Pour petit rappel la loi finances 2016, mise en application pour le 1er janvier 2018 introduit des contraintes pour les logiciels de caisse et de comptabilité (en gros, ne pas pouvoir supprimer des données) et un système d’attestation et de certification pour engager la responsabilité de quelqu’un en cas de fraude constatée avec le logiciel. Elle concerne tous les assujettis à la TVA.
Le 15 juin dernier (oui, ça date un peu), le gouvernement a indiqué que le champ d’application de cette loi ne concernerait plus les logiciels de comptabilité, et donc uniquement les logiciels d’encaissement. Le communiqué indique également une volonté de simplifier les contraintes.
LinuxFr.org a publié plusieurs dépêches sur le sujet grâce à la mobilisation de l’April et de la société Scil, éditrice du logiciel (libre) de caisse Pastèque.
C’est une très bonne nouvelle pour les logiciels de comptabilité qui évite ainsi l’obligation d’être certifiés ou attestés. Ouf !
En revanche, pas encore de détails du périmètre précis. Les nouveaux textes seront disponibles « d’ici la fin de l’année ». On espère juste que ce ne sera pas le 20 décembre.
Le texte indique qu’il reste six mois pour se mettre en conformité. C’est donc un flou par rapport à d’autres informations qui circulent indiquant que la mise en application serait repoussée de six mois. Information pour laquelle je n’ai pas trouvé de référence officielle. Le communiqué indique bien la mise en application de la loi au 1er janvier 2018.
Aller plus loin
- Communiqué de presse du gouvernement (en PDF) (319 clics)
- Texte de la Loi Finances 2016 (139 clics)
- Projet de loi de finances 2016 : interdiction des logiciels libres (décembre 2015) (128 clics)
- Loi de finances 2016 : des nouvelles du front (février 2016) (85 clics)
- Point d’étape sur la loi française de finances 2016 (mai 2016) (105 clics)
# Et pour les logiciels de caisse libre ?
Posté par Mimoza . Évalué à 3.
Autant c'est une bonne nouvelle pour les logiciel de compta, mais il me semble qu'il existe aussi des logiciel de caisse libre … qu'en est il pour eux ? Vont-ils pouvoir tenter de passer la certification ? Leur caractère modifiable ne les exclu pas ?
[^] # Re: Et pour les logiciels de caisse libre ?
Posté par Renault (site web personnel) . Évalué à 10.
Je vais le répéter, comme souvent sur le sujet.
Le fait qu'un domaine soit soumis à certification pour utilisation n'exclut en rien les Logiciels Libres. C'est une contrainte, ça peut demander un travail d'architecture important pour que ce soit le moins contraignant possible mais en aucun cas c'est interdit.
Des secteurs où une certification est obligatoire, il y en a des tonnes, pourtant nombre d'entre eux utilisent du LL que ce soit le système en entier ou seulement des briques. Je pense à l'aéronautique, le ferroviaire, l'automobile, le médical, etc.
Cela apporte une contrainte dans le sens où chaque partie du code concernée par la certification obligatoire doit être certifiée à nouveau pour utilisation. Ce qui demande bien sûr du temps et de l'argent mais reste possible. Tes 4 libertés restent valides.
Il faut comprendre que la loi a toujours été au dessus de la question de la licence. Le libre m'autorise à faire n'importe quoi avec le noyau Linux par exemple, mais je n'ai jamais eu le droit en France de faire une arme létale avec et encore moins de pouvoir l'utiliser dans la rue. Ici c'est globalement pareil, en théorie le libre m'autorise de faire n'importe quoi avec les logiciels de comptabilités libres, mais la loi apporte des restrictions quant à ce qui est autorisé de faire par le logiciel.
Bref, c'est une contrainte, c'est évident, mais ce n'est pas si dramatique que cela. Le principal problème repose éventuellement sur le modèle de distribution (distribution libre et gratuite par exemple). Car cela a un coût financier et temporel pas forcément négligeable.
