Démarches de conformité du logiciel de caisse pour l’éditeur

Logiciel de caisse, de comptabilité ou de gestion, les éditeurs doivent anticiper les exigences de conformité requises.. En raison de la fraude fiscale générée par les failles ou « backdoor(s) » dans les logiciels permettant l’enregistrement des règlements, les assujettis à la TVA devront utiliser, et les éditeurs leur fournir, des logiciels devant répondre à certains standards en termes de sécurisation, de conservation et d’archivage des données (ci-après les « paramètres » ou « critères » de conformité ), à compter du 1er janvier 2018.

L’article 88 de la loi n° 2015-1785 du 29 décembre 2015 (1) de finances pour 2016, prévoit l’obligation pour les assujettis à la taxe sur la valeur ajoutée (TVA) qui enregistrent les règlements de leurs clients au moyen d’un logiciel de comptabilité ou de gestion ou d’un système de caisse, d’utiliser un logiciel :

• « satisfaisant à des conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données en vue du contrôle de l’administration fiscale » ;
• « attestées par un certificat délivré par un organisme accrédité dans les conditions prévues à l’article L. 115-28 du code de la consommation ou par une attestation individuelle de l’éditeur, conforme à un modèle fixé par l’administration ».

Cette obligation s’applique à compter du 1er janvier 2018 et est prévue au 3° bis du I de l’article 286 du code général des impôts (CGI).

Elle constitue un enjeu majeur pour les assujettis à la TVA d’une part, mais surtout pour les éditeurs de logiciels de comptabilité, de gestion ou d’un système de caisse.

De très nombreux logiciels concernés

L’administration fiscale a précisé (3) que les logiciels concernés sont les mêmes que ceux visés par le droit de communication prévu à l’article L. 96 J du livre des procédures fiscales (LPF), et ils sont nombreux, c’est-à-dire :

• les logiciels de comptabilité : permettant à un appareil informatique (ordinateur) d’assurer tout ou partie des tâches de la comptabilité d’une entreprise en enregistrant et traitant toutes les transactions réalisées par l’entreprise dans différents modules fonctionnels (comptabilité fournisseurs, comptabilité clients, paie, grand livre, etc.) » ;
• les logiciels de gestion : permettant à un appareil informatique (ordinateur) d’assurer des tâches de gestion commerciale : gestion automatisée des devis, des factures, des commandes, des bons de livraison, suivi des achats et des stocks, suivi du chiffre d’affaires, etc. ;
• les systèmes de caisse : dotés d’un ou plusieurs logiciels permettant l’enregistrement des opérations d’encaissement, qu’ils soient autonomes (caisses enregistreuses), reliés à un système informatisé ou installés sur un ordinateur.

De nombreux éditeurs et autres prestataires informatiques sont concernés

L’éditeur est considéré par l’administration fiscale comme la personne qui détient le code source du logiciel ou système et qui a la maîtrise de la modification des paramètres du produit (3).

Un point de vigilance tout particulier doit être apporté à l’extension de cette définition par l’administration fiscale, qui considère que l’éditeur est aussi :

« le dernier intervenant ayant paramétré le logiciel ou système lorsque son intervention a eu pour objet ou effet de modifier un ou des paramètres » de conformité (3).

Il convient donc que les prestataires qui pourraient être amenés à intervenir sur ces logiciels, y compris au titre d’opérations de maintenance :

• (i) garantissent qu’ils ne procèdent pas à une telle modification des paramètres ;
• ou, (ii) fassent contractuellement reposer les risques associés sur le client ou le partenaire éditeur ;
• ou (iii) s’engagent à respecter les exigences de certification et de conformité, et notamment le critère d’inaltérabilité, si ils effectuent des corrections.

La démarche de l’éditeur : certification du logiciel ou attestation remise au client ?

