Obligations réglementaires

Législations et réglementations

L’ERP Dafi est conforme à la loie anti-fraude TVA, au RGPD et aux obligations de DEB

DAFI est certifié conforme à la loi anti-fraude TVA

L’obligation d’utiliser un logiciel ou système de caisse sécurisé est entrée en vigueur le 1er janvier 2018 via la publication BOI-TVA-DECLA-30-10-30. C’est pour satisfaire à cette obligation réglementaire que DAFI a été complété par un ensemble de fonctionnalités automatisées et sécurisées par un système de chaînage d’enregistrements garanti par des HASH (système de chiffrement calculant une empreinte cryptographique).

Voici l’extrait du BOI (Bulletin Officiel des Impôts) concernant la loi nommée communément « anti-fraude TVA » : toute personne assujettie à la taxe sur la valeur ajoutée (TVA) qui effectue des livraisons de biens et des prestations de services à destination de clients particuliers et qui enregistre les règlements reçus en contrepartie au moyen d’un logiciel ou d'un système de caisse, est tenue d'utiliser un logiciel ou un système qui satisfasse aux conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données en vue du contrôle de l'administration fiscale.

D’abord destiné aux logiciels de caisses afin d’éviter les fraudes, l’obligation a été étendue, dès son entrée en vigueur, à tous les logiciels enregistrant des règlements.

Le Règlement Général à la Protection des Données

Le 25 mai 2018 entrait en vigueur le RGPD (ou GDPR en anglais) destiné à encadrer le traitement des données à caractère personnel au sein de l’Union Européenne. Il concerne tout organisme public ou privé, de toutes tailles et sur toutes les activités, établi en UE ou dont l’activité cible directement les résidents de l’UE même si la société est domiciliée hors UE.

Pour un ERP comme DAFI, le RGPD a introduit 2 notions fondamentales, celle du Privacy by design, et celle du Privacy by default. La première signifie que tout logiciel doit tenir compte de la sécurisation des données à caractère personnel dès sa conception. La seconde fait référence à la sécurité par défaut, c’est à dire que l’utilisateur n’a pas à devoir intervenir pour sécuriser ses données, mais à l’inverse, pour les rendre accessibles.

Dans DAFI, c’est toute la gestion de la base de données qui a été revue afin de chiffrer nativement les données dans une base Mysql 8. Seule une clé de déchiffrement fournie par DAFI Informatique permet à un utilisateur d’accéder aux données en clair. De plus, les accès utilisateurs sont sécurisées à la fois dans la base de données, et dans les fonctionnalités internes de Dafi.

Le RGPD oblige aussi à détecter toute saisie inappropriée qui pourrait être faite par un utilisateur, comme des données de santé ou de religion. DAFI détecte donc automatiquement une liste de mots clés configurables afin d’avertir un responsable le cas échéant.

La Déclaration d’Echange de Biens

L’obligation de faire une DEB auprès de la direction générale des douanes ne concerne que les sociétés de vente à distance vendant des biens à destination de pays intracommunautaires. Mais elle est obligatoire dès la première facture établie depuis le 1er juillet 2021 pour les DEB à l’export (sur les ventes).

La Déclaration d’Echange de Biens n’est pas une obligation fiscale. C’est une obligation imposée par le BOD N°7421 destinée à alimenter les statistiques et études du commerce extérieur. Elle doit se faire avant le 10ième jour ouvrable de chaque mois et implique une gestion de la codification des produits avec une nomenclature douanière spécifique. Obligatoire dès le premier euro facturé à l’export, elle ne devient obligatoire pour les DEB à l’introduction (imports) qu’à partir d’un seuil (460 000 euros)

DAFI vous permet de gérer cette nomenclature, et de préparer votre DEB.

FAQ

Comment prouver que mon logiciel de facturation ou ERP est conforme à la loi anti-fraude TVA ?

En cas de contrôle de l’administration fiscale, le contrôleur peut vous demander une attestation individuelle relative à l’utilisation d’un logiciel ou d’un système de caisse sécurisé. Cette attestation vous sera remise par la direction de DAFI Informatique. Elle est nominative et précise la version de DAFI qui est certifiée conforme par l’attestation. En cas de changement de version majeure, un nouveau certificat vous sera établi.

