RGPD et facturation : guide conformité

Q: Puis-je envoyer des factures par email sans chiffrement ?

L'envoi par email non chiffré n'est pas interdit, mais présente un risque. La CNIL recommande a minima le chiffrement TLS du canal de transport. Pour les factures contenant des coordonnées bancaires, privilégiez une plateforme sécurisée ou un PDF protégé par mot de passe.

Q: Dokta est-il conforme au RGPD ?

Oui. Dokta héberge toutes les données sur des serveurs dans l'Union européenne, applique un chiffrement AES-256 au repos et TLS 1.3 en transit, et propose un DPA standard. Les durées de conservation sont paramétrables, l'export est natif (CSV, JSON, PDF) et les accès sont journalisés.

Chaque facture que vous émettez contient des données personnelles : nom du client, adresse, email, parfois coordonnées bancaires. Ces informations sont protégées par le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis mai 2018. Que vous soyez auto-entrepreneur ou dirigeant de PME, vous êtes tenu de respecter ces règles sous peine de sanctions lourdes. Ce guide fait le point sur vos obligations concrètes, les durées de conservation à respecter, et les bonnes pratiques pour rester en conformité sans complexifier votre gestion quotidienne.

1. Quelles données sur une facture sont personnelles ?

Au sens du RGPD (article 4), une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Sur une facture, plusieurs éléments entrent dans cette catégorie :

Nom et prénom du client (personne physique) ou du dirigeant (si mentionné).
Adresse postale de facturation ou de livraison.
Adresse email utilisée pour l'envoi de la facture.
Numéro de téléphone s'il figure sur la facture.
Numéro SIRET/SIREN d'un auto-entrepreneur : il permet d'identifier directement une personne physique.
Coordonnées bancaires (IBAN, BIC) si elles apparaissent pour faciliter le paiement.

Attention : même les factures B2B contiennent des données personnelles dès qu'elles mentionnent le nom d'un interlocuteur, un email nominatif (prenom.nom@entreprise.com) ou le SIRET d'un entrepreneur individuel. Seules les factures entre personnes morales ne mentionnant aucune personne physique identifiable échappent au RGPD, ce qui est rare en pratique.

2. Base légale du traitement : pas besoin de consentement

L'une des idées reçues les plus répandues sur le RGPD est qu'il faut systématiquement recueillir le consentement des personnes concernées. Pour la facturation, ce n'est pas le cas. L'article 6.1 du RGPD prévoit six bases légales pour le traitement des données personnelles. La facturation repose sur deux d'entre elles :

L'obligation légale (article 6.1.c). Le Code de commerce (article L441-9) et le Code général des impôts imposent aux entreprises d'émettre des factures comportant un certain nombre de mentions obligatoires, dont le nom et l'adresse du client. Vous traitez ces données parce que la loi vous y oblige. Aucun consentement n'est requis.

L'exécution d'un contrat (article 6.1.b). La facture matérialise l'exécution d'une prestation ou la vente d'un bien dans le cadre d'un contrat. Le traitement des données nécessaires à la facturation est indispensable à l'exécution de ce contrat.

En pratique, cela signifie que vous n'avez pas à demander l'autorisation de vos clients pour émettre une facture à leur nom. Vous ne devez pas non plus leur proposer de "cocher une case" pour accepter la facturation. En revanche, vous devez les informer du traitement de leurs données (via vos CGV ou une politique de confidentialité accessible).

3. Durée de conservation : 10 ans, mais avec des nuances

La question de la durée de conservation est souvent source de confusion car deux réglementations se superposent : le droit commercial et le RGPD.

Le Code de commerce impose une conservation de 10 ans (article L123-22) : "Les documents comptables et les pièces justificatives sont conservés pendant dix ans." Les factures, en tant que pièces justificatives comptables, doivent donc être conservées pendant cette durée. Le Code général des impôts prévoit un délai similaire (article L102 B du Livre des procédures fiscales) : 6 ans pour le droit de reprise fiscal, ce qui en pratique se confond avec les 10 ans comptables.

Le RGPD impose une limitation de la durée de conservation (article 5.1.e) : les données ne doivent pas être conservées "au-delà de la durée nécessaire au regard des finalités." Comment concilier ces deux exigences ? La CNIL recommande une approche en trois phases :

Base active (0 à 3 ans) : les factures sont accessibles dans votre logiciel de facturation pour la gestion courante (suivi des paiements, relances, comptabilité).
Archivage intermédiaire (3 à 10 ans) : les factures sont déplacées vers un système d'archivage à accès restreint. Seules les personnes habilitées (comptable, direction) peuvent y accéder, et uniquement pour répondre à une obligation légale (contrôle fiscal, litige).
Suppression (au-delà de 10 ans) : les factures et les données personnelles qu'elles contiennent doivent être supprimées ou anonymisées de manière irréversible.

