La vérification de la solvabilité et de la fiabilité de vos partenaires commerciaux est devenue indispensable pour sécuriser votre activité. Pourtant, avec l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), de nombreuses PME s'interrogent sur leurs droits et obligations. Que permet réellement le RGPD en matière de vérification entreprise ? Quelles données pouvez-vous consulter légalement avant de signer un contrat avec un fournisseur ou un client ? Ce guide juridique vous éclaire sur les pratiques autorisées dans le cadre B2B.
Le RGPD s'applique-t-il à la vérification d'entreprise ?
La première question que se posent les dirigeants de PME concerne le champ d'application du RGPD dans les relations interentreprises. La réponse nécessite une distinction importante entre données personnelles et données d'entreprise.
Données personnelles vs données d'entreprise
Le RGPD protège exclusivement les données personnelles, c'est-à-dire toute information se rapportant à une personne physique identifiée ou identifiable. Dans le contexte B2B, cette distinction est cruciale :
- Données d'entreprise non couvertes par le RGPD : raison sociale, SIREN/SIRET, numéro de TVA intracommunautaire, forme juridique, capital social, adresse du siège social, comptes annuels publiés au greffe
- Données personnelles couvertes par le RGPD : nom et prénom du dirigeant, adresse personnelle, numéro de téléphone portable personnel, adresse email personnelle
Concrètement, lorsque vous consultez les informations légales d'une SARL sur Infogreffe ou sur un registre équivalent en Belgique, vous accédez principalement à des données d'entreprise qui ne relèvent pas du RGPD. En revanche, le nom du gérant qui apparaît dans ces documents constitue une donnée personnelle, mais sa publication est prévue par la loi et constitue donc une exception au consentement.
Les bases légales qui autorisent la vérification entreprise
Le RGPD n'interdit pas le traitement de données personnelles, il l'encadre. Pour la vérification entreprise et RGPD, plusieurs bases légales vous autorisent à collecter et traiter des informations :
- L'intérêt légitime (article 6.1.f du RGPD) : vous avez un intérêt légiime à vérifier la solvabilité d'un partenaire avant de conclure un contrat ou d'accorder des délais de paiement
- L'obligation légale (article 6.1.c) : certaines réglementations sectorielles vous imposent de vérifier vos partenaires (lutte anti-blanchiment, devoir de vigilance)
- L'exécution d'un contrat (article 6.1.b) : la vérification peut être nécessaire avant la conclusion ou pendant l'exécution d'un contrat commercial
Dans le secteur du BTP par exemple, vérifier qu'un sous-traitant dispose bien de ses attestations sociales et fiscales relève de votre obligation légale. Cette vérification peut impliquer le traitement de données personnelles (nom du dirigeant) sans que cela pose de problème au regard du RGPD.
Quelles données pouvez-vous vérifier légalement ?
Comprendre ce que vous pouvez vérifier concrètement est essentiel pour sécuriser vos relations commerciales tout en respectant le cadre légal du RGPD et de la vérification entreprise.
Les informations publiques accessibles sans restriction
Certaines données sont publiques par nature et leur consultation ne pose aucun problème juridique :
| Type de données | Source en France | Source en Belgique | Statut RGPD |
|---|---|---|---|
| Identité juridique (SIREN, forme sociale) | INSEE, Infogreffe | Banque-Carrefour des Entreprises | Non concerné |
| Comptes annuels | Infogreffe, Pappers | Banque Nationale de Belgique | Non concerné |
| Procédures collectives | Bodacc | Moniteur belge | Non concerné |
| Identité du dirigeant | Registre du commerce | Registre BCE | Exception légale |
Ces informations constituent le socle minimum de toute vérification sérieuse. Selon une estimation du secteur, environ 73% des PME françaises consultent au moins l'extrait Kbis d'un nouveau partenaire avant de travailler avec lui.
