Loi finances 2016 sur les logiciels de caisse et Certification NF525 ou LNE
Ceci est une page d'explication de l'Article 88 de la Loi finance 2016 (n° 2015-1785 du 29 décembre 2015), communément appelée Loi anti-fraude à la TVA, applicable au 1er janvier 2018 en France (cette loi ayant donné lieu à la certification NF525 ou encore au principe d'attestation de conformité).
Résumé
La loi finances 2016, article 88 modifiant le 286 du CGI, impose à tous les commerçants, assujettis à la TVA hors franchise en base de TVA (et seulement ces derniers) ET qui sont équipés d'un "logiciel ou système de caisse" (comprendre logiciel d'encaissement d'argent, cela inclut les logiciels de gestion) ET qui réalisent de l'encaissement de particuliers, d'utiliser un logiciel dans un cadre "conforme" à la loi finance 2016, et ce dès le 1er janvier 2018.
La "conformité Loi Finance" dite aussi "Anti Fraude TVA" est absolument sans aucun rapport avec la notion de "Compatible avec les normes de logiciels comptables", normes requises pour établir les documents fiscaux officiels et les télétransmettre à l'administration. Ces normes (par exemple "la compatibilité avec le format FEC", obligatoire depuis le 1er janvier 2014 et défini ici, ou encore "la compatibilité pour télétransmission EDI") existent d'ailleurs depuis plusieurs années, bien avant la loi finance 2016, et concernent uniquement le "logiciel de comptabilité" de l'expert comptable qui approuve les comptes, logiciel utilisé en fin de chaîne pour produire la liasse fiscale. Seul ce dernier logiciel a cette contrainte de "compatibilité logiciel comptable" : le logiciel de gestion ou de suivi de l'entreprise (comme par exemple Dolibarr), même si il est utilisé pour réaliser une comptabilité interne de l'entreprise (par exemple en préparation d'export vers le logiciel de l'expert-comptable, ou utilisé pour offrir un suivi ou mâcher le travail du comptable pour réduire son coût), n'a aucune obligation sur le point de logiciel comptable, si c'est un autre qui sert pour établir les documents légaux...
Par contre, ce logiciel de gestion d'entreprise peut avoir l'obligation d'être conforme Loi finance 2016 - Anti Fraude TVA. Ce qui est tout autre chose. Cette conformité s'applique à tout "logiciel d'encaissements", ce qui est différent de "logiciel comptable" (et donc s'applique aux logiciels de facturation ou de gestion avec saisie d'encaissements, aux logiciels de caisse enregistreuse (Point de Vente) et, éventuellement, aux logiciels de comptabilité si c'est lui qui est utilisé pour saisir et suivre les encaissements clients, ce qui est rarissime car cela sous-entend que la gestion de l'entreprise est faite directement dans le logiciel du comptable qui certifie les comptes).
Cette conformité "Loi Finance" pour son logiciel d'encaissement, peut s'obtenir de 3 manières différentes (une seule des 3 solutions suffit):
- Par l'utilisation d'une version certifiée Loi Finance du logiciel (Exemple via l'obtention de la certification LNE ou l'obtention de la norme NF525 de l'AFNOR). Une version certifiée l'est pour tout le monde mais, pour évoluer, il faut attendre la prochaine version certifiée, et le processus de certification est long et coûteux pour l'éditeur. Le principe de certification n'est donc plus adapté aux logiciels modernes ni aux logiciels en Cloud/SaaS qui évoluent rapidement). Le choix de conformité du logiciel par obtention d'une certification LNE ou NF525 n'est donc pas celui fait majoritairement par les éditeurs. La certification LNE ou NF525 n'est donc absolument pas obligatoire (même si les éditeurs qui ont fait ce choix essaie de sous-entendre le contraire), à condition qu'une des autres solutions pour être conforme soit mis en oeuvre (voir point suivants).
ou bien
- Par obtention d'une attestation individuelle de conformité Loi Finance décernée par une société Tiers, comme un éditeur ou intégrateur informatique (Voici un exemple de modèle d'attestation suggéré par le gouvernement: http://bofip.impots.gouv.fr/bofip/10692-PGP.html). Une attestation est individuelle, chaque société utilisatrice doit en obtenir une, auprès d'un Tiers, pour elle même. Remarque: pour cette solution, il faut employer le terme de "Attestation" et non de "Certification", ce dernier terme étant réservé pour la première solution. Mais hélas 9 fois sur 10, on trouvera le terme "certification" ou "certifié" pour ce cas également, car historiquement plus fréquemment utilisé par le grand publique, entrainant de nombreuses confusions.
ou bien
- En se délivrant à soi-même cette attestation (sans la demander à un tiers donc), on parle d'auto-attestation, mais ce cas est limité aux sociétés qui ont, entre autre, une activité avérée d'édition de logiciel de caisse (le code Nace n'ayant qu'une valeur indicative statistique, c'est votre activité réelle, dont il vous revient d'en démontrer le côté avéré qui sera pris en compte, et non un code Nace spécifique comme cela avait été cité dans des versions intermédiaires de textes sur le travail de la loi)
Le chapitre "Historique" vous permet de voir les rebondissements et changements de direction de la loi. Connaitre ces rebondissements aide à comprendre pourquoi de nombreux acteurs se sont trompés ou continuent de se tromper sur cette loi. Le chapitre d'après "Questions / Réponses" vous offre une vue rapide de la loi définitive par une approche de questions/réponses.
Historique de la définition de la loi et rebondissements
Pour ceux qui ont le temps de lire (sinon allez directement au chapitre "Conclusion" ou aux "FAQ"), voici un flux qui décrit les documents originaux qui ont été communiqués par le gouvernement et les mises à jours qui ont suivi pour définir le périmètre et la conclusion de la loi, avec les rebondissements :
- Voici l'article, pour sa publication au BOFIP, de la version définitive du 04/07/2018: https://bofip.impots.gouv.fr/bofip/10691-PGP.html?identifiant=BOI-TVA-DECLA-30-10-30-20180704
Pour résumer, cette publication indique qu'il faudra, pour toute société/organisme "... assujettie à la taxe sur la valeur ajoutée (TVA) qui effectue des livraisons de biens et des prestations de services à destination de clients particuliers et qui enregistre les règlements reçus en contrepartie au moyen d’un logiciel ou d'un système de caisse, est tenue d'utiliser un logiciel ou un système qui satisfasse aux conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données en vue du contrôle de l'administration fiscale. ... Le respect des conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données peut être justifié par un certificat délivré par un organisme accrédité ou par une attestation individuelle de l'éditeur. ..."
