordonnees bancaires (IBAN, BIC) du beneficiaire du paiement sont des donnees indirectement identifiantes lorsqu’elles se rapportent a une personne physique.

Les donnees indirectement identifiantes

Le numero SIREN/SIRET d’un entrepreneur individuel est une donnee indirectement identifiante car il est rattache a une personne physique et permet de l’identifier via les registres publics.

Le numero de TVA intracommunautaire d’un entrepreneur individuel est derive du SIREN et constitue egalement une donnee indirectement identifiante.

La description des prestations peut reveler des informations personnelles sur le destinataire de la prestation : consultations medicales, prestations juridiques, formations professionnelles, travaux a domicile.

La position de la CJUE

La Cour de justice de l’Union europeenne a confirme a plusieurs reprises que les donnees relatives a des personnes physiques agissant dans un cadre professionnel restent des donnees personnelles au sens du RGPD. Le contexte professionnel ne constitue pas une exception au champ d’application du reglement. L’article 4 du RGPD definit la donnee personnelle de maniere large : “toute information se rapportant a une personne physique identifiee ou identifiable”.

Les bases legales du traitement

L’obligation legale

La base legale principale du traitement de donnees personnelles dans les factures est l’obligation legale (article 6.1.c du RGPD). L’entreprise est tenue par la loi d’emettre des factures comportant des mentions obligatoires (article 289 du CGI, article L.441-9 du Code de commerce), dont certaines constituent des donnees personnelles. La reforme de la facturation electronique renforce cette obligation en imposant la transmission sous forme structuree.

L’obligation legale couvre l’emission de la facture avec les mentions obligatoires, la transmission via le PPF ou une PDP, la conservation pendant les durees legales (six ans fiscal, dix ans commercial), et la mise a disposition de l’administration fiscale.

L’execution du contrat

Le traitement de donnees personnelles dans le cadre de la facturation decoule de l’execution d’un contrat (article 6.1.b du RGPD). La facturation est une consequence directe de la relation contractuelle entre les parties. Les donnees traitees dans ce cadre (identite, adresse, prestations, montants) sont necessaires a l’execution du contrat.

L’interet legitime

Pour certaines finalites complementaires (relance de paiement, analyse de la solvabilite, reporting interne), l’interet legitime (article 6.1.f du RGPD) peut constituer une base legale, sous reserve d’un test de mise en balance.

Obligations du responsable du traitement

Information des personnes

L’article 13 du RGPD impose au responsable du traitement de fournir certaines informations a la personne concernee lors de la collecte de ses donnees. En matiere de facturation, cette information doit etre fournie au moment de la conclusion du contrat ou, au plus tard, lors de l’emission de la premiere facture.

L’information doit mentionner l’identite du responsable du traitement, les finalites (emission de factures, comptabilite, obligations fiscales), les bases legales, les categories de destinataires (plateforme de facturation, expert-comptable, administration fiscale), les transferts hors UE le cas echeant, les durees de conservation et les droits des personnes. Cette information peut figurer dans les conditions generales de vente, le contrat ou la politique de confidentialite. Pour l’analyse complete de la facturation electronique et du RGPD, consultez notre guide.

Minimisation des donnees

L’article 5.1.c du RGPD impose de ne traiter que les donnees adequates, pertinentes et limitees a ce qui est necessaire. En matiere de facturation, les mentions obligatoires sont imposees par la loi et ne posent pas de probleme de minimisation. En revanche, les informations supplementaires (commentaires libres, references internes, descriptions detaillees de prestations) doivent etre limitees au necessaire. La description des prestations doit etre suffisamment precise pour justifier la facturation, mais ne doit pas reveler d’informations excessives sur la personne concernee.

Securite des donnees

L’article 32 du RGPD impose des mesures de securite appropriees. Les factures contiennent des donnees financieres et personnelles qui doivent etre protegees contre l’acces non autorise, la perte et l’alteration. Les mesures incluent le chiffrement des fichiers de facturation au repos et en transit, le controle d’acces base sur les roles (seules les personnes habilitees accedent aux factures), la journalisation des acces aux factures, la sauvegarde securisee, et la securisation des echanges avec les plateformes de facturation. Les recommandations de l’ANSSI en matiere de securite des systemes d’information sont applicables a ce contexte.

Registre des traitements

Le traitement de donnees personnelles dans le cadre de la facturation doit figurer dans le registre des traitements (article 30 du RGPD). La fiche doit decrire la finalite (gestion de la facturation, conformite fiscale), les categories de donnees traitees, les categories de personnes concernees (clients, fournisseurs, contacts), les destinataires (plateforme PDP/PPF, expert-comptable, administration fiscale), les transferts, les durees de conservation et les mesures de securite.

Les droits des personnes

Droit d’acces

La personne dont les donnees figurent dans une facture peut exercer son droit d’acces (article 15 du RGPD). L’entreprise doit etre en mesure de fournir une copie des donnees traitees, incluant les factures contenant des donnees de la personne. Ce droit s’exerce sans condition de motif.

Droit de rectification

Le droit de rectification (article 16 du RGPD) permet a la personne de demander la correction de donnees inexactes. En matiere de facturation, ce droit se heurte a l’obligation de ne pas modifier une facture emise. La correction passe par l’emission d’une facture rectificative, conformement aux regles fiscales. Les donnees corrigees doivent etre mises a jour dans les systemes de facturation pour les factures futures.

