Le contexte

Pour mémoire, nous sommes à environ 10 mois de la mise en place de la e-facturation pour l’ensemble des entreprises soumises à la TVA, je ne reviendrais pas sur ce qu’il va se passer et les principales échéances que vous retrouverez dans cet article cité en référence («Compte à rebours pour la e-facturation » – Les Acteurs Locaux des 2 Savoie).

La première échéance interviendra en septembre 2026. et Je souhaite mettre l’accent sur la dématérialisation et les PDP (Plateformes de Dématérialisation Partenaires) actuellement évaluées. La liste définitive n’est pas encore arrêtée, mais 111 plateformes ont déjà franchi la première phase de sélection.

Quelles différences entre la directive européenne et la transposition en droit français ?

La directive européenne sur la e-facturation s’adressait aux marchés publics et il n’était nullement question de l’étendre au marché privé. Elle concernait l’adoption obligatoire d’une norme européenne d’interopérabilité (EN16931) et d’une ou plusieurs syntaxes publiées au Journal Officiel de l’UE. Elle était suivie d’obligations pour les acheteurs public de recevoir et traiter les factures électroniques conformes à la norme ; de mettre à la disposition un point d’accès (plateforme) et de conserver les factures pendant 10 ans. Les fournisseurs, eux, devaient produire une facture conforme à la norme, en garantir l’authenticité, l’intégrité et la lisibilité. La directive devait être transcrite dans le droit national au plus tard au 27 novembre 2018.
En France cette transposition initiale a été suivie d’une ordonnance (n°2022-1306 du 30 décembre 2022) qui a étendu la portée de cette loi au-delà des seuls marchés publics.
Cette extension impose la e-facturation à l’ensemble des acteurs économiques (entreprises privées, TPE et indépendants) à partir du 1^er janvier 2024 via le le dispositif « portefeuille de facturation électronique » (PPF) et les Plateformes de Dématérialisation Partenaires (PDP). Puis le calendrier a été modifié avec les deux échéances de Septembre 2026 et Septembre 2027 comme rappelé dans l’article « Compte à rebours pour la e-facturation ».
Nos gouvernants et élus ont-ils bien mesurés le piège dans lequel allait tomber l’ensemble des entreprises françaises ? Veulent-ils transformer notre économie en un champ de ruine avec ce nouveau coup de boutoir à ceux qui créent de la valeur et de la richesse en France ?

Quels risques impliqués par cette nouvelle contrainte ?

Cette nouvelle contrainte imposée à l’ensemble des entreprises, y compris les plus petites ainsi qu’aux indépendants va entraîner un certain nombre de risques.
Le premier risque qui vient à l’esprit et qu’il ne faut pas sous-estimer, il s’agit du coût que cette dématérialisation, va imposer notamment aux acteurs les plus petits comme les TPEs, les indépendants ou les artisans. En effet, certains, ont peut-être encore leur comptabilité ou leurs factures encore sur papier, ou suivent leur activité sur leur ordinateur avec des tableurs comme solution pour tracer leur activité. Quid pour eux, le risque est que les PDP aient une offre de service incompatible avec ce que leur activité et ce coût additionnel pourrait mettre à mal une santé financière déjà plus que compromise par le matraquage fiscal et des charges subis…
Au-delà du coût même que représente la souscription à une PDP cette numérisation forcée signifie changer de fond en comble leur façon de travailler et représente un manque à gagner énorme par le temps qu’ils vont devoir dédier à cette transition au détriment de leur activité, au pire moment que notre économie a vécu depuis 2008.
Pour l’ensemble des entreprises, celui d’un risque cyber, puisque cette dématérialisation sera dans les mains d’un nombre restreints d’acteurs. Moins il y a d’acteurs et plus chaque plateforme gère de clients, plus la cible est alléchante. Ces données sensibles risquent d’attiser l’appétit de cybercriminels en quête de nouvelles cibles. Ces attaques pourront être de droit commun pur et indifférenciées comme chiffrement des données contre rançon, mais elles pourront consister en la collecte de données pour les revendre à des concurrents peu scrupuleux, nous pourrions aussi avoir des attaques venant d’activistes politiques violents, etc. Cela sera un point d’attention particulier, ou lorsque vous choisissez votre cabinet comptable.

Il y a un autre risque non négligeable et d’apparence anodine, c’est que parmi l’ensemble des Plateformes de Dématérialisation Partenaires identifiées certaines sont américaines. Quels impacts me direz-vous ? Tout simplement deux risques principaux à prendre en compte :

• Le premier qui peut sembler le plus faible, c’est la pratique de la technique dit du « Kill Switch » (bouton tueur), le président américains édite un « executive order » qui interdit à tout citoyen ou entité américaine de proposer des services ou bien à une entité morale ou individuelle (Ouest France – 20 août 2025).

• Le second, plus insidieux, est la transformation des agences de renseignements en outil de guerre économique de façon encore plus prégnante depuis la présidence de Reagan. Cela couplé à l’extraterritorialité des lois américaines, permet de collecter des informations sur des entreprises jugées sensibles dans le domaine de la défense, de l’énergie ou des technologies numériques, sur la santé financière de ces dernières, de connaître leurs fournisseurs clefs par exemple pour mener une campagne qui mènera ces entreprises soit à la faillite, soit au rachat pour une entreprise américaine vue comme un sauveur. Ce risque existe et est réel, je rappelle que des actes d’espionnages flagrants ont été rapportés par des start-up qui lors de voyages d’affaire aux États-Unis pour des salons se sont vus siphonner leurs données dans leur smartphone et ordinateur au passage à la douane (Korben.info). Les États-Unis nous mènent une guerre économique, ils ne sont pas les seuls, il nous faut donc cesser d’être naïf.

