· 

Obligation d'utiliser des logiciels de caisse sécurisés

À retenir

  • L’obligation de sécurisation concerne les entreprises qui enregistrent les règlements de leurs clients particuliers au moyen d'un logiciel ou d'un système de caisse.
  • Les contribuables doivent pouvoir justifier du respect des conditions exigées soit par un certificat délivré par un organisme accrédité, soit par une attestation individuelle de l'éditeur du logiciel ou du système de caisse concerné, selon un modèle fixé par l'administration.
  • Les agents de l'administration fiscale peuvent intervenir de manière inopinée dans les locaux professionnels des contribuables, selon une procédure et des horaires encadrés, ou à l'occasion d'une vérification de comptabilité.
  • Les manquements donnent lieu à une amende de 7 500 € par logiciel ou système de caisse utilisé et non conforme ; la sanction étant éventuellement reconduite à défaut de mise en conformité dans un délai de 60 jours.

Qui est concerné ?

Sont visés par cette obligation les assujettis qui réalisent des livraisons de biens ou des prestations de services avec des non assujettis et qui utilisent un logiciel ou un système de caisse. Les sociétés mandatées pour la gestion des règlements des clients pour le compte d’un autre assujetti sont également concernées.

 

Les assujettis qui réalisent à la fois des opérations avec des non-assujettis et avec des assujettis sont visés par cette obligation.

 

En revanche, ne sont pas concernés :

  • les assujettis non soumis à la TVA (relevant de la franchise en base ou réalisant des opérations exonérées de TVA) ;
  • les assujettis soumis au régime du remboursement forfaitaire de TVA agricole ;
  • les assujettis dont les clients sont exclusivement des assujettis.

Les logiciels visés

L’obligation vise tous les logiciels et systèmes, quelle que soit leur qualification (de caisse, comptable ou de gestion), qui comprennent une fonctionnalité de caisse et qui mémorisent et enregistrent extra comptablement les paiements des clients particuliers (quel que soit le mode de règlement).

 

Est considéré comme enregistré extra comptablement un paiement qui ne déclenche pas obligatoirement, instantanément et automatiquement une écriture comptable.

 

Un logiciel de gestion qui suit les encaissements perçus auprès de clients particuliers doit être sécurisé. S’agissant des logiciels multifonctions, seule la fonctionnalité de caisse enregistreuses/encaissement, doit être certifiée.

 

Il est expressément prévu que les logiciels de facturation ayant une fonctionnalité de caisse sont inclus dans le champ de l'obligation dès lors que ce logiciel est utilisé par un assujetti pour le suivi extra-comptable de ses règlements provenant des non assujettis.

 

Deux tolérances administratives ont été prévues. Ne sont donc pas visés par cette obligation, les paiements reçus et qui sont réalisés avec l’intermédiation directe :

  • d’un établissement de crédit auprès duquel l’administration peut exercer son droit de communication ;
  • d’un établissement bancaire établi au sein d’un pays de l’UE soumis à l’obligation d’échange automatique d’informations.

 

Les données concernés

Les données concernées sont les données de règlement liées à la réalisation d’une transaction. Sont visés :

  • le numéro de justificatif ;
  • la date (année, mois, jour, heure, minute) ;
  • le numéro de caisse ;
  • le montant total TTC ;
  • le détail des articles ou prestations (libellé, quantité, prix unitaire, total HT de la ligne, taux de TVA associé) ;
  • toutes les données liées à la réception du paiement (mode de règlement notamment) ;
  • les traces de modifications et corrections apportées.

 

Sont également concernées les données permettant d’assurer la traçabilité et de garantir l’intégrité des données concourant à la réalisation de la transaction ainsi que les données permettant de générer des données d’archive selon un procédé fiable.

 

S’agissant des logiciels de facturation pouvant être assimilés à des logiciels de caisse, les données relatives au numéro de caisse ne sont pas exigées, de même que les clôtures journalières, mensuelles et annuelles (ou par exercice) ne sont pas exigées, sous réserve qu’en cas de contrôle les logiciels puissent fournir, à la demande de l’administration, le total des règlements enregistrés pour une période déterminée.

Les conditions à respecter

Les logiciels et systèmes de caisse doivent satisfaire à des conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données.

Condition d’inaltérabilité

Le logiciel ou le système de caisse doit enregistrer toutes les données d'origine relatives aux règlements, les conserver et les rendre inaltérables.

 

Les données d’origine ne doivent pas être modifiées sans trace. Ces corrections peuvent s’effectuer par des opérations de « plus » et de « moins ».

 

L’administration fiscale doit pouvoir accéder aux données d'origine enregistrées initialement ainsi qu'au détail daté des opérations et des corrections apportées.

