Invoices and fiscal dematerialisation

Category:

Do you have paperless invoicing project that involves electronic signing? Well, you’ve come to the right place!

We’ve taken the time to answer all the questions you’ve asked about this complex subject. If we still haven’t addressed your concerns, please fill our contact form. This page will continue to evolve based on your notes and suggestions.

Why do you need electronic signing for paperless invoicing?

Current regulation proposes three ways to convert to paperless invoicing:

  • EDI (Echange de Données Informatisé, or exchanging electronic data). This is the ideal solution for big suppliers and their customers because, for both parties, the volumes traded imply a great deal of time taken to process and manage each invoice. However, when there is an imbalance (smaller supplier versus a big customer, or vice versa), the smaller party often has to submit to the costly and complex invoicing processes imposed by the bigger party.
  • Reliable audit trail. From a technical perspective, this solution is the easiest to put in place, and, to quote Mr Jourdain, it’s the mechanism most often used in big companies without them even being aware of it. Let’s say that an invoice is sent via PDF or in the form of an HTML page. In order for it to be taken into account, both parties must already have in place a reliable audit trail to verify the invoice’s authenticity and integrity. In order to be validated, this reliable audit trail will have to be documented with a great deal of information, including a contract, purchase order, delivery slips for a physical sale, time sheets for service sales – these, and sometimes additional pieces of information are necessary to validate the invoice. Gathering, tracing and archiving all this information can be costly and time-consuming.
  • Electronic signing. This is the most effective method when it comes to being technically and legally sound! If regulation were to require the use of at least an RGS2* certificate or its European equivalent, neither the sender nor recipient would be under no obligation to set up a reliable audit trail. The recipient would just have to verify the signature to comply with regulation. This doesn’t mean that suppliers and their clients shouldn’t set up additional structures for invoicing and other transactions, but building it around electronic signing means a more flexible system without the need for sophisticated verification solutions like EDI.

Quel type de certificat faut-il utiliser ?
Plusieurs types de certificats peuvent être utilisés pour la signature électronique des factures :

  • Certificat de personne physique représentant une personne morale : ce type de certificat est le moins onéreux, mais requiert obligatoirement l’utilisation d’un support cryptographique (généralement appelé “token”). En effet il n’existe pas aujourd’hui de certificat de personne physique représentant une personne morale qui puisse être installé sur un Hardware Security Module (HSM), véritable serveur de calculs cryptographiques permettant de certifier un grand nombre de factures dans un temps restreint. En effet, avec un certificat sur token, il est difficile de dépasser la vitesse d’une signature par seconde, ce qui rend ce dispositif limité pour des entreprises produisant beaucoup de factures comme les opérateurs télécoms, les acteurs de la grande distribution, les industriels des services, etc. Par ailleurs, lors de la certification électronique d’une facture au format PDF, le bandeau de scellement, affiché par Adobe Reader, présentera au vérificateur de la facture le nom du porteur de certificat comme il est montré dans l’image ci-dessous, ce qui parfois pose problème à certaines organisations :
BandeauFactureCertifiéeAvecPP
  • Certificat de cachet serveur représentant une personne morale : ce type de certificat est systématiquement plus coûteux qu’un certificat de personne physique, généralement dans un rapport compris entre 8 et 12 ! De plus, peu d’Autorités de Certification en France fournissent ce type de certificat sur clé USB : ils sont généralement fournis sur HSM, et pas n’importe lesquels, car le HSM doit lui-même respecter le niveau de sécurité requis. Autant le prix est généralement le même quel que soit le support du certificat, autant les coûts associés à l’équipement utilisé peuvent être considérés comme prohibitifs lorsque les volumes de factures à traiter sont restreints. En effet, le coût d’un HSM qualifié RGS 2* démarre à 7 500 € HT, auquel s’ajoute les coûts de mise en service, d’exploitation, de maintenance, de backup, etc. L’un des avantages du cachet serveur en revanche, c’est qu’il va permette au bandeau de scellement, tel qu’affiché par Adobe Reader, de présenter au vérificateur de la facture le nom de l’entreprise émettrice comme il est montré dans l’image ci-dessous :
BandeauFactureCertifiéeAvecPP

Doit-on signer ou certifier les factures ?
Il est vivement conseillé de privilégier la certification des factures à leur signature. Mais quelle différence y-a-t-il entre ces 2 opérations ? Pour comprendre cette différence il est tout d’abord nécessaire de revenir à la définition d’une signature électronique. Contrairement à la signature manuscrite qui permet à la fois d’authentifier un document et de marquer son consentement au contenu du document, la signature électronique décompose l’action de signer en 2 actions très différentes :

  • La 1ère action consiste consiste à garantir l’authenticité et l’intégrité du document à l’aide d’un procédé cryptographique qui prend une empreinte du document et qui chiffre cette empreinte à l’aide de la clé privée associée à la clé publique contenue dans le certificat du signataire ; l’authenticité est donc liée au certificat et l’intégrité est liée au calcul cryptographique.
  • La 2ème action consiste à marquer son consentement au contenu du document

certification d’un document est une opération consiste avant tout à préserver

Le certificat doit-il être établi au nom de l’émetteur de la facture ?
Il n’existe aucune obligation imposée par les textes de faire correspondre l’entité émettrice de la facture avec l’entité qui a fait l’acquisition du certificat délivrée à l’un de ses représentants pour sceller les factures en question. Il est donc tout à fait possible : d’utiliser un unique certificat de groupe pour sceller les factures de toutes les filiales, sous réserve bien sûr que la présentation du bandeau, comme elle a été vue plus haut, soit acceptée par les différentes entités.

Quelle architecture doit-être mise en place ?
L’architecture informatique à mettre en place pour la certification électronique des factures est sans doute le sujet le plus complexe de cet article. En effet, il existe une grande variété de possibilités, destinées à

Et pour Chorus Pro, que dois-je faire ?
Si vous devez soumettre une facture à une administration ou un établissement public ou encore une collectivité territoriale, vous devez (ou devrez, selon les échéances prévues correspondant à votre catégorie d’entreprise) passer par Chorus Pro. Ce portail se préoccupe du respect de la réglementation côté récepteur. En revanche il ne dispense pas l’émetteur de remplir ses obligations fiscales concernant la dématérialisation de la facture,