Certes toutes les PDP ne sont pas américaines, mais quelle que soit la nationalité des autres entreprises, cela ne les prémunit pas d’être sous le coup des lois extraterritoriales américaines, si leur choix de plateforme logicielle s’appuie sur du cloud américain, où que les solutions logicielles utilisées dépendent du droit américain.

Un autre risque qui n’a pas été pris en compte par cette sur-transcription de la directive européenne concerne les entreprises sensibles ou dont le marché concurrentiel nécessite le secret sur la fabrication. Il ‘est pas question des processus, mais quid des fournisseurs ? Connaître l’ensemble des fournisseurs d’une entreprise, voire le détail de leurs achats par le biais des factures pourrait permettre de reconstruire la stratégie et les éléments clés de la constitution des produits fabriqués ou assemblés, voire de s’attaquer aux fournisseurs pour récupérer des informations sensibles. Des entreprises à forte valeur ajoutée, ou des secteurs comme la défense pourraient être menacés indirectement par le biais d’attaque sur leur fournisseur de PDP. Une nouvelle fois le législateur ne pousse pas l’analyse d’impact sur leurs textes de lois de façon poussée.

Quelles sont ces plateformes partenaires ?

Cette liste est disponible sur le site des impôts ici. Sur les 111 présélectionnées, 75 sont françaises, je reviendrais sur elle dans un second temps, mais il en y en a 14 qui sont directement ou indirectement sous droit américain.

Table des entreprises sous dépendance légale américaine

Comment évaluer votre partenaire PDP ?

Nous avons brossé un tableau général des différents risques que génèrent ces nouvelles obligations. Quelle stratégie de choix à mettre en place, c’est ce que nous allons essayer de vous proposer, à travers une série de question, qu’il serait de bon ton de se poser / de poser à votre prestataire.
Les questions clés :

• Quelle est l’importance stratégique de mes factures (clients / fournisseurs) dans mon activité ?

• La gestion de mes factures est-elle internalisée ou externalisée ?

  • Externalisée :

    • Société prestataire est-elle de droit américain ? (si oui ai-je conscience des risques déjà encourus)

    • Quels outils de facturation / comptabilité utilise-t-elle ? (américain, hébergée sur des clous américains, etc.)

    • Quelle est la nature de mon contrat de service ?

      • Niveau de services ?

      • Niveau de sécurité ? (normes en vigueur, SO 27001, SecNumCloud, ISO 27701, etc...)

      • Des audits sont-ils faits pour m’assurer que le niveau de services et prestations est toujours au niveau exigé ?

    • Ai-je un plan de continuité de services en cas d’indisponibilité de la plateforme ?

  • Internalisée :

    • De quelle nationalité est mon logiciel de facturation / comptabilité ?

    • Mes données sont-elles hébergées sur un cloud américain ?

    • Quel niveau de support est prévu pour ma solution ?

    • Mon infrastructure numérique est-elle suffisamment sécurisée en intégrant ma solution dans le schéma d’architecture technique?

    • Ai-je un plan de continuité d’activité en cas d’incident ?

  • Quelles sont mes clauses contractuelles ?

    • Prévention de litiges

    • Clause EU-EU (mécanismes juridiques intégrés aux traités européens permettant d’ajuster les procédures décisionnelles afin de favoriser la collaboration entre états tout en protégeant les intérêts nationaux)

    • aucune référence aux tribunaux US (choisir sa juridiction pour régler les conflits)

Nombre de ces questions devraient se poser et ce quelle que soit la nature de la solution logicielle que nous souhaitons mettre en place. Comme il est important d’avoir une cartographie de ses données et de l’ensemble de ses flux entrants et sortants afin de les lister et d’évaluer les risques liés.
En termes de cybersécurité, notamment pour des PME ou PMI, bien prendre en compte notamment des intégrations de système d’information avec vos fournisseurs, qui vous facilitent la vie, mais si vous n’avez pas évalué vos fournisseurs de rang 1 et même 2, et/ou que vous ne faites pas d’audit pour vous assurer que leur niveau de cybersécurité reste au niveau de vos exigences, ils peuvent devenir le maillon faible d’une attaque…

En résumé voici le check-list à passer en revue :
☐ Vérifier la nationalité du propriétaire juridique.
☐ Identifier le cloud utilisé et sa localisation.
☐ Demander les certificats ANSSI/ISO.
☐ Analyser les clauses de droit applicable.
☐ Tester le chiffrement de bout en bout.

Conclusion

A partir de septembre 2026 pour la première vague et septembre 2027 pour l’ensemble des acteurs touchés, la conformité à la e‑facturation ne sera plus seulement une contrainte administrative : c’est un enjeu de souveraineté numérique. La meilleure façon de limiter les risques est de choisir une plateforme dont le **droit applicable, le cloud et les certifications** sont clairement alignés avec la législation française.
Tous les acteurs économiques seront impactés, pour les plus petits un risque sur leur rentabilité financière est à craindre, mais le gain pour l’état sera indéniable, l’ensemble des données relatives à la TVA seront disponibles, permettant de juguler la fraude par un contrôle de l’ensemble des transactions.
Quel sera le résultat de cet énième avatar de la spécialité française dans la surtransposition des normes et l’incompréhension des enjeux économiques dans un monde ultra-compétitif ? Et surtout, cette nouvelle contrainte ne risque-t-elle pas d’affaiblir la notion de secret industriel quand toutes vos données se retrouvent hébergées ou transiteront par des plateformes hors de vos murs ?