Le texte mentionne bien également qu'il n'y a pas obligation à s'informatiser pour tracer ses paiements ("... En revanche, cette disposition ne crée pas d'obligation de s'équiper d'un logiciel ou système de caisse...") mais si cela est fait, et que l'on est dans le périmètre, le texte est applicable.
Historique :
Voici l'article initial de la loi finance, datant du 29/12/2015: Article sur LegiFrance
Voici l'article, pour sa publication au BOFIP, du 03/08/2016: https://bofip.impots.gouv.fr/bofip/10691-PGP.html?identifiant=BOI-TVA-DECLA-30-10-30-20160803
15 juin 2017: Communiqué de presse du cabinet du ministère: http://proxy-pubminefi.diffusion.finances.gouv.fr/pub/document/18/22503.pdf -> Seules les "logiciels de caisse" seraient concernés (la définition de logiciel de caisse n'est toutefois pas encore apportée, elle le sera le 15 juillet 2018, voir la suite). Dès logiciels ERP (comme Dolibarr), ainsi que les logiciels de site ecommerce (comme Prestashop, Magento, ...) n'étant dans pas la catégorie logiciels de caisse (Les ERP sont dans la catégorie logiciels de gestion), on aurait cru que l'obligation de mise en conformité, et tout ce qui suit, semblait ne plus être avéré pour eux, mais la suite des événements (voir la suite) indiquera le contraire si vous enregistrez dans le logiciel des paiements de particuliers, quelquesoit la catégorie du logiciel (seules les sociétés encaissant exclusivement d'autres sociétés, ou ceux en tva en franchise, seront finalement exemptées)...
27 septembre 2017: Voici l'avenant publié le 27 septembre 2017 qui réduit la portée/périmètre de la loi aux seuls "logiciels de caisse": http://www.assemblee-nationale.fr/15/projets/pl0235.asp (Article 46). En d'autres terme, les applications ERP (Comme Dolibarr) semblent la encore ne plus être concernées, mais la suite des événements (voir la suite) indiquera le contraire si vous encaissez des particuliers (seules les sociétés encaissant exclusivement d'autres sociétés, ou ceux en franchises seront finalement exemptées)...
Suite aux questions des industriels de l'informatique, une FAQ, issue du ministère des finances, est alors parue pour tenter de clarifier le périmètre. Elle indique que tous les assujetis à TVA qui vendent à un non assujetti (particuliers) sont concernés. Si on lit tel quel cette FAQ, alors le périmètre est non seulement pas réduit, comme communiqué par le ministère dans son courrier du 15 juin, mais élargit, y compris aux sites e-commerce. Cette FAQ est le premier élément qui apporte donc une définition au terme "système de caisse" en considérant tout logiciel traçant des encaissements, comme "systeme de caisse". Des amendements ont été rédigés pour tenter de clarifier ou restreindre cette définition, voir la suite...
14 octobre 2017: Une reformulation du texte, plus complète que la FAQ, est donnée stipulant qu'une entité est concernée... "Si elle effectue des livraisons de biens et des prestations de services ne donnant pas lieu à facturation conformément à l’article 289 et enregistre ces opérations au moyen d’un logiciel ou d'un système de caisse ... ". Dans ce cas, il faut "... utiliser un logiciel ou un système satisfaisant à des conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données en vue du contrôle de l'administration fiscale, attestées par un certificat délivré par un organisme accrédité dans les conditions prévues à l'article L. 433-4 du code de la consommation OU par une attestation individuelle de l'éditeur, conforme à un modèle fixé par l'administration ;"
Il est aussi précisé: « 2. Les assujettis bénéficiant d'une franchise de taxe mentionnée à l'article 293 B, ceux placés sous le régime du remboursement forfaitaire prévu aux articles 298 quater et 298 quinquies et ceux effectuant exclusivement des opérations ou des prestations exonérées de taxe sur la valeur ajoutée sont dispensés de l'obligation mentionnée au 3° bis du I. » ;
Voir: Article sur LegiFrance pour le texte complet mentionnant ces 2 points.
20 novembre 2017: Nouveaux éléments permettant de mieux cibler le périmètre. En effet, l'amendement II-CF15 = II-1649 de la loi Finance 2018 sur l'article 46 pour exclure les encaissements de particuliers qui font l'objet de fabrication d'une facture en bon et du forme (afin d'exclure les ERP et plateforme ecommerce) a été rejeté en séance à l'assemblée: Seule l'encaissement de sociétés est bien hors périmètre. En effet, considérant que l'administration a le droit de vérification chez les clients de type société, les traces fournies par les factures suffisent pour assurer un contrôle satisfaisant, mais ce droit n'existe pas en ce qui concerne la facturation des particuliers. Dans ce cas la, même la facture est peu utile à l'administration et par conséquent les contraintes d'inaltérabilité deviennent requises, même si on émet une facture en bon et du forme. Cette conclusion fait suite aux échanges suites à l'amendement II-CF15 = II-1649 de la loi Finance 2018 sur l'article 46.
Pour info, texte complet de la tentative d'amendement: http://www.assemblee-nationale.fr/15/amendements/0235C/AN/1649.asp ou en PDF http://www.assemblee-nationale.fr/15/amendements/0235C/CION_TOUTE/CF15.pdf
Et voici les extraits importants de la discussion:
D'abord, la tentative de M. Bruno Millienne pour tenter d'exclure les logiciels émettant des factures en bon et du forme:
M. Bruno Millienne. "[...]le renvoi à l’article 289 du code général des impôts – CGI – ne vise que les cas d’émission de factures obligatoires au sens fiscal pour les opérations entre assujettis ou personnes morales. En l’état, le texte conduirait à appliquer le dispositif de certification ou d’attestation à toutes les opérations réalisées avec les particuliers, même lorsqu’elles donnent lieu à l’émission de factures conformes au CGI, par exemple dans le cadre du commerce électronique. [...] La rédaction actuelle de l’article peut conduire à requalifier en logiciel de caisse un logiciel de facturation, si des factures sont émises à l’attention d’un particulier ou d’une administration, ou un logiciel de comptabilité, si des règlements sont comptabilisés directement par l’utilisateur. L’éditeur deviendrait ainsi responsable du mode d’utilisation de son logiciel par l’assujetti. Il est impossible de transposer les exigences d’un logiciel de caisse à un logiciel de facturation : leurs fonctionnalités respectives sont totalement différentes. Actuellement, il existe des dispositifs de certification en matière de caisse, mais pas en matière de facturation."
