Introduction

La reforme de la facturation electronique obligatoire impose la dematerialisation des echanges de factures entre entreprises assujetties a la TVA. Cette transformation numerique implique que des volumes massifs de donnees transitent par des plateformes de dematerialisation – PPF, PDP ou OD. Or, les factures contiennent des donnees personnelles. La question de la conformite au Reglement General sur la Protection des Donnees (RGPD) se pose donc avec une acuite particuliere dans ce contexte.

Cet article examine les donnees personnelles presentes dans les factures electroniques, les obligations qui en decoulent au titre du RGPD, et les bonnes pratiques pour concilier efficacement facturation electronique et protection des donnees. Pour evaluer votre conformite globale, consultez notre guide sur l’audit RGPD.

Les donnees personnelles dans les factures

Quelles donnees sont concernees ?

Une facture, meme entre entreprises, contient frequemment des donnees a caractere personnel au sens de l’article 4 du RGPD. Ces donnees permettent d’identifier directement ou indirectement une personne physique :

• Nom et prenom du dirigeant, du contact commercial ou du signataire, en particulier pour les entreprises individuelles, les auto-entrepreneurs et les professions liberales.
• Adresse professionnelle lorsqu’elle correspond au domicile personnel du dirigeant (cas frequent des micro-entreprises).
• Adresse email et numero de telephone de la personne en charge du suivi de la facture.
• Numero SIREN/SIRET d’un entrepreneur individuel, qui constitue une donnee indirectement identifiante.
• Coordonnees bancaires (IBAN/BIC) du beneficiaire du paiement, lorsqu’il s’agit d’une personne physique.
• Description des prestations pouvant reveler des informations sur la personne (prestations medicales, juridiques, formation…).

Le fait que ces donnees figurent dans un contexte professionnel ne les exclut pas du champ du RGPD. La Cour de justice de l’Union europeenne a confirme a plusieurs reprises que les donnees relatives a des personnes physiques agissant dans un cadre professionnel restent des donnees personnelles.

Le cas specifique de l’e-reporting

L’e-reporting impose la transmission a l’administration fiscale de donnees relatives a des transactions qui ne sont pas couvertes par l’e-invoicing : ventes aux particuliers (B2C), transactions internationales, encaissements. Ces donnees d’e-reporting peuvent contenir des informations agrégees, mais les modalites de transmission doivent respecter le principe de minimisation des donnees.

En B2C, l’e-reporting ne requiert pas la transmission de l’identite des clients particuliers. Les donnees transmises sont des donnees de transaction agrégees (montants, taux de TVA, nombre de transactions). Ce choix d’architecture, conforme au principe de minimisation, limite l’exposition de donnees personnelles des consommateurs. Il est toutefois essentiel que les entreprises veillent a ne pas transmettre plus de donnees que ce qui est requis par la reglementation.

Bases legales du traitement

Pour l’emission et la reception de factures

Le traitement de donnees personnelles dans le cadre de la facturation electronique repose principalement sur deux bases legales :

• L’obligation legale (article 6.1.c du RGPD) : l’entreprise est tenue par la loi d’emettre des factures comportant certaines mentions obligatoires, et desormais de les transmettre sous forme electronique. Cette obligation legale constitue la base juridique du traitement des donnees figurant dans les factures.
• L’execution du contrat (article 6.1.b du RGPD) : la facturation est une consequence directe de l’execution d’un contrat entre les parties. Les donnees traitees dans ce cadre le sont pour la bonne execution de la relation contractuelle.

Pour la conservation et l’archivage

La conservation des factures pendant la duree legale (six ans en matiere fiscale au titre de l’article L.102 B du Livre des procedures fiscales, dix ans en matiere commerciale au titre de l’article L.123-22 du Code de commerce) repose sur l’obligation legale. Au-dela de ces durees, le traitement n’a plus de base legale et les donnees doivent etre supprimees ou anonymisees.

Pour la transmission aux plateformes

La transmission des donnees de facturation aux PDP et au PPF repose sur l’obligation legale issue de la reforme. Les entreprises n’ont pas a recueillir le consentement des personnes concernees pour cette transmission, des lors qu’elle est imposee par la loi.

