Freelance B2B : URSSAF, marchandage, RGPD — le guide sans jargon
Engager un freelance plutôt qu'un salarié expose la PME à trois risques juridiques concrets : le délit de marchandage (Art. L8231-1 Code du travail), la requalification en contrat de travail par l'URSSAF (lien de subordination), et les manquements RGPD si le freelance traite des données personnelles. Cet article les détaille sans jargon et donne les gestes concrets pour les éviter.
Pourquoi ces trois risques méritent votre attention
Un redressement URSSAF pour requalification représente en moyenne 27 000 € + cotisations rétroactives sur 3 ans (source : URSSAF 2024). Le délit de marchandage est un délit pénal. Les amendes RGPD sur fuite de données vont jusqu'à 20 M€ ou 4 % du CA. Pourtant, ces trois risques se préviennent avec 3 documents et 5 règles comportementales.
Risque 1 — Le délit de marchandage
Définition simple
Le marchandage consiste à fournir de la main-d'œuvre à un autre employeur à titre lucratif, de manière exclusive et durable, au détriment du travailleur. C'est un délit pénal (Art. L8231-1 Code du travail).
Ce qui déclenche une qualification de marchandage
- Un freelance travaille exclusivement pour une seule PME pendant 12+ mois.
- Il suit les mêmes horaires, utilise le matériel de la PME, est intégré aux processus RH (entretiens annuels, équipe, Slack interne).
- La PME facture au temps passé (TJM × jours) et pas au livrable.
- La PME réassigne le freelance d'un projet à l'autre sans nouveau contrat.
Comment éviter le marchandage
- Ne pas être le seul client : s'assurer que le freelance a au moins un autre client actif sur la période.
- Contractualiser par livrable, pas par temps passé : un contrat par projet avec jalons et livrables précis.
- Ne pas intégrer le freelance aux processus RH : pas d'entretien annuel, pas de badge permanent, pas de Slack interne (ou alors un canal restreint projet).
- Durée limitée : éviter les contrats freelance rampants > 18 mois sans interruption.
Risque 2 — Requalification en contrat de travail (lien de subordination)
Définition simple
Si un inspecteur URSSAF estime que la relation PME-freelance ressemble à un contrat de travail, il peut requalifier la collaboration. La PME doit alors payer rétroactivement les charges sociales salariales et patronales, plus pénalités, sur 3 ans.
Les 6 critères qu'un inspecteur URSSAF vérifie
| Critère | Subordination (dangereux) | Freelance (sain) |
|---|---|---|
| Horaires | Imposés par la PME | Libres |
| Lieu de travail | Dans les locaux PME imposé | Variable, téléravail possible |
| Matériel | Fourni par la PME | Fourni par le freelance |
| Rémunération | Fixe mensuelle | Factures par livraison |
| Hiérarchie | Rend compte à un manager | Interlocuteur projet seul |
| Exclusivité | Oui | Non, a d'autres clients |
Règle empirique : si 3 critères sur 6 penchent vers subordination, risque élevé.
Les gestes qui protègent
- Contrat de prestation précis : objet, livrables, jalons, durée. Pas un contrat de mission type intérim.
- Factures régulières : pas de paiement mensuel automatique ; une facture par jalon validé.
- Pas d'obligation de présence : le freelance choisit quand et où travailler.
- Pas de subordination explicite : ne pas dire « tu fais ça comme ça » — dire « le livrable attendu est X ».
Risque 3 — RGPD : freelance sous-traitant de données personnelles
Quand ça s'applique
Dès que le freelance accède, traite, stocke ou transfère des données personnelles de vos utilisateurs ou clients. Cela inclut :
- Un dev qui a accès à la base de données production.
- Un marketeur qui reçoit une liste de prospects.
- Un designer qui reçoit des captures avec des emails visibles.
Dans ces cas, le freelance est sous-traitant au sens RGPD (Art. 28 RGPD). La PME reste responsable de traitement.
Les 4 obligations à ne pas manquer
- DPA (Data Processing Agreement) : contrat de sous-traitance signé avant tout accès aux données. Modèle CNIL disponible gratuitement.
- Clause de confidentialité : dans le contrat général, ajout d'une clause de non-divulgation et de suppression des données en fin de mission.
- Minimum de données : ne donner accès qu'aux données strictement nécessaires (principe de minimisation RGPD).
- Droit à l'audit : pouvoir vérifier comment le freelance stocke et traite les données (clause d'audit dans le DPA).
Cas particulier : transferts hors UE
Si le freelance est basé hors UE (ex: Canada, USA), le transfert de données personnelles nécessite des clauses contractuelles types validées par la Commission européenne. À vérifier avant démarrage.
Les 3 documents qui couvrent les 3 risques
- Contrat de prestation de services (pas contrat de mission) — définit objet, livrables, jalons, prix, durée.
- Clause RGPD / DPA si accès à données personnelles — en annexe ou document séparé signé.
- Facture conforme par jalon — mention TVA, SIRET freelance, numéro de facture, lien au contrat.
Chez devplace.pro, ces 3 documents sont générés automatiquement à la signature du projet, conformes au droit français, signés électroniquement via Yousign (valeur probante eIDAS).
Checklist anti-risque pour une PME
- Contrat signé avant démarrage (pas commencer sans contrat)
- Durée limitée et objet précis (un contrat par projet, pas un contrat rolling)
- Factures par jalon avec TVA, SIRET
- Freelance a d'autres clients documentés (LinkedIn, portfolio)
- Horaires, lieu, méthode laissés au freelance
- Matériel fourni par le freelance (son ordinateur, ses abonnements)
- Pas d'intégration aux process RH (pas de compte salarié interne)
- DPA signé si accès à données personnelles
- Suppression des accès et données à la fin du projet
FAQ
Quelle est la durée maximum d'un contrat freelance avant risque de requalification ? Il n'y a pas de durée légale absolue, mais au-delà de 18 mois continus avec un seul client, le risque augmente significativement. Privilégier des contrats courts renouvelés par projet.
Peut-on inviter un freelance à la soirée d'entreprise ? Oui, ponctuellement. Cela ne crée pas de lien de subordination. L'inviter à tous les événements RH toute l'année devient un signal.
Qui est responsable en cas de fuite de données imputable au freelance ? La PME reste responsable (responsable de traitement RGPD) et peut se retourner contractuellement contre le freelance (sous-traitant). D'où l'importance d'un DPA solide.
Le freelance doit-il être en micro-entreprise ou en société ? Légalement les deux conviennent. La micro-entreprise est limitée en CA (~77 700 € en 2026 pour les services), après quoi il faut passer en société. Ça n'affecte pas les risques de marchandage ou requalification.
Qui peut contrôler la relation PME-freelance ? L'URSSAF (requalification, cotisations), l'inspection du travail (marchandage, conditions), la CNIL (RGPD). Les trois peuvent agir indépendamment ou conjointement.
Pour aller plus loin
- Sécuriser les paiements : Escrow freelance — comment vraiment sécuriser un paiement projet.
- Contrat électronique conforme eIDAS : Signature électronique freelance.
- Ressources officielles : CNIL.fr · URSSAF.fr · Code du travail — Art. L8231-1.