Les données de solvabilité et scores de crédit
Les sociétés spécialisées dans l'information d'entreprise (Ellisphere, Creditsafe, Altares) proposent des scores de solvabilité et des notations. Ces services sont-ils conformes au RGPD ?
La réponse est oui, sous conditions. Ces organismes s'appuient sur :
- Des données publiques (comptes déposés, incidents de paiement publiés)
- Des données déclaratives (comportements de paiement remontés par d'autres entreprises)
- Des modèles statistiques de prédiction
Le RGPD autorise explicitement le profilage dans un cadre B2B lorsqu'il repose sur un intérêt légiime. Votre intérêt à ne pas subir d'impayés justifie le recours à ces outils. Toutefois, vous devez respecter le principe de proportionnalité : demander un score détaillé pour une commande de 200 euros serait excessif.
Des solutions comme VerigoPay agrègent ces informations de manière automatisée et conforme au RGPD, vous permettant de vérifier la solvabilité de vos partenaires en temps réel sans risque juridique.
Les vérifications interdites ou encadrées strictement
Certaines pratiques restent interdites ou fortement encadrées, même en B2B :
- Fichiers de mauvais payeurs non déclarés à la CNIL : constituer votre propre liste noire sans déclaration est illégal
- Données sensibles : origine ethnique, opinions politiques, santé du dirigeant - strictement interdites sauf exception très limitée
- Surveillance disproportionnée : consulter quotidiennement les réseaux sociaux personnels d'un dirigeant dépasse l'intérêt légiime
- Données bancaires détaillées : vous ne pouvez pas exiger les relevés bancaires d'une entreprise sans son consentement explicite
En pratique, dans le secteur du nettoyage ou de la logistique, il est fréquent de vérifier les certifications professionnelles d'un prestataire. Cette démarche est parfaitement légale. En revanche, demander un extrait de casier judiciaire du dirigeant sans base légale spécifique (comme dans la sécurité privée) serait abusif.
RGPD vérification entreprise : vos obligations en tant que vérificateur
Si le RGPD vous autorise à vérifier vos partenaires, il vous impose également certaines obligations lorsque vous traitez des données personnelles dans ce cadre.
Respecter les principes fondamentaux du RGPD
Même dans un contexte B2B, vous devez appliquer les grands principes du règlement :
- Finalité déterminée : vous vérifiez pour évaluer un risque commercial, pas pour revendre les données ou surveiller sans raison
- Minimisation : ne collectez que les données strictement nécessaires à votre évaluation
- Conservation limitée : ne gardez pas indéfiniment les rapports de solvabilité - une durée de 3 à 5 ans après la fin de la relation commerciale est généralement considérée comme raisonnable
- Sécurité : protégez les informations collectées contre les accès non autorisés
Concrètement, si vous utilisez un tableur Excel pour suivre la santé financière de vos fournisseurs, assurez-vous qu'il soit protégé par mot de passe et accessible uniquement aux personnes concernées (direction, service comptabilité).
Informer les personnes concernées
Le RGPD impose une obligation de transparence. Devez-vous informer une entreprise que vous vérifiez sa solvabilité ? La réponse dépend du contexte :
- Vérification avant contrat : l'information peut être donnée dans vos conditions générales ou lors des négociations
- Surveillance continue d'un client existant : l'information devrait figurer dans votre politique de confidentialité ou vos CGV
- Données collectées directement : si vous demandez des documents à l'entreprise, l'information est implicite
Une bonne pratique consiste à mentionner dans vos CGV : "Dans le cadre de notre politique de gestion des risques, nous nous réservons le droit de vérifier la situation financière de nos partenaires commerciaux via des sources publiques et des prestataires spécialisés."
Choisir des prestataires conformes au RGPD
Si vous utilisez un service de vérification d'entreprise, assurez-vous qu'il soit conforme au RGPD. Vérifiez que le prestataire :
- Dispose d'une politique de confidentialité claire
- Est déclaré à la CNIL ou à l'autorité belge (APD) si nécessaire
- Propose un contrat de sous-traitance (DPA - Data Processing Agreement) si vous lui confiez des données personnelles
- Applique des mesures de sécurité appropriées
Pour connaître les garanties offertes par différentes solutions et comparer les options adaptées à votre secteur, consultez notre page tarifs qui détaille les fonctionnalités de conformité incluses.