La PDP comme sous-traitant au sens de l’article 28 du RGPD

Qualification juridique

Lorsqu’une entreprise recourt a une PDP pour gerer ses factures electroniques, cette PDP agit en qualite de sous-traitant au sens de l’article 28 du RGPD. Elle traite des donnees personnelles pour le compte de l’entreprise cliente (le responsable de traitement).

Cette qualification emporte des consequences juridiques importantes :

• Un contrat de sous-traitance conforme a l’article 28 du RGPD doit etre conclu entre l’entreprise et la PDP. Ce contrat doit definir l’objet et la duree du traitement, la nature et la finalite du traitement, le type de donnees traitees, les categories de personnes concernees, et les obligations et droits du responsable de traitement.
• La PDP doit presenter des garanties suffisantes en termes de mesures techniques et organisationnelles pour assurer la protection des donnees.
• La PDP ne peut pas traiter les donnees pour ses propres finalites (analyse commerciale, profilage…) sans base legale distincte et sans information des personnes concernees.

Clauses essentielles du contrat PDP

Le contrat avec la PDP doit comporter au minimum les clauses suivantes :

• Objet et finalite du traitement : traitement des factures electroniques pour le compte du client dans le cadre de la reforme de la facturation electronique.
• Sous-traitance ulterieure : la PDP ne peut recruter un autre sous-traitant sans autorisation ecrite prealable du responsable de traitement.
• Mesures de securite : description des mesures techniques et organisationnelles mises en oeuvre (chiffrement, controle d’acces, journalisation…).
• Localisation des donnees : identification des pays ou les donnees sont stockees et traitees. En cas de transfert hors UE, les garanties appropriees doivent etre mises en place (clauses contractuelles types, decision d’adequation…).
• Notification des violations : obligation pour la PDP de notifier toute violation de donnees dans un delai de 48 heures (ou tout autre delai convenu permettant au responsable de traitement de respecter le delai de 72 heures vis-a-vis de la CNIL).
• Audit : droit pour le responsable de traitement de realiser ou faire realiser des audits de conformite chez la PDP.
• Sort des donnees en fin de contrat : restitution ou suppression des donnees a la fin de la relation contractuelle.

Criteres de selection d’une PDP sous l’angle RGPD

Lors du choix d’une PDP, les criteres lies a la protection des donnees doivent etre integres a l’evaluation :

• La PDP dispose-t-elle d’une certification ou d’une attestation de conformite (ISO 27001, HDS, SOC 2) ?
• Ou sont localises les serveurs et les donnees ? Sont-ils en France ou dans l’UE ?
• La PDP propose-t-elle un contrat de sous-traitance conforme a l’article 28 ?
• Quelles sont les mesures de chiffrement appliquees aux donnees en transit et au repos ?
• La PDP a-t-elle designe un Delegue a la Protection des Donnees (DPO) ?
• Quel est le dispositif de notification en cas de violation de donnees ?

Un outil comme Legiscope peut faciliter l’evaluation de la conformite de vos sous-traitants et le suivi des contrats de sous-traitance dans le cadre d’un programme de conformite RGPD structure.

Durees de conservation

La question des durees de conservation des factures electroniques et des donnees qu’elles contiennent est un point de conformite RGPD essentiel.

Durees legales

Type de document	Duree de conservation	Fondement
Factures (obligation fiscale)	6 ans a compter de la derniere operation	Art. L.102 B du LPF
Factures (obligation commerciale)	10 ans a compter de la cloture de l’exercice	Art. L.123-22 du Code de commerce
Donnees d’e-reporting	A preciser par les textes d’application	Decrets a venir

Articulation avec le RGPD

Le RGPD n’impose pas de duree de conservation specifique. Il exige que les donnees ne soient pas conservees au-dela de ce qui est necessaire au regard de la finalite du traitement (article 5.1.e).

En pratique, la conservation des factures pendant la duree legale de dix ans (duree la plus longue entre l’obligation fiscale et commerciale) est justifiee par l’obligation legale. Au-dela, les donnees personnelles figurant dans les factures doivent etre supprimees ou anonymisees, sauf si une autre base legale justifie leur conservation (contentieux en cours, par exemple).

Les PDP doivent etre contractuellement tenues de supprimer les donnees a l’issue de la duree de conservation convenue. Un processus de purge automatique est recommande.