...
Réponse de M. Joël Giraud, rapporteur général de la commission des finances, de l’économie générale et du contrôle budgétaire: Avis défavorable. L’article 46 précise que l’obligation de certification ne vaut que pour les logiciels ou systèmes de caisse. L’obligation ne concernera plus les progiciels de gestion intégrée ou de comptabilité : pour ces logiciels multifonctions qui traitent à la fois la comptabilité, la gestion et la caisse, seuls les modules caisse enregistreuse et encaissement devront être certifiés, non l’ensemble du logiciel.
...
Et enfin le complément de M. Benjamin Griveaux, secrétaire d’État auprès du ministre de l’économie et des finances: Avis défavorable. Une facture n’est obligatoire, au sens fiscal, que dans le cadre d’une relation B to B – business to business, c’est-à-dire d’entreprise à entreprise. L’administration fiscale peut la contrôler car elle dispose d’un droit de communication envers l’entreprise cliente. A contrario, elle ne peut exercer de droit de communication auprès des particuliers. Cet amendement conduirait donc à exclure du dispositif de sécurisation les entreprises qui émettent des factures contenant les mentions légales, qu’elles soient adressées à des entreprises ou à des particuliers. Je suis donc l’avis du rapporteur général quant au risque de fraude accrue que cet amendement ferait courir.
La discussion complète de la séance ayant rejeté l'amendement est disponible ici: http://www.assemblee-nationale.fr/15/cri/2017-2018/20180063.asp#P1103690
En conclusion, l'amendement ayant été rejeté, il faut en déduire que la volonté est bien d'intégrer, dans le périmètre, toutes les parties/modules de logiciels, utilisés comme caisse enregistreuse OU pour enregistrer des paiements de particuliers (logiciel ecommerce, de caisse, de gestion,...) et que l'émission de facture en bon et du forme à des particuliers ne suffit pas pour sortir du périmètre...
L'article 88 qui disaient ..toute personne assujettie à la taxe sur la valeur ajoutée (TVA) qui enregistre les règlements de ses clients au moyen d'un logiciel de comptabilité ou de gestion ou d'un système de caisse, doit utiliser un logiciel ou un système satisfaisant à des conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données en vue du contrôle de l'administration fiscale est complété par l'article 105 qui remplace "logiciel de comptabilité ou de gestion ou d'un système de caisse" par "logiciel ou d'un système de caisse"
23 janvier 2018: Un représentant du projet Dolibarr (Laurent Destailleur), avec des représentants de l'APRIL (Etienne Gonnu) et du logiciel libre de caisse Pasteque (Philippe Pary), ont été reçus au ministère des finances afin d'échanger sur l'interprétation du texte. Les interprétations faites sur cette page (ainsi que les réponses faites aux FAQ qui suivent) ont pu être confirmées. Toutefois, il y a intention de mieux définir le périmètre de logiciels de caisse. Une version de travail revue, du Bofip doit être publiée à un comité restreint d'acteurs, dont l'April, fin janvier, afin de faciliter le travail d'interprétations, pour une publication officielle au printemps. Cette publication aura lieu finalement le 4 juillet 2018 et une grande partie de nos retours s’avérera prise en compte.
18 mai 2018: Réponse du gouvernement à quelques questions sur le sujet: https://www.nosdeputes.fr/15/question/QE/3257 . La réponse évoque l'année de tolérance en précisant que l'utilisateur devra montrer sa diligence en cas de contrôle (Soin appliqué à la mise en oeuvre de l'obtention de l'attestation individuelle)
5 juin 2018: Réponse du gouvernement à quelques questions sur le sujet: https://www.nosdeputes.fr/15/question/QE/2736 . La réponse évoque l'année de tolérance en précisant que l'utilisateur devra montrer sa diligence en cas de contrôle (Soin appliqué à la mise en oeuvre de l'obtention de l'attestation individuelle)
4 juillet 2018: Publication de la version corrigée du texte de loi au BOFIP: https://bofip.impots.gouv.fr/bofip/10691-PGP.html?identifiant=BOI-TVA-DECLA-30-10-30-20180704. Cette version conforte tous les points évoqués (le texte clarifie la loi et confirme que les interprétations vu ci-dessus s'avéraient justes), avec toutefois 2 ajouts majeures:
- La définition de logiciel de caisse a été donnée:
Un logiciel ou système de caisse est un système informatique doté d'une fonctionnalité de caisse, laquelle consiste à mémoriser et à enregistrer extra-comptablement des paiements reçus en contrepartie d'une vente de marchandises ou de prestations de services c'est-à-dire que le paiement enregistré ne génère pas concomitamment, automatiquement et obligatoirement la passation d'une écriture comptable.
Ne sont pas considérés comme enregistrés extra-comptablement, quel que soit le mode de paiement, les paiements pour lesquels le logiciel ou système déclenche obligatoirement, instantanément et automatiquement, sans intervention humaine, une écriture dans le système d’information comptable.
Sont visés tous les logiciels ou systèmes de caisse permettant l'enregistrement des règlements de leurs clients quel que soit le mode de règlement (espèces, chèques, CB, virements, prélèvements...). Cette obligation s'applique y compris en cas d'enregistrement sur un logiciel ou système accessible en ligne.
Sans que cette liste ne soit limitative, sont concernés par l'obligation les instruments de mesures réglementés, comme les balances, mais également les rampes de boissons automatisées, les automates de paiement ou encore les distributeurs automatiques de marchandises (boissons, gâteaux…) qui disposent d'une fonctionnalité de caisse.
Seule cette fonctionnalité de caisse, et non les autres fonctions telles que celles relatives à la pesée, doivent être certifiées."
