Normes et réglementations

From Documentation de la solution web de gestion OpenFlyers
Revision as of 10:26, 27 August 2021 by imported>Gobin (→‎Factures dématérialisées)
Jump to navigation Jump to search

Présentation

L'objet de cette page est de regrouper les différentes normes et réglementations qu'OpenFlyers respecte ou met en oeuvre.

Cookies

La directive 2009/136/CE impose le consentement de l'utilisateur au stockage de données dans son équipement, c'est à dire le stockage des cookies dans les navigateurs.

Dans le cas d'OpenFlyers, les cookies utilisés sont des "cookies de session". Ils sont indispensables car ils permettent d'assurer la continuité de la connexion de chaque utilisateur après son identification initiale et ainsi lui permettent de naviguer sans avoir à ressaisir le couple identifiant/mot de passe à chaque page.

Depuis le 2 mai 2019, afin d'être conforme à cette réglementation, un article "Cookies" est inclus dans les conditions générales v. 11 et supérieures. Il permet d'informer l'utilisateur sur la nécessité de ce stockage.

Depuis le 18 juin 2019, sur les plateformes OpenFlyers sous version 4, la SARL OpenFlyers impose aux utilisateurs d'accepter les conditions générales d'OpenFlyers grâce à la fonction validité-contrat.

Conservation des documents

Documents comptables :

Depuis le 4 janvier 2003. Les documents comptables et les pièces justificatives doivent être conservé pendant dix ans.

Type de document Durée de conservation Texte de loi
Livre et registre comptable 10 ans à partir de la clôture de l'exercice comptable article L123-22 du code de commerce
Pièce justificative (facture client et fournisseur) 10 ans à partir de la clôture de l'exercice comptable article L123-22 du code de commerce


Documents fiscaux :

Depuis le 29 décembre 2016, selon l'article L102 B du livre des procédures fiscales, les livres, registres, documents ou pièces sur lesquels peuvent s'exercer les droits de communication, d'enquête et de contrôle de l'administration doivent être conservés pendant un délai de 6 ans à partir de la dernière opération mentionnée sur les livres ou registres ou de la date à laquelle les documents ou pièces ont été établis.

Cette article s'applique pour les documents concernant les différents impôts et les cotisations.

Factures dématérialisées

eIDAS

Le règlement eIDAS s'applique à l'identification électronique, aux services de confiance et aux documents électroniques. Il vise à mettre en place un cadre d'interopérabilité des différents systèmes présents au sein des États membres afin de développer un marché numérique de confiance. Des exigences relatives à la reconnaissance mutuelle des moyens d'identification électroniques et des signatures électroniques sont formulées dans le cadre des échanges entre organismes publics et usagers. Les échanges internes aux administrations n'y sont pas inclus.

L'adoption de ce règlement fait suite à un relatif constat d'échec de la directive 1999/93/CE sur la signature électronique. Le règlement eIDAS a pour objectif de mettre en place un socle commun d'interopérabilité afin de développer les échanges transfrontaliers. Contrairement à la directive 1999/93/CE, ce règlement est appliqué directement aux États membres de l'Union Européenne sans transposition dans leur droit national.

Le règlement eIDAS définit le Référentiel Général de Sécurité (RGS) qui correspond au cadre règlementaire permettant d’instaurer la confiance dans les échanges au sein de l’administration et avec les citoyens. Le RGS, a pour objet le renforcement de la confiance des usagers dans les services électroniques mis à disposition par les autorités administratives et s’impose ainsi à elles comme un cadre contraignant tout en étant adaptable et adapté aux enjeux et besoins de tout type d’autorité administrative.

La version initiale du RGS (v.1.0) a été rendue officielle par arrêté du Premier ministre en date du 6 mai 2010. Une version 2.0 a été publiée par arrêté du Premier ministre du 13 juin 2014. Ses mesures de transitions ont été étendues par arrêté du Premier ministre du 10 juin 2015. Elle est applicable depuis le 1er juillet 2014. La version 2.0 du RGS constitue un référentiel de transition entre une première version liée à la mise en œuvre de l’administration électronique et une troisième version qui se fondera sur la réglementation européenne en cours d’évolution.

