RGPD et facturation

La facturation est une fonction centrale et cruciale dans toutes les entreprises. Digitale ou non, la facture à un client est ce qui fait d’un business un business, et oui, cela concerne les données personnelles.

La facturation, quel qu’en soit le format, nous oblige à collecter certaines informations fondamentales concernant nos clients, que ce soit dans des cas de B2B ou de B2C. Pour illustrer cela, une petite explication, en commençant par la cartographie de données.

Cartographie des données

Les factures les plus basiques inclueront au minimum :

  • Prénom, nom ;
  • E-mail ;
  • Adresse de facturation ;
  • Adresse de livraison.

Le contenu des achats de la facture est aussi pertinent dans la mesure où il donne de précieux renseignements de profilage à l’entreprise sur l’historique des achats du client.

Alors, est-ce que la facturation tombe sous le RGPD ? Oui, absolument.

La bonne nouvelle est qu’il est probablement totalement justifié pour votre entreprise de garder de telles données et, en majeure partie, cela ne devrait pas beaucoup changer. Ceci grâce aux bases légales correspondantes aux activités de stockage et de traitement.

Bases légales

Il y a deux raisons principales pour stocker/traiter des données personnelles en matière de facturation :

“Obligations relatives à la comptabilité”

  • Rec.30;Art.7(1)(c), Respect des obligations légales – Les entreprises étant obligées de déclarer leurs taxes et de garder leurs bilans financiers pendant un certain temps, vous avez donc tout à fait le droit de garder un répertoire d’anciens clients, leurs coordonnées et l’historique des communications. Aucune explication nécessaire.

“Activités de vente & de marketing”

  • Pour le B2C, la communication et le traitement de données relatives au marketing se produit typiquement sur la base d’un opt-in de consentement explicite. Votre case “Oui, informez moi au sujet d’offres spéciales et promotions” sur votre page de paiement. Si vous envoyez de la publicité à vos anciens clients, vous aurez besoin de cet opt-in au moment de l’achat, et vous devrez vous assurer qu’il est décoché par défaut.
  • Pour le B2B, le même genre de marketing peut se produire sur la base d’un intérêt légitime. Un intérêt légitime veut dire que vous pouvez continuer à vous occuper de votre entreprise, aucun consentement explicite nécessaire, tant que vous expliquez précisément pourquoi vous avez besoin de stocker et traiter ces données (la justification). Vous devez tout de même donner la possibilité à vos clients d’un opt-out (comme par exemple se désabonner).

Points de vente

Quoi qu’il arrive, la responsabilité vous incombe de stocker ces données personnelles et de faire savoir à vos clients où sont stockés leurs coordonnées et leurs historiques d’achats, et dans quelles conditions. Commencez par identifier vos points de vente. Où et comment sont gardées les coordonnées de vos clients ? Sous forme d’archives papier ? Archives d’e-mails ? Tableur Excel ? Votre logiciel de comptabilité ? Zervant ?

Dans le cas où vous gardez les données vous-même, expliquez quelles mesures de sécurité sous lesquelles vous gardez ces données vous avez mises en place, et sous quelles conditions elles sont accessibles. Par exemple, sont-elles gardées dans un dossier en ligne Google Drive auquel seul vous avez accès ? Sont-elles en sécurité sur PayPal ou Zervant ?

Pour Zervant, les factures sont envoyées par e-mail. Il est important de noter ici que le RGPD ne régule pas les e-mails ou les autres technologies utilisées par choix personnel.

Indiquez dans quel pays les données sont stockées et si du personnel ou une tierce-partie en dehors de l’UE a accès à ces données, dans quelles circonstances et dans quel but. Dans le cas où vous stockez vous-mêmes les données de vos clients, les réponses à ces questions seront évidentes. Si vous utilisez un service tiers pour gérer les données relatives à vos clients et à la facturation, les réponses à ces questions devraient être à leur disposition dans votre Politique de Confidentialité (En savoir plus à propos de la Politique de Confidentialité chez Zervant).

Transparence

Une fois que vous avez une image claire de ce qui se trouve plus haut, vous devez être capable de communiquer tout cela clairement à vos clients. Dans la plupart des cas, cela prend la forme d’une politique de confidentialité courte et facile à comprendre, disponible à la fois en ligne et au moment de l’achat. Fournir ces informations au bon moment, et se concentrer sur ce que le client essaie de faire à un instant t (ex : payer) est un moyen efficace de s’assurer du fait qu’il reste “informé”. Par exemple, pour la facturation, assurez-vous que les opt-ins sont collectés au moment de l’achat.