- L'article 35 qui est un allègement du périmètre: Les professionnels réalisant leur paiement avec l'intermédiation d'un établissement de crédit européen ne sont plus soumis à l'obligation de certification ou attestation. Mais attention, on parle bien de paiements "directs" (donc Virement ou Carte de Débit ou de Crédit mais pas chèques qui n'est pas "direct") et surtout via un système de paiement géré par un organisme bancaire européen. En d'autres terme, si on ne fait que du paiement CB avec un module de VAD d'une banque, on est NON soumis à la certification/attestation mais si le paiement CB (carte de crédit ou débit) se fait par un service comme Stripe ou Paypal, sauf à être exempté pour un autre motif, on l'est toujours (car l'état français n'a pas de moyen d'obtenir le listing des transactions via ces solutions non européennes, bien que le paiement soit par carte bancaire).
- Novembre 2024: Remise en cause du système d'attestation. Alors que ce système permettait une lutte efficace contre la fraude sans lourdeur, ce système est remis en cause par les nouvelles assemblée composé des extrêmes droites et gauches. Les arguments justifiant cette remise en cause montrant un amateurisme et une méconnaissance totale du sujet des nouveaux députés, il apparaît vain de vouloir lutter et une adaptation au système de certification, bien que nuisible à l'innovation et incompatible avec les évolutions modernes de l'informatique, semble inévitable. La certification aura donc un coût qui devra être pris en charge par l'utilisateur. En attente de plus d'info sur la calendrier...
Conclusion pour le logiciel Open Source Dolibarr ERP CRM
Dolibarr ERP CRM est une application de gestion qui enregistre des factures (factures acomptes, avoirs ou standards). L'application permet aussi d'enregistrer des paiements. Le module POS (celui fourni par défaut appelé TakePOS), fonctionne aussi sur le principe de génération systématique de facture et d'enregistrement du paiement en temps réel. L'application est donc bien dans le périmètre (comme n'importe quel autre ERP, logiciel de caisse ou de Ecommerce). Mais en tant qu'utilisateur, vous n'êtes concerné que si vous n'êtes pas en franchise de base (dans ce cas, votre impôt TVA est payé au forfait, sur la base d'un pourcentage de votre Chiffre d'Affaire et non de vos déclaration de TVA) ET si vous utilisez le logiciel pour saisir des encaissements de particuliers (B2C=Business To Consumer) ou en mode mixte, à savoir encaissement aussi bien de particuliers (B2C) et d'entreprises (B2B), quel que soit le ratio entre les 2. Si vous ne facturez QUE des professionnels, dans ce cas, vous n'êtes pas concerné par la LF2016 (Loi finance 2016, applicable depuis 2018).
Dans le cas où vous utilisez le module Facture, ou le module POS, pour encaisser des particuliers, et êtes assujettis à la TVA mais pas en franchise, vous êtes concerné. Il vous faut alors vous assurer que le module "Log inaltérable" ("BlockedLog") est bien activé. Sa désactivation, une fois les premières saisies faites ne sera ensuite plus envisageable. Avec Dolibarr v10 ou plus et l'activation de ce module vous aurez alors une version conforme sur le plan technique et fonctionnel. Il vous faudra ensuite, obtenir une attestation de conformité auprès d'un tiers qui confirme cette conformité technique/fonctionnelle pour être conforme d'un point de vue juridique. Si vous utilisez une version en ligne SaaS/Cloud fournie par un tiers, ce dernier vous la fournira sûrement (voir exemples sur https://saas.dolibarr.org). Dans le cas contraire, il vous faut contactez votre intégrateur informatique ou un prestataire pouvant fournir cette d'attestation.
Remarque: cette contrainte sera identique quel que soit l'ERP choisi. L'utilisation d'outils non spécialisés comme un tableur Excel ou autre, DANS LE BUT D'AVOIR UNE CONSERVATION DE TRACES DES PAIEMENTS, ne devient plus permis car le logiciel n'étant pas conforme, vous ne réussirez pas à trouver un prestataire pour fournir l'attestation de conformité. Par contre, si l'utilisation que vous faites d'Excel ou autre tableur est à des fins juste de "génération du PDF de la facture" sans conservation des données (Le texte de loi parle alors de logiciel "facturier"), vous pouvez continuer à l'utiliser ainsi. Dans le cas où l'utilisation est faite pour conserver trace de vos paiements, et si vous êtes dans le périmètre de la loi, un logiciel certifié OU attesté (au choix) sur la partie encaissement (comme l'est Dolibarr) devient obligatoire.
Voyons aussi, par une autre approche, à savoir un système de question-réponse, comment synthétiser autrement tout cela:
Questions / Réponses (FAQ)
J'utilise Dolibarr ou autre logiciel ERP, suis-je concerné, pour quelle fonctionnalité ?
- Votre logiciel n'est concerné que si vous êtes assujetties à la TVA (et pas en franchise en base de TVA), ET si vous l'utilisez pour saisir des encaissements de particuliers (B2C=Business To Consumer) ou en mode mixte, à savoir encaissement aussi bien de particuliers (B2C) et d'entreprises (B2B), quelque soit le ratio entre les 2, quelque soit les modes de paiement utilisés (sauf à ne faire que du paiement direct par l'intermédiation d'un organisme bancaire européen). Donc:
- si vous n'encaissez pas d'argent, vous n'êtes PAS concerné.
- si vous êtes une association/organisme non assujettie à la TVA (association, médecin, ...), vous n'êtes PAS concerné.
- si vous êtes un professionnel bénéficiant du régime de remboursement forfaitaire de TVA agricole, vous n'êtes PAS concerné.
- si vous êtes un auto-entrepreneur, vous n'êtes (peut-être) PAS concerné (dispense si vous relevez de la franchise en base).
- si vous êtes une entreprise dont l'intégralité des encaissements est réalisée avec l'intermédiation directe d’un établissement de crédit (système de paiement VAD d'une banque ou Virements), vous n'êtes PAS concerné. Remarque: Des encaissements par Carte bancaire via Paypal ou via Stripe ne sont pas des encaissements avec intermédiation directe d’un établissement de crédit, car ni Paypal ni Stripe ne sont des établissements de crédit (comprendre Banque).
