Loi de finances 2025 : Fin de l'attestation en matière de logiciel de caisse

I. La notion de logiciel de caisse

Un logiciel ou système de caisse est une solution informatique intégrant une fonctionnalité spécifique permettant l’enregistrement des paiements reçus en contrepartie d’une vente de biens ou de services. Il se distingue par sa capacité à mémoriser ces encaissements de manière extra-comptable, c’est-à-dire sans générer automatiquement une écriture comptable correspondante. À l’inverse, un logiciel qui déclenche systématiquement et instantanément une écriture comptable, sans intervention humaine, ne relève pas de cette définition.

Tous les logiciels ou systèmes permettant l’enregistrement des règlements clients, quel que soit le mode de paiement (espèces, chèques, cartes bancaires, virements, prélèvements…), sont concernés par cette obligation. Cela inclut également les logiciels accessibles en ligne ou intégrés à des plateformes cloud.

Depuis le 1er janvier 2018, les professionnels assujettis à la TVA utilisant un logiciel ou système de caisse doivent s’assurer de sa conformité aux exigences d’inaltérabilité, de sécurisation, de conservation et d’archivage des données. Cette conformité doit être justifiée par une certification délivrée par un organisme accrédité ou, jusqu’en 2025, par une attestation de l’éditeur du logiciel.

Dans le cas des logiciels multifonctions (comptabilité, gestion, encaissement), seuls les modules de caisse sont soumis à cette obligation de certification, et non l’ensemble du logiciel. Ainsi, les fonctionnalités comptables et de gestion commerciale intégrées à ces logiciels ne sont pas concernées, sauf si elles incluent une fonction de caisse enregistreuse ou d’encaissement.

Dispositifs spécifiques concernés

Sans que cette liste soit limitative, sont soumis à l’obligation de sécurisation :

• Les instruments de mesure réglementés munis d’un dispositif de mémorisation des règlements, tels que les balances utilisées pour déterminer le prix des articles en fonction de leur poids, dès lors qu’elles enregistrent également les paiements.
• Les automates de paiement et bornes de commande autorisant des paiements en espèces ou via d’autres moyens que la carte bancaire.
• Les distributeurs automatiques de biens (boissons, snacks…) intégrant une fonctionnalité de caisse.

En revanche, les bornes de commande sans fonction de règlement ainsi que les terminaux de paiement seuls ne sont pas soumis à cette obligation.

Cas particuliers et exclusions

Certains assujettis bénéficient d’une tolérance administrative et sont dispensés de l’obligation de sécurisation, notamment :

• Les commerçants dont tous les paiements transitent exclusivement par un établissement de crédit soumis au droit de communication de l’administration fiscale.
• Les entreprises utilisant des plateformes bancaires européennes respectant les obligations d’échange automatique d’informations prévues par la directive 2011/16/UE du Conseil du 15 février 2011.

Par conséquent, un site e-commerce acceptant uniquement des paiements via un établissement bancaire agréé peut être exempté, tandis qu’un commerçant offrant plusieurs modes de paiement (espèces, chèques, cartes prépayées…) reste soumis à l’obligation.

Cette exclusion ne couvre pas certaines plateformes établies hors de France (Paypal par exemple).

Logiciels libres et développés en interne

Les logiciels ou systèmes de caisse dits "libres" ou développés en interne sont également concernés par l’obligation de sécurisation.

Un logiciel libre est un logiciel dont les utilisateurs ont la possibilité de modifier et distribuer le code source.

Un logiciel développé en interne est conçu par l’assujetti lui-même, par une société du groupe ou par un prestataire externe.

Dans tous les cas, les modifications apportées à un logiciel déjà certifié ne doivent ni altérer ni compromettre le respect des conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données liées aux paiements. Ainsi, les développements ne doivent pas altérer les fonctionnalités de logiciel de caisse.

‍

II. Qui est concerné ?

L’obligation d’utiliser un logiciel ou un système de caisse sécurisé, conformément au 3° bis du I de l’article 286 du CGI, s’applique aux assujettis à la TVA, qu’ils soient personnes physiques ou morales, de droit privé ou de droit public, qui réalisent des livraisons de biens ou des prestations de services ne donnant pas lieu à facturation obligatoire au sens de l’article 289 du CGI (BOI-TVA-DECLA-30-20-30). Ce dispositif concerne tous les secteurs d’activité dès lors que ces assujettis utilisent un logiciel ou un système de caisse.

