Données personnelles dans les factures : ce que dit le RGPD

Données personnelles dans les factures : ce que dit le RGPD

Les factures, qu’elles soient papier ou électroniques, contiennent des données à caractère personnel. Cette réalité, souvent sous-estimée par les entreprises, prend une dimension nouvelle avec la réforme de la facturation électronique obligatoire qui impose la circulation de volumes massifs de factures via des plateformes de dématérialisation. Le RGPD s’applique intégralement aux traitements de données personnelles opérés dans le cadre de la facturation. Cet article analyse les données concernées, les obligations qui en découlent et les mesures a mettre en oeuvre pour concilier facturation et protection des données.

Quelles données personnelles figurent dans les factures ?

Les données directement identifiantes

Une facturé, même dans un contexte exclusivement B2B, contient fréquemment des données permettant d’identifier directement une personne physique.

Le nom et le prénom du dirigeant ou du contact figurent sur la majorité des factures, en particulier lorsque l’entreprise est une entreprise individuelle, un auto-entrepreneur ou une profession libérale. La dénomination sociale d’un entrepreneur individuel comprend généralement le nom de la personne physique.

L’adressé professionnelle correspond souvent au domicile personnel du dirigeant dans le cas des micro-entreprises et des entreprises individuelles exerçant depuis leur domicile. Cette adressé est une donnée personnelle sensible du point de vue de la vie privée.

Les coordonnées de contact (adressé email nominative, numéro de téléphone direct) du responsable comptable, du commercial ou du signataire constituent des données personnelles.

Les coordonnées bancaires (IBAN, BIC) du bénéficiaire du paiement sont des données indirectement identifiantes lorsqu’elles se rapportent à une personne physique.

Les données indirectement identifiantes

Le numéro SIREN/SIRET d’un entrepreneur individuel est une donnée indirectement identifiante car il est rattaché à une personne physique et permet de l’identifier via les registres publics.

Le numéro de TVA intracommunautaire d’un entrepreneur individuel est dérive du SIREN et constitue également une donnée indirectement identifiante.

La description des prestations peut révéler des informations personnelles sur le destinataire de la prestation : consultations médicales, prestations juridiques, formations professionnelles, travaux a domicile.

La position de la CJUE

La Cour de justice de l’Union européenne a confirmé à plusieurs reprises que les données relatives à des personnes physiques agissant dans un cadre professionnel restent des données personnelles au sens du RGPD. Le contexte professionnel ne constitue pas une exception au champ d’application du règlement. L’article 4 du RGPD définit la donnée personnelle de manière large : “toute information se rapportant à une personne physique identifiée ou identifiable”.

Les bases légales du traitement

L’obligation légale

La base légale principale du traitement de données personnelles dans les factures est l’obligation légale (article 6.1.c du RGPD). L’entreprise est tenue par la loi d’émettre des factures comportant des mentions obligatoires (article 289 du CGI, article L.441-9 du Code de commerce), dont certaines constituent des données personnelles. La réforme de la facturation électronique renforcé cette obligation en imposant la transmission sous forme structurée.

L’obligation légale couvre l’émission de la facturé avec les mentions obligatoires, la transmission via le PPF ou une PDP, la conservation pendant les durées légales (six ans fiscal, dix ans commercial), et la mise à disposition de l’administration fiscale.

L’exécution du contrat

Le traitement de données personnelles dans le cadre de la facturation découle de l’exécution d’un contrat (article 6.1.b du RGPD). La facturation est une conséquence directe de la relation contractuelle entre les parties. Les données traitées dans ce cadre (identité, adressé, prestations, montants) sont nécessaires à l’exécution du contrat.

L’intérêt légitime

Pour certaines finalités complémentaires (relance de paiement, analyse de la solvabilite, reporting interne), l’intérêt légitime (article 6.1.f du RGPD) peut constituer une base légale, sous réserve d’un test de mise en balance.

