Loi anti-fraude et l’e-commerce : les informations officielles

Loi anti-fraude et l’e-commerce : les informations officielles

Spécialiste WordPress et formateur. Fondateur de DeliPress / Capitaine WP / WPChef. Organisateur du Meetup Grenoble. Passionné de WordPress depuis 2009.

Cette nouvelle loi a fait couler pas mal d’encre ces derniers temps et afin d’apporter des réponses concrètes et officielles, nous nous sommes penchés sur le sujet en profondeur.

Voici donc ce qu’il en ressort officiellement :

Les plateformes e-commerce open source sont bien concernées par la loi anti-fraude

Que ce soit WooCommerce, Magento, Prestashop, Shopify ou même EDD, tous se retrouvent concernés par cette loi.

Mais que dit-elle exactement ? Pour faire très simple, le logiciel que vous utilisez pour vendre (logiciel de caisse, solution e-commerce) doit être certifié pour garantir l’inaltérabilité des données d’achats/transactions. Il ne doit donc pas être capable de supprimer une vente (dans l’hypothèse ou le vendeur voudrait s’alléger de quelque TVA).

L’hébergeur OVH a fait intervenir des avocats pour y voir plus clair, et je vous invite à lire leur article Loi anti-fraude à la TVA en complément de celui-ci.

Questions / Réponses

Pourquoi cette loi ?

Afin de mieux comprendre pourquoi elle a été écrite en premier lieu, il faut regarder du côté des logiciels de caisse. Un reportage du style Capital a été diffusé il y a quelques années et mettait en évidence le fait que les vendeurs de logiciels de caisse proposaient une fonctionnalité cachée permettant d’annuler certaines ventes de la journée, pour faire un peu de « black ».

Cette pratique s’était tellement démocratisée que l’état a du prendre les mesures nécessaires.

Et Stripe/Paypal ne pourraient-ils pas jouer ce rôle ?

Techniquement oui, mais d’après la loi c’est le logiciel qui fait la vente qui doit être certifié et pas l’organisme bancaire plus loin (en effet car on pourrait toujours tricher avec un paiement par chèque ou à la livraison, et Stripe ne permet pas de gérer votre stock. Cependant il semblerait que si votre solution est liée à un logiciel comme EBP, ça pourrait fonctionner.)

On est donc dans l’illégalité ? 

Oui et non. Dans l’absolu, oui on l’est. Mais l’état sait très bien qu’une telle transition est longue et a donc annoncé que cette année serait plutôt celle de l’accompagnement. Pas de répression avant 2019 donc. On est donc des pirates, mais on est en « pourparler ».

Qui est concerné ?

En tant qu’e-commerçant, vous n’êtes pas forcément concernés par l’application de cette loi :

Vous l’êtes si vous facturez la TVA et si vous vendez à des particuliers.

  • Si vous faites seulement du B2B, vous n’êtes pas concernés, comme vous devez forcément émettre une facture au client.
  • Si vous n’êtes pas assujetti à la TVA, comme un auto-entrepreneur, vous n’êtes pas concernés non plus (là, ce n’est pas logique mais la loi concerne la fraude à la TVA seulement).

En tant qu’auto entrepreneur, vous êtes concernés à partir du moment où vous passez le plafond TVA de 82 800€ (pour rappel le plafond de la micro entreprise est désormais monté à 165 000€ pour de la vente de marchandise mais vous devez facturer la TVA dès que vous dépassez l’ancien plafond  de 82 800€, toutes les informations sur les nouveaux plafonds sur ce site).

La question au gouvernement

J’ai pris l’initiative en début d’année de contacter mon sénateur local et discuter de la problématique avec lui. Son assistant m’a proposé que l’on formalise une question au gouvernement via le sénat, soumise au ministère concerné.

La question a été publiée au journal officiel et obtiendra une réponse dans les plus brefs délais (visiblement, le gouvernement actuel est plutôt rapide pour y répondre)

Lien vers la question : http://www.senat.fr/questions/base/2018/qSEQ180102918.html 

Statut : en attente de réponse (sous 2 mois maximum)

Cette réponse nous permettra d’avoir une certitude à 100% et de terminer enfin le débat « concerné / pas concerné ».

Merci au sénateur Mr Savin et son assistant Mr Courtois pour leur aide sur le sujet.

En ce qui concerne WooCommerce

WooCommerce est la solution e-commece la plus utilisée avec près de 24% de parts de marché. Donc il y a un très gros enjeu à faire certifier la solution le plus vite possible.

