Facturation électronique : après le risque cyber, le risque logiciel

À partir du 1er septembre 2026, toutes les entreprises devront pouvoir recevoir des factures électroniques. Les grandes entreprises et les ETI (entreprises de taille intermédiaire) devront également émettre leurs factures sous ce format et transmettre leurs données de e-reporting. Les petites et micro-entreprises disposeront d’un délai supplémentaire jusqu’au 1er septembre 2027 pour l’émission.

Cette réforme a déjà été analysée par INCYBER News sous l’angle des nouvelles vulnérabilités cyber qu’elle peut faire émerger, notamment autour des plateformes agréées, de la génération de fausses factures ou du détournement de coordonnées bancaires (lire l’article). La réforme expose également des fragilités plus ordinaires, logées dans les logiciels de gestion, les référentiels fournisseurs, les connecteurs et les règles métiers.

Une préparation encore inégale

Le niveau de préparation des entreprises reste hétérogène. Selon la 7e vague du baromètre OpinionWay réalisé pour le Conseil national de l’Ordre des experts-comptables (CNOEC) et ECMA, éditeur de la plateforme jefacture.com, 38 % des entreprises déclarent ne pas être encore prêtes, 35 % ont choisi leur plateforme agréée et 40 % ne connaissent encore aucune plateforme. L’écart de perception demeure également marqué : 62 % des entreprises estiment avoir engagé leur transition, tandis que seuls 45 % des experts-comptables considèrent leurs clients réellement prêts.

Ce constat déclaratif masque un écart technique plus net. L’éditeur d’infrastructure IOPOLE relève que 72 % des entreprises se disent prêtes, quand 20 % seulement émettent aujourd’hui leurs factures dans un format structuré conforme, à savoir Factur-X, CII ou UBL.

« La réforme de la facturation électronique ne demande pas aux entreprises de changer de format de facture. Elle demande aux éditeurs de logiciels de repenser leur architecture. C’est un changement d’échelle que beaucoup sous-estiment encore », estime Dorian Keiflin, CEO d’IOPOLE.

Les référentiels fournisseurs deviennent une zone de risque

Le premier point de fragilité concerne les données fournisseurs. Aprovall, éditeur spécialisé dans la gestion des tiers et des risques fournisseurs, identifie plusieurs fragilités récurrentes susceptibles de bloquer les paiements une fois les flux automatisés. Dans de nombreuses organisations, ces informations résultent d’années de saisies successives dans plusieurs ERP, filiales ou outils métiers. Des SIREN (système d’identification du répertoire des entreprises) erronés, des raisons sociales incomplètes ou des statuts juridiques non actualisés peuvent encore subsister. Avec la facturation électronique, ces incohérences risquent de provoquer des anomalies de traitement, des rejets automatiques ou des retards de paiement.

Les coordonnées bancaires constituent un autre point sensible. La fraude au faux RIB reste l’un des risques financiers les plus directement exploitables. Une modification bancaire non contrôlée peut déclencher un paiement frauduleux en quelques heures, surtout lorsque les validations demeurent manuelles, dispersées ou conduites a posteriori. Dans un environnement où les flux s’automatisent, le contrôle des changements de RIB doit intervenir avant la mise en paiement, et non après l’identification d’un écart comptable. La réforme transforme ainsi la qualité du référentiel en condition de paiement, de conformité et de sécurité financière.

Le e-reporting complique l’architecture des logiciels

Le deuxième point de tension concerne la distinction entre e-invoicing et e-reporting. Le e-invoicing désigne l’échange de factures électroniques entre entreprises françaises. Il repose sur des formats structurés, comme Factur-X (format hybride associant un PDF lisible et un fichier XML structuré), UBL (Universal Business Language, format XML standardisé pour les documents commerciaux) ou CII (Cross Industry Invoice, format normalisé de facture électronique). La facture reste ici l’objet principal.