L’assujetti aura la possibilité de démontrer avoir satisfait aux obligations d’inaliénabilité, de sécurisation, de conservation et d’archivage des données selon deux modes de preuve alternatifs (1) :

• soit par un certificat délivré par l’organisme accrédité dans les conditions prévues à l’article L. 115-28 du code de la consommation (c’est-à-dire, le Comité Français d’Accréditation « COFRAC ») ;
• soit par une attestation individuelle de l’éditeur du logiciel de comptabilité ou de gestion ou du système de caisse, conforme à un modèle fixé par l’administration.

A défaut de pouvoir justifier que le logiciel ou le système de caisse respecte les conditions prévues par la loi, par la production d’un certificat ou d’une attestation individuelle, l’assujetti à la TVA sera passible d’une amende égale à 7 500 €, prévue à l’article 1770 duodecies du CGI.

Pour contrôler le respect de cette obligation, l’administration pourra intervenir, de manière inopinée, dans les locaux professionnels d’un assujetti à la TVA pour vérifier qu’il détient le certificat ou l’attestation individuelle et à défaut, lui appliquer l’amende. Cette nouvelle procédure de contrôle est prévue à l’article L. 80 O du livre des procédures fiscales.

Protection de l’éditeur par une bonne contractualisation

Dans le premier cas de figure, la certification du logiciel par un organisme certificateur accrédité par le COFRAC doit avoir pour effet de reporter l’ensemble des risques liés à la non-conformité du logiciel sur l’organisme certificateur et il convient d’y veiller dans les accords entre éditeurs et organismes certificateurs.

Dans le second cas, l’éditeur pourra attester de la conformité par la simple délivrance d’une attestation individuelle à chacun de ses clients, dont le modèle élaboré par l’administration fiscale a été publié (4). Ce modèle se présente sous la forme d’une lettre co-signée, formulant une attestation de conformité par l’éditeur et une certification d’acquisition par le client assujetti.

Dans ce cas de figure, cette attestation signée des deux parties ne gère pas les problématiques posées en termes de répartition des responsabilités entre l’éditeur et son client, en cas de non-conformité du logiciel, et ne revêt pas la forme d’une garantie de conformité.

L’autre difficulté posée aux éditeurs est de pouvoir rapporter la preuve que le logiciel visé dans le modèle d’attestation selon un numéro de version, un nom et les références caractérisant le logiciel, est bien celui pour lequel il a attesté de sa conformité.

Il semble à cet égard qu’un dépôt du logiciel concerné auprès de l’APP (Agence pour la Protection des Programmes) et le visa du numéro de dépôt au sein de l’attestation, ou bien du procès-verbal de sauvegarde par huissier, soient nécessaires pour pouvoir rapporter une telle preuve.

Garantir la satisfaction des conditions d’inaliénabilité, de sécurisation, de conservation

L’administration fiscale a précisé l’ensemble des conditions d’inaliénabilité, de sécurisation, de conservation et d’archivage des données à satisfaire, ainsi que les données concernées au Bulletin Officiel des Finances Publiques (3), bien que la majorité des acteurs, en particulier les organismes certificateurs, se soient tournés vers la norme AFNOR NF525, norme qui n’est à ce jour pas juridiquement contraignante pour les éditeurs.

Pour les éditeurs et prestataires, comme pour leurs clients, l’enjeu reste la revue de leurs contrats, de licence, de maintenance, de développement, ou d’intégration des logiciels, qui doit prendre en compte la répartition des responsabilités, en cas de préjudice(s) causé(s) au client du fait d’une éventuelle absence de conformité.

Jean-François Forgeron
Benjamin-Victor Labyod
Lexing Pôle Informatique et Droit

(1) Article 88 de la loi n° 2015-1785 du 29-12-2015.
(2) Article 286 du Code général des impôts, version au 1er janvier 2018.
(3) Bulletin Officiel des Finances Publiques : BOI-TVA-DECLA-30-10-30-20160803.
(4) LETTRE – TVA – Modèle d’attestation individuelle relative à l’utilisation d’un logiciel de comptabilité ou de gestion ou un système de caisse satisfaisant à des conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données (CGI, art. 286, I-3° bis)