Réforme 2024 : Publication du décret et de l’arrêté.

Résumé et décryptage.

Cyrille SAUTEREAU

Le décret 2022-1299 et son arrêté ont été publié le 7 octobre, puis exposé dans les grandes lignes le 19 octobre dernier dans le cadre d’une plénière tenue par l’équipe projet DGFIP / AIFE.

Il en ressort les éléments suivants :

Tout d’abord, le choix a été de s’appuyer sur une architecture mixte publique / privée composée d’un Portail Public de Facturation (PPF) et de Plateformes de Dématérialisation Partenaires (c’est-à-dire partenaires de l’Administration) qui constituent ensemble un réseau d’échange et de contrôle des factures et de leurs statuts de traitement.

4 nouvelles mentions obligatoires (242 nonies A)

N° de SIREN du client assujetti à la TVA, catégorie de vente (biens, service, mixte), option pour la TVA aux débits, adresse de livraison si différente de l’adresse de l’acheteur. Il restait une interrogation sur la date d’application de ces modifications. Ce sera au rythme de l’entrée dans la réforme (et logiquement à anticiper pour ceux qui anticipent l’émission au travers des PDP / PPF), et au plus tard le 1er janvier 2026 pour toutes les factures (et pas seulement celles qui relèvent du périmètre de la réforme). Pour clarifier, la doctrine fiscale (BOFIP) devrait venir préciser cette tolérance de date d’application.

Confirmation des formats du socle (art 41 septies C)

XML UBL, XML CII et format mixte PDF A/3 + données minimum requises ou plus sous XML CII (bref Factur-x comme déjà dit dans les spécifications externes). A noter que cette définition du format mixte autorise une composition inversée : PDF du lisible joint dans un XML CII, mais pas un PDF joint dans un UBL (comme pratiqué sur ChorusPro en flux E2).Accessoirement, la Norme EN16931 n’autorise pas en théorie de joindre un lisible PDF dans un structuré (ce qui n’est vérifié nulle part, ni par personne aujourd’hui). Il conviendra néanmoins que soit clarifié le statut d’une représentation lisible transmise en parallèle d’une facture structurée, par exemple transmise en pièce jointe sur le PPF. Pour rappel, le standard Factur-x traire le sujet en indiquant que la facture (anciennement « originale ») est toujours le fichier dans son ensemble (représentation PDF ET données de facture dans factur-x.xml) avec pour règle que toute donnée présente dans le fichier structuré factur-x.xml doit être présente à l’identique sémantiquement dans la représentation PDF, ce qui relève de la responsabilité de l’émetteur.

Possibilité de déposer des factures PDF simple sur le PPF ou les PDP (art 41 septies C et D) ...

…jusqu’au 31 décembre 2027, charge à lui et elles d’offrir un service d’extraction des données requises, en vue de constituer a minima une facture mixte (voire une facture structurée). A priori, un mandat de facturation sera alors nécessaire, même si ce n’est pas précisé à ce stade dans les textes.

Le périmètre d’action des PDP : la totale (242 nonies E)

E-invoicing en émission, y compris extraction des données requises, contrôles et transmission au PPF (flux 1), E-invoicing en réception, e-reporting, y compris encaissements, gestion des statuts (a minima les statuts obligatoires (déposé, rejet, refus, encaissé), gestion des formats du socle minimum, conversion entre formats du socle minimum avec garantie d’intégrité, fourniture d’un lisible complet (pour les factures structurées), service d’extraction des données requises depuis un dépôt en PDF simple (qui peut, en pratique, nécessiter une action manuelle de complétude et validation de l’émetteur), accès sécurisé des utilisateurs (cf -ci-dessous), conservation des traces de tout ce qui est fait par la PDP, y compris les actions des utilisateurs, et de la capacité à distinguer la nature des flux à déclarer (e-invoicing, e-reporting sur ventes et achat international hors imports de biens, e-reportingd e paiement). On est donc sur un périmètre le plus large par rapport à ce qui était attendu.

Les exigences de sécurité pour les PDP (242 nonies B)

Des précisions sur les exigences de sécurité, à savoir :

    • Toute PDP devra être qualifié ISO27001, ainsi que tout sous-traitant intervenant dans les traitements informatiques de la PDP, et ce dès le dépôt de son dossier d’immatriculation.
    • Engagement à ce qu’aucun transfert de données en dehors de l’UE ne soit possible, l’hébergement devant être en UE (et par conséquent pas en UK par exemple, ni en Norvège, ni en Suisse).
    • Qualification SecNumCloud exigée pour le sous-traitant d’hébergement uniquement si l’hébergement des données est sous-traité. Donc, si l’exploitation est faite en propre par la PDP, même si elle le fait à partir de moyens mutualisés sur plusieurs applications, la qualification SecNumCloud ne sera pas exigé.

Toutefois, ceci pourrait ouvrir la possibilité d’être PDP à de grands hébergeurs dont le nom  commence par A ou G, exploitant avec leur propres moyens, sans qu’il leur soit exigé un capital social contrôlé depuis l’UE (comme le référentiel SecNumCloud l’exige), alors qu’ils ne pourraient pas être hébergeurs de PDP tierces ?