Le Référentiel général de sécurité s’impose spécifiquement aux systèmes d’information mis en œuvre par les autorités administratives dans leurs relations entre elles et dans leurs relations avec les usagers.

Fiscalité française

La France reconnaît la signature électronique standard comme ayant une valeur juridique limitée et qui a pour vocation de simplifier des processus internes. Seules les signatures électroniques avancées et qualifiées ont une valeur juridique complète. La signature qualifiée, par rapport à la signature avancée, est l'équivalent de la signature manuscrite.

L'article 289 VII du CGI (Code général des impôts) indique qu'il existe trois solutions pour la transmission de factures électroniques :

  • Soit en mettant en place des contrôles établissant une piste d'audit fiable (1°),
  • Soit en recourant à la procédure de signature électronique avancée avec un certificat qualifié (2°),
  • Soit en utilisant l'échange de données informatisées répondant aux normes prévues par le CGI (3°).

Le BOI-TVA-DECLA-30-20-30-20 indique au point 70 que dans une très petite entreprise, une comparaison manuelle des factures avec les documents commerciaux (devis, bons de commande, bons de livraison, justificatifs de paiement) peut constituer un contrôle suffisant mis en place par l'assujetti. Ainsi, chacun des éléments suivants doit être conservé et traçé : le devis qui devient le bon de commande, par la suite validé, le bon de livraison (avec l'impact des retours éventuels) et enfin la facturation (également avec l'impact des avoirs éventuels). Les contrôles établissant la piste d'audit doivent permettre de s'assurer que le passage de l'un à l'autre des documents précité est traçable dans les deux sens.

Le point 80 indique que, conformément à l'article L. 13 D du livre des procédures fiscales (LPF) et à l'article L. 80 F du LPF, si les contrôles sont effectués sous forme dématérialisée, les contribuables sont tenus de les présenter à l'administration sous cette forme.

Le point 130 indique que la piste d'audit doit permettre :

  • de reconstituer, dans un ordre chronologique la totalité du processus de facturation, depuis son origine (par exemple, le bon de commande) jusqu'au document facture c'est-à-dire de reconstituer le processus documenté (bons de commande, bons de livraisons, extraits de compte...) d'une opération et de relier les différents documents de ce processus ;
  • de garantir que la facture émise ou reçue reflète l'opération qui a eu lieu, en permettant d'établir un lien entre la facture et la livraison de biens ou la prestation de services qui la fonde ;
  • de justifier toute opération par une pièce d’origine à partir de laquelle il doit être possible de remonter par un cheminement ininterrompu à la facture et réciproquement.

Concernant la facture électronique sécurisée au moyen d’une signature électronique, il convient de distinguer deux situations :

  • Seule la signature électronique avancée fondée sur un certificat qualifié et créée par un dispositif sécurisé de création de signature, c’est-à-dire la signature électronique qualifiée telle que définie ci-dessus, garantissent de façon autonome l'authenticité de l'origine et l'intégrité du contenu des factures. Ce dispositif prévu par l’article 289 VII 2° du CGI exonère de l’obligation de démonstration et de documentation de la piste d’audit fiable. Les prestataires de services de confiance qualifiés selon le RGS au niveau 2 étoiles (RGS**) ou 3 étoiles (RGS***), pourront bénéficier de modalités de qualification facilitées au titre du règlement eIDAS et ainsi de bénéficier d’une telle qualification au sens du règlement eIDAS.
  • A l’inverse, les entreprises émettrices de factures assorties d'autres signatures électroniques (par exemple : signature avancée au sens de l'article 2, point 2, de la Directive 1999/93/CE du 13 décembre 1999 du Parlement européen signature simple ou conforme au RGS 1 étoile (RGS*)) doivent, aux fins de garantir l'authenticité de l'origine et l'intégrité du contenu des factures électroniques, mettre en place des contrôles établissant une piste d’audit fiable.

