Dans notre précédent article, nous avons abordé les conditions que les logiciels/systèmes de caisse doivent satisfaire pour être en mesure d’être certifiés ou attestés. En effet, le respect des conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données peut être justifié par un certificat délivré par un organisme accrédité ou par une attestation individuelle de l'éditeur. Il s’agit d’un mode de preuve alternatif : un seul des deux documents suffit.
Qu'il s'agisse du certificat ou de l'attestation individuelle, c'est l'éditeur du logiciel ou système de caisse qui fait produire le certificat demandé à un organisme certificateur accrédité ou qui produit le document (attestation individuelle). Ce n'est pas l'assujetti qui demande la certification du logiciel ou système de caisse qu'il détient à l'autorité certifiante[1].
L’éditeur se définit comme la personne qui détient le code source du logiciel ou système et qui a la maitrise de la modification des paramètres de ce produit[2]. Toutefois, si une personne est intervenue ultérieurement dans la programmation ou le paramétrage des logiciels ou systèmes et que cela a eu pour objet ou effet de modifier un ou des paramètres permettant le respect des conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données, ladite personne doit alors attester de la conformité du logiciel ou le faire certifier.
Pour être certifié, l’éditeur doit s’adresser à un des deux organismes agréés (INFOCERT ou le LNE) qui diligenteront un audit afin de s’assurer que le logiciel ou le système suit leur référentiel et respecte les critères légaux.
L’éditeur peut également faire le choix d’attester sa conformité à la loi. Une attestation délivrée par l’éditeur engage sa responsabilité sous réserve que les dispositifs techniques garantissant les conditions d’inaltérabilité, de sécurité, de conservation et d’archivage ne soient pas modifiées par un tiers[3].
Par tolérance administrative, dans le cas d’une chaîne complexe d’intervenants, il est possible de faire certifier ou d’attester chaque « brique » ou module du système d’encaissement, à charge pour l’assujetti de réunir tous les documents (certificats et/ou attestations individuelles) et de pouvoir justifier que le système constitué par l'ensemble de ces « briques » ou modules soit lui-même conforme aux exigences prévues au 3° bis du I de l'article 286 du CGI[4].
De même, en cas d’utilisation d’un logiciel librement modifié et paramétré ou développé en interne, la personne responsable de la certification ou de l’attestation est l’assujetti. Il doit alors obtenir un certificat d’un organisme accrédité. A noter que, seuls les éditeurs de logiciel exerçant une activité avérée d’édition de logiciels ou de systèmes de caisse, qu’ils soient multifonctions ou non, peuvent s’autoattester. L’activité d’éditeur de logiciel devra être réelle et corroborée[5].
S’agissant du référentiel de certification, selon l’article L433-3 du Code de la consommation « constitue une certification de produit ou de service (…) l'activité par laquelle un organisme, distinct du fabricant, de l'importateur, du vendeur, du prestataire ou du client, atteste qu'un produit, un service ou une combinaison de produits et de services est conforme à des caractéristiques décrites dans un référentiel de certification. Le référentiel de certification est un document technique définissant les caractéristiques que doit présenter un produit, un service ou une combinaison de produits et de services, et les modalités de contrôle de la conformité à ces caractéristiques. »
Un référentiel de certification ou d’attestation définit notamment : son champ d’application ; les caractéristiques certifiées du produit et/ou service ; les modalités d’évaluation de la conformité du produit et/ou service ; la nature et le mode de communication des informations relatives aux caractéristiques certifiées du produit et/ou service. Les exigences formulées par le référentiel doivent être auditables et ne pas laisser place à l’interprétation.
Il existe actuellement deux référentiels concurrents de certification développés par les deux organismes accrédités : le référentiel NF 525, élaboré par INFOCERT et le « référentiel de certification des systèmes de caisse » du LNE. Ces deux référentiels ne concernent cependant pas les logiciels multifonctions comportant en sus des fonctionnalités comptables et de gestion.
Concernant les attestations émises par les éditeurs, le groupe de travail de l’Académie des Sciences comptables et financières a rédigé, en concertation avec le CNOEC et plusieurs associations d’éditeurs et les certificateurs, un référentiel d’attestation. Celui-ci il porte aussi bien sur les logiciels multifonctions que sur les systèmes de caisses. Ce projet a été communiqué à la DGFiP.
[1] BOI-TVA-DECLA-30-10-30 § 290, 19/05/2021
[2] BOI-TVA-DECLA-30-10-30 § 300, 19/05/2021
[3] BOI-TVA-DECLA-30-10-30 § 300, 19/05/2021
[4] BOI-TVA-DECLA-30-10-30 § 315, 19/05/2021
[5] BOI-TVA-DECLA-30-10-30 § 375, 19/05/2021
.jpeg)