[^] # Re: Et pour les logiciels de caisse libre ?
Posté par Elephant (site web personnel) . Évalué à 10.
La certification n’est pas obligatoire, on peut passer par l’attestation individuelle. Le sujet a longuement été débattu, l’April a émis un document synthétisant tout ça : https://www.april.org/loi-de-finances-2016-une-doctrine-fiscale-qui-reconnait-les-logiciels-libres-mais-avec-une-marge-de
# concerne le e-commerce
Posté par lunika . Évalué à 2.
Le e-commerce est concerné par la loi finance si on se reporte à la FAQ publiée fin juillet, question 9 https://www.economie.gouv.fr/files/files/directions_services/dgfip/controle_fiscal/actualites_reponses/logiciels_de_caisse.pdf et en e-commerce il y en a un paquet de logiciel libre…
[^] # Re: concerne le e-commerce
Posté par Elephant (site web personnel) . Évalué à 2.
Tout à fait. J’ai toujours été étonné du silence assourdissant des auteurs de logiciel e-commerce alors même que j’ai tenté d’en contacter directement certain et qu’il y a assez de foin autour de la loi pour qu’ils s’en rendent compte. Ou alors, ils ne mènent aucune veille techno, ce qui serait flippant :D
[^] # Re: concerne le e-commerce
Posté par Zenitram (site web personnel) . Évalué à 8.
Il est possible qu'ils aient compris à juste titre que l'obligation repose sur le gestionnaire financier (Paypal, Stripe…).
En e-commerce pas possible de cacher les espèces… j'ai mon site avec ça et ne me fait aucun soucis, je montrerai les logs Paypal (incluant les remboursements) et les virements sur mon compte pro.
En fait techniquement je ne vois pas comment on peut faire autrement le site étant pas sur un lieu de vente donc pas vérifiable.
Bref leur "silence assourdissant" est peut-être dû au fait que tu n'as pas démontré que ça les concerne.
[^] # Re: concerne le e-commerce
Posté par Elephant (site web personnel) . Évalué à -1.
Quand les utilisateurs de Prestashop commenceront à ramasser des 5000€ d’amende, ils se réveilleront peut-être :)
[^] # Re: concerne le e-commerce
Posté par pralines . Évalué à 4. Dernière modification le 10 août 2017 à 15:35.
de mémoire c'est 7500 € en cas de non présentation du certificat, la première fois,
il y a un seconde amende 15 jours après,
ensuite c'est les poursuites
en cas de fraude (ou de complicité de fraude), les conséquences ne sont pas les mêmes
mais comme dit Zenitram, je ne vois pas un système d'e-commerce accepter des règlements en liquide (cela dit, on peut tricher aussi avec des chèques)
attention : faudrait relire la FAQ sur le BOFIP, ce qui semble déterminant avec l'administration fiscale, c'est l'assujettissement du client à la TVA : si client particulier (non assujetti à la TVA) ----> le logiciel doit respecter cet article de loi
Envoyé depuis mon Archlinux
[^] # Re: concerne le e-commerce
Posté par Zenitram (site web personnel) . Évalué à 2.
tu t'étonnes de la réaction, vraiment?
[^] # Re: concerne le e-commerce
Posté par sisalp (site web personnel) . Évalué à 5. Dernière modification le 11 août 2017 à 13:09.
Le texte initial est écrit de façon si ambiguë qu'il génère des discussions interminables depuis 2 ans. Et celui-ci en remet une couche.
Si on prend l'esprit annoncé, tout est simple depuis le départ : pour encaisser de l'argent il faut un système qui n'est pas frauduleux. OK, on comprend.
Mais l'administration, peut-être pour se couvrir dans un domaine qu'elle maîtrise mal, n'emploie que des formulations inclusives dans les-quelles tout le monde peut se sentir concerné. Du coup, toute citation est interprétée à n'en plus finir pour savoir qui elle concerne. Ca en devient ridicule.
