La facturation électronique via Peppol s’impose progressivement en Belgique depuis le début de l’année. Cette évolution entraîne une automatisation accrue et une systématisation des processus de facturation, tant dans le secteur public que privé.
Une question essentielle se pose dès lors : en quoi la facturation électronique impacte-t-elle le traitement des données à caractère personnel et la conformité au RGPD ?
La facturation : un traitement de données à caractère personnel
Contrairement aux idées reçues, une facture peut contenir bien plus que des montants et des références administratives. Elle peut contenir des noms de personnes de contact, des prestations individualisées, des listes de participants à une formation, des références de dossiers… Dès qu’une personne est identifiable, le RGPD s’applique. La facturation constitue donc bien un traitement de données à caractère personnel.
Peppol et RGPD : un cadre inchangé, mais une exposition accrue aux risques
Le recours au réseau Peppol ne modifie pas en tant que tel le cadre juridique du RGPD applicable à la facturation. Les obligations existaient déjà avant la facturation électronique. En revanche, Peppol renforce l’exposition aux risques en raison de l’automatisation, de la standardisation et de la diffusion élargie des données.
Quelques principes doivent donc ici être rappelés ;
- La minimisation ; seules les données adéquates, pertinentes et limitées à ce qui est nécessaire doivent figurer sur les factures. Il convient, par exemple, de séparer les données de facturations des annexes opérationnelles ou, quand ce n’est pas possible, de privilégier des références anonymisées ou pseudonymisées.
- Gestion des accès ; Si le réseau Peppol offre des garanties techniques (authentification, chiffrement, traçabilité), le responsable du traitement doit en restreindre l’accès aux personnes impliquées dans le processus de facturation et assurer la traçabilité de ces accès.
- La facturation est un traitement de donnée qui doit être dans le registre et, donc mis à jour
Enfin, une attention particulière doit être apportée aux rôles et responsabilités dans ce processus.
L’entité émettrice de la facture agit en qualité de responsable du traitement. Il a la responsabilité de formaliser les relations avec tant le point d’accès Peppol qu’avec le destinataire de la facture.
Le point d’accès Peppol (l’outil, la plateforme, le logiciel de facturation voire le prestataire s’il est externe) intervient comme sous-traitant RGPD.
Le destinataire de la facture est responsable des traitements ultérieurs effectués en interne.
Si vous avez besoin d’aide pour mettre en conformité vos processus de facturation, votre chaine de sous traitance ou encore votre conformité au RGPD, contactez nous !