Le e-reporting obéit à une autre logique. Il consiste à transmettre à l’administration fiscale des données de transaction et de paiement qui ne passent pas par la facturation électronique classique. Il concerne notamment les ventes B2C (business-to-consumer, ventes à des particuliers), les transactions internationales B2B (business-to-business, échanges entre entreprises) et certaines données de paiement. Ces flux ne relèvent pas tous du même rythme, du même niveau de détail ni du même rattachement fiscal.

« Le e-invoicing, les éditeurs commencent à le comprendre : c’est un document, un format, un flux. Le e-reporting, c’est une autre logique. Nous parlons de données de transaction, de paiement, de périodes fiscales distinctes. C’est là que la complexité technique explose, et c’est le sujet le moins préparé aujourd’hui », explique Dorian Keiflin.

La dissociation entre transaction et paiement représente l’un des points les plus complexes. Une vente peut intervenir à une date donnée, tandis que son paiement peut survenir plus tard, en plusieurs fois ou via différents canaux. Les acomptes, les règlements fractionnés, les parcours omnicanaux mêlant e-commerce et point de vente physique ou la TVA à l’encaissement obligent les logiciels à rattacher chaque événement à la bonne période fiscale. Une mauvaise qualification peut entraîner un rejet, une correction manuelle ou une reprise de flux à grande échelle.

La Belgique comme signal d’alerte

La Belgique, qui a rendu la facturation électronique obligatoire via Peppol (Pan-European Public Procurement On-Line, réseau européen d’échange de documents électroniques) au 1er janvier 2026, offre un précédent instructif. Selon le bilan publié par IOPOLE, sur près d’un million d’entreprises inscrites, les premières tensions sont apparues quinze jours après le lancement. Elles n’ont pas porté sur l’infrastructure d’échange elle-même, mais sur les logiciels : factures techniquement transmises, mais illisibles par certains outils comptables, identifiants incorrects, champs UBL non pris en charge, clients rattachés au mauvais point d’accès ou adoption déclarative sans usage réel. Le cas belge montre ainsi qu’un réseau peut tenir, tout en révélant les faiblesses des applications métiers.

La France pourrait rencontrer des tensions comparables si les entreprises réduisent la réforme à un raccordement technique. La préparation doit couvrir les tests de bout en bout, la qualité des données, la sécurité des coordonnées bancaires et l’interopérabilité réelle entre outils.

La trajectoire européenne renforce cette exigence. Le paquet ViDA (VAT in the Digital Age, TVA à l’ère numérique), adopté définitivement le 11 mars 2025, généralisera la facturation électronique obligatoire et le reporting fiscal numérique aux transactions B2B intracommunautaires à compter du 1er juillet 2030, autour du standard commun EN 16931.

« Le piège pour un éditeur, c’est de penser que la France est la ligne d’arrivée. Ses clients vendent à l’international, reçoivent des factures de fournisseurs étrangers, opèrent sur des marchés où les règles changent en permanence. ViDA, Peppol, les mandats nationaux qui se multiplient : personne ne peut anticiper seul tous ces scénarios. C’est un métier à part entière, et les éditeurs qui essaient de tout internaliser prennent un risque technique et un risque de time-to-market », prévient Martin Romerio, Directeur marketing d’IOPOLE.

La réforme engage ainsi les entreprises sur trois chantiers convergents : la fiabilisation des données fournisseurs, la sécurisation des flux de paiement et la mise à niveau de leurs logiciels. Les risques cyber conservent leur acuité, tandis que les premiers blocages opérationnels émergeront vraisemblablement de la qualité des données et de la capacité des outils à distinguer transaction, facture et paiement.

« La conformité fiscale devient une brique d’infrastructure au même titre que le paiement ou l’identité numérique. Les éditeurs qui l’intègrent comme une couche technique durable, et non comme un correctif réglementaire, prendront une avance considérable », conclut Dorian Keiflin.