Ce document de déroge pas à la règle et crée de nouvelles approximations.
Si on dit: une plateforme de livraison de pizza à domicile ne doit pas frauder à l'encaissement effectué chez les particuliers, OK, on comprend.
Mais c'est trop simple, alors on écrit que l'e-commerce est concerné, sauf que pour nous tous, l'e-commerce ne fait généralement pas d'encaissement direct, et on ne peut pas garantir les données de paiement qu'on ne fait que constater sur les informations délivrées par les banques. Pour preuve, si on a un litige sur un paiement, c'est à la banque qu'on demande une vérification. Alors OK, c'est la panique une nouvelle fois.
A trop vouloir être en position d'exercer son arbitraire sur des clauses mal rédigées, l'administration va se trouver dans l'impossibilité d'atteindre son objectif et le texte sera inapplicable. Le ministre s'est engagé entre les deux tours des élections, à simplifier, mais on attend toujours de savoir quoi. Ce texte n'en tient pas compte et ses auteurs se perdent eux-mêmes dans leurs contradictions. Cela démontre encore une fois la nécessité de rédiger le règlement de telle sorte que chacun sache ce qu'il doit faire.
Laissons la poussière retomber et profitons du spectacle d'un législateur qui ne sait même plus ce qu'il veut autoriser et ce qu'il veut interdire.
# pas convaincant
Posté par pralines . Évalué à 2. Dernière modification le 09 août 2017 à 13:13.
le titre devrait être :
Loi Finances 2016 : un soulagement pour les logiciels de compta B2B
d'après la FAQ (citée dans le commentaire précédent) et de ce que je comprends de leur définition d'un logiciel de caisse :
dès lors que le logiciel gère des opérations entre pro et particulier (ou d'autres non assujettis à la TVA), le logiciel de gestion doit respecter cette loi de finance (en plus des lois antérieures)
d'après moi, il est beaucoup trop tôt pour se réjouir
et pour faire le l'auto-fud, je ne vois pas comment un logiciel open-source en langage interprété tournant sur le matériel du client pourrait bénéficier de l'attestation/certification obligatoire dès janvier 2018 :
en effet, si le client a accès à la fois au code source exécuté et aux données, la fraude est possible (et peut-être difficile à détecter) et le vendeur du logiciel prendrait un risque important en engageant sa responsabilité (amendes et prison pour complicité)
Envoyé depuis mon Archlinux
[^] # Re: pas convaincant
Posté par Renault (site web personnel) . Évalué à 6.
Oui mais non.
En général dans le monde du certifié, tu utilises une signature numérique à la livraison. C'est-à-dire que le code comme le binaire fournis sont identifiables et tu peux vérifier si oui ou non le binaire exécuté est conforme à ce qui a été livré.
S'il y a modification, cela devrait se voir et la responsabilité tombe sur le client qui n'a pas respecté la loi.
Ensuite oui, il y a toujours moyen de contourner la loi techniquement parlant d'une façon ou d'une autre pour frauder sur la question. Mais cela devient plus complexe malgré tout.
[^] # Re: pas convaincant
Posté par Nibel . Évalué à 2.
Je comprends donc que les opérations entre professionnels n'ont pas besoin de certification sur le soft de compta. J'ai bon ?
Si oui, alors cette loi ne va simplement rien changer pour moi…
La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.
[^] # Re: pas convaincant
Posté par pralines . Évalué à 6.