Accès sécurisé des utilisateurs des PDP (242 nonies F)

Il sera exigé à terme un accès des utilisateurs avec identité numérique professionnelle substantielle (1er janvier 2028 au plus tard), et avec identification à double facteurs dont un dynamique dès le démarrage.

Des précisions sur les modalités d’immatriculation des PDP, puis de l’audit et du renouvellement d‘immatriculation (tous les 3 ans, 242 nonies C)

En particulier, il a été précisé que l’audit devra bien se dérouler dans les 12 mois de la prise d’effet de la notification d’immatriculation, c’est-à-dire au plus tôt le 1er juillet 2024, ce qui laisse jusqu’au 1er juillet 2025 pour produire le rapport d’audit pour les PDP immatriculées avant le démarrage de la réforme. A noter aussi que la preuve d’interconnexion avec le PPF exigée ne pourra pas être fournie au moment du dépôt du dossier (puisque que la plateforme de qualification ne sera disponible qu’en décembre 2023). Il pourrait en être de même pour la preuve d’interopérabilité avec une autre PDP pour les premiers dépôts.

Des précisions sur les exigences d’interopérabilité (242 nonies B, E, I)

  • confirmant que les PDP devront être interopérées avec le PPF, qui sera ainsi la seule plateforme interopérée nativement avec toutes les PDP
  • exigeant de montrer une interopérabilité avec au moins une autre PDP, soit dans le cadre d’une convention bilatérale (à montrer) soit d’une adhésion à un protocole d’échange en réseau (de type PEPPOL / EIN d’EESPA)
  • exigeant de toute PDP qu’elle soit interopérée avec les destinataires de ses clients, ce qui vient instaurer un principe d’interopérabilité effective totale (sauf pour des PDP qui ne cibleraient qu’une communauté restreinte de fournisseurs et clients). Ceci vient renforcer la nécessité pour les futures PDP de trouver une solution d’interopérabilité en réseau (cf DCTCE POC France).

Des précisions sur le fonctionnement de l’annuaire (242 nonies H)

  • à la fois sur les données qui y seront présentes, sur le rôle des PDP pour l’alimenter et le mettre à jour (et notamment son rôle d’enregistrement, c’est-à-dire de vérification de la réalité des entités déclarées et de leurs représentants), la consultation de l’annuaire par les entreprises au travers des PDP et du PPF, sans accès à l’identité de la PDP du destinataire, sauf pour les PDP ou le PPF. A noter que la consultation de l’annuaire par les PDP ne doit servir que le routage des factures, …. Et donc ne doit pas être utilisée par les PDP pour orienter leurs actions commerciales.

Des précisions sur les délais de production du e-reporting, avec un certain assouplissement (41 septies M et P) :

  • Pour les entreprises au régime normal mensuel : tous les 10 jours, sous 10 jours et pour le e-reporting sur paiement (encaissement) : tous les mois sous 10 jours
  • Pour les entreprises au régime normal trimestriel : tous les mois sous 10 jours
  • Pour les entreprises au régime simplifiées : tous les mois entre le 25 et le 30 du mois suivant (reste à préciser comment interpréter le 30 février : 2 mars ou 1er mars suivant qu’on est en année bissextile ou pas)
  • Pour les entreprises en franchise en base : tous les 2 mois, entre le 25 et le 30 du mois suivant

Le détail des mentions requises par l’administration, au démarrage, en cible au 1er janvier 2026 (41 septies D), ...

… et la tolérance jusqu’au 31 décembre 2027 pour les factures issues d’un dépôt PDF (pour être précis, d’une facture non structurée et non mixte) avec transformation en facture mixte ou structurée par un service des PDP / PPF, y compris quand il s’agit d’un membre d’un assujetti unique. A noter qu’il reste bien une obligation de fournir l’ensemble des mentions obligatoires des factures B2B internationales de vente et d’acquisition hors import de biens, comme pour le e-invoicing. On pourrait en déduire que la tolérance sur le dépôt PDF pour extraction des données restreinte jusqu’au 31 décembre 2027 s’applique aussi sur ce e-reporting. A confirmer néanmoins.

Et un Alignement des obligations pour les factures B2G sur la réforme B2B (article 2 du décret et article 3 de l'arrêté).

Et !

Beaucoup de choses sont maintenant posées. Il reste quelques précisions à venir probablement dans des BOFIP attendus d’ici fin d’année (y compris certaines adaptations sur la conformité fiscale pour introduire la capacité de conversion et la fin de la notion « d’original fiscal »).

Il reste aussi la publication d’une nouvelle version des spécifications externes et des annexes, intégrant notamment les extensions pour les formats du socle minimal, ainsi que quelques précisions ou corrections suite aux différents échanges et ateliers des derniers mois.

Viendront ensuite des éléments plus pratiques, tels que des exemples sur différents cas d’usage, des descriptions xsd des formats (peut être des schematrons intégrant les contrôles réglementaires additionnels, idéalement), des swaggers pour les API.

Déjà largement de quoi se préparer, tant pour les entreprises que pour les candidats PDP ou les OD de tout type.

Plus qu’à faire ! Bonne chance quand même !

Cyrille SAUTEREAU

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.