Cas pratiques sectoriels : BTP, nettoyage, logistique, retail
Chaque secteur présente des spécificités en matière de vérification d'entreprise et d'application du RGPD.
BTP : la cascade de sous-traitance
Dans le BTP, la vérification est particulièrement critique en raison de la chaîne de sous-traitance. Vous devez légalement vérifier que vos sous-traitants :
- Sont à jour de leurs obligations sociales (attestation Urssaf)
- Disposent d'une assurance décennale valide
- Ne font pas l'objet d'une interdiction de sous-traiter
Ces vérifications impliquent le traitement de données personnelles (nom du dirigeant sur les attestations) mais sont couvertes par votre obligation légale. Le RGPD ne pose donc aucun obstacle. Estimation : environ 40% des litiges dans le BTP impliquent des problèmes de sous-traitants défaillants, d'où l'importance de ces vérifications.
Nettoyage et logistique : la vérification continue
Dans les secteurs du nettoyage et de la logistique, les contrats sont souvent de longue durée avec des volumes fluctuants. La vérification ne se limite pas au démarrage de la relation :
- Surveillance trimestrielle ou semestrielle de la santé financière
- Alertes en cas de changement de dirigeant ou de forme sociale
- Vérification du maintien des certifications (ISO, labels qualité)
Cette surveillance continue est justifiée par votre intérêt légiime à anticiper une défaillance qui pourrait perturber votre activité. Elle doit toutefois rester proportionnée : une vérification mensuelle serait excessive sauf risque avéré.
Retail : la gestion des fournisseurs multiples
Les entreprises de retail gèrent souvent des dizaines ou centaines de fournisseurs. La vérification doit être systématisée tout en restant conforme :
- Scoring automatique basé sur des données publiques
- Vérifications approfondies réservées aux fournisseurs stratégiques ou aux montants importants
- Procédure documentée et auditable
Le principe de proportionnalité est ici essentiel : vous pouvez appliquer des niveaux de vérification différents selon le risque (montant, criticité du produit, durée de la relation).
Que faire en cas de contrôle ou de réclamation ?
Même en respectant scrupuleusement le RGPD, vous pourriez faire l'objet d'une réclamation d'un partenaire estimant que vous avez traité ses données de manière inappropriée.
Documenter vos pratiques
La meilleure défense est la documentation. Tenez à jour :
- Un registre des traitements mentionnant la vérification d'entreprise
- La base légale retenue (intérêt légiime, obligation légale)
- Les durées de conservation appliquées
- Les mesures de sécurité mises en place
Ce registre est obligatoire pour toute entreprise de plus de 250 salariés, mais fortement recommandé pour toutes les PME effectuant des traitements réguliers de données.
Répondre à une demande d'accès
Un dirigeant d'entreprise peut exercer son droit d'accès pour savoir quelles données personnelles le concernant vous détenez. Vous devez répondre dans un délai d'un mois en :
- Confirmant si vous détenez ou non des données le concernant
- Fournissant une copie des données (par exemple, le rapport de solvabilité mentionnant son nom)
- Expliquant la finalité du traitement et la durée de conservation
Important : le droit d'accès concerne les données personnelles (nom, prénom du dirigeant), pas les données de l'entreprise elle-même (score de solvabilité, chiffre d'affaires). Vous n'êtes pas obligé de communiquer votre analyse commerciale interne.