scénario catastrophe :
1 - je vends/installe sur le serveur d'un client un logiciel libre écrit en php/mysql
2 - sur la facture, j’inscris le N° de version du logiciel ainsi qu'un hash du code source
3 - je fournis une attestation de conformité reprenant ces informations (document exigé par l'administration fiscale) et j'engage ainsi ma responsabilité
4 - le client (ou son cousin Kévin Kissiconnait) copie le logiciel dans un autre répertoire et le modifie afin de pouvoir supprimer des factures et si nécessaire recalculer automatiquement les signatures et/ou chaînage des enregistrements et des archives
5 - le client est contrôlé par l'administration fiscale, il supprime la version modifiée du logiciel
6 - l'administration constatant une fraude me demande de prouver que la fraude ne viens pas de mon logiciel ---> début d'une bataille d'experts
7a - en cas de victoire, perte de temps et de d'argent ----> dépôt de bilan
7b - en cas de défaite, perte de temps et d'argent ----> dépôt de bilan + amende + condamnation en justice
je suis parano ? j'ai vu trop de films ? j'aurai du attendre le vendredi ? :-)
j'ai beau me triturer les méninges dans tous les sens, le logiciel libre interprété me semble incompatible avec cette loi, sauf à le faire tourner en SAAS et fournir une attestation uniquement pour ce logiciel/service
Envoyé depuis mon Archlinux
[^] # Re: pas convaincant
Posté par Crao . Évalué à 0.
Le hash du code source tu le signes avec ta clé privée, ce qui permet à n'importe qui de vérifier avec la clé publique que c'est bien toi qui a signé le hash.
Quand Kévin modifie le logiciel, il fait comment pour signer le nouveau hash ?
[^] # Re: pas convaincant
Posté par sisalp (site web personnel) . Évalué à -4.
Si Kevin peut cloner le logiciel, il a accès à la clé privée et il peut re-signer le double des journaux de caisse.
La certification en cours des caisses prouve qu'un utilisateur honnête peut satisfaire les demandes de l'administration. Les tests d'homologation ne peuvent pas révéler que des fonctions de falsification sont disponibles.
[^] # Re: pas convaincant
Posté par Crao . Évalué à 5.
Tu laisses tes clés privées dans ton logiciel toi ? Tu te rends compte de ce que tu dis ?
[^] # Re: pas convaincant
Posté par sisalp (site web personnel) . Évalué à 3.
ah oui, on ne parle pas des mêmes clés, donc je dis une connerie.
Tu parles de la signature du logiciel issue d'un tiers de confiance qui contrôle le logiciel, dans l'idée que la validité de l'attestation pourrait être liée à cette signature.
Je confonds avec d'autres personnes qui discutent d'une signature sur les écritures réalisées par le logiciel pour que le tiers de confiance n'ait pas le contrôle du logiciel. Il ne garantit que les données.
Le problème qui reste, c'est que la réglementation ne prévoit pas le rôle du tiers de confiance dans le processus de certification.
[^] # Re: pas convaincant
Posté par Crao . Évalué à 4.
L'ANSSI remplit ce rôle et son site contient pas mal de documents très intéressants, comme par exemple :
- l'homologation de sécurité : https://www.ssi.gouv.fr/guide/lhomologation-de-securite-en-neuf-etapes-simples/
- le référentiel général de sécurité (RGS de son petit nom) : https://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-referentiel-general-de-securite-rgs/documents-constitutifs-du-rgs-v1-0/
[^] # Re: pas convaincant
Posté par sisalp (site web personnel) . Évalué à 4.
Non, on regarde trop de séries à la télé.
L'administration demande une conformité à un règlement, faute de quoi elle applique une sanction et enclenche le recouvrement.
Les batailles d'expert c'est un autre épisode.
[^] # Re: pas convaincant
Posté par hitmanu . Évalué à 1.
Justement,
au premier épisode,
suite a la demande de recouvrement de là par de l’administration, l’entreprise utilisatrice du logiciel se défend avoir truandé l’administration et peut se retourner contre l’entreprise qui a mis le dit logiciel en place.
deuxième épisode,
Les batailles d’expert,
c’est la suite du premier épisode, qui pour le coup peut donner des sueurs froides aussi bien a l’entreprise qui a mis en place le logiciel que celui qui l’utilise, quand au Kévin Kissiconnait il ce peu qu’il y ai un troisième épisode pour découvrir qui il es.
Les expert, c'est pas qu'a la télé. :)
Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.