Il est donc possible d'utiliser la signature électronique standard, c'est-à-dire que la signature n'a pas pour objectif de certifier que l'auteur de la signature est bien le signataire lui-même. En contre-partie, des pistes d'audit fiables doivent être établies. Cela signifie que dans un lecteur de fichiers PDF comme Adobe Acrobat Reader par exemple, un bandeau indiquant "Validité de la certification du document INCONNUE. Impossible d'en authentifier l'auteur." n'indique pas que la signature est fausse mais que le logiciel n'est pas en capacité d'assurer l'authenticité de la signature.

Norme PDF/A

Le PDF/A est une version normalisée ISO du format PDF spécialisée pour l'archivage et la conservation à long terme des documents numériques. Le PDF/A diffère du format standard en interdisant les fonctionnalités inadaptées à l'archivage à long terme comme le chiffrement par exemple. Les visionneuses de fichiers PDF/A comprennent des directives de gestion des couleurs, la prise en charge des polices intégrées et une interface utilisateur pour la lecture des annotations intégrées.

Le PDF/A est une version particulière du format propriétaire PDF mis au point par Adobe Systems. Le principal avantage du PDF/A est la fidélité vis à vis des documents originaux : les polices, les images, les objets graphiques et la mise en forme du fichier source sont préservés.

PDF est une norme pour l'encodage de documents sous une forme "telle qu'inprimée" qui est portable entre les systèmes. La pertinence d'un fichier PDF pour la conservation des archives dépend des options choisies lors de la création du PDF comme l'incorporation de polices nécessaires pour produire ou afficher le document, l'utilisation du chiffrement ou la conservation des informations supplémentaires du document original au-delà de ce qui est nécessaire pour l'impression.

La norme PDF/A est à l'origine une activité conjointe entre deux associations américaines : l'Association pour les fournisseurs de technologies d'impression, d'édition et de conversion et l'Association pour la gestion de l'information et de l'image dans le but d'élaborer une norme internationale pour l'archivage de documents au format PDF. L'objectif étant de répondre au besoin croissant d'archiver électroniquement des documents de manière à garantir la conservation de leur contenu.

OpenFlyers utilise la version 2 de la norme publiée en juin 2011 traite de certaines des nouvelles fonctionnalités ajoutées avec les version 1.5, 1.6 et 1.7 de PDF. Les fichiers PDF/A-1 ne sont pas nécessairement conformes à la norme PDF/A-2 et inversement.

La version 2 de la norme PDF/A est basée sur PDF 1.7 plutôt que PDF 1.4 et offre de nouvelles fonctionnalités :

  • compression de données pour les images au format JPEG 2000
  • prise en charge des effets de transparence et des calques
  • incorportation de polices de caractères OpenType
  • dispositions relatives aux signatures numériques conformément aux signatures électroniques avancées dans PDF (PDF Advanced Electronic Signatures, norme PAdES)
  • l'option d'intégration de fichiers à la norme PDF/A pour faciliter l'archivage d'ensembles de documents avec un seul fichier.

La version 2 définit trois niveaux de conformité :

  • PDF/A-2a : Conformité de niveau A (niveau avec accessibilité pour mal-voyant ou aveugle). Elle représente la forme complète de la norme ISO.
  • PDF/A-2b : Conformité de niveau B (niveau de base). Elle représente une forme allégée de la norme ISO. Cette version préserve la lisibilité du document et sa bonne présentation à l'affichage et à l'impression.
  • PDF/A-2u : Conformité de niveau U. Elle représente la conformité de niveau B (PDF/A-2b) avec l'exigence supplémentaire que tout le texte du document ait un mappage Unicode.

