Pourquoi le RGPD s'applique au recouvrement de créances

Le RGPD (Règlement européen 2016/679) s'applique à tout traitement de données à caractère personnel concernant des personnes physiques. Dès lors que votre débiteur est un particulier (ou un professionnel personne physique comme un auto-entrepreneur), relancer son impayé constitue un traitement de données personnelles soumis au règlement.

La CNIL a clarifié ce cadre avec la délibération n° 2021-130 du 23 septembre 2021, portant adoption d'un référentiel relatif aux traitements de données mis en oeuvre aux fins de gestion des impayés dans une transaction commerciale. Ce texte fait autorité.

Quelle base légale pour traiter les données d'un débiteur ?

C'est la première question à trancher. Le RGPD (article 6) exige une base légale pour tout traitement. Dans le cadre du recouvrement, deux bases sont pertinentes :

L'exécution du contrat (article 6.1.b).

C'est la base la plus naturelle. Votre client a signé un contrat ou passé une commande. Il n'a pas payé. Le recouvrement de cette dette découle directement de la relation contractuelle. Cette base légale est la plus solide : elle ne peut pas être contestée par un droit d'opposition du débiteur.

L'intérêt légitime (article 6.1.f).

Cette base est applicable quand la relation contractuelle directe est moins évidente, ou quand vous faites appel à un prestataire tiers. Elle nécessite de passer un test de proportionnalité : l'intérêt de l'entreprise à recouvrer sa créance doit l'emporter sur l'impact du traitement sur la vie privée du débiteur. En pratique, la CNIL admet que le recouvrement d'un impayé financier satisfait à ce test.

Attention : si vous utilisez la base de l'intérêt légitime, le débiteur dispose d'un droit d'opposition au traitement (article 21 du RGPD). Vous devez être en mesure d'y répondre par écrit dans un délai d'un mois, en justifiant pourquoi vos intérêts prévalent.

Ce qui est légal : ce que vous pouvez faire

Dans le cadre du recouvrement amiable, vous pouvez légalement :

Ce qui n'est pas légal : les pratiques à bannir

Le RGPD interdit un certain nombre de pratiques fréquentes dans des processus de recouvrement peu structurés :

Contacter des tiers pour localiser le débiteur.

Appeler l'employeur, les proches, ou les voisins d'un débiteur pour obtenir des informations sur lui est interdit. La collecte de données via des tiers non déclarés constitue une violation du RGPD.

Utiliser des données non pertinentes.

Vous ne pouvez traiter que les données strictement nécessaires au recouvrement de la créance. Conserver dans votre dossier des informations sur la situation personnelle du débiteur (divorce, licenciement) sans lien direct avec le recouvrement est disproportionné et illicite.

Menacer de divulguer l'impayé à des tiers.

Toute menace d'informer l'entourage professionnel ou personnel du débiteur de son impayé constitue une violation du RGPD et peut relever du droit pénal (tentative de contrainte).

Relancer sans information préalable.

Avant d'engager des relances, le débiteur doit avoir été informé de l'existence du traitement (mentions légales dans les conditions générales de vente, ou information distincte si les CGV ne prévoient pas cette mention).

Durée de conservation des données : les règles exactes

La CNIL a fixé des durées précises dans son référentiel 2021 :

Phase Durée maximale de conservation
Données de gestion courante (facture non encore en retard) Durée de la relation commerciale + 5 ans
Données de recouvrement amiable (dossier impayé actif) 5 ans à compter de l'extinction de la créance
Données en cas de procédure judiciaire Durée de la procédure + 5 ans
Données après abandon de la créance 1 an maximum avant suppression

Ces durées sont des maximums. Vous ne pouvez pas conserver les données plus longtemps sans justification particulière.

Le droit d'opposition du débiteur : comment y répondre

Si votre traitement est fondé sur l'intérêt légitime, le débiteur peut s'opposer au traitement de ses données. Sa demande doit être faite par écrit. Vous avez un mois pour répondre.

Votre réponse peut prendre deux formes :

Maintien du traitement : vous justifiez que vos intérêts légitimes à recouvrer la créance prévalent sur les droits du débiteur. Ce motif est généralement admis pour les créances financières réelles et documentées.

Arrêt du traitement : si le droit d'opposition est fondé (créance contestée, erreur de facturation, prescription), vous devez cesser tout traitement et supprimer les données.

Point clé : le droit d'opposition ne suspend pas la créance. Il suspend le traitement des données. Vous pouvez transférer le dossier à un commissaire de justice pour la phase judiciaire, sans traitement informatisé complémentaire.

Ce que ça change quand vous externalisez

Faire appel à un prestataire de recouvrement ne vous décharge pas de vos obligations RGPD. Vous restez le responsable de traitement. Le prestataire est sous-traitant.

Cela implique trois obligations concrètes :

1. Un contrat de sous-traitance RGPD (article 28).

Il doit préciser la nature des données traitées, les finalités, la durée, et les mesures de sécurité. Sans ce contrat, vous êtes en violation du RGPD, indépendamment du comportement du prestataire.

2. Une vérification des garanties du prestataire.

Vous devez vous assurer que votre prestataire applique le RGPD. Une plateforme SaaS sérieuse doit être en mesure de vous fournir sa politique de sécurité, ses certifications, et son registre des traitements.

3. La conservation des logs d'activité.

En cas de contrôle CNIL, vous devez prouver que le traitement a été réalisé conformément au contrat. Conservez les journaux d'envoi, les dates de contact, et les réponses du débiteur.

Questions fréquentes

Une plateforme SaaS de recouvrement doit-elle signer un DPA (Data Processing Agreement) ?
Oui, c'est obligatoire. L'article 28 du RGPD impose un contrat de sous-traitance écrit entre le responsable de traitement (votre entreprise) et le sous-traitant (la plateforme SaaS). Ce contrat doit préciser les instructions de traitement, les mesures de sécurité, et les conditions de restitution ou de suppression des données à la fin du contrat. Toute plateforme qui refuse de signer ce document vous expose à un risque légal direct.
Peut-on relancer un débiteur par SMS sans son consentement explicite ?
Oui, dans le cadre du recouvrement d'un impayé, le consentement explicite n'est pas requis si la base légale est l'exécution du contrat ou l'intérêt légitime. Le SMS est un canal de contact légal pour le recouvrement amiable. En revanche, le contenu doit rester factuel et non intimidant. Les messages qui contiendraient des menaces disproportionnées ou des informations erronées sur les conséquences juridiques seraient contestables.
Que risque une entreprise en cas de violation du RGPD dans son processus de recouvrement ?
La CNIL peut prononcer des amendes administratives jusqu'à 20 millions d'euros ou 4 % du CA mondial (le plus élevé des deux). En pratique, pour une PME, les sanctions portent plutôt sur des mises en demeure et des injonctions de mise en conformité. Les violations les plus sanctionnées sont : l'absence de base légale, le non-respect du droit d'accès ou d'opposition, et la conservation de données au-delà des durées légales.

Solden est conforme au référentiel CNIL 2021 sur la gestion des impayés. Nos contrats de sous-traitance RGPD sont inclus dans l'abonnement, ainsi que la documentation de conformité (registre des traitements, politique de conservation, DPA). Vous externalisez le recouvrement sans externaliser le risque légal.

Consultez notre documentation sécurité et RGPD pour vérifier notre conformité avant toute décision.