A. Cas d’exclusion

Sont exclus :

• les assujettis réalisant exclusivement des opérations entre professionnels (B to B) sont exclus du champ d’application, leurs transactions devant obligatoirement faire l’objet d’une facturation.
• À l’inverse, les assujettis effectuant à la fois des opérations avec des professionnels et des transactions avec des particuliers doivent se conformer à cette obligation.
• Un assujetti délivrant volontairement une facture à un particulier, alors que la réglementation ne l’y contraint pas, ne se dispense pas de l’obligation de sécurisation de son logiciel ou système de caisse.

Conformément au 2 du II de l’article 286 du CGI, ne sont pas soumis à cette obligation :

• Les assujettis bénéficiant du régime de la franchise en base (article 293 B du CGI) ;
• Les assujettis relevant du régime du remboursement forfaitaire agricole (articles 298 quater et 298 quinquies du CGI) ;
• Les assujettis réalisant exclusivement des opérations exonérées de TVA (banque, assurance, loueur exonéré de TVA, …).

B. Cas particulier

Pour illustration,

• Un particulier réalisant des ventes de biens ou des prestations de services via une plateforme en ligne, facilitant la mise en relation entre vendeurs et acheteurs, peut être soumis à l’obligation de sécurisation des logiciels ou systèmes de caisse s’il est qualifié d’assujetti à la TVA.
• Les sociétés mandatées pour gérer des encaissements via un logiciel ou un système de caisse pour le compte d’un autre assujetti doivent utiliser un logiciel ou un système conforme aux exigences d’inaltérabilité, de sécurisation, de conservation et d’archivage des données.
• Les succursales et filiales de sociétés étrangères établies en France sont concernées par cette obligation. Toutefois, les entreprises étrangères immatriculées à la TVA mais non établies en France bénéficient d’une tolérance administrative et sont exclues du dispositif.

III. Donnée concernées par l’obligation de sécurisation

Les logiciels et systèmes de caisse doivent assurer l’enregistrement et la préservation des données relatives aux transactions commerciales, qu’il s’agisse de ventes de biens ou de prestations de services. Cette obligation couvre l’ensemble des informations liées à la réalisation et au suivi d’une transaction, y compris celles permettant de garantir l’intégrité et la traçabilité des opérations enregistrées.

Ainsi, les données concernées incluent les informations essentielles de la transaction, telles que :

• Le numéro du document justificatif (ticket, facture, note…),
• La date et l’heure exactes de l’opération,
• L’identifiant de la caisse utilisée,
• Le montant total facturé, toutes taxes comprises,
• Le détail des produits ou services vendus (désignation, quantité, prix unitaire, montant hors taxe et taux de TVA applicable),
• Le mode de paiement employé, que le règlement soit immédiat ou différé,
• Les enregistrements des modifications ou corrections apportées aux transactions.

Par ailleurs, les logiciels doivent également stocker les données assurant la traçabilité et la fiabilité des enregistrements, notamment celles destinées à la création d’archives conformes aux exigences réglementaires.

Les transactions effectuées en mode test ou formation, via un simulateur intégré au logiciel, doivent également être enregistrées et sécurisées.

IV. Obligations et exigences techniques

1. Inaltérabilité des données

Le logiciel doit empêcher toute modification ou suppression des données enregistrées sans qu’une trace ne soit conservée. Toute correction doit se faire via des opérations de compensation ("plus" et "moins"), sans altération directe des données d'origine.

La garantie d'inaltérabilité repose sur :

• Une restriction d’accès empêchant les modifications directes des données validées,
• Un système de détection des altérations, par empreinte numérique ou chaînage, prouvant que les données n’ont pas été modifiées depuis leur enregistrement initial,
• Un suivi détaillé des modifications, incluant l’horodatage précis de chaque correction.

2. Sécurisation des données

Le logiciel doit protéger les transactions enregistrées ainsi que les justificatifs émis. Cette protection vise à assurer :

• L’enregistrement et la conservation de toutes les transactions, y compris leurs modifications,
• L’impossibilité de suppression des données sans trace,
• L’usage de procédés techniques fiables, comme le chaînage des enregistrements ou la signature électronique.

