La sécurité des objets connectés : faites le point

sécurité des objets connectésLe cabinet organise le 14 novembre 2018 un petit-déjeuner débat sur la sécurité des objets connectés, animé par Frédéric  Forster et Nathalie Plouviet.

La sécurité des objets connectés : un enjeu majeur

Les objets connectés continuent inexorablement leur développement et irriguent non seulement les activités personnelles mais aussi les activités professionnelles, au point que les réseaux de télécommunication mobile de future génération (« 5G ») ont été conçus pour faire face aux nouveaux usages qu’ils promettent et qu’ils permettent déjà.

Dans ce contexte, le respect des impératifs de sécurité devient naturellement incontournable, qu’il s’agisse de la sécurité des accès physiques à ces objets, mais aussi de leur sécurité d’accès logique qui, si elle n’est pas – ou mal – prise en compte peut contaminer l’ensemble de l’écosystème technique auquel ils sont connectés.

En créant de nouveaux usages, ces objets révolutionnent la vie quotidienne y compris au sein de l’entreprise, rendant plus prégnantes les questions de sécurité.

A ce jour, le travail normatif peine quelque peu à faire émerger un référentiel commun et universel. En revanche, la législation contient déjà un certain nombre de pistes de résolution de ces problématiques sécuritaires, notamment au travers des dispositions du RGPD en application depuis le 25 mai. Ces objets servent en effet de source dans le processus de la collecte d’information.

Ce petit déjeuner sera donc l’occasion de faire le point sur ces questions et notamment sur les dernières nouveautés dans le domaine des normes et réglementations techniques et sur les impacts du RGPD et la loi Informatique et libertés française du 20 juin 2018 dans le domaine de la sécurité des objets connectés.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.

 




Démarches de conformité du logiciel de caisse pour l’éditeur

Logiciel de caisse

Logiciel de caisse, de comptabilité ou de gestion, les éditeurs doivent anticiper les exigences de conformité requises.. En raison de la fraude fiscale générée par les failles ou « backdoor(s) » dans les logiciels permettant l’enregistrement des règlements, les assujettis à la TVA devront utiliser, et les éditeurs leur fournir, des logiciels devant répondre à certains standards en termes de sécurisation, de conservation et d’archivage des données (ci-après les « paramètres » ou « critères » de conformité ), à compter du 1er janvier 2018.

L’article 88 de la loi n° 2015-1785 du 29 décembre 2015 (1) de finances pour 2016, prévoit l’obligation pour les assujettis à la taxe sur la valeur ajoutée (TVA) qui enregistrent les règlements de leurs clients au moyen d’un logiciel de comptabilité ou de gestion ou d’un système de caisse, d’utiliser un logiciel :

  • « satisfaisant à des conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données en vue du contrôle de l’administration fiscale » ;
  • « attestées par un certificat délivré par un organisme accrédité dans les conditions prévues à l’article L. 115-28 du code de la consommation ou par une attestation individuelle de l’éditeur, conforme à un modèle fixé par l’administration ».

Cette obligation s’applique à compter du 1er janvier 2018 et est prévue au 3° bis du I de l’article 286 du code général des impôts (CGI).

Elle constitue un enjeu majeur pour les assujettis à la TVA d’une part, mais surtout pour les éditeurs de logiciels de comptabilité, de gestion ou d’un système de caisse.

De très nombreux logiciels concernés

L’administration fiscale a précisé (3) que les logiciels concernés sont les mêmes que ceux visés par le droit de communication prévu à l’article L. 96 J du livre des procédures fiscales (LPF), et ils sont nombreux, c’est-à-dire :

  • les logiciels de comptabilité : permettant à un appareil informatique (ordinateur) d’assurer tout ou partie des tâches de la comptabilité d’une entreprise en enregistrant et traitant toutes les transactions réalisées par l’entreprise dans différents modules fonctionnels (comptabilité fournisseurs, comptabilité clients, paie, grand livre, etc.) » ;
  • les logiciels de gestion : permettant à un appareil informatique (ordinateur) d’assurer des tâches de gestion commerciale : gestion automatisée des devis, des factures, des commandes, des bons de livraison, suivi des achats et des stocks, suivi du chiffre d’affaires, etc. ;
  • les systèmes de caisse : dotés d’un ou plusieurs logiciels permettant l’enregistrement des opérations d’encaissement, qu’ils soient autonomes (caisses enregistreuses), reliés à un système informatisé ou installés sur un ordinateur.
De nombreux éditeurs et autres prestataires informatiques sont concernés

L’éditeur est considéré par l’administration fiscale comme la personne qui détient le code source du logiciel ou système et qui a la maîtrise de la modification des paramètres du produit (3).

Un point de vigilance tout particulier doit être apporté à l’extension de cette définition par l’administration fiscale, qui considère que l’éditeur est aussi :

« le dernier intervenant ayant paramétré le logiciel ou système lorsque son intervention a eu pour objet ou effet de modifier un ou des paramètres » de conformité (3).