Automattic avait initialement publié un article fin 2017 qui indiquait que la solution n’était pas concernée. L’article a depuis été retiré : cette affirmation reposait sur un amendement du sénat visant à exclure les e-commerçants du cadre de la loi. Malheureusement cet amendement n’a pas été soutenu et la loi est restée intacte. L’article de WooCommerce ayant été rédigé avant la rejet de l’amendement, celui-ci n’était donc plus valable

Lire l’amendement : http://www.senat.fr/amendements/2017-2018/107/Amdt_II-574.html (On peut y voir la mention « non soutenu »)

Automattic a ensuite repris contact avec 3 avocats spécialisés, debut janvier (un peu comme l’a fait OVH), afin de :

  1. Vérifier que Woo (et les autres solutions) sont bien concernées ;
  2. Proposer un axe d’approche valide légalement pour la certification ;

A ce jour la certification est en bonne voie.

Comment va se passer techniquement la certification ?

Le souci de certifier un logiciel open source est que, du fait que le code et le contenu de la base de données sont accessibles et modifiables, le moindre changement entraînerait une annulation de la certification. Pire cela pourrait même devenir impossible à certifier (ne serait-ce que par la présence de hooks WordPress).

Rassurez-vous : les équipes de WooCommerce ont trouvé et développé la solution, en collaboration étroite avec leurs avocats pour que la certification se passe bien !

Rémi Corson, de chez Automattic, m’a communiqué quelques informations officielles sur le système que WooCommerce est en train de mettre en place. Et c’est bien pensé !

Il s’agit d’un système similaire à un service web (Saas, dans le cloud) qui devrait s’occuper de stocker en copie les données afin de garantir leur inaltérabilité. En effet c’est très surement la seule solution viable et certifiable pour un outil e-commerce open source : décentraliser la donnée pour assurer qu’elle n’a pas pu être modifiée.

Ce qu’il se passera c’est qu’à chaque vente, la donnée est transmise dans ce service. Si il vous vient l’idée de supprimer la vente de votre site, elle sera toujours listée en ligne. Lors d’un contrôle de l’état, c’est la base de données dans le cloud qui servira de preuve.

Bon malin, non ? Mais c’est quoi ce service Cloud ?

Automattic dispose déjà d’une infrastructure qui permet de synchroniser, stocker des données et des sauvegardes.

Et oui, c’est Jetpack.

 

Pour ceux qui ne connaissent pas Jetpack est une extension qui vous permet notamment de stocker des sauvegardes de votre site via le service VaultPress.

Ici ce sera un peu la même chose.  Le service s’appelle Jetpack Sync et sert, entre autres, à se mettre en conformité avec la loi.

Au passage VaultPress va bientôt être renommé pour s’appeler Jetpack Backups. (très surement sauvegardes Jetpack en français);

Votre site sera donc en phase avec la loi dès lors que vous installerez l’extension Jetpack et que vous activerez le service Jetpack Sync sur votre site. 

Et dès lors qu’Automattic aura officiellement fait certifier sa solution.

Pour faire bien, l’agence qui a fait le site peut en complément délivrer une attestation à son client pour certifier que la solution mise en place est conforme à la loi, auquel cas il partage la responsabilité en cas de souci. Seriez-vous prêt à le faire ?

Quand sera certifié WooCommerce ?

Techniquement, la solution est déjà opérationnelle. Il ne reste plus maintenant qu’à contacter l’organisme de certification et faire certifier le tout (qui est donc plus la certification d’un process que du code en lui même).

Le délai de certification est actuellement estimé à 4 mois. On peut donc espérer un WooCommerce certifié d’ici le printemps, maximum le début de l’été.

C’est Infocert qui est en charge des certifications. Vous pouvez d’ailleurs voir ici les logiciels déjà certifiés.

Et combien ça coute ?

Ce service sera gratuit. Même si Jetpack propose des formules payantes pour certains de ses services, il ne sera pas nécessaire de payer pour utiliser le service de synchronisation et donc bénéficier de la certification.

Le mot de Rémi Corson, spécialiste WooCommerce chez Automattic

Je laisse la parole à Rémi Corson, un français qui travaille pour Automattic, la maison mère de WooCommerce, WordPress.com et JetPack pour nous donner quelques détails supplémentaires.