Obligations du responsable du traitement

Information des personnes

L’article 13 du RGPD impose au responsable du traitement de fournir certaines informations à la personne concernée lors de la collecte de ses données. En matière de facturation, cette information doit être fournie au moment de la conclusion du contrat ou, au plus tard, lors de l’émission de la première facturé.

L’information doit mentionner l’identité du responsable du traitement, les finalités (émission de factures, comptabilité, obligations fiscales), les bases légales, les catégories de destinataires (plateforme de facturation, expert-comptable, administration fiscale), les transferts hors UE le cas échéant, les durées de conservation et les droits des personnes. Cette information peut figurer dans les conditions générales de vente, le contrat ou la politique de confidentialité. Pour l’analyse complète de la facturation électronique et du RGPD, consultez notre guide.

Minimisation des données

L’article 5.1.c du RGPD impose de ne traiter que les données adéquates, pertinentes et limitées à ce qui est nécessaire. En matière de facturation, les mentions obligatoires sont imposées par la loi et ne posent pas de problème de minimisation. En revanche, les informations supplémentaires (commentaires libres, références internes, descriptions détaillées de prestations) doivent être limitées au nécessaire. La description des prestations doit être suffisamment précise pour justifier la facturation, mais ne doit pas révéler d’informations excessives sur la personne concernée.

Sécurité des données

L’article 32 du RGPD impose des mesures de sécurité appropriées. Les factures contiennent des données financières et personnelles qui doivent être protégées contre l’accès non autorise, la perte et l’altération. Les mesures incluent le chiffrement des fichiers de facturation au repos et en transit, le contrôle d’accès base sur les rôles (seules les personnes habilitées accèdent aux factures), la journalisation des accès aux factures, la sauvegarde sécurisée, et la sécurisation des échanges avec les plateformes de facturation. Les recommandations de l’ANSSI en matière de sécurité des systèmes d’information sont applicables à ce contexte.

Registre des traitements

Le traitement de données personnelles dans le cadre de la facturation doit figurer dans le registre des traitements (article 30 du RGPD). La fiche doit décrire la finalité (gestion de la facturation, conformité fiscale), les catégories de données traitées, les catégories de personnes concernées (clients, fournisseurs, contacts), les destinataires (plateforme PDP/PPF, expert-comptable, administration fiscale), les transferts, les durées de conservation et les mesures de sécurité.

Les droits des personnes

Droit d’accès

La personne dont les données figurent dans une facturé peut exercer son droit d’accès (article 15 du RGPD). L’entreprise doit être en mesure de fournir une copié des données traitées, incluant les factures contenant des données de la personne. Ce droit s’exercé sans condition de motif.

Droit de rectification

Le droit de rectification (article 16 du RGPD) permet à la personne de demander la correction de données inexactes. En matière de facturation, ce droit se heurte à l’obligation de ne pas modifier une facturé émise. La correction passe par l’émission d’une facturé rectificative, conformément aux règles fiscales. Les données corrigées doivent être mises à jour dans les systèmes de facturation pour les factures futures.

Droit à l’effacement et ses limités

Le droit à l’effacement (article 17 du RGPD) est limité par l’exception de l’article 17.3.b : le traitement est nécessaire pour respecter une obligation légale. Les factures doivent être conservées pendant les durées légales (six ans fiscal, dix ans commercial) et ne peuvent pas être effacées à la demande de la personne pendant cette période. À l’expiration des durées légales, les factures contenant des données personnelles doivent être supprimées ou anonymisées. Pour les durées applicables, consultez notre article sur la conservation des factures électroniques.

Droit d’opposition

Le droit d’opposition (article 21 du RGPD) ne s’applique pas lorsque le traitement est fondé sur l’obligation légale. Il peut s’appliquer pour les traitements fondés sur l’intérêt légitime (par exemple, les relances de paiement automatisées).