- si vous ne facturez QUE des entreprises/professionnels, dans ce cas, vous n'êtes PAS concerné non plus par la loi finance (non B2C). Remarque: Si vous facturez des professionnels la plupart du temps et, exceptionnellement de temps en temps des particuliers via un mode de paiement non assuré par un organisme de crédit européen, si vous pouvez gérer/suivre ces facturations de particuliers à part sur papier, vous sortez alors du champ et n'êtes pas concerné.
Si vous n'êtes dans aucun des cas d'exception précédent, vous êtes concernés si vous utilisez le module Facture pour enregistrer vos paiements et/ou le module POS. Il vous faut alors vous assurer que le module "Log inaltérable" ("BlockedLog") fourni avec la v10 ou plus est bien activé. Sa désactivation, une fois les premières saisies faites ne sera ensuite plus envisageable. Avec la migration en v10 ou plus et l'activation de ce module vous aurez alors une version conforme sur le plan technique et fonctionnel. Il vous faudra ensuite, obtenir une attestation de conformité auprès d'un tiers qui confirme cette conformité technique/fonctionnelle pour être conforme d'un point de vue juridique.
Si vous utilisez une version en ligne Saas/Cloud fournie par un tiers, ce dernier vous la fournira surement (exemple: https://www.dolicloud.com ou https://www.novafirstcloud.com). Dans le cas contraire, il vous faut contacter votre intégrateur ou un prestataire pouvant fournir cette d'attestation.
Remarque: cette contrainte sera identique quelque soit l'ERP choisi. L'utilisation d'outils non spécialisés comme un tableur Excel ou autre, DANS LE BUT D'AVOIR UNE CONSERVATION DE TRACE DES PAIEMENTS, ne devient plus permis car le logiciel n'étant pas conforme, vous ne réussirez pas à trouver un prestataire pour fournir l'attestation de conformité. Par contre, si l'utilisation que vous faites d'Excel ou autre tableur est à des fins juste de "génération du PDF de la facture" sans conservation des données (Le texte de loi parle alors de logiciel facturier), vous pouvez continuer à l'utiliser ainsi. Dans le cas ou l'utilisation est faite pour conserver trace de vos paiements, et si vous êtes dans le périmètre de la loi, un logiciel certifié OU attestable (au choix) sur la partie encaissement (comme l'est Dolibarr) devient obligatoire (dans le cas d'un logiciel non certifié mais attestable comme Dolibarr, il vous faudra obtenir une attestation papier ou PDF d'un Tiers).
Je suis concerné, mais à partir de quand ?
- Si vous êtes concerné, la loi s'applique au 1er janvier 2018. Toutefois, le texte de loi clarifié datant de juillet 2018, si on ajoute le temps requis par les logiciels pour s'adapter à la version définitive, puis le temps de migration sur la nouvelle version, une tolérance est de mise la première année (donc 2018), à condition de montrer que vous suivez le sujet et avez attendu pour avoir le texte définitif puis pour avoir la version conforme puis pour avoir le bon moment de faire votre migration. Si vous utilisez Dolibarr, les différentes évolutions de cette page montre que la démarche est engagée sur le logiciel depuis novembre 2016 et ce alors que le périmètre de la loi était encore contradictoire début novembre 2017.
A la question posée en janvier 2018 au ministère des finances: "Que pouvons nous dire aux utilisateurs qui sont en attente de texte/règle clarifiée pour agir, sachant que la loi est sensé être déjà effective ?", la réponse donnée a été que la première année (2018 donc), il y aurait tolérance, dès lors que vous montrez que vous avez pris une trajectoire sur 2018 pour bien faire. Cette année transitoire ayant été officiellement annoncée par le secrétaire d'état, dont voici les propos:
« Je veux toutefois rassurer les entreprises : la direction générale des finances publiques les accompagnera pendant la première année d’application de ce dispositif, en vertu non pas d’une culture de la sanction ou du contrôle fondée sur le présupposé d’une malveillance des entreprises, mais d’un rôle de conseil. La DGFIP tiendra notamment compte des démarches engagées et des diligences effectuées par les entreprises pour obtenir le certificat ou l’attestation. C’est dans cet esprit que nous travaillerons. Les deux organismes certificateurs prendront également leur part de cet effort de pédagogie, qui est normal. »
La nécessité d'attestation ou certification disparaît-elle si on n'enregistre nos paiements que via un mode de règlement qui laisse déjà des traces, comme les chèques ou cartes ?
Au départ, le type de règlement n'avait aucun impact sur la loi. Tous les types de paiement (chèque, carte, liquide, virement, ...) rentrent dans le périmètre de la loi et aucun ne permet d'être hors du champs d'application. L'amendement suivant https://www.nosdeputes.fr/15/amendement/235/1325C a tenté de restreindre le périmètre à un certain mode de paiement, mais a été rejeté.
Ceci se comprend dans la mesure où, même un paiement par carte, peut se faire via un système comme Paypal ou Stripe, et que l'administration fiscale française a très peu de pouvoir de contrôle sur une société étrangère. Toutefois, il existe des cas où l'administration fiscale a un pouvoir de contrôle, c'est pourquoi, dans la re-publication au BOFIP de la loi le 4 juillet 2018, une exception a été introduite: Les professionnels réalisant leur paiement avec l'intermédiation directe d'un établissement de crédit européen ne sont plus soumis à l'obligation de certification ou attestation. Mais attention, on parle bien de paiements "directs" (donc Virement ou Carte de Débit ou de Crédit, mais pas chèques qui n'est pas "direct") et surtout via un système de paiement géré par un organisme bancaire européen. En d'autres terme, si on ne fait que du paiement CB avec un module de VAD d'une banque, on est NON soumis à la certification/attestation mais si le paiement CB (carte de crédit ou débit) se fait par un service comme Stripe ou Paypal, sauf à être exempté pour un autre motif, on l'est toujours (car l'état français n'a pas de moyen d'obtenir le listing des transactions via ces solutions, bien que le paiement soit par carte bancaire).
Quelles sont les conditions pour une application concernée pour être conforme (conditions pour obtenir la certification OU être attestable conforme par un tiers) ?
- Principe d'inaltérabilité
- Logs non modifiable par chaînage (principe de somme de contrôle incluant la somme de contrôle de la trace précédente) pour tout ce qui concerne les saisies d'encaissements (incluant toutes les mentions obligatoires d'une facture). Il est possible d'aller au delà de la loi en traçant aussi ce qui concerne les factures et leur envoi sur une imprimante. Aucune fonction pour modifier ou supprimer ces logs ne doit exister.