Rémi Corson : Effectivement, la sauvegarde d’une version inaltérable de la base de données via Jetpack Sync et la vérification de l’intégralité du code via Rewind permettent de se mettre en conformité avec le texte de loi. Cela se fera sans frais pour les utilisateurs finaux de WooCommerce, ni même pour les agences, cependant, nous encourageons les e-commerçants et les agences à obtenir leur propres certifications sous certaines conditions qui seront listés sur notre site.

Rémi m’a par ailleurs indiqué qu’Automattic était en train de travailler sur la conformité avec la nouvelle loi sur la RGPD. Donc aucun souci à se faire de ce côté là non plus.

En ce qui concerne EDD

Contactés par mes soins, l’équipe de Easy Digital Download ne considère pas pour l’instant que c’est dans son devoir d’adapter leur logiciel.

De plus ils ne disposent pas des mêmes moyens techniques que WooCommerce pour la création d’un système Cloud.

Donc pour le moment, c’est mal parti.

En ce qui concerne les plateformes hébergées comme Shopify

Le problème est légèrement plus simple, comme la solution n’est pas open source, il est impossible de modifier le code. Il suffit donc pour Shopify de se faire certifier afin d’être en conformité avec la loi.

En ce qui concerne les solutions « fait-maison »

Dans ce cas le développeur peut se contenter d’une attestation à son client qui garantit l’inaltérabilité des données, mais partagera la responsabilité en cas de problème. A éviter donc.

L’autre solution est de faire certifier sa propre solution, pour un coût d’environ 400€ et d’un casse-tête administratif certain.

Points essentiels à retenir

  • Le gouvernement a considéré l’année 2018 comme une année de mise en place, et donc il n’y aura pas d’amende cette première année, ce qui laisse le temps à tout le monde de bien se préparer.
  • Vous devez utiliser une solution certifiée si vous vendez à des particuliers et que vous êtes assujetti à la TVA
  • WooCommerce sera conforme à la loi dès lors que vous installerez Jetpack et activerez JetPack Sync (une fois le tout certifié)

Ressources

Sur le site des impôts on peut constater que la loi est bien entrée en publication au premier janvier 2018 : http://bofip.impots.gouv.fr/bofip/10693-PGP/version/10?identifiant=ACTU

L’article du service public où l’on revoit bien qui est concerné :  https://www.service-public.fr/professionnels-entreprises/actualites/A12301

Conclusion

Rassurez-vous, et rassurez vos clients. Personne n’ira sur le bûcher et tout devrait rentrer dans l’ordre rapidement si vous utilisez WooCommerce. Si vous ne faites que du B2B ou que vous êtes affranchis de TVA, vous n’êtes même pas concernés.

Lorsque WooCommerce sortira son module, il suffira d’activer Jetpack pour être en confirmité avec la loi.

J’espère que la lecture de cet article vous aura retiré une épine du pied !

39 commentaires

  1. Gregcta

    Merci Maxime pour cet article complet. Il y a néanmoins un point sur lequel trouver des infos n’est pas simple, qu’en est-il des données pré-existantes ? Devra t’on prévoir de migrer les clients et commandes passées ?

    1. maximebj auteur de l’article

      Je pense que c’est comme toutes les lois : elles ne peuvent être rétroactives. Du coup ça ne s’applique qu’à partir du premier janvier de cette année. Mais comme je le dis, il n’y aura pas de contrôle avant 2019 (en théorie) donc je pense qu’on peut ne pas s’en soucier pour le moment

    1. Remi

      La synchronisation fonctionne en sérialisant un sous-ensemble d’actions WP dans une file d’attente de verrouillage persistante, puis en les envoyant à WPCOM via une nouvelle API, jetpack.sync.

          1. WP FORMATION

            Je ne stresse pas et ne l’utilise pas sur les sites qui tournent avec Woo, mais je comprends bien que tu défendes ton bifteck 😉

            Reste que la certification, même avec l’obligation de Jetpack, est une bonne chose

    2. maximebj auteur de l’article

      La synchro utilse pour le moment xmlrpc.php. Meme si en surface jetpack utilise la REST API WordPress.com, cette API fait des appels xmlrpc par défaut.

      Dans le futur il est prévu que tout passe via la REST API de Core au lieu de XMLRPC.