Une attention particulière est portée aux modes test et formation, qui doivent être clairement identifiés pour éviter toute confusion avec de véritables transactions.

3. Conservation des données

Toutes les transactions, y compris leurs détails ligne par ligne, doivent être conservées pour une durée minimale de six ans.

Le logiciel doit prévoir :

• Une clôture journalière, mensuelle et annuelle des enregistrements, permettant d’assurer un suivi précis des opérations,
• L’archivage sécurisé des données avant toute suppression pour libérer de l’espace,
• La conservation des totaux cumulatifs, notamment le total perpétuel, qui ne doit jamais être remis à zéro.

Les entreprises utilisant des systèmes centralisés doivent garantir la transmission et la conservation des données enregistrées sur un serveur sécurisé.

4. Archivage des données

Le logiciel doit permettre l’archivage des données sur une base périodique, au minimum annuelle.

L’archivage a pour but de :

• Geler les données enregistrées, en leur attribuant une date certaine,
• Garantir leur intégrité, pour assurer leur conformité aux enregistrements d’origine,
• Faciliter leur accès en cas de contrôle fiscal, en fournissant des fichiers lisibles sous format ouvert.

Les archives peuvent être conservées au sein du logiciel ou sur un support externe sécurisé (clé USB, disque dur externe, serveur distant). Avant toute purge des données, un fichier d’archivage complet doit être généré.

V. Quelles sanctions en cas de manquement ?

En cas de non-respect des obligations, une amende de 7 500 € par logiciel ou système non conforme est appliquée, avec obligation de mise en conformité sous peine de sanctions supplémentaires. L’administration fiscale peut exiger à tout moment l’accès aux enregistrements et aux archives des transactions.

Faute de production d’un certificat, l’opérateur a 60 jours pour démontrer qu’il remplissait les conditions prévues par la loi. Il est donc, dorénavant, impossible en pratique de se faire certifier dans ce délai.

VI. Les impacts de la fin de l’attestation

Jusqu’en 2025, les professionnels assujettis à la TVA utilisant un logiciel ou un système de caisse pouvaient justifier de sa conformité aux exigences légales soit par une attestation individuelle délivrée par l’éditeur du logiciel, soit par une certification obtenue auprès d’un organisme accrédité (AFNOR ou Infocert).

Cependant, la loi de finances pour 2025 met fin à cette possibilité d’attestation par l’éditeur lui-même. Désormais, seule la certification délivrée par un organisme accrédité sera reconnue comme preuve de conformité.

1. Obligation pour les éditeurs d’obtenir une certification

Les éditeurs de logiciels de caisse doivent faire certifier leurs solutions par un organisme agréé. Cette certification garantira le respect des exigences d’inaltérabilité, de sécurisation, de conservation et d’archivage des données imposées par l’administration fiscale.

2. Risque pour les entreprises utilisant un logiciel non certifié

Les assujettis qui utilisent encore un logiciel ou un système de caisse uniquement attesté par l’éditeur devront s’assurer avant 2025 que leur solution a bien été certifiée par un organisme accrédité.

⚠️ À défaut, en cas de contrôle fiscal, l’entreprise s’expose à une amende de 7 500 € par logiciel ou système non conforme, avec obligation de régularisation.

3. Nécessité pour les entreprises de vérifier la conformité de leurs logiciels

Les assujettis doivent anticiper cette évolution en prenant les mesures suivantes :

• Vérifier auprès de leur éditeur si leur logiciel est en cours de certification et demander un certificat officiel délivré par un organisme agréé.

• Si leur logiciel ne peut être certifié, envisager une migration vers une solution conforme avant l’entrée en vigueur de l’obligation.

• Mettre à jour les contrats et engagements avec les éditeurs pour s’assurer du maintien de la conformité aux exigences fiscales.

4. Impact sur les logiciels développés en interne ou en open source

Les entreprises utilisant un logiciel développé en interne ou un logiciel libre devront soit obtenir une certification pour leur propre solution, soit adopter un logiciel déjà certifié pour éviter tout risque de non-conformité.

‍

‍