- Quand un paiement est enregistré, la trace et les informations qui ont donné lieu à ce paiement (information du paiement mais aussi de la facture ne peuvent plus être modifier). Rem: Il est toujours possible de faire des modification sur l'objet de gestion mais la trace historique (la log archivée) doit rester non modifié et fidèle à l'acte d'origine. Et si un changement est fait, ce changement doit lui aussi être tracé et reprendre toutes les nouvelles informations et être lui aussi non effaçable, non modifiable.
- Conservation sur 6 ans ou plus (Remarque: Dolibarr conserve les données en base à vie)
- Fonction "Archiver" annuellement qui permet d'exporter dans un fichier externe dans un format lisible sans le logiciel, et par l'administration, pour consulter l'archive (et retrouver les infos d'origine qui composaient la facture, les paiements). Dans Dolibarr, cette fonction export se trouve dans la configuration du module "Log Inaltérable".
- Fournir, soit la certification de conformité du logiciel, soit une attestation de conformité (Voir dans les FAQ plus loin "Quel éditeur peut fournir des attestations pour ma version ?" sur comment l'obtenir)
!!! En d'autres termes, il ne sera plus possible d'utiliser des logiciels tableurs comme Excel ou Google Apps, ni autre solution développée soi même pour avoir une trace et conservation de vos paiements, sans considération de cette loi (sauf à continuer de saisir en parallèle soit dans un autre système conforme, soit sur le bon vieux carnet à souche). Mais vous pouvez continuer à utiliser votre tableur à des fins de logiciel pour générer vos Factures (la loi parle de "logiciel facturier") si il n'y a pas de conservation de données (le logiciel est alors considéré comme simple facturier et donc hors périmètre).
Pour un suivi et conservation de vos encaissements via un outils informatique, des logiciels conformes Loi Finance 2016 comme Dolibarr ERP CRM v10 ou + deviennent alors obligatoires, dès lors que l'on est concerné (voir FAQ ...suis-je concerné...).
Quelle est la différence entre certification et attestation ?
La certification est une procédure par laquelle une tierce partie, l’organisme certificateur (Par exemple la LNE ou L'AFNOR), donne une assurance écrite qu’un système d’organisation, un processus, une personne, un produit ou un service est conforme à des exigences spécifiées dans une norme ou un référentiel. Elle est encadrée par le Code de la Consommation. Sur un logiciel, la certification est faite pour une version donnée sur le périmètre de l'application ou d'une partie de l'application uniquement. Chaque nouvelle version devant être re-certifiée. Ce processus étant complexe et long, c'est souvent l'autre solution, celle de l'attestation, qui est privilégié par le marché. Voir point suivant.
L'attestation de conformité est fournie par une tierce partie également, mais ce dernier n'a pas besoin d'être un organisme certifiant. Il peut s'agir de n'importe quelle société. C'est souvent l'éditeur du logiciel, mais il peut s'agir en fait de n'importe quelle société. Cette attestation est une déclaration par laquelle l’éditeur témoigne et s’engage à ce que le système d’encaissement qu’il atteste respecte les conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données. L'attestation est elle aussi valable pour une version et éventuellement un paramétrage donné.
Dans le cadre de la loi des finances pour 2016, et si vous êtes dans le périmètre de cette loi (voir autres FAQ), vous devez, soit avoir un logiciel "certifié", soit avoir un logiciel "attesté conforme" (Notez que le terme "certifié" est souvent utilisé dans les textes (plus rarement dans le texte définitif de la loi) comme raccourci pour signifier "certifié ou attesté conforme".
L'application Dolibarr sera-t-elle certifiée par l'éditeur ?
Pour Dolibarr, et de nombreux logiciels Open Source, il n'y a pas un éditeur bien identifié car de nombreuses sociétés différentes contribuent à son évolution.
Au sens de la loi, l'éditeur du logiciel est le "dernier" qui a modifié/validé le code. L'entité qui postule pour une certification peut donc être, aussi bien l'association Dolibarr, comme tout intégrateur, hébergeur ou autre institution externe.
Il est possible que l'association Dolibarr, qui a pour rôle la promotion du logiciel, fasse les démarches pour obtenir la certification pour certaines versions majeures, celles qui sont officiellement packagées par le release manager et qui sont mises à disposition sur l'espace de téléchargement officiel par l'association. Dans cette éventualité, seules quelques versions bien identifiées feront l'objet d'une demande de certification. Toutefois, cette obtention de certification (Certification LNE ou certification NF525) qui fige une version n'est pas obligatoire pour être conforme, et est non adapté avec les lois du marché qui veut qu'un logiciel doit évoluer très vite. L'autre solution, celle de l'obtention d'une attestation s'avère donc recommandée et plus simple.
Nous encourageons donc les utilisateurs qui ont obligation d'utiliser un logiciel conforme anti-fraude à la TVA selon la loi finance 2016 (donc les assujettis à TVA hors franchise de base, et qui facture/encaisse des particuliers) à se tourner vers la solution d'attestation. Voir point suivant.
L'attestation de conformité, autre possibilité, sera-t-elle fournie par l'éditeur ou autre tiers ?
L'autre solution pour être en règle est d'obtenir une attestation de conformité de votre logiciel de suivi des encaissements.
En tant qu'utilisateur, et si vous êtes dans le périmètre de la loi, vous pourrez obtenir une attestation auprès de n'importe quel tiers/intégrateur prêt à la fournir (en général moyennant finance), ou vous la délivrer à vous même si vous êtes une société d'édition de logiciel. Voir les 2 FAQ suivantes pour savoir qui pourra délivrer les attestations de conformité... Dans le cas d'un logiciel hébergé en Saas, la société qui propose la solution en Saas fournira souvent cette attestation mais parfois non (voir point suivant).
Quel éditeur peut fournir des attestations pour ma version, à quel prix ?
N'importe quelle société qui a les compétences pour analyser le logiciel et vérifier que ses fonctionnalités d'inaltérabilité sont bien implémentée peut fournir une attestation à autrui. Le code d'une application libre étant ouvert, toute société compétente dans la technologie du produit, peut maîtriser le code aussi bien que les développeurs initiaux. Une telle société peut donc être qualifiée d'"éditeur", même si elle n'a pas produit ou très peu produit de code au projet final, et par conséquent, et à même de fournir un attestation individuelle à ses clients.
