LaCaisseTactile passe au NF525

PUBLIÉ
|  COMMENTAIRES
la-caisse-tactile-nf525.jpg

LaCaisseTactile est la première des caisses purement tactiles à obtenir le droit d'utilisation de la marque NF525. Anciennement ZenPos, nous vous avions présenté cette caisse à destination des indépendants, munie d'un système de gestion des livraisons assez exceptionnel que nous vous invitons  à retrouver ici.

L'occasion est idéale pour tenter d'éclairer une situation un peu floue et obscure sur cette loi et ses dérives.

Nous remercions vivement LaCaisseTactile de nous avoir apporté de nombreuses informations ainsi que leur point de vue honnête et transparent sur ce sujet, que nous avons pu recouper avec nos propres recherches.

La Loi Finances 2016

La loi finances pour 2016 instaure de nombreuses obligations, à partir de 2018, pour les commerçants et professionnels assujettis à la TVA. Parmi ces obligations, les logiciels de gestion et caisses enregistreuses doivent répondre à des conditions « d'inaltérabilité, de sécurisation, de conservation et d'archivage des données en vue du contrôle de l'administration fiscale ».
Nous vous invitons à retrouver le texte de loi ici.

Les commerçants sont directement concernés par cette mesure, car ils doivent eux-même justifier à l'administration fiscale que les logiciels qu'ils utilisent sont conformes à la loi, sans quoi une amende de 7500 € par logiciel et d'une obligation de se mettre en conformité sous 60 jours. Passé ce délai l'amende peut retomber si le commerçant n'a pas fait le nécéssaire.

Forcément cela fait peur.

Les formes d'attestation

L'éditeur logiciel doit donc fournir à ses clients une attestation comme quoi son logiciel respecte la loi. Deux cas sont possibles :

  • soit l'éditeur fournit un certificat délivré par un organisme accréditer à certifier les logiciels
  • soit l'éditeur fournit une attestation individuelle — une sorte d'auto-attestation — qui doit respecter un modèle fixé par l'administration, modèle qui n'existe pas encore.

Les obligations prévues par cette loi finances ne sont en fait pas nouvelles du tout et ont été rappelées en 2013. Ces obligations portent sur l'inaltérabilité des données d'encaissement (on ne peut pas manipuler les données informatiques), l'archivage et la conservation des données en vue du contrôle fiscal et de sécurisation des données.

Pour cela, les éditeurs de caisses se sont regroupés dans une association appelée l'ACEDISE afin de promouvoir des "bonnes pratiques" à respecter afin de démontrer que leurs logiciels font face aux contraintes légales (une centaine d'euros d'abonnement à l'association pour l'année).

INFOCERT et l'ACEDISE

Cette association a longtemps milité pour la mise en place d'une certification, ce qui a été mis en place par une société d'informatique appelée INFORCERT spécialisée dans la certification de logiciels. Pour simplifier, l'éditeur de logiciels paye INFOCERT pour détenir un certificat comme quoi le logiciel est conforme à un certain cahier des charges. Du fait du rapprochement d'INFOCERT et de l'AFNOR, dont il agit comme secrétariat technique, le fait de disposer d'un certificat INFOCERT permet de justifier de manière expresse à l'administration fiscale que le logiciel est conforme à la loi.

La marque NF525

La fameuse "NF525" est donc une marque. C'est une manière pratique de justifier rapidement auprès de l'administration fiscale et des clients que tout est en règle.

Pour bénéficier du symbole NF525, les éditeurs doivent se conformer à un cahier des charges précis puis procéder à un audit fait par la société INFOCERT. Le cahier des charges a été établi par INFOCERT en collaboration avec la DGIFP et contient notamment les points suivants :

  • l'identification des processus et des données d'encaissement (Traçage et sécurisation)
  • la sécurisation de l'enregistrement des données relatives à l'encaissement par la signature électronique
  • la création d'une piste d'audit, outil de traçabilité des opérations d'encaissement (Traceur)
  • l'archivage et la conservation des données d'encaissement
  • l'absence de fonctions occultant des données d'encaissement
  • les moyens de restitution des données d'encaissement enregistrées afin de simplifier les contrôles internes et/ou par l'administration

Ce processus est toujours en mouvement et des réunions régulières permettent aux éditeurs, la DGIFP, Infocert et tout autre organisme de collaborer à son élaboration.

