Dématérialisation fiscale des factures avec signature électronique – principes et solutions

Catégorie :

Vous avez un projet de dématérialisation fiscale de factures à l’aide d’une signature électronique ?
Alors vous avez êtes bien sur la bonne page !
Nous avons souhaité répondre ici à toutes les questions que vous pouvez vous poser concernant ce vaste sujet. Si tel n’est pas le cas, n’hésitez pas à nous le faire savoir par le biais de notre formulaire de contact. Cette page évoluera en fonctions de vos remarques et suggestions.

Pourquoi la dématérialisation fiscale des factures à l’aide d’une signature électronique ?

Aujourd’hui la réglementation propose 3 manières de dématérialiser ses factures :

  • EDI (Echange de Données Informatisé) : c’est l’approche idéale pour les échanges entre gros fournisseurs et gros donneurs d’ordre, car les volumes échangés imposent de rationaliser le temps passé à intégrer chaque facture dans le progiciel de gestion de l’entreprise, ou la comptabilité clients-fournisseurs. En revanche lorsqu’il existe un déséquilibre (petit fournisseur / gros donneur d’ordre ou gros fournisseur / petit donneur d’ordre), alors bien souvent le plus petit acteur doit se plier à des pratiques informatiques coûteuses et complexes à mettre en oeuvre.
  • Piste d’Audit Fiable : c’est l’approche la plus simple techniquement à mettre en oeuvre, et, à l’instar de M. Jourdain et sa prose, c’est bien souvent le mécanisme utilisé sans le savoir par de très nombreuses entreprises. C’est le cas par exemple de la facture envoyée sous la forme d’un fichier PDF non signé voire d’une simple page HTML. Le hic c’est que pour adopter ce type de dématérialisation, les acteurs doivent de chaque côté se préoccuper d’avoir mis en place au préalable une piste d’audit fiable qui va permettre de caractériser l’authenticité et l’intégrité de la facture. Pour être valide, cette piste d’audit fiable peut ainsi devoir être documentée et matérialisée par un grand nombre d’informations, comme par exemple un contrat, un bon de commande, puis ensuite un bon de livraison pour la vente d’un bien physique, ou des feuilles de temps pour la vente d’un service, bref tout ce qui peut permettre de caractériser la réalité de la facture en question. On remarquera alors que parfois ces informations peuvent être particulièrement coûteuses et complexes à rassembler, à tracer et à archiver.
  • La signature électronique : c’est l’approche la plus efficace en matière de « rendement technico/juridique » ! En effet, si la réglementation impose l’utilisation d’un certificat de niveau RGS 2* minimum ou un certificat qualifié au niveau européen, passée cette contrainte, aucune obligation de piste d’audit fiable ne s’impose à l’émetteur qui signe la facture. De même si le récepteur choisit cette solution, alors il lui suffit de vérifier la validité de la signature pour être également conforme à la réglementation. Bien sûr, cette solution n’interdit pas la mise en place d’un échange structuré complémentaire pour optimiser les transactions entre acheteur et fournisseur (par le biais par exemple de données structurées embarquées ou jointes au PDF). Et du fait du respect de la réglementation à l’aide de la signature électronique, cet échange structuré peut dans ce cas être souple et ne pas nécessiter de contrôles sophistiqués comme pour l’EDI.

Quel type de certificat faut-il utiliser ?

Plusieurs types de certificats peuvent être utilisés pour la signature électronique des factures :

  • Certificat de personne physique représentant une personne morale : ce type de certificat est le moins onéreux, mais requiert obligatoirement l’utilisation d’un support cryptographique (généralement appelé « token »). En effet il n’existe pas aujourd’hui de certificat de personne physique représentant une personne morale qui puisse être installé sur un Hardware Security Module (HSM), véritable serveur de calculs cryptographiques permettant de certifier un grand nombre de factures dans un temps restreint. En effet, avec un certificat sur token, il est difficile de dépasser la vitesse d’une signature par seconde, ce qui rend ce dispositif limité pour des entreprises produisant beaucoup de factures comme les opérateurs télécoms, les acteurs de la grande distribution, les industriels des services, etc. Par ailleurs, lors de la certification électronique d’une facture au format PDF, le bandeau de scellement, affiché par Adobe Reader, présentera au vérificateur de la facture le nom du porteur de certificat comme il est montré dans l’image ci-dessous, ce qui parfois pose problème à certaines organisations :
BandeauFactureCertifiéeAvecPP
  • Certificat de cachet serveur représentant une personne morale : ce type de certificat est systématiquement plus coûteux qu’un certificat de personne physique, généralement dans un rapport compris entre 8 et 12 ! De plus, peu d’Autorités de Certification en France fournissent ce type de certificat sur clé USB : ils sont généralement fournis sur HSM, et pas n’importe lesquels, car le HSM doit lui-même respecter le niveau de sécurité requis. Autant le prix est généralement le même quel que soit le support du certificat, autant les coûts associés à l’équipement utilisé peuvent être considérés comme prohibitifs lorsque les volumes de factures à traiter sont restreints. En effet, le coût d’un HSM qualifié RGS 2* démarre à 7 500 € HT, auquel s’ajoute les coûts de mise en service, d’exploitation, de maintenance, de backup, etc. L’un des avantages du cachet serveur en revanche, c’est qu’il va permette au bandeau de scellement, tel qu’affiché par Adobe Reader ou Adobe Acrobat, de présenter au vérificateur de la facture le nom de l’entreprise émettrice comme il est montré dans l’image ci-dessous :
BandeauFactureCertifiéeAvecPP

Doit-on signer ou certifier les factures ?