Le BOFIP dit clairement:
"310. Lorsque le logiciel ou système est conçu de manière ouverte pour permettre son adaptation aux besoins spécifiques des clients, on entend par « éditeur » qui peut valablement demander la certification ou fournir l'attestation individuelle."
Bref, si vous utilisez une version en ligne SaaS/Cloud fournie par un tiers, ce dernier vous la fournira surement (Exemple avec https://www.dolicloud.com ou encore https://www.novafirstcloud.com). Dans le cas contraire, il vous faut contactez votre intégrateur ou un prestataire pouvant fournir cette d'attestation. Remarque: cette contrainte sera identique quelque soit l'outil informatique d'enregistrements des encaissements qui aura été choisi.
En ce qui concerne le prix, tout dépend du tiers qui fournit l'attestation. Certains, par exemple, pourront donner l'attestation gratuitement à condition d'héberger le logiciel attesté chez eux. D'autres vous feront payer la prestation d'audit et la délivrance de l'attestation. Cela peut être de manière récurrente si l'attestation doit être réémise régulièrement suite à modification/mise à jour de l'application.
La loi finance est-elle compatible avec les licences libres de logiciels de caisse ?
Si le logiciel libre n'est pas un logiciel qui réalise des encaissements ou si vous n'encaissez que des entreprises, la question ne se pose même pas puisque la loi ne s'applique pas à ces cas.
Si le logiciel libre est un logiciel d'encaissements et que les clients encaissés sont des particuliers, alors oui, le logiciel libre est parfaitement compatible:
Le paragraphe 40 du BOI le dit explicitement en reconnaissant aux utilisateurs la possibilité « d'adapter le logiciel à leurs besoins spécifiques » :
"... Sont notamment concernés les logiciels de comptabilité ou de gestion dits "libres" ou développés en interne, c'est-à-dire développés par l'assujetti lui-même. On entend par logiciel libre un logiciel dont les utilisateurs ont un libre usage, une libre étude, une libre modification et une libre distribution. Ces libertés permettent aux utilisateurs d'adapter le logiciel à leurs besoins spécifiques. Les modifications que les utilisateurs peuvent apporter au logiciel libre ou développé en interne ne doivent pas avoir pour objet ou pour effet d'altérer le respect des conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage décrites ci-dessous..."
Par ailleurs, le paragraphe 310 évoque à nouveau le cas des logiciels « conçus de manière ouverte », c.à.d les logiciels libres.
Donc, aucune objection à utiliser des logiciels libres. Mais attention, l'autorisation de modification est restreinte au code et paramètres "triviaux". En effet, que ce soit lors d'une utilisation de la version certifiée ou d'une version rendue conforme par obtention d'une attestation de conformité, la nouvelle loi vous prive d'une partie de votre liberté de modifier le logiciel de caisse SUR LES PARTIES qui concernent les fonctions d'inaltérabilité, sécurisation, conservation et archivage. En effet, en faisant une telle modification, la version est considérée comme changée de manière "non triviale", aussi la certification n'est plus valable, l'attestation d'un tiers non plus. Les logiciels libres sont donc tout à fait légaux et compatible avec la loi, par contre, c'est à condition de ne pas faire n'importe quelle modification. Vous perdez donc une partie de votre liberté (non pas du fait de la licence du logiciel qui le permet, mais du fait de la loi qui est prioritaire sur les droits accordés par la licence). Le logiciel libre est donc bien compatible avec la loi, mais la loi vous prive d'une des 4 libertés que le logiciel libre apportait, celle de le modifier librement. Vous pouvez toujours le faire, mais à condition que cela ne porte pas sur le comportement de l'inaltérabilité des encaissements, ou, si cela porte sur celui-ci, que vous ré-obteniez soit la certification à nouveau (complexe et long), soit une nouvelle attestation d'un éditeur ou intégrateur.
Pour ma propre utilisation, puis-je m'auto-délivrer l'attestation de conformité pour une version que j'ai modifié moi même sur les parties d'encaissements
Uniquement un nombre très restreints d'entreprise le pourront, celles qui sont dans le domaine de l'Edition de logiciel de comptabilité ou de gestion ou de système de caisse. Toutefois, sur le plan juridique une telle classification n'existe que par les faits. En effet, on serait tenté de penser que les entreprises ayant le codes NACE (Code NACE = terme européen du code NAF/APE) 58.29 qui signifie Edition de logiciel autre et/ou 62.01Z qui signifie Développement de logiciels pourrait être qualifiées. Toutefois, il faut avoir en tête que le code APE est "attribué par l'INSEE à des fins statistiques, et ne saurait suffire à créer des droits ou des obligations pour les entreprises" (Ceci est dans le décret qui approuve la nomenclature: décret n° 2007-1888 du 26 décembre 2007, article 5, point I). Dans la réalité, ce code est malgré tout utilisé pour avoir des présomptions d'activité au niveau fiscal ou administratif. Donc, c'est un avantage, mais aucunement une garantie et inversement, une entreprise n'ayant pas cette classification peut avoir des arguments suffisamment solide pour démontrer son activité d'"éditeur de logiciel de caisse". [1]
Je suis intégrateur ou développeur informatique, je sais que Dolibarr v10 et ultérieur répond aux exigences de conformité, puis-je délivrer l'attestation de conformité, à mon client qui est en v10 ou plus, moi même ?
Oui. A vous de fournir/indiquer à votre client la version/paramétrage que vous attestez. Avec Dolibarr, vous pouvez générez la signature de la version et paramétrage que vous attestez avec l'outil generate_filelist_xml.php fourni avec les sources de l'application. Cette signature vous permettra de vérifier que votre client n'a pas fait de modification de code ou paramétrage sur les parties qui concernent l'inaltérabilité des encaissements. Auquel cas, il devient l'éditeur, et votre attestation en tant qu'éditeur n'est plus valide, vous n'êtes alors plus responsable d'une apparition d'une fonctionnalité non conforme dans le logiciel.
