1er févr. 2019

Rétrospective 2018 2/3

La Loi de Finance 2016 (LF2016)

Suite du premier article « Rétrospective 2018 ».

Une partie de ce texte de loi est né d’un constat : dans l’Hexagone, la fraude consistant à dissimuler les recettes aux yeux du fisc est un sport national.
Dans le collimateur : les logiciels de caisse des commerçants, souvent dotés d’une touche miracle en mesure d’effacer le dernier encaissement. Bien pratique pour délivrer un ticket de caisse sans laisser de traces dans la comptabilité.

Depuis le 1er janvier 2018, les logiciels de caisse doivent répondre à des critères stricts "d’inaltérabilité, de sécurisation, de conservation et d’archivage des données". Le respect de ces critères doit être certifié, ou à défaut, attesté par un professionnel.

De nombreux sites E-commerce en France sont construits autour de logiciels libres [1]. Qui dit logiciel libre dit également "liberté de modifier le logiciel, de l’adapter, de le transformer".

L’esprit de la LF2016 entre en conflit avec la liberté de modifier un logiciel libre : en effet, rien n’empêche une personne mal intentionnée de changer le comportement du logiciel afin de permettre de dissimuler des opérations. Rien n’empêche également de modifier directement les données stockées. À l’opposé, il est plus compliqué d’altérer le comportement des logiciels dits "propriétaires" car ils constituent une sorte de boîte noire. Ce n’est pas impossible cependant.

La LF2016 et le commerce électronique

Les sites de E-commerce font de l’encaissement. À ce titre, ils entrent dans le périmètre de la loi.
Comment concilier "données inaltérables" et "logiciel modifiable" ? La solution retenue par Prestashop est une certification NF525 qui valide l’inaltérabilité des données. Cependant, les nombreux modules livrés avec Prestashop sont parfois en mesure de contrecarrer cette inaltérabilité. Il y a bien une étiquette "compatible LF2016" sur les modules, mais cette indication n’est pas forcément significative.
En d’autres termes, la personne qui installe un site E-Commerce à base de Prestashop endosse la responsabilité juridique de la conformité réelle du logiciel à la loi.

Dolibarr

Dolibarr est un logiciel libre de facturation et de relation client. Il rentre également dans le périmètre de la loi. L’équipe Dolibarr a suivi une autre voie que la certification : les données sont enregistrées conjointement à des signatures, rendant la falsification des opérations très difficile. Toute modification frauduleuse —d’une facture directement en base de données par exemple— serait immédiatement détectée.

Mais comme le logiciel n’est pas certifié, le prestataire en charge de l’installation doit délivrer une attestation de conformité.

Conclusion

À travers ces deux exemples, on voit bien que la responsabilité de l’installateur (ou intégrateur) de ces logiciels libres est engagée en cas de fraude de l’utilisateur.

Les logiciels classiques ou "propriétaires" sont perçus comme infalsifiables. L’installateur des solutions propriétaires peut dormir sur ses deux oreilles...
À mon sens, le logiciel libre vient de prend un rude coup... mais ce qui ne tue pas rend plus fort. Nul doute qu’une jurisprudence viendra dire si cette loi est applicable en l’état.

Pour en savoir plus sur cette loi, ses rebondissements et son périmètre d’application, lisez l’excellente synthèse de l’équipe Dolibarr sur la LF2016

À suivre : Règlement Général sur la Protection des Données (RGPD)

Notes

[1Par essence, les logiciels libres ont des mécanismes internes transparents. Tout comportement contraire à l’intérêt de l’usager est rapidement détecté et éradiqué