Vous consultez une page technique concernant le logiciel de gestion Mercator. Celle-ci contient des informations spécifiques destinées aux professionnels de Mercator. Souhaitez-vous être redirigés vers des informations plus générales ?


   Ne plus poser cette question

Législation française : sécurisation des logiciels de caisse

0000002831     -      05/03/2024

Cadre général

La législation française, par l'article 88 de la loi de Finances pour 2016 (publiée fin 2015) prévoyait que les indépendants et entreprises qui enregistrent les paiements de leurs clients au moyen d’un programme de gestion devait, à partir du 1er janvier 2018, utiliser un logiciel sécurisé et certifié, respectant les conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage.
Cette loi a été modifiée par l’article 105 de la loi de Finances pour 2018, qui exclut du champ d’application des nouvelles obligations les logiciels de comptabilité ou de gestion. Ainsi, seuls seront concernés les logiciels ou systèmes de caisse détenus par un assujetti à la TVA en France et établi en France, pour les opérations adressées à des particuliers, çàd pour lesquelles il n'est pas systématiquement délivré de facture. Les relations B-to-B sont donc expressément exclues du champ d'application de cette législation.

L'essentiel de cette législation est détaillé et commenté dans ce document.

Mercator se positionne dans la catégorie des logiciels propriétaires, par opposition aux logiciels libres ou développés en interne.

 

En ce qui concerne Mercator

Mercator offre les fonctionnalités permettant de satisfaire aux conditions fixées par cette législation. Il est donc essentiel de bien comprendre que la certification qui sera apportée par INEO srl, l'éditeur de Mercator, est conditionnelle au fait que ces fonctionnalités sont correctement activées, paramétrées, utilisées et jamais désactivées. L'attestation délivrée par INEO srl rappelle ces conditions.

Il est aussi rappelé que Mercator est un logiciel hautement paramétrable, nécessitant une intégration et des développements pour être mis en service, parfois effectués par des prestataires indépendants de Mercator. INEO srl se soumet à l'obligation de sécurisation, sous réserve que les développements et paramétrages de la société de service informatique procédant à l'intégration n'altèrent pas les fonctionnalités assurant cette sécurisation. Si les modifications réalisées par l'intégrateur altèrent les dispositifs techniques de sécurisation mis en place par INEO srl dans Mercator, il est rappelé que l'intégrateur devient « éditeur ». En conséquence, ce Mercator modifié et installé devra faire l'objet d'une nouvelle procédure de sécurisation aboutissant à la délivrance d'une certification émise par l'intégrateur lui-même.

Il est rappelé que la loi instaure une obligation de résultat concernant la conformité des logiciels (respect des quatre conditions de la loi : inaltérabilité, sécurisation, conservation, archivage) et non de moyen : elle ne définit pas de cahier des charges, ni de solution technique. Les choix d'implémentation ont donc été posés par l'équipe de développement de Mercator.

1. Condition d'inaltérabilité

Pour respecter la condition d’inaltérabilité, l'intégrité des données enregistrées doit être garantie dans le temps par tout procédé technique fiable. Des procédés autres que le scellement et le chaînage pourront être proposés par les éditeurs.

Cette condition est remplie par la mise en place d'un processus de chaînage et de hashage dans la table HISCAISS (historique des encaissements). Nous rappelons que cette table reprend toutes les opérations de caisse (encaissements, ouvertures, fermetures) et qu'aucune donnée n'y est jamais modifiée par Mercator. Les annulations ou modifications y sont toujours effectuées par une opération négative. Le caractère inaltérable des données, tant contre la modification que contre l'effacement, est assuré par le calcul d'une clé de hashage, basée sur l'algorithme SHA256 et incluant notamment un chaînage avec le record précédent.

2. Condition de sécurisation

La condition de sécurisation ne vise pas à limiter les droits d'accès au logiciel ou système de caisse mais à assurer que les enregistrements des encaissements réalisés par toute personne qui accède au logiciel ou système soient tracés, de même que les éventuelles modifications apportées à ces enregistrements initiaux.

Aucune fonctionnalité de Mercator ne permet ou n'entraîne la modification des données de HISCAISS. En conséquence, la traçabilité de tous les encaissements est assurée. Mercator utilise une base de données SQL Server. Il revient à l'utilisateur Mercator ou à son prestataire de services informatiques de veiller à ce qu'aucune donnée ne puisse être modifiée, directement dans la base de données, en dehors de Mercator. Cet aspect doit notamment être géré via les outils de sécurisation de SQL Server.

3. Conditions de conservation et d'archivage

La base de données SQL Server et l'usage qui est fait de la table HISCAISS fait que celle-ci peut contenir un nombre d'enregistrements illimités. Dès lors, Mercator ne propose pas de fonctionnalité d'archivage. Il est dès lors indispensable de mettre en place une stratégie de backup permettant d'assurer la conservation perpétuelle de ces données. Cette fonctionnalité de sauvegarde étant hors du périmètre de Mercator, elle doit être assurée par l'utilisateur ou son prestataire de services informatiques.