Je suis intégrateur ou développeur informatique, quel outil ai-je à ma disposition pour m'assurer que les exigences sur le logiciel sont bien assurées par une version installée de Dolibarr
Les versions 10.0 et supérieures contiennent l'ensemble des exigences et notamment le module "Log inaltérable" qu'il vous revient d'activer (l'obligation d'activation dépend du fait que vous êtes concerné ou non, voir FAQ précédente pour cela). L'application est une application Open Source, le client utilisateur peut réussir à modifier le code (notons que ceci est aussi possible avec du propriétaire, juste plus difficile). De même, un hacker peut toujours réussir à trafiquer un logiciel. Face à cela, Dolibarr fourni un outil pour obtenir la liste de tous les fichiers qui auraient été modifiés par rapport à la version officielle, ou par rapport à une version packagée par un intégrateur tiers, ainsi que la liste des paramètres de configuration obligatoires pour la conformité (voir plus bas) et qui aurait aussi été modifiés. Le certificat étant délivré pour une version avec une configuration donnée, si un utilisateur ou hacker a pu altérer partiellement l'application sur du code ou des paramètres sensibles, l'outil de contrôle pourra le révéler, auquel cas, la responsabilité de non conformité n'est plus du ressort de l'entité qui a fournit l'attestation, puisque ce n'est plus la même application, mais de la responsabilité de celui qui est à l'origine des modifications.
Paramètres recommandées à contrôler/imposer dans le texte de son attestation:
- Pays de la société (doit rester à France). Rem: Une fois le premier encaissement fait avec le module "Log inaltérable", sa désactivation renverra un warning.
- Constante MAIN_MODULE_BLOCKEDLOG doit être définie (Cela signifie que le module "Log inaltérable" est bien actif).
Optionnellement, vous pouvez:
- Imposer que la constante BLOCKEDLOG_DISABLE_NOT_ALLOWED_FOR_COUNTRY soit définie et contient le code pays FR (ceci bloque la désactivation du module par erreur).
Remarque: Vous pouvez utiliser l'outil build/generate_filecheck_xml.php pour générer un fichier empreinte de la version et/ou paramétrage donné que vous voulez imposer. Ensuite utilisez l'outil dans le menu Accueil - Outils administration - Dolibarr - Files integrity check ou bien à distance l'API /setup/checkintegrity (le module API REST doit avoir été activée) pour vérifier qu'une version est conforme à ce fichier empreinte.
Je suis dans le périmètre de la loi, j'ai ajouté un module externe sur mon Dolibarr, faut-il une attestation Loi Finance pour ce module ?
Il n'y a pas de notion de "certificat ou d'attestation loi finance" sur un module.
En effet, ce qui doit être certifié ou attesté, c'est la partie du logiciel qui réalise les enregistrements des paiements, pris dans le contexte de l'ensemble du système d'information, et non chaque module de votre application individuellement. Le logiciel Dolibarr v10 ou + est attestable, donc, si vous êtes dans le périmètre de la loi, ce qu'il vous faut obtenir, c'est une attestation de conformité de l'ensemble de la solution, validant les modules ajoutés qui impactent l'enregistrement des paiements. Donc,
- Si vous êtes dans le périmètre de la loi et que le module ajouté ne concerne pas l'inaltérabilité de l'enregistrement des paiements, il n'y a rien de particulier à faire de plus (dès lors que vous êtes dans le périmètre de la loi, vous devez obtenir l'attestation pour les fonctions encaissements de paiements de votre Dolibarr, peu importe que vous ajoutiez ce module ou pas, le module n'ayant pas d'effet sur les fonctions d'inaltérabilité des encaissements, on parle d'effet "trivial ou mineur" au code).
- Si toutefois, vous êtes dans le périmètre de la loi et que le module touche à la partie inaltérabilité des encaissements, il faudra que le tiers fournissant l'attestation prenne en considération ce module (si vous aviez déjà obtenu l'attestation, il vous faudra la ré-obtenir car l'ajout du module l'invalide puisque ce module touche au code de la partie inaltérabilité des encaissements/paiements).
La nature du module doit vous permettre de savoir si c'est un module qui touche à l'enregistrement des encaissements ou pas. Dans le doute, renseignez vous auprès de l'auteur du module (ce n'est pas lui qui fournira l'attestation mais pourra dire si le module doit être pris en compte ou non dans le processus d'attestation).
Travaux dans Dolibarr pour permettre la conformité via attestation
Et Dolibarr dans tout cela ? Dolibarr v10+ est prêt et attestable sur l'intégralité de ses modules standards. Voici le suivi des travaux réalisés depuis la v5: Loi article 88 finances 2016 et Certification NF525 - Travaux Dolibarr
Où trouver un modèle d'attestation ?
Les services des impôts proposent un modèle d'attestation individuelle que vous pouvez consulter dans le Bulletin Officiel des Impôts du 30/12/2020. C'est ce modèle qui est fourni par la plupart des intégrateurs ou hébergeurs qui offre des attestations de conformité de logiciel de caisse, dont Dolibarr.
Notes et références
- ↑ BOI-TVA-DECLA-30-10-30-20180704, point 375
- Synthèse détaillée du BOFIP par La Revue Fiduciaire, rédigé le 06/10/2016: Article sur la revue fiduciaire
- Synthèse courante par l'APRIL (document en évolution permanente): https://pad.april.org/p/logiciel-caisse-publication-BOI
- Article de l'APRIL: https://www.april.org/loi-de-finances-2016-une-doctrine-fiscale-qui-reconnait-les-logiciels-libres-mais-avec-une-marge-de
- Echanges sur les mailing-list de l'April: https://listes.april.org/wws/arc/comptabilite/ (réservé aux adhérents April)
- Note d'information très courte du service public: https://www.service-public.fr/professionnels-entreprises/actualites/A10279
- http://creativekara.fr/doku.php?id=pasteque:lf2016
- Réunion entre le chef de projet Dolibarr, autres représentants April et le ministère des finances en 2018 pour participation à la refonte et clarification du texte de loi.
- Le texte de loi définitif: https://bofip.impots.gouv.fr/bofip/10691-PGP.html/identifiant%3DBOI-TVA-DECLA-30-10-30-20180704, ...et sa révision de 2021: https://bofip.impots.gouv.fr/bofip/10691-PGP.html/identifiant=BOI-TVA-DECLA-30-10-30-20210519