Question écrite ✓ Répondue le 16/06/2026 entreprises

Faiblesse du dispositif de facturation électronique

Posée le 21/04/2026 • Ministère interrogé : Ministère de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique

Philippe Latombe

Philippe Latombe DEM

Député — Vendée (1)

La question

M. Philippe Latombe alerte M. le ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, sur la facturation électronique. À partir du 1er septembre 2026, l'acte de facturation ne pourra plus être réalisé sans que les entreprises passent par un tiers privé agréé par l'État. La France n'est pas le premier pays européen à imposer la facturation électronique (l'Italie en 2019, la Belgique en 2026 l'ont déjà fait), mais c'est le seul pays à en avoir externalisé l'architecture à des plateformes privées, sans exigence de souveraineté. 141 plateformes immatriculées centraliseront ainsi les informations commerciales de millions d'entreprises françaises. Or, si l'infrastructure d'interopérabilité internationale choisie, le réseau Peppol (Pan-European Public Procurement On-Line), chiffre les données transportées et ne les stocke pas, elle n'est pas en mesure de garantir la souveraineté des données hébergées par les plateformes agréées privées, dont certaines n'ont pas d'hébergement exclusivement français ou européen. La sécurité du transport est une condition nécessaire mais elle n'est absolument pas suffisante pour garantir la souveraineté des données. En effet, la section 702 du Foreign Intelligence Surveillance Act (FISA) permet la surveillance des communications électroniques de personnes non américaines situées hors des États-Unis d'Amérique, via des opérateurs sous juridiction étatsunienne. Lorsqu'une entreprise française utilise un Access Point Peppol opéré par une filiale d'un groupe américain (Basware/Accel-KKR, Pagero/Thomson Reuters, Tradeshift/Goldman Sachs), les factures transitant par cet Access Point sont potentiellement accessibles aux autorités américaines. Si le RGPD interdit ce transfert (articles 44 à 49), le Cloud Act l'impose et c'est le droit américain qui prévaut pour les entités sous juridiction étatsunienne. Les données de facturation renseignent sur les clients, les fournisseurs, les montants, les marges implicites, les fréquences d'achat, les dépendances commerciales, une mine d'or pour un service de renseignement économique étranger. Il souhaite savoir comment le Gouvernement envisage de remédier à cette faiblesse du dispositif.

✓ Réponse du gouvernement

Publiée le 16/06/2026

Le dispositif de facturation électronique tel que prévu à l'article 26 de la loi de finances rectificative pour 2022 et à l'article 91 de la loi de finances pour 2024 s'appuyait à la fois sur un portail public de facturation (PPF) gratuit mais offrant un service minimum, et des opérateurs privés, les plateformes agréées. Le 15 octobre 2024, l'État, tout en réaffirmant le caractère majeur du projet de facturation électronique, a fait le choix de ne pas construire de PPF. Les entreprises devront donc choisir parmi des plateformes immatriculées par l'État pour échanger leurs factures de manière sécurisée et remonter les données à l'administration fiscale. Le réseau Peppol n'est pas imposé, dans le cadre de la réforme française. Les plateformes agréées doivent répondre à un cahier des charges très strict, notamment en matière de sécurité des données ; elles doivent héberger leurs données dans l'Union européenne et, lorsqu'elles recourent à un cloud, s'appuyer sur une infrastructure qualifiée SecNumCloud ou répondant à des exigences de sécurité équivalentes. Les plateformes doivent également produire une certification ISO/IEC 27001 qui garantit la traçabilité des données et le respect des normes principales de sécurité. Les plateformes sont auditées chaque année par des cabinets professionnels. En cas de non-conformité, le retrait de l'immatriculation est possible. La réalisation d'audits de conformité post immatriculation permet par ailleurs à l'administration de s'assurer que les plateformes agréées respectent leurs engagements et les obligations imposées par les textes. L'arrêté du 7 octobre 2022 oblige ainsi les plateformes agréées à se soumettre à un audit de conformité dans le délai d'un an suivant la délivrance de leur numéro d'immatriculation ainsi que pour son renouvellement. Il définit une série de points de conformité relatifs à : L'interopérabilité des échanges ;  L'authentification des utilisateurs ; L'émission et la transmission des factures électroniques ; Le traitement des données de transaction et de paiement ; La transmission des données de facturation, de transaction et de paiement ;  La conservation et le stockage des données. La fréquence rapprochée des audits de conformité signifie que la direction générale des Finances publiques exerce dans les faits un contrôle continu des plateformes agréées. Elle a à ce titre rédigé un guide pratique de l'audit de conformité rappelant les normes techniques et juridiques s'imposant aux plateformes agréées et les points de conformité à contrôler.

Source : questions.assemblee-nationale.fr ↗

← Retour à la fiche de Philippe Latombe