webleads-tracker

NF 525 | Commerçants : comment assurer votre conformité ?

NF 525 | Commerçants : comment assurer votre conformité ?

Norme NF 525

 

Tout ce qu’il faut savoir sur les dispositions de la norme NF 525 pour assurer votre conformité

NF 525 : définition, contexte & enjeux

Selon les estimations, la fraude à la TVA représente un manque à gagner de 15 à 20 milliards d’euros par an pour l’Etat. C’est donc dans l’objectif de limiter cette perte qu’intervient la certification NF 525, instaurée par la loi des finances de 2016 et établie par le gouvernement Sapin.

La certification NF 525 permet notamment :
.

  • L’identification des processus et des données d’encaissement
  • La sécurisation de l’enregistrement des données relatives à l’encaissement par la signature électronique
  • La création d’une piste d’audit afin d’assurer la traçabilité des opérations d’encaissement
  • L’archivage et la conservation des informations
  • L’assurance d’une parfaite transparence des données et des traitements
  • De fournir un moyen de restitutions des données d’encaissement enregistrées dans le but de simplifier les contrôles

Qui est concerné par cette nouvelle obligation ?

Dans le cadre de l’application de la loi de finances de 2016 et à compter du 1er janvier 2018, tous les commerçants et professionnels assujettis à la TVA et enregistrant des paiements au travers d’une solution d’encaissement, se doit désormais d’utiliser un logiciel de caisse certifié NF 525.

Quelles sont les principaux engagements induits par cette norme ?

Les logiciels de caisse certifiés NF 525 doivent répondre à 4 grands principes :
.

  • Inaltérabilité des données

Le logiciel doit enregistrer les règlements et être en mesure de restituer les éventuelles modifications apportées au cours du règlement.

.

  • Sécurisation des données

L’outil doit garantir qu’aucune modification ne peut être réalisée sur les données enregistrées.

.

  • Conservation des données

Une durée minimum de 6 ans doit être appliquée pour la conversation des données au sein du logiciel. Par ailleurs, il doit également prévoir une clôture journalière et mensuelle.

.

  • Archivage des données

L’outil doit enfin permettre d’archiver et de dater les documents tout en garantissant un accès facilité à l’administration fiscale.

Quelles sont sanctions encourues en cas de non-respect de cette obligation ?

Depuis le 1er janvier 2018, si le commerçant ne dispose pas d’un logiciel de caisse certifié NF 525, il encourra une amende de 7500€ par système non certifié et disposera de 60 jours pour s’équiper d’un logiciel aux normes.

A cette amende peuvent d’ailleurs être ajoutées des pénalités d’impôt, dues au titre des recettes que le logiciel frauduleux aura permis de dissimuler suite à ce contrôle.

Passé ce délai et faute de pouvoir prouver sa certification, le commerçant pourra recevoir une nouvelle amende du même montant.

Commerçants : comment assurer votre conformité ?

Deux possibilités s’offrent à vous afin d’assurer la certification de votre système :
.

  • Si votre fournisseur actuel est certifié NF 525 :

Interrogez votre fournisseur pour vous assurer que la version actuelle de votre système propose les fonctionnalités aux normes. Dans le cas contraire, vous devrez réaliser une mise à jour de votre outil.
.

  • S’il est impossible pour votre éditeur d’assurer la certification de son logiciel :

Vous devrez alors vous chercher à vous équiper d’un nouveau système homologué.

.

Dès lors que vous serez en possession d’un logiciel certifié, l’éditeur vous communiquera une attestation vous permettant de prouver votre conformité auprès de l’administration fiscale.

POSia, le logiciel de caisse certifié NF 525 et édité par Archipelia

Edité par Archipelia depuis 2014, POSia est certifié NF 525 et garantit ainsi une totale conformité à l’ensemble de ses clients vis-à-vis de la législation en vigueur.

Conformément aux dispositions prévues par la norme NF 525, nous proposons notamment de multiples garanties en matière d’enregistrement des données d’encaissement, de traçabilité des événements / changements et de sécurisation.

A titre d’exemple, voici un aperçu des dispositions fonctionnelles mises en place pour POSia et répondant aux critères de qualité exigés par la marque NF525 :
.

  • Édition d’un ticket de caisse comportant l’ensemble des éléments requis par la norme (numéro de transaction, signature restituée, version du logiciel)
  • Impression de duplicata avec mention obligatoire d’un numéro unique
  • Pas de possibilité de réimprimer des tickets déjà encaissés sans la notion de duplicata
  • Pas de possibilité d’imprimer une note sans qu’elle soit rattachée à un ticket encaissé
  • Aucune modification ou suppression possible d’un ticket déjà encaissé (y compris pour le mode de règlement)

Vous souhaitez en savoir plus sur POSia ?

Découvrez également nos autres articles

Archipelia concourt au Deloitte Technology Fast 50 Nord 2017

  Archipelia figure cette année encore parmi les entreprises du Nord ayant réalisé une forte croissance de leur chiffre d'affaires. La société est donc éligible à la 17ème édition du Deloitte Technology Fast 50 Nord et concourt dans la catégorie "Logiciels et Services...

lire plus

PME : tout ce qu’il faut savoir des défis et enjeux  du RGPD

PME : tout ce qu’il faut savoir des défis et enjeux du RGPD

RGPD

 

Tout ce qu’il faut savoir des défis & enjeux du RGPD quand on est une PME

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (ou RGPD) est un texte de loi européen adopté en avril 2016. Il porte sur la protection des données à caractère personnel et tend ainsi à protéger la vie privée des citoyens et internautes européens.