  2. Olivier

    Je suis content de voir cette solution mise en place. J’espere vraiment que les boutique multi-devises seront prise en charge (moi je facture en EUR, USD et GBP via le plug-in Aelia « Currency Switcher »…

  3. steflp

    Slt Maxime
    Je n’ai pas compris cette partie :
    « En tant qu’auto entrepreneur, vous êtes concernés à partir du moment où vous passez le plafond TVA de 32900€ (pour rappel le plafond de la micro entreprise est monté à 64000€ mais, à cause d’une loi européenne, vous devez facturer avec la TVA dès que vous dépassez les 32900€). »
    Mais bon c’est un détail …
    Excellent article

    1. maximebj auteur de l’article

      En fait le gouvernement en place a tenu la promesse d’Emmanuel Macron qui consistait à doubler le plafond de l’auto entreprise. Donc le plafond initial a doublé. D’ailleurs j’ai fait une erreur, pour de la vente de marchandise les plafonds sont passés de 82500 à 165 000€. Cependant la TVA s’applique après le dépassement de l’ancien seuil

  4. Bérangère Audebert

    Bravo, le meilleur article, et de loin, que j’ai pu lire sur le sujet concernant Woo. Si la solution Jetpack par Woo se met en place, c’est génial. Finalement on sera contents qu’Automattic ait racheté Woo !

  5. Richard

    Vous dites que le coût pour faire certifier une solution fait maison est de 400 €. Le tarif qui nous a été annoncé est de 8500€ la première année, 2000€ par année suivante pendant 3 ans puis à nouveau un montant proche de celle de la première année.
    Avez-vous trouvé une manière de le faire pour seulement 400€ ?

    1. maximebj auteur de l’article

      j’ai peut-être eu une information erronée, Je pense que mon chiffre est faux en effet : si une équipe de développeurs doit relire le code et l’analyser ça doit être en effet plus couteux que cela. Je me renseigne et je corrige. Merci

    2. Remi

      A noter que dans la majorité des cas, le shop owner n’aura pas besoin de la certification, la certification du process étant suffisante. Selon Jean-Louis Michel, le fondateur et DG de l’organisme de certification Infocert, la certificatgion, pour l’éditeur, s’élève entre 6000 et 8000 euros

  6. Thierry

    J’avoue être étonné que en France on ne puisse annuler une vente via le web ….en Belgique c’est obligatoire de pouvoir le faire (directive Européenne). En plus, toujours sur base d’une directive Européenne le droit de rétractation doit exister ce qui est impossible à faire si on ne peut annuler une vente. A titre d’information, en Belgique une vente via le web n’est effective et valable pour les produits 14 jours après livraison et 14 jours date de commande pour les service.
    Source : https://www.cecbelgique.be/themes/achats-sur-internet/annuler-un-achatabonnement/droit-de-retractation-de-14-jours

    1. maximebj auteur de l’article

      Tu n’as pas compris : on peut tout à fait annuler une vente en France. Comme tu dis c’est une directive Européenne que chaque pays respecte.

      La loi dit simplement que le commerçant doit garder TOUTES les traces de transactions. Donc si tu as une vente + un remboursement, il y aura bien 2 lignes : l’achat, le remboursement.
      Mais le commerçant n’a pas le droit de supprimer simplement la ligne d’achat.

      C’est pareil en compta/facturation : une facture émise (même non payée) ne peut-être supprimée : il y a lieu à un avoir.

      Ca n’empêche pas donc de proposer un remboursement.

  7. Maurice

    Bonjour, merci pour votre article et vos recherches.
    Cette loie s’applique t elle uniquement au e-commerce europeen/francais, où s’applique t elle au monde entier ?
    Oui ma question est bien, va t on pouvoir tricher ? Parce que si c’est le cas, alors il est certain que beaucoup le ferons. Nous aurons encore un internet à 2 vitesses.
    Merci pour votre réponse.

    1. maximebj auteur de l’article

      Elle s’applique si le e-commerçant est situé en France et soumis à la TVA et vend (au moins en partie) en France. Les autres ne sont pas concernés je pense

  8. E-novasys

    Bonjour cela me paraît assez bancal comme solution. On dirait en fait une sorte de git. Je n ose même pas imaginer la taille des bases de données dans quelques années… et tout cela va rester gratuit indéfiniment ?

    1. maximebj auteur de l’article

      La plupart des sites que utilises aujourd’hui sont basés sur des web services. Je ne trouve pas ça bancal (Netflix est composé de 700+ webservices pour fonctionner).

      En théorie Jetpack n’a besoin que de garder tes commandes. ce n’est pas lourd. Dans la réalité Jetpack stocke anonymement énormément de datas. Ils ne sont pas ça près ! Techniquement pour des société comme ça qui ont de tels data center, c’est trois fois rien !