Droit a l’effacement et ses limites

Le droit a l’effacement (article 17 du RGPD) est limite par l’exception de l’article 17.3.b : le traitement est necessaire pour respecter une obligation legale. Les factures doivent etre conservees pendant les durees legales (six ans fiscal, dix ans commercial) et ne peuvent pas etre effacees a la demande de la personne pendant cette periode. A l’expiration des durees legales, les factures contenant des donnees personnelles doivent etre supprimees ou anonymisees. Pour les durees applicables, consultez notre article sur la conservation des factures electroniques.

Droit d’opposition

Le droit d’opposition (article 21 du RGPD) ne s’applique pas lorsque le traitement est fonde sur l’obligation legale. Il peut s’appliquer pour les traitements fondes sur l’interet legitime (par exemple, les relances de paiement automatisees).

Enjeux specifiques de la reforme

La circulation des donnees via les plateformes

La reforme implique que les factures transitent par le PPF ou une PDP, ce qui constitue une transmission de donnees personnelles a un tiers. Le PPF, opere par l’administration fiscale, traite les donnees en vertu de l’obligation legale. Les PDP agissent en qualite de sous-traitants et doivent etre liees par un contrat conforme a l’article 28 du RGPD. Le choix de la PDP doit integrer l’evaluation de sa conformite RGPD.

L’annuaire du PPF

Le PPF gere un annuaire centralise permettant de router les factures vers le bon destinataire. Cet annuaire contient des donnees d’identification des entreprises (SIREN, denomination, adresse, plateforme choisie) qui peuvent constituer des donnees personnelles pour les entrepreneurs individuels. L’acces a cet annuaire doit etre strictement limite aux besoins de routage.

L’e-reporting et les donnees B2C

Les obligations d’e-reporting impliquent la transmission de donnees de transaction a l’administration fiscale. En B2C, les donnees transmises sont des donnees agreges (montants, taux de TVA, nombre de transactions) et ne comportent pas de donnees personnelles identifiant les clients particuliers. Ce choix d’architecture respecte le principe de minimisation. Les entreprises doivent verifier que leurs systemes ne transmettent pas plus de donnees que ce qui est requis.

La CSRD et les donnees de facturation

Les entreprises soumises a la CSRD peuvent etre amenees a utiliser des donnees de facturation pour le reporting ESG (emissions carbone liees aux achats, pratiques de paiement des fournisseurs). Ce recoupement de donnees de facturation avec des donnees ESG doit etre documente et les finalites clairement separees. Pour les enjeux croises, consultez notre article sur la CSRD et le RGPD.

Mesures pratiques de conformite

Audit des factures

Un audit des modeles de factures permet d’identifier les donnees personnelles presentes et de verifier leur adequation avec le principe de minimisation. Les champs de description libre doivent faire l’objet d’une attention particuliere pour eviter la saisie d’informations excessives.

Processus de purge

Un processus automatise de suppression ou d’anonymisation des factures doit etre mis en place a l’expiration des durees legales de conservation. Ce processus doit etre documente et teste.

Sensibilisation des equipes

Les equipes comptables et commerciales doivent etre sensibilisees au fait que les factures contiennent des donnees personnelles et que leur traitement est soumis au RGPD. Les bonnes pratiques incluent la limitation des informations saisies dans les champs libres, la securisation des envois et la gestion appropriee des demandes d’exercice de droits.

FAQ

Les factures entre societes (B2B) contiennent-elles des donnees personnelles ?

Oui. Meme les factures entre societes contiennent frequemment des donnees personnelles : noms des contacts commerciaux, adresses email nominatives, coordonnees du signataire. Pour les entrepreneurs individuels, la denomination sociale, l’adresse et le SIREN sont des donnees personnelles. Le RGPD s’applique des lors qu’une personne physique est identifiable, meme indirectement, a travers les donnees figurant dans la facture.

Une personne peut-elle demander la suppression de ses donnees dans une facture ?

Non, pendant la duree de conservation legale. L’obligation legale de conservation des factures (six ans fiscal, dix ans commercial) constitue une exception au droit a l’effacement prevue par l’article 17.3.b du RGPD. L’entreprise doit informer la personne de cette limitation et de la duree pendant laquelle ses donnees seront conservees. A l’expiration des durees legales, l’entreprise est en revanche tenue de supprimer ou d’anonymiser les factures contenant des donnees personnelles.

La PDP qui traite mes factures est-elle responsable de traitement ou sous-traitante ?

La PDP agit en qualite de sous-traitant au sens de l’article 28 du RGPD pour les factures qu’elle traite pour le compte de l’entreprise. Elle traite les donnees personnelles sur instruction du responsable de traitement (l’emetteur ou le recepteur de la facture). Un contrat de sous-traitance conforme doit etre conclu, precisant les obligations de la PDP en matiere de securite, de confidentialite, de localisation des donnees, de sous-traitance ulterieure et d’assistance a l’exercice des droits. La CNIL a publie des clauses types pour les contrats de sous-traitance qui peuvent servir de reference.