Ce règlement vient renforcer les dispositions de la CNIL datant de 1995 (loi informatique et libertés) concernant la protection des données personnelles.

En d’autres termes, toute entité en charge du traitement de données à caractère personnel est aujourd’hui dans l’obligation d’être en conformité avec les dispositions prévues par le RGPD.

Entrée en vigueur depuis le 25 mai 2018, cette réforme s’inscrit notamment dans un contexte de transformation profonde liée à l’adoption croissante du numérique par les citoyens.

Qu’est-ce qu’une donnée à caractère personnel ?

Au sens de la loi, une donnée à caractère personnel est une donnée permettant d’identifier directement ou indirectement une personne physique.

Nom, prénom, email nominatif, numéro de sécurité sociale, adresse IP sont entre autres des informations considérées comme étant des données personnelles.

Les objectifs et enjeux du RGPD

L’objectif principal du RGPD est de redonner aux citoyens le contrôle sur leurs données personnelles et d’uniformiser l’environnement règlementaire des entreprises.

Concrètement, cela signifie que chaque entreprise doit s’assurer que les moyens qu’elle utilise pour collecter, traiter, utiliser et archiver les données sont conformes aux dispositions prévues par le RGPD.

Les principales dispositions du RGPD

Afin d’améliorer la protection de leurs données personnelles, le RGPD octroie différents droits aux citoyens européens :
.

  • Le droit à l’accès et le droit à l’information : les utilisateurs peuvent demander un accès à leurs données personnelles et connaître l’usage qui en est fait. Ils doivent également être informés de toute collecte les concernant et communiquer leur consentement de manière explicite quant à l’utilisation des données collectées.
  • Le droit à l’oubli (ou droit à l’effacement) : à tout moment, l’utilisateur doit pouvoir retirer son consentement et ainsi s’opposer à l’utilisation de ses données.
  • Le droit à la limitation du traitement : l’utilisateur peut préciser les cas pour lesquels il accepte que ses données soient utilisées.
  • La portabilité des données : l’utilisateur doit également pouvoir récupérer ses données afin que celles-ci soient réutilisées par un autre fournisseur de service.
  • Profilage : les droits des citoyens relatifs au traitement automatisé des données personnelles sont également renforcés par le RGPD.
    .

Par ailleurs, la durée de conservation des données doit être limitée et doit tenir compte des potentielles obligations légales à conserver certaines données. A titre d’exemple :
.

  • Les coordonnées d’un prospect inactif doivent être supprimées au bout de 3 ans
  • Les données figurant dans un dossier médical doivent quant à elle être conservées pendant 10 ans.

Qui est concerné par le RGPD ?

Sont concernés par le RGPD : toute entreprise exerçant une activité dans la zone UE, ainsi que tout serveur qui stocke des données personnelles dans cette même zone UE.

A partir du moment où vous traitez des données personnelles de citoyens européens à titre professionnel, le RGPD s’applique et vous devez :
.

  • Vous assurer de ne collecter que des données véritablement pertinentes, et ce, de manière loyale
  • Etre transparent dans le traitement des données – vous avez une obligation d’information et de conseil vis-à-vis des personnes concernées
  • Demander le consentement des personnes concernées
  • Mettre en place toutes les mesures nécessaires afin de protéger les données
  • Ne pas réaliser de transfert des données hors de l’UE
  • Tenir un registre des traitements de données et nommer un délégué à la protection des données (DPO) – dispositions obligatoires pour les entreprises de plus de 250 salariés –
  • Effectuer des analyses préalables d’impact aux traitements des données personnelles afin de gérer en amont les risques éventuels lors de traitement (fuite de données…)

Quelles conséquences en cas de non-respect de la règlementation ?

A compter du 25 mai 2018, le non-respect à l’une des obligations du règlement européen peut engendrer des sanctions lourdes de conséquences pour l’entreprise ou l’organisme fautif.

Le RGPD prévoit en effet des pénalités extrêmement dissuasives :µ
.

  • Jusqu’à 10 M€ ou 2% du chiffre d’affaires annuel mondial pour des manquements au Privacy by Design, Privacy by Default, en matière de PIA…
    .
  • Jusqu’à 20 M€ ou 4% du chiffre d’affaires mondial en cas de non-respect aux droits des personnes (droit d’accès, de rectification, d’opposition, de suppression…).
    .

Dans chacun des cas, le montant le plus élevé est celui pris en compte. En France, c’est la CNIL qui est chargée de l’application des sanctions.

Pour résumer

Si le RGPD est aujourd’hui dans les esprits de beaucoup d’entreprises, son application peut toutefois s’avérer plus complexe tant son champ d’action est large.

Une gouvernance des donnés conforme à la règlementation nécessitera des efforts d’une ampleur proportionnelle à la hauteur des sanctions prononçables par les autorités de contrôle.

En effet, connaître et maîtriser son patrimoine de données est un travail constant et exigeant. Il est essentiel de s’emparer dès à présent des dispositions et d’anticiper les efforts à fournir pour assurer sa conformité telle qu’elle est prévue par le RGPD.

Découvrez nos autres articles

Archipelia concourt au Deloitte Technology Fast 50 Nord 2017

  Archipelia figure cette année encore parmi les entreprises du Nord ayant réalisé une forte croissance de leur chiffre d'affaires. La société est donc éligible à la 17ème édition du Deloitte Technology Fast 50 Nord et concourt dans la catégorie "Logiciels et Services...

lire plus