Automatiser le recouvrement de créances est un levier puissant pour les PME : gain de temps, reduction des impayés, tresorerie amelioree. Mais toute automatisation impliquant des donnees personnelles doit respecter le Reglement General sur la Protection des Donnees (RGPD). Et dans le domaine du recouvrement, les enjeux sont particulierement sensibles.
Ce guide complet vous explique comment automatiser votre recouvrement tout en restant 100 % conforme au RGPD et aux regles de la DGCCRF. Que vous utilisiez un logiciel de recouvrement, un agent IA specialise ou des relances manuelles, ces principes s’appliquent a votre activite.
4,3 Mds € — Montant cumule des amendes RGPD prononcees en Europe depuis 2018 (IAPP, 2025)
Le RGPD (Reglement UE 2016/679) encadre tout traitement de donnees personnelles dans l’Union europeenne. Dans le contexte du recouvrement, les donnees personnelles traitees incluent :
Ces donnees sont soumises aux six principes fondamentaux du RGPD, que tout systeme de recouvrement, qu’il soit manuel ou automatisé, doit respecter.
Le RGPD exige que tout traitement de donnees repose sur l’une des six bases légales definies a l’article 6. Pour le recouvrement de créances, trois bases légales sont pertinentes.
C’est la base légale la plus couramment utilisee en recouvrement. Le creancier a un interet legitime a recouvrer les sommes qui lui sont dues. Cet interet est reconnu par la jurisprudence et la CNIL, a condition de respecter un equilibre avec les droits du debiteur.
Pour invoquer l’interet legitime, vous devez documenter une analyse de ponderation (balance of interests test) demontrant que votre interet l’emporte sur les droits du debiteur. En pratique, cette condition est generalement remplie pour les créances commerciales legitimes.
Lorsque la créance decoule d’un contrat, le traitement des donnees pour le recouvrement peut etre justifie par l’execution de ce contrat. Le debiteur a accepte les conditions de paiement ; le recouvrement en est la consequence naturelle.
Certains aspects du recouvrement relevent d’obligations légales : conservation des documents comptables pendant 10 ans (article L123-22 du Code de commerce), emission de factures conformes, calcul des pénalités de retard selon les taux legaux.
En pratique, la plupart des PME s’appuient sur une combinaison de l’interet legitime et de l’execution du contrat pour fonder leur traitement de recouvrement.
La CNIL est particulierement attentive aux durees de conservation dans le secteur du recouvrement. Voici les delais a respecter :
| Type de donnees | Duree de conservation | Base légale |
|---|---|---|
| Documents comptables (factures, avoirs) | 10 ans | Art. L123-22 Code de commerce |
| Contrats commerciaux | 5 ans apres fin du contrat | Prescription civile (art. 2224 Code civil) |
| Donnees de relance (emails, courriers) | 5 ans apres le dernier contact | Prescription civile |
| Donnees de paiement (RIB, transactions) | 13 mois apres le debit | Directive services de paiement |
| Dossiers contentieux | Duree de la procedure + 5 ans | Prescription civile |
| Donnees de prospection | Interdites dans le cadre du recouvrement | Limitation des finalites (RGPD) |
Attention : le pieges de la sur-conservation. Conserver des donnees de debiteurs au-dela des delais legaux est une infraction au RGPD. Un systeme de recouvrement automatisé doit integrer des mecanismes de purge automatique des donnees perimees.
Le RGPD confere aux debiteurs des droits specifiques que votre processus de recouvrement, qu’il soit manuel ou automatisé, doit pouvoir satisfaire.
Le debiteur peut demander a connaitre toutes les donnees que vous detenez sur lui : montants, historique de relance, notes internes, scoring de risque. Vous disposez d’un mois pour repondre a cette demande. Un systeme automatisé doit pouvoir generer ce rapport facilement.
Si le debiteur constate une erreur (mauvais montant, coordonnees incorrectes, facture deja reglee), il peut exiger la correction immediate de ses donnees. Les relances doivent etre suspendues le temps de la verification.
Le debiteur peut s’opposer au traitement automatisé de ses donnees. Important : cela ne l’exonere pas de sa dette. L’opposition porte sur le mode de traitement, pas sur l’obligation de payer. En pratique, si un debiteur exerce ce droit, vous devez cesser les relances automatiques mais pouvez poursuivre le recouvrement manuellement.
Le debiteur peut demander la suppression de ses donnees, mais uniquement si la créance est soldee et que les delais de conservation legaux sont ecoules. Tant que la dette existe, l’effacement peut etre refuse sur le fondement de l’interet legitime ou de l’obligation légale.
En cas de contestation de la créance, le debiteur peut demander le gel du traitement de ses donnees. Les relances automatiques doivent alors etre suspendues jusqu’a resolution du litige.
Au-dela du RGPD, la Direction Generale de la Concurrence, de la Consommation et de la Repression des Fraudes (DGCCRF) impose des regles strictes pour le recouvrement amiable, codifiees aux articles R124-1 a R124-7 du Code des procedures civiles d’execution.
Toute relance amiable doit obligatoirement mentionner :
La DGCCRF sanctionne severement certaines pratiques abusives :
Sanctions en cas de pratiques abusives. Les pratiques commerciales agressives en matiere de recouvrement sont passibles de 2 ans d’emprisonnement et 300 000 euros d’amende (article L132-11 du Code de la consommation). Pour les personnes morales, l’amende peut atteindre 1 500 000 euros.