Un coût pour l'éditeur

La certification INFOCERT et la permission d'utiliser la marque NF525 est une démarche volontaire de l'éditeur de logiciel (en aucun cas n'est une obligation légale, juste une alternative légale). Les méthodes d'auto-certification ne sont pas encore déterminées ce qui stratégiquement peut pousser à s'orienter vers la seule solution sûre aujourd'hui.

Benéficier de la certification NF525 a un coût. Les coûts de développement et de mise en conformité du logiciel vis à vis du cahier des charges peut être important, même pour un logiciel qui respecte la loi depuis sa création. De plus, l'audit du logiciel peut être très elevé en fonction de la catégorie de logiciel (caisse tactile uniquement, systèmes mobiles satellites, remontées des informations sur PC, sur serveur, etc.).

Un environnement encore flou

La législation en elle-même ne donne pas les conditions d'applications ni les méthodes à employer pour assurer le respect légal. En outre, le sujet de l'auto-certification n'est pas défini (comment s'auto-certifier). En cas de contrôle par le Fisc, un logiciel auto-certifié ne sera pas considéré de la même manière qu'un logiciel certifié par un organisme tiers comme dans le cas de la certification NF 525. Certaines formes de logiciels et de conceptions ne sont pas couvertes non plus : par exemple, que faire lorsque l'on a une caisse enregistreuse sur base de logiciel libre ? Quelles sont les méthodes d'inaltérabilité possibles ? Quelles sont les méthodes de cryptage envisagées ? Les technologies de type "blockchain" (technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle) sont-elles légalement valables ? Les discussions sont en cours.

Aujourd'hui de nombreux éditeurs de caisse malveillants entretiennent un flou volontaire sur "l'obligation légale 2018" combinée à la peur de l'amende et à la responsabilisation des commerçants. Certains n'hésitent pas à parler de "norme", de "loi" ou de "certification obligatoire" en promouvant leur solution certifiée ou en cours de certification comme seule alternative. En rabaissant les plus jeunes startups auprès des restaurateurs grâce à cet argument (discours que nous avons souvent entendu), ils espèrent ainsi garder une position dominante sur leur marché.
A contrario, pour contrer ces abus, certains éditeurs de logiciels n'hésitent pas à annoncer à leur clients que leur logiciel est certifié alors qu'il ne l'est pas, comptant certainement sur l'évolution prochaine des conditions d'auto-certification.
Le logo "NF" ne fait aussi que rajouter à la confusion.

Des questions subsistent

En attendant plus de directives opérationnelles de la part de l'État :

  • la mise en application est prévue pour 2018, il est probable que les choses changent d'ici là
  • quid des sociétés qui utilisent des logiciels basés à l'étranger et ne sont pas directement concernés ?
  • quelles solutions pour gérer en interne la facturation, lorsque le business model est différent des modèles classiques et que des solutions sur-mesure sont appropriées ?
  • quid des logiciels libres (Odoo, Pastèque par exemple) ?
  • sur le sujet des logiciels libres, le fait de ne pouvoir modifier soit-même le logiciel est en directe opposition à l'inaltérabilité et la sécurité des données, qu'en est-il ?
  • de même la co-responsabilité entre éditeur et commerçant n'a de sens que dans le cadre d'un logiciel à code source fermé, ce qui va en directe opposition avec les tendances informatiques actuelles.

LaCaisseTactile

LaCaisseTactile nous confirme que les coûts de développement pour être en conformité avec le cahier des charges peuvent être importants et que le temps passé à l'étude du dossier et la mise en conformité logicielle (les développements) sont la partie la plus lourde du dossier, bien que LaCaisseTactile ait conçu sa caisse comme conforme avec la loi dès de départ (fraude impossible). Les coûts d'audit et les autorisations d'utilisation de la marque NF525 sont élevés. Pour LaCaisseTactile, l'investissement se chiffre presque à 10000€. LaCaisseTactile fait partie des logiciels de catégorie B et, selon leurs concepteurs, ne sont pas forcément représentatifs car le système est conçu de manière simple (pas de mobile, pas de multi-caisses, etc.) (voir ici).

Le choix de LaCaisseTactile vis à vis de la confusion entretenue par d'autres éditeurs, a donc été de considérer cette opération comme un « budget légal » : en étant certifié l'éditeur garantit au restaurateur la conformité par rapport à la loi et lui permet aussi d'avoir un discours marketing et commercial plus clair auprès des restaurateurs sur le fait que le logiciel soit propre et conforme.

Pour conclure, LaCaisseTactile a donc su faire face à ces problématiques pour le confort de ses clients.

En espérant que les choses se clarifient d'un point de vue réglementaire rapidement.