 

Pour garantir le respect de cette condition, le logiciel doit garantir l’inaltérabilité de toutes les données et fournir une fonctionnalité de suivi des modifications.

Condition de sécurisation

Le logiciel ou le système de caisse doit sécuriser :

  • les données d'origine ;
  • les données de modifications enregistrées ;
  • les données permettant la production des pièces justificatives émises.

Cette sécurisation peut être assurée par tout procédé technique fiable, c'est-à-dire de nature à garantir la restitution des données de règlement dans l'état de leur enregistrement d'origine.

 

L'emploi d'une fonction « école » ou « test » destinée à l'enregistrement d'opérations de règlement fictives aux fins de formation du personnel doit également être sécurisé.

Condition de conservation

Les données doivent être conservées « en ligne » dans le système informatique. Si besoin, les données peuvent faire l’objet d’une purge pour les stocker sur un support externe dans les conditions d’archivage exposées ci-dessous.

 

Le logiciel ou le système de caisse doit prévoir une clôture journalière, mensuelle et annuelle.

 

Pour chaque clôture, des données cumulatives et récapitulatives doivent être calculées par le système, comme le cumul du grand total de la période et le total perpétuel pour la période comptable.

 

 

L’obligation de conservation porte sur toutes les données enregistrées ligne par ligne, ainsi que pour les systèmes de caisse, sur les données cumulatives et récapitulatives calculées par le système.

Condition d’archivage

Le logiciel ou le système de caisse doit permettre d'archiver les données enregistrées selon une périodicité choisie, au maximum annuelle ou par exercice. Cette procédure sert à figer les données et à donner date certaine aux données archivées.

 

La procédure d'archivage doit prévoir un dispositif technique garantissant l'intégrité dans le temps des archives produites et leur conformité aux données initiales de règlement à partir desquelles elles sont créées.

 

L’archivage ne doit pas être confondu avec une solution de sauvegarde des données présentes dans le logiciel.

 

Les archives doivent pouvoir être lues aisément par l’administration en cas de contrôle, y compris lorsque l’entreprise a changé de logiciel ou système de caisse.

 

Le logiciel ou système doit prévoir une traçabilité de la génération des données d’archives et les données de traçabilité de la procédure de purge et d’archivage doivent être conservées.

Les modalités de justification du respect des conditions

Pour justifier du respect des conditions exigées, l’assujetti doit produire l’un de ces documents :

  • soit un certificat délivré par un organisme accrédité ;
  • soit une attestation individuelle de l’éditeur du logiciel ou du système de caisse concerné, selon le modèle communiqué par l'administration fiscale (Lettre modèle d'attestation).

Lorsqu'une entreprise détient plusieurs systèmes et/ou logiciels de caisse dans lesquels elle enregistre les règlements de ses clients, elle doit présenter un certificat ou une attestation pour chacun de ces produits.

 

L'entreprise doit s’assurer qu’elle dispose du certificat ou de l’attestation correspondant à la version du logiciel utilisé. Si ce n’est pas le cas, elle doit demander à l’éditeur de lui remettre ce document ou faire certifier la dernière version de son logiciel.

 

Celui qui délivre ce document est l’éditeur du logiciel, à savoir soit le concepteur d’origine du logiciel, soit le dernier intervenant ayant paramétré le logiciel ou le système de caisse.

 

En cas de modifications apportées à un logiciel développé en interne, celui-ci doit être certifié par un des organismes accrédités par l’administration.

Contrôle de l’Administration fiscale et sanction

L’administration fiscale dispose d’un droit de contrôle inopiné lui permettant d’intervenir dans les locaux professionnels d’une personne assujettie à la TVA pour vérifier que celle-ci détient l’attestation ou le certificat justifiant le respect des conditions requises pour chaque logiciel ou système de caisse qu’elle possède.

 

Remarque : cette justification peut également être demandée dans le cadre d'une vérification de comptabilité.

 

Le manquement aux obligations de sécurisation est constaté dans un procès-verbal dressé à l’issue du contrôle et sanctionné par une amende de 7 500 € par logiciel ou système de caisse concerné

.

Toutefois, si l’assujetti fournit l’attestation ou le certificat dans un délai de 30 jours, l’amende n’est pas appliquée.

 

Le délai de 30 jours est un délai franc dont le 1er jour est fixé au lendemain du jour de l’intervention au cours duquel le procès-verbal a été remis.

 

Lorsque l'amende est appliquée, l'assujetti dispose d'un délai de 60 jours pour se mettre en conformité.

 

Passé ce délai, l'administration fiscale peut à nouveau demander à l'assujetti de produire les justificatifs dans le cadre d'un nouveau contrôle inopiné ou à l'occasion d'une vérification de comptabilité ultérieure. Dans l'hypothèse où l'assujetti ne se serait pas mis en conformité, il est passible à nouveau de l'amende.