Minimisation des donnees

Le principe de minimisation (article 5.1.c du RGPD) impose de ne collecter et traiter que les donnees strictement necessaires a la finalite poursuivie.

Dans les factures

Les factures doivent comporter les mentions obligatoires prevues par le Code general des impots (article 242 nonies A de l’annexe II). Il n’est pas necessaire d’ajouter des informations supplementaires non requises par la loi. Par exemple :

• Eviter d’inscrire des informations personnelles superflues dans les champs libres de la facture.
• Ne pas inclure de numero de securite sociale ou d’autres identifiants non requis.
• Limiter la description des prestations au strict necessaire, en evitant les details pouvant reveler des donnees sensibles (informations de sante, opinions politiques, etc.).

Dans l’e-reporting

Les donnees transmises dans le cadre de l’e-reporting doivent se limiter a ce qui est exige par la reglementation. La tentation de transmettre des donnees detaillees au-dela du requis doit etre resistee. Les formats definis par l’administration cadrent ces transmissions, mais il convient de verifier que les systemes d’information ne transmettent pas de champs supplementaires non necessaires.

Droits des personnes concernees

Les personnes physiques dont les donnees figurent dans les factures (dirigeants d’entreprises individuelles, contacts nommes) conservent leurs droits au titre du RGPD :

• Droit d’acces (article 15) : la personne peut demander a obtenir une copie des donnees la concernant dans les factures.
• Droit de rectification (article 16) : en cas d’erreur dans les donnees (nom mal orthographie, adresse obsolete).
• Droit a l’effacement (article 17) : ce droit est limite par l’obligation legale de conservation des factures. L’entreprise peut legitimement refuser l’effacement pendant la duree legale de conservation.
• Droit a la limitation du traitement (article 18) : la personne peut demander la limitation du traitement dans certains cas (contestation de l’exactitude des donnees, par exemple).

L’exercice de ces droits doit etre organise : l’entreprise doit etre en mesure de retrouver les factures contenant les donnees d’une personne et de repondre dans le delai d’un mois prevu par le RGPD.

Securite des donnees

La securite des donnees de facturation est un enjeu majeur, compte tenu du volume et de la sensibilite des informations traitees (donnees financieres, coordonnees bancaires, identite des dirigeants).

Les mesures de securite a mettre en oeuvre incluent :

• Chiffrement des donnees en transit (TLS 1.2 minimum) et au repos.
• Controle d’acces strict aux systemes de facturation, avec authentification forte.
• Journalisation des acces et des operations sur les factures.
• Sauvegardes regulieres et plan de continuite d’activite.
• Sensibilisation des equipes comptables et financieres aux risques lies aux donnees personnelles.
• Analyse d’impact (AIPD) : le traitement a grande echelle de donnees de facturation peut justifier la realisation d’une analyse d’impact au titre de l’article 35 du RGPD, notamment pour les entreprises traitant un volume important de factures B2C ou de factures contenant des donnees sensibles.

Registre des traitements

Le traitement de donnees personnelles dans le cadre de la facturation electronique doit figurer dans le registre des traitements de l’entreprise (article 30 du RGPD). La fiche de traitement doit mentionner :

• La finalite : emission, reception et archivage de factures electroniques ; transmission de donnees d’e-reporting.
• Les categories de donnees : donnees d’identification, donnees de contact, donnees financieres.
• Les categories de personnes concernees : clients, fournisseurs, contacts nommes dans les factures.
• Les destinataires : PDP, PPF, administration fiscale, prestataires d’archivage.
• Les durees de conservation.
• Les mesures de securite.

Conclusion

La facturation electronique et le RGPD ne sont pas en opposition, mais leur articulation exige une attention methodique. Les factures contiennent des donnees personnelles soumises a l’ensemble des obligations du RGPD : base legale, minimisation, duree de conservation, securite, droits des personnes. Le choix de la PDP doit integrer les exigences de l’article 28 du RGPD sur la sous-traitance. L’e-reporting doit respecter le principe de minimisation.

Les entreprises qui abordent la reforme de la facturation electronique obligatoire ont tout interet a traiter simultanement la mise en conformite fiscale et la conformite RGPD. Un audit RGPD prealable permet d’identifier les ecarts et de structurer un plan d’action coherent. Des outils comme Legiscope facilitent le pilotage de cette double conformite au quotidien.