Depuis le 1er janvier 2018, toute entreprise assujettie à la TVA qui enregistre des paiements au moyen d'un logiciel de caisse est tenue d'utiliser un logiciel certifié conforme aux exigences d'inaltérabilité, de sécurisation, de conservation et d'archivage. L'attestation de conformité délivrée par l'éditeur est la condition visible. Ce qu'elle ne couvre pas est souvent découvert trop tard.
Le référentiel LNE certifie le logiciel — pas le dispositif opérationnel de l'entreprise
Le LNE — Laboratoire National de métrologie et d'Essais — est l'organisme habilité dont le référentiel est aujourd'hui la référence technique la plus utilisée sur le marché français. Ce référentiel s'applique au logiciel lui-même, pour une version précise, certifiée à la demande de l'éditeur. Il ne porte pas sur la configuration du système dans l'environnement de production de l'entreprise, ni sur les interfaces avec d'autres systèmes.
La certification de l'éditeur est une condition nécessaire — elle n'est pas suffisante. C'est la distinction que les organisations sous-estiment le plus souvent.
ISCA : quatre critères techniques qui conditionnent la conformité
- Inaltérabilité : les données enregistrées ne peuvent être modifiées ou supprimées sans traçabilité. Toute correction doit faire l'objet d'une contrepartie visible et horodatée.
- Sécurisation : le logiciel doit garantir l'intégrité des données contre toute altération, accidentelle ou intentionnelle — généralement via des mécanismes de hachage ou de chaînage cryptographique des enregistrements.
- Conservation : les données de transaction doivent être conservées six ans minimum, dans des conditions garantissant leur lisibilité et leur intégrité.
- Archivage : le logiciel doit produire des clôtures périodiques (journalières, mensuelles, annuelles) archivées dans un format exploitable en cas de contrôle fiscal.
Intégrations ERP, personnalisations, archivage : trois zones de risque dans votre infrastructure
La certification porte sur une version précise du logiciel. Toute mise à jour majeure peut nécessiter une nouvelle certification — vérifier que la version déployée en production est bien la version certifiée est un contrôle élémentaire que peu d'organisations font régulièrement.
Dans les architectures où le logiciel de caisse est interfacé avec un ERP, les flux d'échange de données peuvent affecter l'inaltérabilité des enregistrements. Une analyse des flux est nécessaire pour s'assurer qu'aucune modification n'intervient en aval de l'enregistrement certifié. De même, toute personnalisation — même mineure — doit être évaluée au regard de son impact sur les mécanismes ISCA.
L'archivage effectif sur six ans est souvent traité de manière insuffisante dans les environnements multipostes ou multi-sites. Une politique d'archivage opérationnelle — sauvegardes vérifiées, gestion des supports, procédure de restauration testée — est un prérequis, pas une option.
En cas de contrôle, l'amende est forfaitaire et renouvelable
L'administration peut demander l'attestation de conformité délivrée par l'éditeur, les journaux de clôture et les archives de transactions dans un format lisible. L'absence de certification ou l'impossibilité de produire les archives expose l'entreprise à une amende forfaitaire de 7 500 € par logiciel non conforme, renouvelable en cas de persistance.
La certification LNE s'intègre dans la durée : migrations d'ERP, changements de prestataires, mises à jour applicatives, évolutions d'architecture. Une revue périodique de la conformité opérationnelle — distincte de la certification de l'éditeur — est une pratique que les organisations qui gèrent un volume significatif de transactions ont intérêt à structurer.
