Le RGPD s'applique-t-il à moi si je facture des clients de l'UE mais que je suis basé hors UE ?

Oui. Le RGPD s'applique à toute entreprise qui offre des biens ou des services à des personnes dans l'UE, quel que soit l'endroit où elle est établie. Si vous facturez des particuliers basés dans l'UE (pas seulement des entreprises), vous êtes soumis au RGPD.

Un client peut-il m'obliger à supprimer une facture en vertu du RGPD ?

Non, pas tant que vous êtes légalement tenu de la conserver. Le droit à l'effacement ne prime pas sur les obligations légales. La législation fiscale dans la plupart des pays de l'UE exige de conserver les factures pendant 5 à 10 ans. Vous pouvez refuser la demande, expliquer la base légale et vous engager à supprimer le document à l'expiration du délai de conservation.

Dois-je ajouter une mention d'information RGPD sur mes factures ?

Pas nécessairement sur la facture elle-même. Le RGPD exige que vous informiez les clients sur la manière dont vous traitez leurs données — généralement via une politique de confidentialité. Vous n'avez pas besoin de la reproduire sur chaque facture, mais votre politique de confidentialité doit couvrir le traitement des données de facturation.

Le numéro SIREN d'un auto-entrepreneur est-il une donnée personnelle ?

En France, le SIREN d'un auto-entrepreneur est directement lié à son identité personnelle — il est donc considéré comme une donnée personnelle. Cela a des implications spécifiques : si vous partagez des factures contenant le SIREN d'un auto-entrepreneur avec des tiers, vous partagez des données personnelles et devez disposer d'une base légale adéquate.

Le RGPD s'applique-t-il à moi si je facture des clients de l'UE mais que je suis basé hors UE ?

Oui. Le RGPD s'applique à toute entreprise qui offre des biens ou des services à des personnes dans l'UE, quel que soit l'endroit où elle est établie. Si vous facturez des particuliers basés dans l'UE (pas seulement des entreprises), vous êtes soumis au RGPD.

Un client peut-il m'obliger à supprimer une facture en vertu du RGPD ?

Non, pas tant que vous êtes légalement tenu de la conserver. Le droit à l'effacement ne prime pas sur les obligations légales. La législation fiscale dans la plupart des pays de l'UE exige de conserver les factures pendant 5 à 10 ans. Vous pouvez refuser la demande, expliquer la base légale et vous engager à supprimer le document à l'expiration du délai de conservation.

Dois-je ajouter une mention d'information RGPD sur mes factures ?

Pas nécessairement sur la facture elle-même. Le RGPD exige que vous informiez les clients sur la manière dont vous traitez leurs données — généralement via une politique de confidentialité. Vous n'avez pas besoin de la reproduire sur chaque facture, mais votre politique de confidentialité doit couvrir le traitement des données de facturation.

Le numéro SIREN d'un auto-entrepreneur est-il une donnée personnelle ?

En France, le SIREN d'un auto-entrepreneur est directement lié à son identité personnelle — il est donc considéré comme une donnée personnelle. Cela a des implications spécifiques : si vous partagez des factures contenant le SIREN d'un auto-entrepreneur avec des tiers, vous partagez des données personnelles et devez disposer d'une base légale adéquate.

RGPD et Facturation : Ce que Chaque Freelance Doit Savoir

Le Règlement Général sur la Protection des Données (RGPD) ne s'applique pas uniquement aux grandes entreprises technologiques. Chaque freelance ou petite entreprise qui facture des clients dans l'UE — ou facture des clients basés dans l'UE depuis n'importe où dans le monde — traite des données personnelles, ce qui signifie que le RGPD vous est applicable.

Ce guide explique précisément ce que le RGPD signifie pour la facturation : quelles informations constituent des données personnelles sur une facture, quelle est votre base légale pour les traiter, combien de temps vous pouvez conserver les registres de factures et quels droits ont vos clients sur leurs données.

Les factures contiennent-elles des données personnelles ?

Oui. Une facture contient typiquement :

Le nom complet du client ou du contact de l'entreprise
L'adresse du client (professionnelle ou personnelle)
L'adresse e-mail
Le numéro de téléphone
Le numéro de TVA (pour les auto-entrepreneurs, celui-ci peut inclure le SIREN, lié à l'identité personnelle)

Toute information pouvant identifier une personne physique — directement ou indirectement — est une donnée personnelle au sens du RGPD. Le nom et l'adresse d'un auto-entrepreneur sont des données personnelles. Un nom d'entreprise seul ne l'est pas — mais un contact nommé dans cette entreprise l'est.

Votre base légale pour le traitement des données de facturation

Selon l'article 6 du RGPD, vous avez besoin d'une base légale pour traiter des données personnelles. Pour la facturation, deux bases s'appliquent :

1. Exécution d'un contrat (Art. 6(1)(b))

Le traitement est nécessaire à l'exécution d'un contrat avec la personne concernée ou à l'application de mesures précontractuelles. Facturer un client répond directement à cette condition — vous avez besoin de son adresse et de son nom pour émettre une facture valide.