4. Droits des clients sur leurs données de facturation

Le RGPD confère à vos clients (personnes physiques) un ensemble de droits sur leurs données personnelles, y compris celles figurant sur les factures. Voici comment ils s'appliquent concrètement :

Droit d'accès (article 15). Votre client peut vous demander une copie de toutes les factures émises à son nom et de toutes les données personnelles que vous détenez le concernant. Vous disposez d'un mois pour répondre.

Droit de rectification (article 16). Si l'adresse ou le nom du client est erroné sur une facture, il peut demander une correction. Attention : vous ne pouvez pas modifier une facture déjà émise. La bonne pratique est d'émettre un avoir puis une nouvelle facture avec les données corrigées.

Droit à l'effacement, dit "droit à l'oubli" (article 17). Ce droit est fortement limité dans le contexte de la facturation. L'obligation légale de conservation de 10 ans prévaut. Vous pouvez et devez refuser une demande d'effacement portant sur des factures de moins de 10 ans, en invoquant l'article 17.3.b du RGPD (obligation légale). Au-delà de 10 ans, l'effacement est obligatoire.

Droit à la portabilité (article 20). Votre client peut vous demander de lui transmettre ses données de facturation dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON, XML). Si vous utilisez un logiciel de facturation moderne, l'export est généralement natif.

5. Sécurité des données de facturation

L'article 32 du RGPD impose au responsable de traitement de mettre en place des "mesures techniques et organisationnelles appropriées" pour garantir la sécurité des données. Pour les données de facturation, cela implique :

Chiffrement des données au repos (stockage) et en transit (envoi par email ou API). Le chiffrement TLS pour les échanges et AES-256 pour le stockage sont les standards actuels.
Contrôle d'accès strict : seules les personnes qui ont besoin d'accéder aux factures dans le cadre de leurs fonctions doivent pouvoir le faire. Mettez en place des profils utilisateurs avec des niveaux d'accès différenciés.
Hébergement dans l'Union européenne : si vous utilisez un logiciel cloud, assurez-vous que les serveurs sont situés dans l'UE. Le transfert de données personnelles hors UE est soumis à des conditions strictes (clauses contractuelles types, décision d'adéquation).
Encadrement des sous-traitants (article 28) : votre logiciel de facturation, votre hébergeur, votre expert-comptable sont des sous-traitants au sens du RGPD. Vous devez conclure un contrat de sous-traitance (DPA - Data Processing Agreement) avec chacun d'eux, définissant les obligations en matière de protection des données.
Journalisation des accès : enregistrez qui accède aux factures et quand, pour détecter les accès non autorisés et répondre aux demandes de la CNIL en cas de contrôle.

6. Facturation électronique et RGPD

La réforme de la facturation électronique, obligatoire dès septembre 2026 pour la réception et septembre 2027 pour l'émission (auto-entrepreneurs), soulève des questions spécifiques en matière de RGPD.

Chorus Pro et Peppol. Les factures électroniques transitent par des plateformes de dématérialisation partenaires (PDP) agréées par l'État, ou par le portail public Chorus Pro. Ces plateformes sont tenues de respecter le RGPD et agissent en tant que sous-traitants. Vérifiez que votre PDP dispose d'un DPA conforme et que les données sont hébergées dans l'UE.

Transmission sécurisée. Le format Factur-X (PDF/A-3 avec données XML intégrées) ou UBL/CII garantit l'intégrité des données et permet une transmission sécurisée. Les PDP agréées doivent assurer le chiffrement de bout en bout et la traçabilité des échanges.

Minimisation des données. Le principe de minimisation (article 5.1.c du RGPD) impose de ne collecter que les données strictement nécessaires. Sur une facture électronique, ne faites figurer que les mentions obligatoires légales. Évitez d'ajouter des informations superflues (numéro de téléphone personnel, notes internes sur le client) qui élargiraient inutilement le périmètre des données personnelles traitées.

7. Sanctions CNIL : des risques réels

Les sanctions prévues par le RGPD sont dissuasives. L'article 83 prévoit deux niveaux d'amendes administratives :

Jusqu'à 10 millions d'euros ou 2 % du CA mondial annuel pour les manquements aux obligations de sécurité, de tenue de registre ou de notification de violation.
Jusqu'à 20 millions d'euros ou 4 % du CA mondial annuel (le montant le plus élevé étant retenu) pour les violations des principes fondamentaux (licéité, loyauté, minimisation) ou des droits des personnes.

