Comment concilier facturation électronique et RGPD ?
Un traitement des données personnelles dans la généralisation de la facturation électronique ? Le sujet pourrait surprendre. Après tout, la réforme vise à assurer la transmission d'informations entre entreprises et avec l'administration. Rien de personnel là-dedans, donc.
Mais attention, avertit l'avocate Eleonore Favero-Agostini, associée du cabinet Adlane Avocats : une donnée personnelle, c'est "tout ce qui permet d'identifier une personne" : dès lors que la facture mentionne "le nom de la personne à qui adresser la facture, ou le Siren d'un entrepreneur unipersonnel, c'est soumis au RGPD". Par ailleurs, sur la PDP (plateforme de dématérialisation partenaire de l'administration), qui va assurer la transmission électronique des factures, vont se trouver des informations de connexion des salariés, le nom du dirigeant de l'entreprise… Là encore, ce sont des données personnelles.
Les données personnelles vont donc transiter essentiellement sur cette PDP. Est-ce à dire que l'entreprise utilisatrice n'aurait aucune responsabilité dans leur traitement ? Bien au contraire.
Les rapports avec le sous-traitant
Car selon le RGPD, le responsable du traitement demeure l'entreprise qui ordonne le recueil et le traitement des données, soit, dans le cas de la facturation électronique, celle qui utilise la plateforme, que ce soit pour envoyer ses factures ou pour les recevoir (les obligations sont les mêmes dans les deux cas). Elle est donc responsable des pratiques non-seulement de ses sous-traitants, mais aussi des sous-traitants de ses sous-traitants, et ce jusqu'au troisième niveau (opinion 22/2024 du comité européen de protection des données). Les relations et obligations de chacun sont définies par l'article 28 du RGPD, qui précise que le responsable du traitement doit vérifier que le sous-traitant présente les garanties nécessaires en matière de protection des données, et que le sous-traitant ne peut lui-même faire travailler de sous-traitant sur les données personnelles de son client sans l'accord écrit préalable de ce dernier.
L'article précise aussi que le traitement des données par un sous-traitant doit être régi par un document juridique, tel un contrat, une annexe RGPD, ou un article détaillé dans le contrat commercial. "Souvent ce contrat permet de vérifier la maturité du prestataire : données collectées, façon dont elles sont conservées, durée de conservation" : un sous-traitant qui conserve des données de facturation 90 ans, c'est trop, illustre l'avocate.
"L'intérêt de ce contrat, c'est aussi que le sous-traitant redevient responsable s'il agit en dehors du contrat". Mieux vaut alors que le contrat liste précisément les obligations du sous-traitant dans le cadre du respect du RGPD. Si son client restera toujours responsable du traitement, cela lui permettra de demander des compensations en cas de non-respect de ces obligations. Le responsable du traitement doit cependant "faire très attention à la clause de responsabilité : beaucoup de sous-traitants mettent un plafond, parfois de quelques dizaines de milliers d'euros". Or, les amendes liées au non-respect du RGPD peuvent aller jusqu'à 4% du chiffre d'affaires. L'idéal est donc de préciser que la protection des données personnelles est exclue de ce plafond.
Les points à vérifier
Parmi les garanties que doit offrir la PDP, l'entreprise doit s'assurer d'un chiffrement solide, une gestion des accès bien faite, une authentification forte, et un plan de reprise avec des délais de réponse suffisamment courts en cas d'incident, qu'il s'agisse d'une violation des données ou d'un simple bug informatique. "C'est un point qu'il faut vérifier, insiste l'avocate, demander s'il y a un incident, y compris de votre côté, combien de temps va mettre le sous-traitant pour aider".
Attention également : si le responsable du traitement a 72h pour déclarer à la Cnil d'une violation des données une fois que son sous-traitant l'en a informé, celui-ci est tenu de le prévenir… Mais la loi n'impose aucun délai. Mieux vaut donc préciser dans le contrat dans quel délai le sous-traitant doit informer le responsable en cas de tel problème.
Autre point d'attention : la réversibilité des données, en cas de changement de fournisseur : "comment les récupérer, quelles données sont concernées, comment peut-on les transférer et à quel coût". Mais aussi le respect du droit d'accès, pour les personnes qui voudraient éventuellement consulter ou modifier leurs données collectées.
Comme dans tout traitement de données, l'entreprise doit tenir un registre de traitement, et "documenter les bases légales", c'est-à-dire bien préciser sur quelles bases légales sont collectées et conservées les données. Et là, attention : si la base légale la plus connue est le consentement, l'avocate déconseille de s'appuyer dessus dans le cas de la facturation électronique, car si un client retire son consentement au traitement des données, il ne sera plus possible de traiter ses données pour émettre des factures. Dans ce cas de figure, "la base légale est souvent l'exécution du contrat, cela peut aussi être l'intérêt légitime".
Par ailleurs, l'avocate rappelle que le respect du RGPD doit s'articuler avec d'autres obligations légales : certes, les données ne doivent pas être conservées indéfiniment dans le cadre de la protection des données principales, mais les entreprises ont également une obligation de lutte contre la fraude qui les exige une conservation d'un certain nombre de données durant un temps défini.