[^] # Re: pas convaincant
Posté par JN . Évalué à 1.
Je pense que la certification doit se focaliser sur la protection des données. Donc, les données doivent être structurées et enrichies de telle manière à garantir au maximum que toute altération apparaîtra clairement. Le code qui fait tourner ça est sans intérêt, parce qu'il reste modifiable, ou imitable.
# Manque d'infos
Posté par ff9097 . Évalué à 1.
J'aimerais bien savoir ce que ça signifie exactement. Je ne vois pas comment empêcher la possibilité de supprimer manuellement les données
[^] # Re: Manque d'infos
Posté par Kerro . Évalué à -4.
Nan mais t'as pas pigé un élément important : ce sont des
incompétents pour lesquels on a votépoliticiens. Ils n'ont strictement aucune idée de la vraie vie, ni de la technique.Ils imposeraient que les logiciels soient compilés en 63 bits que ce serait la même chose.
[^] # Re: Manque d'infos
Posté par dj_ (site web personnel) . Évalué à 8.
Ils veulent que si t'as une erreur sur la commande d'un client, ça soit marqué "la commande n° untel d'un montant de XXX€ est supprimé"
Car certains ont tendance a prendre le ticket de caisse de la journée et de supprimer certaines commandes pour utiliser le cash pour payer ses employés en black
Il y aura tjr moyen de frauder, mais un resto dont la moitié des commandes payés en cash sont annulé suite a une "erreur de commande" ça ne sera pas discret
[^] # Re: Manque d'infos
Posté par pralines . Évalué à 2. Dernière modification le 10 août 2017 à 09:20.
oui, l'administration fiscale française impose que le logiciel ne dispose pas de fonction simple permettant ces opérations "interdites" (modification ou suppression de factures émises),
ils imposent aussi l'inaltérabilité des données et des archives,
et ça me semble être une obligation de résultat et non pas une obligation de moyens
d'où, à mon avis l'impossibilité d'attester/certifier si le logiciel libre tourne sur le matériel du client (accès au code source et aux données)
Envoyé depuis mon Archlinux
[^] # Re: Manque d'infos
Posté par JN . Évalué à 3.
Je ne vois pas en quoi un logiciel propriétaire pourrait fournir plus de garantie. À moins qu'on parle de sécurité par l'obscurité, mais dans ce cas, on n'est même pas à l'obligation de moyen…
Donc, mis à part une protection du journal d'évènements par procédé cryptographique (type chaîne de hashs), en y ajoutant l'inclusion d'éléments externes ( références de transactions CB, virements), je ne vois aucun système capable d'être garanti sans possibilité de détournement. Avec la bonne dose de volonté, il est toujours possible de réécrire l'histoire et que celle-ci ait l'air véritable.
[^] # Re: Manque d'infos
Posté par Anonyme . Évalué à 4.
le mieux reste quand meme la bonne veille imprimante matriciel a rouleau ! dans les locaux de l'URSSAF of course
[^] # Re: Manque d'infos
Posté par Elephant (site web personnel) . Évalué à 3. Dernière modification le 10 août 2017 à 09:44.
Pour la restauration, en Belgique les contrôleurs fiscaux ont le droit d’entrer discrètement dans un restaurant et de compter le nombre de clients qui sont passés et, ceci fait, contrôler que tout a bien été entré en caisse.
Je suis persuadé que ce pouvoir arrivera en France tant il est bien plus pertinent que toute mesure technique :)
Notez au passage que la loi impose outre-Quiévrain un système de caisse noire pour tout commerce dont la restauration représente plus de 10% du chiffre d’affaire.
C’est une calamité et ça marche très mal. Ça rend totalement impossible l’existence d’un logiciel libre de caisse, alors qu’en France la loi crée « uniquement » une contrainte assez lourde sur le droit à la modification.
[^] # Re: Manque d'infos
Posté par Chuck #1 . Évalué à 2. Dernière modification le 10 août 2017 à 20:13.