Inaltérabilité des données et traçabilité des encaissements

Conformément :

OpenFlyers v.4 et supérieur respectent cette réglementation. Ainsi :

  • Les écritures comptables validées ne sont pas modifiables
  • La traçabilité est garantie par l'envoi automatique d'un email de reçu de paiement contenant une pièce jointe au format PDF avec un sceau chainé
  • Sur les interfaces affichant les extraits de compte, un test est effectué pour chaque écriture comptable validée afin de vérifier que sa chaine n'a pas été falsifiée. Si le test est concluant un pictogramme symbolisant un cadenas apparait à droite de l'écriture comptable concernée. Si une rupture du chainage est identifié, le symbole du cadenas apparaît grisé avec une croix rouge.

Les clients concernés par l'obligation d'utiliser un logiciel conforme à la réglementation peuvent retrouver une attestation à compléter et à produire à l'administration fiscale en cas de contrôle. Cette attestation est disponible dans l'espace client menu Fiche contact > Attestation art. 286 du CGI.

Protocole TLS 1.2

Conformément :

Depuis le 1er mars 2018, sur l'ensemble de ses serveurs, OpenFlyers met uniquement en œuvre le protocole TLS 1.2 pour les échanges sécurisés via le port HTTPS.

Sur OpenFlyers v.4 et supérieur, les accès au logiciel se font exclusivement par le port HTTPS.

L'exemple de script PHP concernant le contrôle d'identification par OpenFlyers pour un logiciel tiers est à jour de cette version de protocole.

Obligation de fournir le fichier des écritures comptables

Selon l'article L47 A-1 du livre des procédures fiscales, depuis le 1 janvier 2014, il est nécessaire pour les contribuables tenant leur comptabilité au moyen de systèmes informatisés de pouvoir fournir le Fichier des Écritures Comptables (FEC) dématérialisé.

Sont concernées, toutes les entreprises soumises à une obligation de présentation de documents comptables, qui tiennent leur comptabilité de façon informatisée et qui font l'objet d'une vérification de comptabilité. Ceci concerne donc :

  • Les entreprises relevant de l’impôt sur les sociétés
  • Les entreprises relevant de l’impôt sur le revenu dans la catégorie des BIC, des BNC ou des BA

En cas de contrôle les, un FEC doit être fourni pour chacun des trois derniers exercices clôturés.

Règlement général sur la protection des données (RGPD)

Les conditions générales d'OpenFlyers v. 2 sont conformes au règlement en incluant les mentions obligatoires. Pour rappel :

  • Les données appartiennent aux clients d'OpenFlyers (et non pas aux utilisateurs finaux et encore moins à OpenFlyers)
  • Cela ne veut pas dire que l'utilisateur ou le client peuvent demander de rectifier ou supprimer des données. En effet, d'autres règlements imposent la conservation des données et il doit être possible de produire les logs de connexion des utilisateurs ou des actions effectuées sur une durée raisonnable.
  • C'est aux structures clientes d'OpenFlyers de mettre en place, au travers du paramétrage, les droits qui permettent de garantir aux utilisateurs les accès de consultation de leurs données personnelles.
  • Nous recommandons aux structures clientes de préciser dans leurs propres conditions générales ou dans leur règlement intérieur l'acceptation par l'utilisateur final de la nécessité de stockage, par la structure, des données qui concernent les utilisateurs.

Depuis le 27 mars 2019 (cf. actualité Certification des validités et validités contrats), OpenFlyers v.4 contient une fonction qui permet aux structures clientes de créer des validités-contrats que doivent signer les utilisateurs à la connexion. Cette fonction a vocation à permettre l'acceptation, par les utilisateurs finaux, des conditions générales ou du règlement intérieur d'une structure.

Depuis le 18 juin 2019, sur les plateformes OpenFlyers sous version 4, la SARL OpenFlyers impose aux utilisateurs d'accepter les conditions générales d'OpenFlyers grâce à cette fonction validité-contrat.

Depuis le 12 avril 2021, sur les plateformes OpenFlyers sous version 4, la fonctionnalité liées aux Données permet :

  • de supprimer les données obsolètes
  • de générer le registre de traitement des données personnelles prévu par le RGPD