Ces montants maximaux concernent principalement les grandes entreprises. Pour les TPE et auto-entrepreneurs, la CNIL privilégie la pédagogie : mise en demeure de se mettre en conformité, injonction sous astreinte, puis sanction financière proportionnée au chiffre d'affaires. Des exemples récents montrent néanmoins que des PME ont été sanctionnées à hauteur de plusieurs dizaines de milliers d'euros pour des manquements à la sécurité des données ou des durées de conservation excessives.

Au-delà des amendes, une sanction CNIL est rendue publique sur le site de la Commission et peut porter atteinte à la réputation de votre entreprise, ce qui constitue souvent un préjudice bien supérieur à l'amende elle-même.

8. Checklist conformité RGPD pour la facturation

Voici les 8 points à vérifier pour vous assurer que votre processus de facturation est conforme au RGPD :

1. Identifier la base légale : vérifiez que votre traitement repose sur l'obligation légale (art. 6.1.c) ou l'exécution du contrat (art. 6.1.b). Documentez-le dans votre registre des traitements.
2. Informer vos clients : incluez une mention dans vos CGV ou votre politique de confidentialité indiquant les données collectées, la finalité (facturation), la durée de conservation et les droits des personnes.
3. Minimiser les données : ne faites figurer sur les factures que les mentions strictement obligatoires. Supprimez les informations superflues.
4. Sécuriser le stockage : chiffrement au repos, accès restreint par mot de passe, hébergement UE.
5. Respecter les durées de conservation : base active (3 ans), archivage intermédiaire (3 à 10 ans), suppression (au-delà de 10 ans).
6. Encadrer les sous-traitants : signez un DPA avec votre logiciel de facturation, hébergeur et expert-comptable.
7. Répondre aux demandes des clients : mettez en place une procédure interne pour traiter les demandes d'accès, de rectification et d'effacement sous 30 jours.
8. Tenir un registre des traitements : obligatoire pour toutes les entreprises, y compris les auto-entrepreneurs qui traitent des données de manière régulière (ce qui est le cas dès que vous facturez).

9. FAQ

Un auto-entrepreneur est-il concerné par le RGPD ?
Oui, sans exception. Dès que vous traitez des données personnelles de manière régulière (facturation, fichier clients, relances), vous êtes soumis au RGPD. Le statut d'auto-entrepreneur ou la taille de l'entreprise ne constituent pas une exemption. La CNIL a publié un guide spécifique pour les TPE/PME qui simplifie la mise en conformité.

Puis-je envoyer des factures par email sans chiffrement ?
L'envoi d'une facture par email non chiffré n'est pas interdit en soi, mais il présente un risque de sécurité. La CNIL recommande a minima le chiffrement TLS du canal de transport (ce que proposent la plupart des fournisseurs d'email modernes). Pour les factures contenant des données sensibles (coordonnées bancaires), privilégiez un envoi via une plateforme sécurisée ou un PDF protégé par mot de passe.

Mon client me demande de supprimer toutes ses factures. Dois-je le faire ?
Non. Vous êtes tenu par l'obligation légale de conservation des pièces comptables pendant 10 ans (article L123-22 du Code de commerce). Le RGPD prévoit explicitement cette exception à l'article 17.3.b. Vous devez informer votre client de cette obligation et lui confirmer que ses données seront supprimées à l'expiration du délai légal.

Dois-je désigner un DPO (Délégué à la Protection des Données) ?
La désignation d'un DPO n'est obligatoire que pour les organismes publics et les entreprises dont l'activité de base exige un suivi régulier et systématique à grande échelle des personnes (article 37 du RGPD). Pour un auto-entrepreneur ou une TPE classique, le DPO n'est pas obligatoire. Il est toutefois recommandé de désigner un référent interne chargé des questions de protection des données.

Dokta est-il conforme au RGPD ?
Oui. Dokta héberge toutes les données de facturation sur des serveurs situés dans l'Union européenne, applique un chiffrement AES-256 au repos et TLS 1.3 en transit, et propose un DPA standard à ses utilisateurs. Les durées de conservation sont paramétrables, l'export des données est natif (CSV, JSON, PDF), et les accès sont journalisés. Dokta agit en tant que sous-traitant au sens de l'article 28 du RGPD.

RGPD et facturation
protéger les données de vos clients