Par ailleurs, le contrôleur se verra généré un certificat électronique limité dans le temps afin d’accéder aux données sécurisées par le système de HASH et faire les vérifications. Ces vérifications lui seront simplifiées car un écran spécifique a été développé à l’attention des contrôleurs. Cet écran liste l’ensemble des données sécurisées et met en évidence le bon enchaînement des HASH. Les HASH tiennent compte des éléments de facturation ou de règlement, mais aussi des HASH précédents et suivants ce qui rend facilement détectable toute tentative de fraude.

 

Quelles sont les implications de la loi anti-fraude TVA dans le process quotidien pour mes utilisateurs ?

Les utilisateurs standards ne sont pas impactés : l’ensemble des process d’enregistrement des données mémorisées pour sécuriser et rendre inaltérable les données saisies se fait automatiquement et de manière transparente. Un cas fréquent est la correction d’un montant saisi avec une faute de frappe, par exemple, l’utilisateur saisi 1050 € au lieu de 150 €, valide la saisie, mais sans aperçoit de suite et veut donc logiquement corriger la saisie. La loi ATF précise que ces corrections doivent se faire par un système de « + » ou de « – »  , ce qui impliquerait que l’utilisateur doive saisir un règlement négatif de « – 900 € » ce qui n’est pas très pratique. DAFI va automatiser le système de « + » ou de « – » en permettant de faire la correction, mais en traçant la correction en mémorisant le montant avant correction et après correction, le tout sécurisé par les HASH. Donc c’est totalement transparent pour l’utilisateur, mais parfaite visible et compréhensible pour un contrôleur.

Pour la comptabilité, il faudra par contre veiller à clôturer les périodes dont la comptabilité a été transférée vers un logiciel comptable afin de bloquer toute modification sur les données factures/règlements concernés. Un utilisateur devra aussi être défini pour recevoir les rappels d’archivage annuel obligatoire, ce qui se lance très aisément dans DAFI, une fois par an par exemple.

 

Comment savoir si je suis impacté par le RGPD et à quel niveau ?

A partir du moment où vous enregistrez des coordonnées liées à des particuliers, vous devez respecter les règles du RGPD. D’ailleurs, même un stockage « physique » (sous forme papier) vous oblige à respecter le règlement, c’est-à-dire que ce n’est pas un règlement purement lié aux données informatisées.

Par ailleurs, vous pouvez être impacté à différent niveau : si vous traitez beaucoup de données à caractère personnel et cela de manière régulière, vous êtes également obligé de nommer un DPO (Data Protection Officer) qui aura en charge d’étudier votre organisation et de vous conseiller sur ce qu’il vous faut mettre en œuvre, notamment concernant la durée de conservation des données à caractère personnel.

 

Quelle est l’obligation principale pour respecter le RGPD ?

La première chose à faire est de tenir un « registre des traitements » qui peut prendre la forme d’un fichier sous tableau. Un « traitement » correspond en général à un fichier (fichier client, fichier du personnel, etc…) et il vous faut le décrire le plus précisément possible selon les préconisations de la CNIL. Il vous faudra, entre autres, préciser pour chaque traitement : la finalité, la catégorie de données traitées, le niveau de sensibilité, la base juridique qui vous autorise à faire ce traitement (intérêt légitime ou consentement des personnes), les mesurées de sécurité mises en œuvre, la durée de conservation des données, etc… Des exemples sont fournis par la CNIL sur leur site.

 

Comment préparer ma DEB et où faire la déclaration ?

DAFI intègre un écran dédié à la Déclaration d’Echange de Biens qui permet de distinguer les DEB à l’exportation, des DEB à l’introduction (terme utilisé par la douane pour désigner les importations). Une fois le tableau rempli automatiquement par DAFI sur la période demandée, les éléments sont à saisir sur le site de la douane dédié aux DEB .

 

Quelle est la nomenclature produit pour établir une DEB ?

Etablir une DEB nécessite d’encoder l’ensemble des produits vendus à l’export avec la nomenclature combinée (NC8) complété par la nomenclature générale (NGP) pour certains types de produits comme les vins français. Cette nomenclature a tendance à évoluer chaque année, c’est donc un élément à surveiller régulièrement. Les listes sont accessibles à partir de cette page  du site internet de la douane. L’affectation des codes peut être relativement fastidieuse : en 2020, la table de nomenclature comportait 97 « chapitres » (types de produits), et chaque chapitre est décomposé en plusieurs niveaux, au final, le fichier Excel des nomenclatures comporte plus de 14600 lignes.