Il est vivement conseillé de privilégier la certification des factures à leur signature. Mais quelle différence y-a-t-il entre ces 2 opérations ? Pour comprendre cette différence il est tout d’abord nécessaire de revenir à la définition d’une signature électronique. Contrairement à la signature manuscrite qui permet à la fois d’authentifier un document et de marquer son consentement au contenu du document, la signature électronique décompose l’action de signer en 2 actions très différentes :

  • La 1ère action consiste consiste à garantir l’authenticité et l’intégrité du document à l’aide d’un procédé cryptographique qui prend une empreinte du document et qui chiffre cette empreinte à l’aide de la clé privée associée à la clé publique contenue dans le certificat du signataire ; l’authenticité est donc liée au certificat et l’intégrité est liée au calcul cryptographique. Pour les amateurs de technique, l’usage d’un certificat peut être limité au scellement si son extension « Utilisation de la clé » vaut « Digital Signature ».
  • La 2ème action consiste à marquer son consentement au contenu du document, par exemple en cliquant sur un bouton portant le libellé « Je signe », précédé d’une case à cocher indiquant « J’ai bien pris connaissance du document qui m’engage » ; l’engagement est ensuite traduit techniquement de différentes manières, par exemple en utilisant une politique de signature ou à l’aide d’un champ réservé à cet effet. Ici encore, pour les amateurs de technique, l’usage d’un certificat peut être limité au consentement si son extension « Utilisation de la clé » vaut « Non Repudiation » ou « Content Commitment ».

A noter qu’Adobe différencie bien les deux types de signature, comme le montre le panneau des signatures dans l’exemple ci-dessous :

PanneauSignatureAdobe

Le certificat doit-il être établi au nom de l’émetteur de la facture ?

Il n’existe aucune obligation imposée par les textes de faire correspondre l’entité émettrice de la facture avec l’entité qui a fait l’acquisition du certificat délivrée à l’un de ses représentants pour sceller les factures en question. Il est donc par exemple tout à fait possible pour un groupe industriel qui souhaite dématérialiser ses factures Clients d’utiliser un unique certificat pour sceller les factures de toutes ses filiales, sous réserve bien sûr que la présentation du bandeau, comme elle a été vue plus haut, soit acceptée par les différentes entités.

Quelle architecture doit-être mise en place ?

L’architecture informatique à mettre en place pour la certification électronique des factures est essentiellement fonction de la taille de l’entreprise, et du nombre de factures émises chaque année.
Ainsi, pour une PME, un simple outil bureautique autonome du type Sunnysign, installée sur un poste de travail auquel est branché un certificat sur support cryptographique personnel peut aisément convenir pour traiter quelques milliers de factures par an.
En revanche pour une entreprise de taille plus importante qui va traiter plusieurs centaines de milliers de factures par an, il peut être intéressant de mettre en place une architecture plus sophistiquée telle que présentée ci-dessous :

ArchitectureDematFactures

L’architecture présentée ici comporte de nombreux avantages :

  • Le certificat du Client est confié à Lex Persona qui l’héberge dans son Datacenter et qui assure la maîtrise complète de la technologie relative à l’utilisation du Certificat, du support cryptographique (token ou HSM) et de toutes les contraintes d’exploitation en matière de sécurité et de haute disponibilité du Certificat. Les certifications électroniques sont effectuées par le Web service LP7SignBox qui offre toutes les garanties de sécurité et de performance attendues pour des traitements de niveau industriel.
  • Le Client reste maître de sa facture et de ses données confidentielles, puisque c’est le logiciel de traitement batch LP7Process qui s’exécute dans son propre environnement qui pilote tout le traitement de la certification électronique (calcul d’empreinte, prise en compte de la vérification du statut de révocation de la chaîne de certification, insertion de la signature dans le document facture, etc.). Seule l’empreinte de la facture et sa signature, totalement indéchiffrables par Lex Persona, transitent sur le réseau.
  • La bande passante du réseau utilisé entre le Client et le Datacenter Lex Persona est limitée du fait de la petite taille des empreintes et des signatures électroniques échangées.
  • En option, il est possible, grâce à un plugin intégré à LP7Process, d’envoyer une facture certifiée électroniquement à la plate-forme Sunnystamp de Lex Persona, de vérifier la certification électronique de la facture et remettre à l’émetteur un rapport de vérification signé électroniquement, puis enfin d’archiver la facture pendant 10 ans « online » avec possibilité de consultation en « libre-service » par un utilisateur désigné.

Entre ces deux cas d’espèces, il existe bien évidemment de nombreuses solutions de niveau intermédiaire.

Et pour Chorus Pro, que dois-je faire ?

Si vous devez soumettre une facture à une administration ou un établissement public ou encore une collectivité territoriale, vous devez (ou devrez, selon les échéances prévues correspondant à votre catégorie d’entreprise) passer par Chorus Pro. Ce portail se préoccupe du respect de la réglementation côté récepteur. En revanche il ne dispense pas l’émetteur de remplir ses obligations fiscales concernant la dématérialisation de la facture destinée à l’administration, étant entendu que celui-ci dispose des trois possibilités décrites dans l’introduction de cet article.