Le Code de commerce (article L441-10) encadre strictement les pénalités applicables entre professionnels :
L’agent de recouvrement Agensio a ete concu des le depart avec la conformite RGPD comme exigence fondamentale, et non comme un ajout posterieur. Voici comment chaque aspect reglementaire est integre.
Chaque dossier de recouvrement est associe a une base légale explicite (interet legitime ou execution du contrat). L’agent genere automatiquement le registre des traitements conforme a l’article 30 du RGPD, et maintient une trace d’audit complete de toutes les actions effectuees.
L’agent ne collecte que les donnees strictement necessaires au recouvrement : identite, coordonnees, donnees de facturation. Toutes les donnees sont chiffrees au repos et en transit, hebergees sur des serveurs europeens (Supabase, infrastructure AWS eu-west), avec des acces restreints par role (Row Level Security).
Un systeme de purge automatique supprime les donnees perimees en respectant les durees de conservation légales. Les dossiers soldes sont archives pendant la duree de prescription applicable, puis automatiquement anonymises ou supprimes.
L’agent gere nativement les demandes d’exercice de droits RGPD :
Chaque relance generee par l’agent inclut automatiquement toutes les mentions obligatoires : identification du creancier, decompose de la creance, droit de contestation, modalites de paiement. Les delais entre relances respectent un calendrier progressif qui exclut tout risque de harcelement. Pour en savoir plus sur notre approche, consultez notre politique de confidentialite.
Que vous utilisiez Agensio ou un autre outil, voici la checklist complete pour vous assurer que votre recouvrement automatisé est conforme.
Le non-respect du RGPD dans le cadre du recouvrement expose votre entreprise a des sanctions financieres considerables.
20 M€ ou 4 % — Amende maximale RGPD : 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel (le plus eleve des deux)
En France, la CNIL a prononce des sanctions significatives dans le secteur du recouvrement. Les infractions les plus frequentes concernent :
Au-dela des amendes CNIL, le non-respect des regles DGCCRF en matiere de recouvrement peut entrainer des sanctions penales (jusqu’a 300 000 euros d’amende et 2 ans d’emprisonnement) ainsi que des dommages reputationnels durables.
Les regles RGPD s’appliquent differemment selon que votre debiteur est un professionnel (B2B) ou un particulier (B2C).
Le RGPD s’applique des lors que vous traitez des donnees de personnes physiques, meme dans un contexte B2B. Le nom et l’email du contact au sein de l’entreprise debitrice sont des donnees personnelles protegees. En revanche, les donnees purement juridiques (SIREN, raison sociale) ne sont pas des donnees personnelles.
Le recouvrement B2B beneficie generalement d’un cadre plus souple : l’interet legitime est plus facilement justifiable, les delais de paiement sont encadres par la loi (30 jours par defaut, 60 jours maximum selon l’article L441-10 du Code de commerce), et l’indemnite forfaitaire de 40 euros s’applique automatiquement.
Le recouvrement B2C est soumis a des regles plus strictes. Le consommateur beneficie d’une protection renforcee : information prealable obligatoire, delais de reflexion, interdiction des pratiques agressives (Code de la consommation). L’analyse de ponderation pour l’interet legitime doit etre plus detaillee, et le droit d’opposition est plus facilement exerce.
Paradoxalement, un recouvrement bien automatisé est souvent plus conforme qu’un recouvrement manuel. Voici pourquoi :
L’automatisation ne cree pas le risque RGPD, elle le reduit, a condition que le systeme ait ete concu dans le respect de la reglementation des le depart (privacy by design).
Le recouvrement automatisé et la conformité RGPD ne sont pas antagonistes. Au contraire, une automatisation bien concue renforce la conformité en garantissant tracabilite, respect des delais et gestion rigoureuse des droits des debiteurs. Voici les points essentiels :
L’agent de recouvrement Agensio integre nativement l’ensemble de ces exigences reglementaires. Vous recuperez vos impayes sans jamais compromettre votre conformite.
La base légale la plus appropriee est l’interet legitime du creancier (article 6.1.f du RGPD). Vous pouvez aussi invoquer l’execution du contrat (article 6.1.b) lorsque le recouvrement decoule directement de la relation contractuelle. L’obligation légale (article 6.1.c) s’applique notamment pour la conservation des documents comptables pendant 10 ans. En pratique, les PME s’appuient generalement sur une combinaison de ces bases.
La CNIL recommande de respecter les durees suivantes : donnees de facturation pendant 10 ans (obligation comptable), donnees de relance pendant 5 ans apres le dernier contact (prescription civile), donnees de paiement pendant 13 mois apres le debit (directive services de paiement). Une fois ces delais ecoules, les donnees doivent etre supprimees ou anonymisees. Un systeme de purge automatique est fortement recommande.
Un debiteur peut exercer son droit d’opposition au traitement automatisé de ses donnees (article 21 du RGPD), mais cela ne l’exonere pas de sa dette. L’opposition porte sur le traitement des donnees, pas sur l’obligation de payer. Si un debiteur s’oppose, vous devez cesser les relances automatiques mais pouvez poursuivre le recouvrement par voie manuelle ou judiciaire. L’agent de recouvrement Agensio gere automatiquement ces demandes d’opposition en basculant le dossier en mode manuel.
Démarrez en 10 minutes avec les agents IA Agensio. 7 jours d'essai gratuit, sans engagement.
Essayer gratuitement