Il convient donc que les prestataires qui pourraient être amenés à intervenir sur ces logiciels, y compris au titre d’opérations de maintenance :

  • (i) garantissent qu’ils ne procèdent pas à une telle modification des paramètres ;
  • ou, (ii) fassent contractuellement reposer les risques associés sur le client ou le partenaire éditeur ;
  • ou (iii) s’engagent à respecter les exigences de certification et de conformité, et notamment le critère d’inaltérabilité, si ils effectuent des corrections.
La démarche de l’éditeur : certification du logiciel ou attestation remise au client ?

L’assujetti aura la possibilité de démontrer avoir satisfait aux obligations d’inaliénabilité, de sécurisation, de conservation et d’archivage des données selon deux modes de preuve alternatifs (1) :

  • soit par un certificat délivré par l’organisme accrédité dans les conditions prévues à l’article L. 115-28 du code de la consommation (c’est-à-dire, le Comité Français d’Accréditation « COFRAC ») ;
  • soit par une attestation individuelle de l’éditeur du logiciel de comptabilité ou de gestion ou du système de caisse, conforme à un modèle fixé par l’administration.

A défaut de pouvoir justifier que le logiciel ou le système de caisse respecte les conditions prévues par la loi, par la production d’un certificat ou d’une attestation individuelle, l’assujetti à la TVA sera passible d’une amende égale à 7 500 €, prévue à l’article 1770 duodecies du CGI.

Pour contrôler le respect de cette obligation, l’administration pourra intervenir, de manière inopinée, dans les locaux professionnels d’un assujetti à la TVA pour vérifier qu’il détient le certificat ou l’attestation individuelle et à défaut, lui appliquer l’amende. Cette nouvelle procédure de contrôle est prévue à l’article L. 80 O du livre des procédures fiscales.

Protection de l’éditeur par une bonne contractualisation

Dans le premier cas de figure, la certification du logiciel par un organisme certificateur accrédité par le COFRAC doit avoir pour effet de reporter l’ensemble des risques liés à la non-conformité du logiciel sur l’organisme certificateur et il convient d’y veiller dans les accords entre éditeurs et organismes certificateurs.

Dans le second cas, l’éditeur pourra attester de la conformité par la simple délivrance d’une attestation individuelle à chacun de ses clients, dont le modèle élaboré par l’administration fiscale a été publié (4). Ce modèle se présente sous la forme d’une lettre co-signée, formulant une attestation de conformité par l’éditeur et une certification d’acquisition par le client assujetti.

Dans ce cas de figure, cette attestation signée des deux parties ne gère pas les problématiques posées en termes de répartition des responsabilités entre l’éditeur et son client, en cas de non-conformité du logiciel, et ne revêt pas la forme d’une garantie de conformité.

L’autre difficulté posée aux éditeurs est de pouvoir rapporter la preuve que le logiciel visé dans le modèle d’attestation selon un numéro de version, un nom et les références caractérisant le logiciel, est bien celui pour lequel il a attesté de sa conformité.

Il semble à cet égard qu’un dépôt du logiciel concerné auprès de l’APP (Agence pour la Protection des Programmes) et le visa du numéro de dépôt au sein de l’attestation, ou bien du procès-verbal de sauvegarde par huissier, soient nécessaires pour pouvoir rapporter une telle preuve.

Garantir la satisfaction des conditions d’inaliénabilité, de sécurisation, de conservation

L’administration fiscale a précisé l’ensemble des conditions d’inaliénabilité, de sécurisation, de conservation et d’archivage des données à satisfaire, ainsi que les données concernées au Bulletin Officiel des Finances Publiques (3), bien que la majorité des acteurs, en particulier les organismes certificateurs, se soient tournés vers la norme AFNOR NF525, norme qui n’est à ce jour pas juridiquement contraignante pour les éditeurs.

Pour les éditeurs et prestataires, comme pour leurs clients, l’enjeu reste la revue de leurs contrats, de licence, de maintenance, de développement, ou d’intégration des logiciels, qui doit prendre en compte la répartition des responsabilités, en cas de préjudice(s) causé(s) au client du fait d’une éventuelle absence de conformité.

Jean-François Forgeron
Benjamin-Victor Labyod
Lexing Pôle Informatique et Droit

(1) Article 88 de la loi n° 2015-1785 du 29-12-2015.
(2) Article 286 du Code général des impôts, version au 1er janvier 2018.
(3) Bulletin Officiel des Finances Publiques : BOI-TVA-DECLA-30-10-30-20160803.
(4) LETTRE – TVA – Modèle d’attestation individuelle relative à l’utilisation d’un logiciel de comptabilité ou de gestion ou un système de caisse satisfaisant à des conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données (CGI, art. 286, I-3° bis)