Gérer une réclamation auprès de la CNIL ou de l'APD
Si un partenaire dépose une réclamation auprès de l'autorité de contrôle (CNIL en France, Autorité de Protection des Données en Belgique), restez calme et coopératif :
- Répondez dans les délais impartis
- Fournissez la documentation demandée
- Expliquez clairement votre base légale et les mesures de protection appliquées
- Proposez des mesures correctives si nécessaire
Les sanctions du RGPD peuvent atteindre 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros. Toutefois, les autorités adoptent généralement une approche pédagogique avec les PME de bonne foi, privilégiant les mises en conformité aux sanctions lourdes.
Bonnes pratiques pour une vérification conforme et efficace
Pour conclure ce guide sur le RGPD et la vérification entreprise, voici les recommandations essentielles à mettre en œuvre dans votre PME.
Mettre en place une procédure formalisée
Documentez votre processus de vérification :
- Définissez les critères déclenchant une vérification (nouveau client, commande supérieure à X euros, renouvellement annuel)
- Listez les sources de données utilisées (Infogreffe, BCE, prestataires spécialisés)
- Établissez une grille d'évaluation objective
- Désignez les personnes habilitées à accéder aux rapports
- Fixez les durées de conservation
Cette procédure servira de preuve de votre conformité en cas de contrôle et garantira l'homogénéité de vos pratiques.
Former vos équipes
Sensibilisez les personnes qui effectuent ou exploitent les vérifications :
- Direction générale et financière
- Service commercial (pour les nouveaux clients)
- Service achats (pour les fournisseurs)
- Service comptabilité (pour le suivi des encours)
Une formation d'une demi-journée suffit généralement à transmettre les principes essentiels : distinction données personnelles/entreprise, bases légales, proportionnalité, sécurité.
Automatiser pour sécuriser
L'automatisation présente un double avantage : elle réduit le risque d'erreur humaine et facilite la traçabilité. Une solution comme VerigoPay permet de :
- Vérifier automatiquement la solvabilité lors de la création d'une fiche client
- Recevoir des alertes en cas de dégradation de la situation financière
- Conserver les rapports de manière sécurisée avec horodatage
- Générer automatiquement les mentions d'information requises par le RGPD
L'automatisation garantit également l'application systématique de vos critères, évitant toute discrimination qui pourrait être reprochée.
Réviser régulièrement vos pratiques
Le cadre juridique évolue, tout comme votre activité. Prévoyez une révision annuelle de vos pratiques de vérification :
- Les sources de données utilisées sont-elles toujours conformes ?
- Les durées de conservation sont-elles respectées ?
- De nouveaux risques justifient-ils des vérifications supplémentaires ?
- Des réclamations ont-elles révélé des points d'amélioration ?
Cette révision peut être intégrée à votre audit annuel de conformité RGPD si vous en réalisez un.
Conclusion : concilier protection et performance commerciale
Le RGPD n'est pas un obstacle à la vérification de vos partenaires commerciaux, mais un cadre qui responsabilise vos pratiques. En distinguant clairement données d'entreprise et données personnelles, en vous appuyant sur des bases légales solides (intérêt légiime, obligation légale), et en respectant les principes de proportionnalité et de sécurité, vous pouvez parfaitement concilier conformité juridique et protection de votre activité.
Les secteurs du BTP, du nettoyage, de la logistique et du retail nécessitent tous une vigilance particulière sur la santé financière des partenaires. Les impayés représentent un risque majeur pour les PME : selon les estimations, environ 25% des défaillances d'entreprises en France sont provoquées ou accélérées par des impayés clients.
La vérification d'entreprise conforme au RGPD n'est donc pas une contrainte administrative, mais un investissement dans la pérennité de votre activité. En structurant vos pratiques, en documentant vos processus et en utilisant des outils adaptés, vous transformez une obligation légale en avantage concurrentiel : vous identifiez les risques plus tôt, vous négociez en position de force, et vous sécurisez votre trésorerie.
N'oubliez pas que la conformité au RGPD est un processus continu, pas un état figé. Restez informé des évolutions réglementaires, adaptez vos pratiques à la croissance de votre entreprise, et n'hésitez pas à solliciter l'expertise de professionnels pour les cas complexes.