C'est une question qui fait souvent débat et restait assez floue : le RGPD et la loi anti-fraude à la TVA sont-ils compatibles ? La réponse est oui : il existe des bases légales qui vont permettre de justifier le traitement de ces données de facturation, avec certaines conditions.
D'un côté, le RGPD, Règlement Général sur la Protection des Données, soit le règlement instauré par l'Union Européenne le 25 mai 2018, afin de donner aux citoyens de l'UE le contrôle de leur données personnelles.
De l’autre, la loi anti-fraude TVA, soit l’article 88 de la loi des Finances 2016 applicable à partir du 1er janvier 2018, dont on vous a déjà longuement parlé ici. Cet article qui, si on résume, impose la conservation des données de facturation à certains professionnels dont les clients sont français.
La question que tout le monde se pose logiquement : si le RGPD permet – à priori – à tous les internautes de contrôler l'utilisation de leurs données personnelles, comment cela se passe pour les données de facturation qui doivent être obligatoirement conservées ?
Pour répondre à cette question, commençons par mieux comprendre le RGPD.
En quoi consiste le RGPD ?
Le RGPD est un règlement de l'Union Européenne permettant donc aux citoyens européens de contrôler l'usage de leurs données personnelles par des acteurs tiers (publics ou privés). Cela se concrétise par
Ce règlement européen donne ou renforce plusieurs droits des consommateurs :
Droit d'accès et de rectification des données personnelles ;
Droit à la portabilité des données personnelles ;
Droit à l'oubli.
Des droits pour les consommateurs, des devoirs pour les sites. En collectant des données personnelles de vos clients, vous avez un devoir de transparence sur le stockage et l'utilisation de ces données.
Vous devez indiquer :
Pourquoi vous récoltez ces données ;
Combien de temps vous les conservez ;
Où vous les conservez (localisation des serveurs).
Mais qu'est-ce qu'une "donnée personnelle" ? Selon la CNIL, cela définit "toute information relative à une personne physique susceptible d'être identifiée directement ou indirectement". Un nom, une adresse postale, une adresse email, une photo, un numéro de téléphone, un identifiant, une adresse IP...
Bref, autant dire qu'en e-commerce on traite de nombreuses données personnelles de clients, notamment via les comptes clients et surtout les factures.
RGPD et e-commerce : quelles bases légales ?
LE RGPD prévoit 6 bases légales permettant la mise en place du traitement des données personnelles. Tout traitement de données personnelles doit être fondé sur l'une de ces bases légales, qui ont chacune leur cadre et leurs spécificités.
On compte notamment ces 3 qui nous intéressent particulièrement pour l'e-commerce :
Le contrat
Le consentement
L'obligation légale
Le contrat : base légale pour les achats en ligne
La première base indique que la création d'un contrat ou pré-contrat implique la récupération de données personnelles. C'est le cas en particulier en B2B ou pour un abonnement à un service, mais aussi pour tout achat en ligne : la livraison et le paiement en ligne nécessitent de connaître l'adresse et les coordonnées bancaires du client. Le traitement de ces informations se fonde donc sur la base légale "contrat".
Le consentement : base légale pour le marketing
A l'inverse, le traitement des données personnelles pour du ciblage publicitaire, du marketing (newsletter...) ou de la personnalisation d'expérience n'est en pas nécessaire à l'exécution du contrat, et nécessite donc le consentement de l'utilisateur.
C'est en général un opt-in qui permet de valider le consentement, comme par exemple une case à cocher sur un formulaire d'inscription pour recevoir les informations de l'entreprise par e-mail (newsletter, email marketing...). La base légale de type consentement implique de donner un maximum de liberté à l'utilisateur :
comprendre l'utilisation qui sera faite de ses données ;
choisir d'accepter ou non le traitement de ses données (sans contrainte) ;
changer d'avis à tout moment, sans condition.
L'obligation légale : base légale pour la comptabilité et... la certification de factures !
On en vient au point qui nous intéresse particulièrement : quelle base légale justifie le traitement des données personnelles liées à la facturation (factures, données de facturation, avoirs...) ?
C'est évidemment l'obligation légale, qui doit être définie par le droit européen ou national d'un Etat membre. Il faut qu'il y ait une nécessité et une obligation impérative de traiter ces données, ainsi qu'une définition claire des finalités du traitement.
La loi des finances est donc une obligation impérative et légale du traitement des données de facturation, puisqu'elles doivent être archivées, sécurisées, conservées. Ainsi si vous avez un site e-commerce et que vous utilisez une solution de certification comme Kiwiz, vous devez indiquer comment sont traitées les données personnelles, à quel but, qui y a accès, dans quel pays, etc.
Mais il n'y a pas de consentement à obtenir et vos clients n'ont pas la possibilité de supprimer ces données puisque la loi exige qu'elles soient inaltérables et conservées au moins 6 ans.
Kiwiz, la loi des finances et le RGPD
Ainsi Kiwiz est conforme à la loi des finances et au RGPD, du moment que vous faites figurer toutes les informations légales concernant le traitement de ces données sur votre site.
Pour cela complétez votre politique de confidentialité dans une rubrique "Utilisation et transmission de vos données personnelles" (par exemple) et rendez-la accessible au moment du paiement. Voici un exemple de texte à faire apparaître sur votre site :
Kiwiz est une solution de certification de factures et avoirs, répondant aux demandes de l'administration fiscale dans le cadre de la loi des finances 2016, également appelée "loi anti-fraude à la TVA". Kiwiz stocke à ce propos les données de facturation et les documents certifiés (factures et avoirs) issus des commandes réalisées sur ce site, pendant la durée légale selon l’article L123-22 du code de commerce. Les données sont conservées, sécurisées et archivées, et seront uniquement mises à disposition de l'Administration Fiscale en cas de contrôle. Les données et documents de facturation sont conservées sur un serveur Google Cloud situé en Europe. Plus d’informations sur le site de Kiwiz.
Si vous souhaitez vous mettre en conformité pour la loi anti-fraude à la TVA et certifier vos factures et avoirs, consultez nos abonnements sans engagement, les 30 premiers jours sont gratuits.