Vous pouvez écrire votre propre politique de confidentialité tant que vous gardez à l’esprit les points évoqués ci-dessus ainsi que la transparence comme objectif final – vous devriez être en bon chemin pour la conformité au RGPD. Vous pourriez aussi recevoir de l’aide de la part des sympathiques gars de chez Portyr, qui créent des outils pour aider les entreprises comme la vôtre à implémenter les meilleures pratiques en matière de RGPD (Notez que ces outils ne sont pas encore disponibles en français).

Au fond, il s’agit d’être respectueux envers vos utilisateurs et leurs droits. Préparez vous à répondre à ces questions de la part de clients curieux :

  • Puis-je avoir une copie de mon historique d’achats ? Oui, vous êtes obligé de satisfaire cette demande, donc soyez prêt à envoyer ce genre de document d’une façon ou d’une autre.
  • J’ai besoin de modifier mes coordonnées. Vous avez certainement déjà un moyen de faire cela.
  • Veuillez supprimer toutes les informations me concernant et m’oublier à jamais. Comme dit plus haut, vous êtes dans l’obligation de conserver les données de facturation, et vous pouvez donc leur répondre cela. Cependant, ils ont le droit de voir toutes les informations relatives aux “activités de vente & de marketing” additionnelles supprimées. Dans ce genre de cas, une discussion franche et ouverte avec le client dans le but de comprendre ses inquiétudes est la meilleure approche.
  • Combien de temps allez vous garder mes informations ? Une fois de plus, ceci dépend de votre obligation légale de garder ces informations.

Grâce à ces étapes, vous êtes en bonne voie pour rester à flot dans le tsunami post-RGPD.

Le RGPD introduit bien les amendes

Les entreprises qui ne respectent pas le RGPD peuvent potentiellement recevoir une amende administrative allant jusqu’à 20 000 000 EUR, ou dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaire mondial annuel total de l’exercice précédent, le montant le plus élevé étant retenu.

Le RGPD encourage les entreprises à implémenter des mesures protectrices en corrélation avec le degré de risques qu’implique la gestion de leurs données. Et en même temps, le RGPD ne dit rien sur comment les entreprises peuvent qualifier et évaluer le degré de ces risques. Cette idée d’approche basée sur le niveau de risque de paire avec le principe de responsabilité veut dire que les entreprises sont poussées à évaluer le niveau de leur conformité eux-mêmes.

Si votre but est d’être totalement en conformité et donc 100% sûr d’éviter une amende, vous vous verrez embarquer pour un voyage sans fin, un voyage toujours plus complexe. Mais il y a bien sûr une meilleure solution…

Concentrez vous sur les personnes, pas sur les amendes

Jusque là, nous n’avons pas beaucoup parlé des individus, ou en langage RGPD les “personnes concernées” – votre client, votre employeur, ou toute personne dont vous collectez et utilisez les informations.

Au lieu de vous concentrer sur le redoutable et la course sans fin pour éviter les sanctions administratives, ne serait-il pas mieux de vous concentrer sur offrir à vos “personnes concernées” les droits que la Directive sur la Protection des Données Personnelles et le RGPD dictent ?

Après tout, le meilleur moyen d’éviter les sanctions est sûrement tout simplement de garder les personnes concernées satisfaites. Plus ces personnes sont satisfaites, moins il y a de chances pour qu’elles se plaignent aux autorités. Moins les autorités reçoivent de plaintes, moins il y a de chances pour qu’elles lancent une investigation, ce qui veut dire moins de chances de recevoir des sanctions.

Se concentrer sur les personnes concernées par cette loi rend la tâche beaucoup plus facile. Ces personnes ont fondamentalement quatre droits :

  1. Le droit à la transparence, donc le droit de recevoir des informations claires et concises sur la manière dont les données sont collectées et utilisées ;
  2. Le droit de pouvoir consentir ou non à la collecte et à l’utilisation des données ;
  3. Le droit d’avoir accès à leurs propres données, de recevoir une copie de ces données ainsi que de pouvoir les faire transférer directement d’un responsable du traitement des données à un autre, et
  4. Le droit d’être oubliées, en d’autres termes le droit de faire effacer leurs données lorsqu’elles ne sont plus utiles pour l’objectif pour lequel elles ont été initialement collectées.

Si vous êtes en mesure de véritablement offrir ces quatre droits à vos clients, les autres exigences dictées par le RGPD vont commencer à se mettre en place d’elles-mêmes.

Cet article a été écrit par Otto Markkanen, avocat spécialiste en technologie et en confidentialité de longue date, et co-fondateur de Portyr. Portyr est en train de créer une plateforme pour mieux comprendre la RGPD et offrir aux entreprises des méthodes compréhensibles pour avancer vers la conformité.

Zervant – Facturation illimitée gratuite

facturation-en-ligne