Il y a des moyens plus rapides et plus efficaces pour détecter et évaluer les fraudes. Exemple très basique rapporté par un copain juriste : comparer les quantités de riz commandées par un restaurant asiatique, la portion moyenne servie et le nombre de clients. Le restaurant peut évidemment acheter son riz sans facture. Dans le cas qui m'a été conté, le restaurant avait bien pensé à prendre des factures afin de déduire la TVA. Bilan : gros redressement fiscal basé sur le nombre de clients calculés plusieurs fois supérieur au nombre de clients encaissés.
Cette signature est publiée sous licence WTFPL
[^] # Re: Manque d'infos
Posté par Anonyme . Évalué à 1.
oui mais cela demande du temps et du travail, c'est contestable en justice par ailleurs. monsieur j'ai des rat. Alors qu'un bon vieux log in modifiable en quelques minutes tu repère la fraude.
la tendance est plus a supprimer le personnel fonctionnaire qu'a en embaucher plein pour faire plus de controle
[^] # Re: Manque d'infos
Posté par flagos . Évalué à 2.
Il y a pas mal de métriques qui marchent assez bien:
[^] # Re: Manque d'infos
Posté par Pol' uX (site web personnel) . Évalué à 4.
C'est pour ça que les vendeurs de kebab sont généreux sur la distribution des serviettes. :)
Adhérer à l'April, ça vous tente ?
[^] # Re: Manque d'infos
Posté par freem . Évalué à 1.
Ah ça, c'est sûr qu'après un restau un peu trop gras, les risque de traces de pneu sont plus élevés…
[^] # Re: Manque d'infos
Posté par procauxfiefs . Évalué à 2. Dernière modification le 10 août 2017 à 22:12.
En France aussi, l'usage d'une caisse noire est également vivement recommandé; mais certainement pas par l'administration.
À moins que tu ne fasse référence à une boite noire faisant office de logiciel de caisse. ;-)
[^] # Re: Manque d'infos
Posté par Laurent Destailleur (site web personnel) . Évalué à 1. Dernière modification le 31 août 2017 à 12:51.
L'association Dolibarr a publié une synthèse, régulièrement mise à jour de la situation:
https://wiki.dolibarr.org/index.php/Loi_article_88_finances_2016_France_et_NF525
Expert ERP CRM Open Source et (Dolibarr ERP CRM, Odoo, ...)
# Il faut se battre....
Posté par bertrand276 . Évalué à 1.
e-commerçants : si vous ne faites rien vos logiciels e-commerce seront eux aussi soumis à l'obligation de conformité.
Dans le cas du e-commerce il s'agit d'une folle décision des Princes de Bercy, qui ne sert à rien si ce n'est à nous pousser à utiliser des logiciels Saas ou des logiciels propriétaires "franco-français".
En effet, les e-commerçants ne manipulent pas de paiement en espèces, et ne peuvent pas frauder la TVA, ni dissimuler de revenus !
Si vous utilisez des logiciels open-sources (Magento, Prestashop…os-commerce….) ou "développés en interne" VOTRE ACTIVITE est MENACEE de MORT, car vos logiciels ne seront pas certifiables, et l'amende de 7500€ tout les 60 jours est complètement hors de porté des TPE / PME.
VOUS DEVEZ faire savoir aux députés, avant le vote de l'article 46 du "Projet de Loi de Finances 2018", à la mi novembre 2017, que vous voulez que les logiciels de e-commerce soient sortis du périmètre d'application de cette loi.
BATTEZ VOUS…. envoyez aux députés un mail de protestation (voir notre site pour le modèle)… c'est votre droit, et la survie de votre site e-commerce est en jeu.
Modèle de mail : https://tva-logiciel-caisse-2018.com/index.php/comment-nous-faire-entendre/21-contacter-directement-les-decideurs-ministres-et-deputes
A diffuser et à faire savoir …. Bon courage à tous :)
Webmestre : contact@tva-logiciel-caisse-2018.com
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.