Attention, sujet qui fâche ! Les DSI doivent aussi connaitre et maitriser certains risques légaux autour de leurs outils.
Je vous propose donc un topo complet sur le sujet afin que vous soyez « éclairés » sur les risques et les solutions concernant ce sujet.
Rapide rappel des faits (nf525 et ecommerce)
Dans le cadre de la loi de finances pour l’année 2018, un renforcement du dispositif de certification des logiciels de caisse a été lancé (pour rappel le sujet a déjà démarré en 2016) .
Code NF525, c’est le groupe INFOCERT, spécialisée en certification de logiciel, qui gère la marque NF 525 pour le compte d’AFNOR Certification.
Cette norme présente trois catégories de systèmes d’encaissement,
A – Caisse enregistreuse autonome
Système d’encaissement autonome qui n’a pas la capacité de communiquer avec d’autres systèmes.
B – Système d’encaissement logiciel
Système de caisse en mesure d’enregistrer, de sécuriser et d’archiver toutes les données d’encaissement en temps réel directement dans le système.
C – Système de gestion de l’encaissement et de comptabilité
Système de caisse en mesure d’enregistrer, de sécuriser et d’archiver toutes les données d’encaissement en temps réel directement dans le système et intégrant une gestion comptable et financière.
L’objectif de cette loi est simple
Il n’y a qu’un seul objectif à cette mesure, s’assurer qu’il n’y ait pas de fraude à la TVA.
Et sur ce thème les enjeux (envers le e-commerce) sont énormes…
En 2019, le e-commerce Français représentait 103 milliards d’euros de chiffres d’affaires (réalisé par près de 200 000 sociétés).
Soit plus de 20 milliards d’euros de recettes fiscales à récupérer.
On parle de 11% des recettes fiscales totales sur la TVA récupérées par l’état Français.
Vous imaginez bien que ceux-ci ont un réel intérêt à mettre l’ensemble de ces revenus sous contrôle afin d’éviter les fraudes.
Avec des croissances organiques de près de 12% sur l’e-commerce, le sujet n’est pas près de perdre en importance.
Concrètement qu’est ce que cette loi nf525 impose aux e-commerçants ?
Cette loi va imposer aux e-commerçants qui utilisent des « logiciels de caisses », de présenter un certificat de conformité (délivré par un organisme accrédité ou l’attestation individuelle de l’éditeur). Sur ce dernier point il est important de comprendre « qu’il incombe aux professionnels de faire la demande du certificat de conformité à son fournisseur, celle-ci n’étant pas fournie automatiquement avec le logiciel de caisse. «
J’imagine que là, vous vous demandez ce qu’est (vu par la loi) un logiciel de caisse. Et si votre « Back Office » fait office de logiciel de caisse ?
Et bien pour répondre à cela vous trouverez ci-dessous la définition d’un logiciel de caisse d’après le site economie.gouv.fr.
« Un logiciel ou système de caisse est un système informatique qui dispose d’une fonctionnalité de caisse, c’est-à-dire qu’il permet d’enregistrer extra-comptablement les paiements associés aux ventes et prestations de services du professionnel et les garder en mémoire. Ces opérations ne génèrent pas nécessairement d’écritures comptables. Les données concernées sont donc celles qui participent directement ou indirectement à une transaction, sur une vente ou une prestation de service. »
Quel est l’objectif de cette certification NF525 et comment l’obtenir ?
La Certification NF 525 a pour objectif de prouver que les équipements utilisés respectent les conditions suivantes :
- Condition d’inaltérabilité : Le logiciel justifie que toutes les données relatives aux règlements puissent être enregistrées sans être altérées.
- Condition de sécurisation : le logiciel doit être en mesure de sécuriser les données d’origines (impossible de modifier, supprimer les données…)
- Condition de conservation : le logiciel doit être en capacité de clôturer les données sur des périodes.
- Condition d’archivage : le logiciel doit prévoir une période d’archivage où les données sont figées et datées avec un dispositif technique garantissant l’intégrité des informations.
Comment se prévaloir de ces risques
Vous l’avez probablement compris, il n’y a qu’une solution pour se prévaloir de ces risques, faire homologuer votre logiciel de caisse. Concrètement ce n’est pas si simple et vous allez avoir plusieurs cas :
Cas1, vous avez développé votre propre système « back et front office » et il fait office de logiciel de caisse.
Si vous avez déjà répondu aux exigences ci-dessus, Il ne vous reste plus qu’à faire appel à un organisme de certification agréé pour faire certifier votre système.
Sinon je vous conseille de vous renseigner afin de comprendre ce que ceci implique dans votre RoadMap IT. Un des choix, qui s’offrira à vous, sera de déporter le « système de caisse » dans un outil qui sera certifié 😉
Cas 2, vous utilisez déjà un système certifié. Votre éditeur vous le garantit sur le CORE du système comme sur l’ensemble des fonctionnalités qui ont été ajoutées. C’est parfait il vous suffit « juste » de demander à votre éditeur de vous le communiquer (pour l’avoir en cas de contrôle).
Cas 3, vous utilisez des technologies Open Source. Ce cas est un peu sioux 🤠 (je sais c’est un cowboy mais je n’ai pas trouvé d’indien). Vous allez surement trouver des modules qui vont vous garantir la conformité de votre logiciel par rapport à la loi de finance. C’est un bon début, cependant vous devez quand même vous assurer qu’aucun autre module ni aucune modification du code source ne puisse venir perturber le fonctionnement de ce module de certification. Donc soit vous avez des équipes en interne, capables de justifier cela soit il faut faire confiance à un prestataire. Ensuite, il faudra avoir le certificat ! Il vous restera donc à savoir qui sera en mesure de vous le donner…
Quels sont les risques et pourquoi je n’en ai jamais entendu parler ?
La Direction générale des finances publiques, en charge du contrôle, a prévu d’accompagner les entreprises en 2018. De plus la FEVAD, a bien joué sont rôle en montrant que le sujet n’était pas clair concernant les e-commerçants.
Les e-commerçants paraissent donc avoir un répit concernant ce sujet. Cependant attention, comme nous l’avons vu en ce début d’article les intérêts pour le gouvernement sont importants, il y a donc des chances que ce ne soit qu’un court répit.
Concernant les risques
Les documents légaux mettent en avant un risque d’amende de 7 500€ pour les entreprises qui n’auront pas fait la démarche (et nul n’est censé ignorer la loi, d’où l’image en introduction 😅 ).
Mais le risque le plus important pour ces e-commerçants c’est surtout que l’administration fiscale mette à nouveau en considération une partie de la comptabilité et surtout qu’elle vous demande de vous mettre en règle rapidement.
Et c’est là que ça coince, car faire la démarche de certification n’est pas chose aisée, ni même déporter l’ensemble du système dans un outil qui lui garantira la certification…
Bref, comme dirait un sage :
« Un homme averti en vaut deux »