Enjeux spécifiques de la réforme

La circulation des données via les plateformes

La réforme impliqué que les factures transitent par le PPF ou une PDP, ce qui constitue une transmission de données personnelles à un tiers. Le PPF, opere par l’administration fiscale, traité les données en vertu de l’obligation légale. Les PDP agissent en qualité de sous-traitants et doivent être liées par un contrat conforme à l’article 28 du RGPD. Le choix de la PDP doit intégrer l’évaluation de sa conformité RGPD.

L’annuaire du PPF

Le PPF gère un annuaire centralisé permettant de router les factures vers le bon destinataire. Cet annuaire contient des données d’identification des entreprises (SIREN, dénomination, adressé, plateforme choisie) qui peuvent constituer des données personnelles pour les entrepreneurs individuels. L’accès à cet annuaire doit être strictement limite aux besoins de routage.

L’e-reporting et les données B2C

Les obligations d’e-reporting impliquent la transmission de données de transaction à l’administration fiscale. En B2C, les données transmises sont des données agrégés (montants, taux de TVA, nombre de transactions) et ne comportent pas de données personnelles identifiant les clients particuliers. Ce choix d’architecture respecte le principe de minimisation. Les entreprises doivent vérifier que leurs systèmes ne transmettent pas plus de données que ce qui est requis.

La CSRD et les données de facturation

Les entreprises soumises à la CSRD peuvent être amenées a utiliser des données de facturation pour le reporting ESG (émissions carbone liées aux achats, pratiques de paiement des fournisseurs). Ce recoupement de données de facturation avec des données ESG doit être documenté et les finalités clairement separees. Pour les enjeux croises, consultez notre article sur la CSRD et le RGPD.

Mesures pratiques de conformité

Audit des factures

Un audit des modèles de factures permet d’identifier les données personnelles présentes et de vérifier leur adéquation avec le principe de minimisation. Les champs de description libre doivent faire l’objet d’une attention particulière pour éviter la saisie d’informations excessives.

Processus de purgé

Un processus automatisé de suppression ou d’anonymisation des factures doit être mis en place à l’expiration des durées légales de conservation. Ce processus doit être documenté et teste.

Sensibilisation des équipes

Les équipes comptables et commerciales doivent être sensibilisées au fait que les factures contiennent des données personnelles et que leur traitement est soumis au RGPD. Les bonnes pratiques incluent la limitation des informations saisies dans les champs libres, la sécurisation des envois et la gestion appropriée des demandes d’exercice de droits.

FAQ

Les factures entre sociétés (B2B) contiennent-elles des données personnelles ?

Oui. Même les factures entre sociétés contiennent fréquemment des données personnelles : noms des contacts commerciaux, adressés email nominatives, coordonnées du signataire. Pour les entrepreneurs individuels, la dénomination sociale, l’adressé et le SIREN sont des données personnelles. Le RGPD s’applique dès lors qu’une personne physique est identifiable, même indirectement, à travers les données figurant dans la facturé.

Une personne peut-elle demander la suppression de ses données dans une facturé ?

Non, pendant la durée de conservation légale. L’obligation légale de conservation des factures (six ans fiscal, dix ans commercial) constitue une exception au droit à l’effacement prévue par l’article 17.3.b du RGPD. L’entreprise doit informer la personne de cette limitation et de la durée pendant laquelle ses données seront conservées. À l’expiration des durées légales, l’entreprise est en revanche tenue de supprimer ou d’anonymiser les factures contenant des données personnelles.

La PDP qui traité mes factures est-elle responsable de traitement ou sous-traitante ?

La PDP agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour les factures qu’elle traité pour le compte de l’entreprise. Elle traité les données personnelles sur instruction du responsable de traitement (l’émetteur ou le recepteur de la facturé). Un contrat de sous-traitance conforme doit être conclu, précisant les obligations de la PDP en matière de sécurité, de confidentialité, de localisation des données, de sous-traitance ultérieure et d’assistance à l’exercice des droits. La CNIL a publié des clauses types pour les contrats de sous-traitance qui peuvent servir de référence.