Afin de répondre aux obligations de clôture journalière, mensuelle et/ou annuelle ou par exercice, il est nécessaire d'utiliser les fonctionnalités d'ouverture et de fermeture de caisse et de coordonner les fermetures de caisse avec l'impression du document de contrôle (voir ci-dessous). Afin de satisfaire précisément à cette prescription "La condition d'archivage a pour objet de figer les données et de donner date certaine aux documents archivés", Mercator rend impossible l'ouverture de la caisse ou d'un tiroir en particulier à une date antérieure à sa dernière ouverture ou fermeture. En conséquence, la caisse ne pouvant être ouverte à une date antérieure, les documents à une date antérieure sont non modifiables et sont dès lors figés.

 

Concrètement dans Mercator

Installation

Dans Mercator 10.2 ou ultérieur, la fonctionnalité permettant de satisfaire aux conditions reprises dans la législation est activable à partir du menu "Outils Avancés / Gestion Commerciale / Activer Protection Historique des Encaissements". Pour pouvoir utiliser celle-ci, il faut s'assurer d'avoir effectué au préalable une vérification de structure de la base de données SQL (via les outils avancés aussi). 

Cette activation effectue des modifications dans la table HISCAISS afin de le rendre inaltérable et ainsi de répondre aux conditions requises. (ne pas effectuer ces modifications de structure manuellement)

L'activation de cette fonctionnalité force la valeur de l'option STRICTCASH à 99. (Cette option contient le niveau en dessous duquel le contrôle des accès de caisse est actif.) Cela signifie que le contrôle des accès de caisse se voit automatiquement activé pour tous les utilisateurs. Cela implique donc l'obligation d'utiliser les fonctionnalités d'ouverture et de fermeture de caisse.

Utilisation

Dans la gestion courante de l'entreprise, il est nécessaire d'utiliser les fonctionnalités d'ouverture et de fermeture de caisse. Nous rappelons ici que chacune de ces opérations fait l'objet d'une inscription dans la table HISCAISS, ce qui rend leur suivi possible et inaltérable. Pour le reste, l'utilisation de Mercator n'est pas rendue différente, hormis qu'en ce qui concerne le fichier des clients et des fournisseurs, les modifications d'ID ainsi que les fusions de fiches ne sont plus autorisées.

Dans le menu "Gestion / Historique des Encaissements", apparaît automatiquement un élément supplémentaire : Contrôle. Celui-ci permet de sortir un document de contrôle, qui devra notamment être produit lors d'une demande de l'Administration. Il est recommandé de l'imprimer sur base régulière (quotidienne, hebdomadaire, mensuelle, ...) et de le conserver. Il est exécuté pour une fourchette de dates. Comme indiqué ci-dessus, nous recommandons plus que vivement de procéder à l'impression de ce document lors de la fermeture de caisse. Ceci doit être inscrit dans les procédures de l'entreprise.
Conseil : conserver ce document au format PDF si vous disposez de l'option PDF de Mercator.

Ce document reprend :

  • la date d'activation de la fonctionnalité de protection des encaissements
  • le grand total (total de contrôle pour la période de contrôle) totalisant :
    • les encaissements
    • les montants HTVA (uniquement pour documents de type 1 et 2)
    • les montants de TVA (uniquement pour documents de type 1 et 2)
  • le total perpétuel (total de contrôle depuis l'initialisation de la fonctionnalité) totalisant :
    • les encaissements
    • les montants HTVA (uniquement pour documents de type 1 et 2)
    • les montants de TVA (uniquement pour documents de type 1 et 2)
  • la liste des enregistrements de HISCAISS pour lesquels la clé de hashage n'est pas correcte. Cette liste relève donc les enregistrements de HISCAISS qui ont subi des altérations effectuées en dehors de Mercator. Elle doit donc être constamment vide.
  • la liste des enregistrements correspondant à des annulations de mouvements. Ce qui en soit n'est pas interdit, puisqu’effectué dans le logiciel, correctement tracé par un mouvement négatif mais devant être justifiable.

Un élément de menu Exporter apparaît aussi. Il permet d'exporter les données élémentaires des encaissements (records de HISCAISS) dans un format au choix : Excel, XML, SDF, ASCII, ... les deux derniers étant spécifiquement indiqués comme acceptés par l'Administration. Cet export reprend toutes les détails de transaction de règlement exigés le numéro du ticket, la date (heure-minute), le numéro du tiroir, le total TTC, les totaux HT par taux de TVA, le détail des articles ou prestations (libellé, quantité, prix unitaire, total HT de la ligne, taux de TVA associé).

 

En ce qui concerne les sites web intégrés dans Mercator

Il est rappelé que la même législation s'applique à tout assujetti à la TVA en France récoltant des paiements via un site web en dehors d'une relation strictement B-to-B. Dans le cas d'un site web intégré à Mercator, la même fonctionnalité peut être utilisée. Il convient de spécifier dans PIEDS_V un mode de paiement qui sera associé à chaque document ayant fait l'objet d'un encaissement par voie électronique. Cela doit être mis en place par du code spécifique, qui avant l'enregistrement du panier de l'internaute, alimente correctement les champs TYP_PAIEM1 et TOT_PAIEM1.