2. Obligation légale (Art. 6(1)(c))

Le traitement est nécessaire au respect d'une obligation légale. La législation fiscale dans pratiquement tous les États membres de l'UE exige que vous conserviez les registres de factures pendant un nombre minimum d'années. La conservation des factures pour répondre aux exigences de l'administration fiscale relève clairement de cette base.

Vous n'avez pas besoin de consentement pour émettre des factures ni pour les conserver à des fins fiscales. Demander un consentement ici serait incorrect — le consentement doit être librement révocable, et vous ne pouvez pas supprimer un document fiscal obligatoire parce qu'un client a retiré son consentement.

Combien de temps pouvez-vous conserver les factures ?

Les principes de minimisation des données et de limitation de la conservation du RGPD exigent que vous conserviez les données personnelles uniquement le temps nécessaire. Pour les factures, c'est la législation fiscale nationale — et non le RGPD — qui définit ce qui est "nécessaire". Durées de conservation courantes :

Pays	Durée minimale de conservation
France	10 ans
Allemagne	10 ans
Pays-Bas	7 ans
Espagne	5 ans (général), 4 ans (fiscal)
Italie	10 ans
Royaume-Uni	6 ans

À l'expiration du délai de conservation, vous devez supprimer ou anonymiser les documents. Conserver les factures indéfiniment "par précaution" n'est pas conforme au RGPD.

Droits des clients et factures

Le RGPD accorde aux personnes concernées des droits sur leurs données personnelles. Voici comment ces droits interagissent avec la facturation :

Droit d'accès (Art. 15)

Un client peut demander une copie des données personnelles que vous détenez le concernant. Vous devez répondre dans un délai d'un mois. Pour les factures, cela implique de fournir des copies des factures contenant ses données.

Droit à l'effacement (Art. 17)

Le "droit à l'oubli" ne prime pas sur les obligations légales. Si la législation fiscale vous oblige à conserver une facture pendant 10 ans, vous pouvez refuser une demande d'effacement. Vous devez informer le client que vous conservez le document pour respecter vos obligations légales et que vous le supprimerez à l'expiration de cette obligation.

Droit de rectification (Art. 16)

Si les données d'un client sur une facture sont incorrectes, il peut en demander la correction. Pour les factures déjà émises, vous émettez généralement une facture rectificative ou un avoir plutôt que de modifier le document original.

Logiciels de facturation : points de vigilance

Si vous utilisez une plateforme de facturation en ligne, celle-ci devient un sous-traitant au sens du RGPD. Vous êtes le responsable du traitement ; ils traitent les données pour votre compte. Cela implique :

Vous avez besoin d'un Contrat de Sous-traitance des Données (DPA) avec la plateforme — les plateformes sérieuses l'incluent dans leurs CGU
Les données des clients peuvent être stockées sur des serveurs hors UE — vérifiez où les données sont hébergées et si des garanties adéquates existent (ex. clauses contractuelles types de l'UE)
Vous restez responsable de la conformité RGPD, même si la plateforme gère mal les données

Les outils basés sur navigateur comme invoicePrivate, qui stockent toutes les données localement, contournent entièrement ce problème. Aucune donnée n'est envoyée vers un serveur — donc pas de sous-traitant, pas de DPA requis et aucun risque de violation de données de la plateforme.

Étapes pratiques pour une facturation conforme au RGPD

Ne collecter que le nécessaire. Nom, adresse et numéro fiscal — pas davantage. Vous n'avez pas besoin de la date de naissance du client ni de son e-mail personnel, sauf nécessité spécifique.
Connaître votre durée de conservation. Configurez un rappel pour supprimer les factures à l'expiration de la période légale applicable dans votre pays.
Mettre à jour votre politique de confidentialité. Si vous envoyez des newsletters ou utilisez les coordonnées pour du marketing, votre politique de confidentialité doit le mentionner.
Signer un DPA avec tout outil cloud. Si vous utilisez un logiciel de facturation SaaS, vérifiez qu'un DPA est en place — c'est obligatoire en vertu de l'art. 28 du RGPD.
Avoir un processus pour les demandes d'accès. Si un client demande quelles données vous détenez, vous devez pouvoir répondre dans les 30 jours.

Sanctions en cas de non-conformité

Les amendes RGPD sont échelonnées :

Niveau inférieur : Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial — pour les violations procédurales
Niveau supérieur : Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial — pour les violations des principes fondamentaux

En France, l'autorité de contrôle est la CNIL (Commission Nationale de l'Informatique et des Libertés). Pour les freelances et micro-entreprises, les autorités émettent généralement des avertissements avant d'imposer des amendes — mais l'obligation est réelle.