L’obligation de facturation électronique entre entreprises entrera en vigueur à partir de septembre 2026. D’ici là, les entreprises vont devoir se doter d’une plateforme de dématérialisation partenaire (PDP), que ce soit pour déposer une facture ou pour la régler. Les factures arriveront à leurs destinataires grâce à un annuaire des entreprises géré par l'administration fiscale qui repose sur les numéros Siren. Ce processus peut impliquer le traitement de données personnelles, et donc le respect du RGPD. Explications avec Me Favero Agostini.
En quoi la facturation électronique entre entreprises est-elle concernée par le RGPD ?
On pense souvent que sur une facture ou dans la plateforme de dématérialisation partenaire, il y a uniquement des informations de paiement. Mais très souvent, s’y trouvent aussi des données personnelles : prénom et nom de l’interlocuteur à qui sont destinées les factures, du représentant légal des entreprises, des salariés qui se connectent ; mais aussi les coordonnées bancaires et adresse des autoentrepreneurs le cas échéant… Autant d’informations qui supposent le respect du RGPD pour leur traitement.
Qui est responsable du traitement de ces données ?
Les entreprises qui vont émettre des factures comme celles qui vont les recevoir sont responsables du traitement. Les PDP que ces entreprises devront choisir pour opérer la dématérialisation des factures sont, elles, des sous-traitantes au sens du RGPD. Or les responsables du traitement sont garantes de tout ce que font leurs sous-traitants. Les PDP traitent les données qui transitent par elles pour le compte et sur les instructions des responsables de traitement. Ces derniers doivent donc prendre des précautions en amont et opérer ensuite des vérifications. Les entreprises vont notamment devoir informer leurs salariés que leur données vont être traitées sur ces plateformes, et bien les tenir à jour. De même lorsque le processus de facturation électronique embarquera des données de leurs clients.
Quels sont les risques encourus ?
En cas de manquement au RGPD, que ce soit au niveau de la transparence, de l'information des personnes, des durées de conservation des données etc., les sanctions administratives encourues vont jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Au-delà de ça, il y a un risque important d'atteinte à la réputation, mais aussi de responsabilité contractuelle. Il faut savoir que de plus en plus, on instrumentalise le RGPD – par exemple pour se débarrasser d’un cocontractant - parce qu'on sait que peu d’acteurs sont entièrement conformes. Or, si dans le contrat il est prévu une obligation de respecter le RGPD, il sera facile d’invoquer un manquement contractuel.
Quelles conséquences au moment du choix de sa PDP ?
Les entreprises devront s’assurer de choisir un partenaire permettant le complet respect du RGPD, sans se contenter d’un simple affichage de conformité. C’est d’autant plus important que le Comité européen pour la protection des données (CEDP), dans son avis 22/2024, a renforcé la responsabilité du responsable de traitement, non pas uniquement à l'égard de son sous-traitant, mais des sous-traitants de ce dernier. Il ne suffit donc pas de choisir une PDP (sous-traitant de premier rang) à peu près conforme, il faut s’assurer que ses propres sous-traitants (hébergeur de la plateforme, filiale chargée de sa maintenance, etc.) le sont aussi. Car encore une fois, en cas de problème, c’est le responsable du traitement qui est exposé.
Quels conseils donner aux entreprises ?
On voit très vite la maturité d'un sous-traitant [au sens du RGPD, NDLR] quand on lui demande, par exemple, de fournir son registre de traitements. S’il n’en a pas, c’est mauvais signe.
Une bonne façon de se préparer est de travailler dès maintenant sur son annexe de protection des données, qui complètera le contrat principal avec la PDP. Il faut consulter l'article 28 du RGPD, véritable liste à la Prévert de ce qui doit figurer dans ce contrat liant le responsable du traitement au sous-traitant. Par exemple, l’entreprise peut prévoir de donner une autorisation générale ou spécifique pour le recours à des sous-traitants de rang inférieur.
Il faut aussi se poser la question de son rapport de force : les petites entreprises n'ont pas forcément la capacité de négocier avec les PDP, et devront alors se livrer à un comparatif des contrats que proposent les PDP afin d’identifier ceux qui se déchargent le moins possible de leurs responsabilités, présentent les délais d’alerte les plus courts en cas de violation, etc.