  9. Thierry Pigot

    Et qu’en est il de la conformité au Rgpd sur la solution en Saas ? Consentements, accès aux données, utilisation des données….

    « Il s’agit d’un système similaire à un service web (Saas, dans le cloud) qui devrait s’occuper de stocker en copie les données afin de garantir leur inaltérabilité. En effet c’est très surement la seule solution viable et certifiable pour un outil e-commerce open source : décentraliser la donnée pour assurer qu’elle n’a pas pu être modifiée. »

      1. Thierry Pigot

        C’est justement un point important. Car à lire le RGPD, c’est aussi à Automattic de se mettre en conformité par rapport à ce point pour permettre d’indiquer qui va être le référent sur ces points chez eux, ce qu’ils vont faire des données, comment ils comptent nous avertir en cas de piratage de leurs infrastructures, comment récupérer ou anonymiser ces données….
        Au final, j’ai l’impression que le RGPD et ce système de lutte contre la fraude à la TVA sont antinomiques.

  10. Albibak

    Bonjour Maxime,

    J’ai effectivement une boutique WooCommerce, par contre j’utilise Dolibarr pour éditer les factures ????
    Est ce que je dois également être certifié sur Dolibarr ou WooCommerce suffit ???

    Merci pour tes lumières.

    1. maximebj auteur de l’article

      Je pense que du coup comme c’est WooCommerce qui émet la vente, c’est plus important que ce soit lui qui soit certifié. Mais en soit si les deux les sont c’est encore mieux.

  11. jsavalle

    Merci pour cette mise au point qui était plus que nécessaire.
    Je regrette que cela force à l’instalation de JetPack et ne puis exister de façon indépendante – mais bon c’est une solution à laquelle il faudrat s’habituer.

  12. Mathieu Chartier

    Super article complet, bien joué !
    J’aime bien l’idée du stockage par duplication des données dans le cloud, ce n’est pas idiot du tout et c’est sûrement une des seules solutions viables pour coller à une loi qui n’a encore une fois pas réfléchi aux contraintes techniques du Web. Mais bref, la solution peut fonctionner (à quel prix car ce stockage n’est pas gratuit…) pour être dans les clous.
    En revanche, avec la RGPD en même temps qui nous force à tout justifier auprès des clients, la solution devient alors contre-productive (même si on suppose que l’Etat ne dira rien dans ce cas puisque c’est pour le respect d’une autre de ses lois). Pas simple d’être dans les clous ici avec deux lois qui « techniquement » nous mettent dedans…

    1. maximebj auteur de l’article

      C’est clair !

      Normalement aucun souci à l’horizon, Jetpack sera compatible RGPD aussi.

      Jetpack est déjà bien intégré dans WooCommerce et tout ce qui est stocké en cloud est gratuit, ce sera pareil pour le système de certification et on ne devrait pas avoir de souci.

  13. Stephane TESOLARI

    En l’occurrence, tout le monde a l’air d’oublier qu’en e-commerce, par exception au commerce traditionnel, il y a OBLIGATION de délivrer une facture à un particulier. (https://www.service-public.fr/professionnels-entreprises/vosdroits/F23208)

    De fait, vues les conditions énoncées dans le loi, un e-commerçant soumis à TVA ne devrait pas être concerné même s’il vend à des particuliers. C’est pourquoi je suis très surpris des conclusions du cabinet d’avocats dont il est question.

    Si quelqu’un peut m’aider à creuser cete piste…

    1. maximebj auteur de l’article

      Oui il faut une facture au client même particulier.

      Le fait est que, selon moi, lors du B2b la facture est comptabilisée des deux côtés (client / fournisseur) et il devient facile de comparer les comptes et s’assurer que ça a été comptabilisé correctement.

      Je pense que la différence vient de là, mais je te le garantit pas à 100%

  14. Playzare

    Bonjour,
    Après avoir lu votre article il y a de cela une semaine je suis très heureux de voir que Automattic a trouvé une solution pour pouvoir certifier Woocommerce open source via la duplication.
    Malgré cela mes clients ont encore peur que la certification ne voit jamais le jour ou même que ce qui est dit sur cet article est faux, Automattic va t’il faire un communiqué sur un quelconque site officiel sous peu ?
    Vous savez si la certification verra le jour bientôt avec une date plus précise ? Ou si on est sur à 100% que cela les organismes certificateurs sont OK pour certifier ce type de méthode de duplication ?
    Merci d’avance pour vos réponses
    Dans l’attente de vous lire,
    Playzare

Laisser un commentaire