La Commission Nationale de l'Informatique et des Libertés (CNIL) a publié en mars 2026 des recommandations spécifiques sur l'articulation entre la facturation électronique obligatoire et le Règlement Général sur la Protection des Données (RGPD). Un sujet crucial pour les entreprises qui traitent des factures contenant des données personnelles.
Les principaux points de vigilance identifiés par la CNIL :
- Minimisation des données : ne transmettre que les informations strictement nécessaires dans les factures électroniques
- Durée de conservation : l'obligation fiscale d'archivage de 10 ans doit être conciliée avec le principe de limitation de la conservation du RGPD
- Sous-traitance : les PDP agissent comme sous-traitants au sens du RGPD et doivent être encadrées par un contrat spécifique (article 28)
- Transferts hors UE : s'assurer que les PDP n'hébergent pas les données en dehors de l'Espace Économique Européen
La CNIL recommande aux entreprises de réaliser une analyse d'impact relative à la protection des données (AIPD) avant de déployer leur solution de facturation électronique, en particulier si elles traitent un volume important de factures contenant des données sensibles.
Les entreprises ont également l'obligation d'informer leurs clients et fournisseurs du traitement de leurs données dans le cadre de la facturation électronique, via une mention dans leur politique de confidentialité.