Quel est le problème de la certification d’un logiciel ? C’est que la certification ne peut être qu’une image à un instant particulier de l’état du code du logiciel et ne peut tenir compte de ses évolutions futures. Dans le cas des logiciels de caisse, ce qui est doit être audité, c’est le fait de s’assurer que le logiciel satisfait « à des conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données en vue du contrôle de l’administration fiscale » (source: LOI n°2015-1785 Article 88).

Or, comme tout le monde le sait, un logiciel est nécessairement amené à évoluer (progrès technologiques et évolutions des pratiques). Il doit s’adapter à son environnement (sécurité, normes, métiers), il doit évoluer (correction de bugs, ajouts de fonctionnalités). Pour les éditeurs les plus actifs cela signifie des mises à jour régulières. Dès lors, qui peut certifier que chaque nouveau patch n’introduise pas une fonctionnalité contradictoire (même involontairement) avec la certification elle-même ? Un logiciel doit-il être « re-certifié » à chaque publication de mise à jour ? Ce sont les « mauvais » éditeurs, ceux qui ne tiennent pas à jour leur solution, qui seraient alors favorisés par cette loi !

Cet article de loi, cette certification, sont incompatibles avec la nature même du développement de logiciels de qualité. Volontairement nous ne parlons pas de logiciels libres pour le moment car tous les logiciels sont concernés. Qu’il s’agisse de logiciels libres ou non, un logiciel doit vivre et évoluer ; les éditeurs propriétaires seront confrontés aux même problématiques que les éditeurs Open Source ou les éditeurs de logiciels libres.

La vraie question au fond est :
Comment rendre le code des logiciels auditable facilement ?

La réponse à cette question simple, nous la connaissons tous depuis longtemps, ce qui rend la décision du législateur d’autant plus étonnante : En publiant le code source des logiciels.

S’il faut pouvoir s’assurer qu’un logiciel respecte la législation alors il suffit pour cela de pouvoir accéder au code de celui-ci à n’importe quel moment pour pouvoir le contrôler et que ce contrôle puisse être fait par n’importe quelle personne qui possède les compétences nécessaires pour évaluer ce code. Cela permet aussi d’envisager l’auto-attestation comme une solution valable.

La loi pourrait (devrait ?) donc imposer à tout logiciel de caisse de publier son code ou à défaut de le rendre disponible – à minima à ses clients et aux autorités de contrôle.

Plutôt que faire reposer une quelconque certification sur des organismes privés, ce qui introduit d’office un déséquilibre dans le processus qui devient un processus marchand (oui, la certification étant payante elle devient une prestation de service et non plus un contrôle) pourquoi ne pas confier cette mission de contrôle à une institution publique rattachée au Ministère de l’Économie et des Finances ? La CNIL le fait déjà pour le contrôle de l’utilisation des données personnelles et dispose d’outils de déclaration, de demandes d’avis, de plainte… Ce modèle pourrait (devrait?) être repris pour les logiciels de gestion au sens large (caisse, boutiques en ligne, comptabilité, gestion…).

Le Synpell a déjà commencé à contacter des hébergeurs de boutiques (woocommerce, prestashop …) en ligne de manière informelle afin de connaître leur position sur le sujet. Nous continuerons ces échanges en les étendant aux organismes de certification et aux éditeurs à la rentrée pour connaître également leur point de vue et les moyens qu’ils pensent mettre en œuvre pour respecter cette nouvelle loi si elle venait réellement à être mise en application. Les premiers retours sont pour le moins préoccupants, puisque personne n’envisage réellement de responsabilité à son niveau à ce stade.

Vous êtes nombreux à nous avoir interpellés au sujet de la mise en place de l’article 88 de la loi de finance 2016 (à partir du 1er janvier 2018) et à vous inquiéter des conséquences de cette loi sur les éditeurs de logiciels libres ou non. Le Synpell a par ailleurs déjà interpellé le Ministère de l’économie en 2016 au sujet de cette loi. Les échanges sont mis en ligne dans une précédente publication du Synpell : http://www.synpell.fr/2016/09/05/loi-de-finances-2016-et-securisation-des-logiciels-de-caisse-et-de-comptabilite/

Courant juin 2017, le Ministère de l’économie a publié un communiqué annonçant une « simplification » de la mise en place de cette loi en ne faisant peser la législation que sur les « seuls » logiciels de caisse en excluant les logiciels de comptabilité et de gestion (hormis ceux gérant des transactions entre assujettis à la TVA et non-assujettis à la TVA, qui sont alors assimilés à des logiciels de caisse).

Cette décision n’est pas satisfaisante ; c’est tout le dispositif qu’il faut remettre à plat !

Nous l’avons déjà expliqué à plusieurs reprises, nous ne remettons pas en cause la nécessité de contrôle et de régulation de la fraude, nous remettons en cause les moyens de le faire. La certification de logiciels par des organismes externes (et privés) ne saurait être une solution.