La comptabilité évolue vers le numérique et la facturation électronique devient de plus en plus obligatoire pour toutes les entreprises. Ce changement oblige à passer par une plateforme agréée pour gérer, transmettre et conserver les factures électroniques. Dans ce contexte, s’assurer que ces plateformes disposent des bonnes autorisations est indispensable pour protéger ses données et respecter la réglementation.
Identifier les autorisations réglementaires obligatoires pour les plateformes comptables
Le cadre réglementaire français et européen exige des plateformes comptables qu’elles obtiennent certaines autorisations selon leurs activités. Ces autorisations garantissent le respect des normes de sécurité, de confidentialité et de traitement des informations financières. Connaître cette architecture réglementaire est le premier pas pour vérifier qu’une plateforme est en règle.
L’autorisation de l’Autorité de contrôle prudentiel et de résolution
L’ACPR surveille les prestataires de services de paiement et les établissements financiers qui manipulent des données bancaires. Pour les plateformes comptables qui proposent des fonctionnalités de paiement ou de rapprochement bancaire, cette autorisation est obligatoire. Elle atteste de la solidité financière du prestataire et de sa capacité à protéger les fonds des clients.
La vérification se fait via le registre REGAFI (Registre des Agents Financiers), disponible en ligne. Vous devez contrôler le statut actuel de l’autorisation, sa date d’expiration et l’étendue des services autorisés. Les plateformes autorisées ont généralement leur numéro ACPR dans leurs conditions générales d’utilisation et leurs documents commerciaux.
La certification des prestataires de services de confiance selon eIDAS
Le règlement eIDAS encadre l’identification électronique et les services de confiance au niveau européen. Les plateformes qui proposent des services de signature électronique, d’horodatage ou d’archivage doivent obtenir une qualification particulière. Cette certification, délivrée par l’ANSSI en France, atteste de la conformité aux standards techniques les plus exigeants.
Les conséquences pour la comptabilité numérique sont importantes. Une plateforme qualifiée eIDAS peut délivrer des signatures électroniques ayant la même valeur juridique qu’une signature manuscrite. Elle assure aussi la pérennité des preuves numériques (factures signées, journaux d’archives, horodatages), un point important en cas de contrôle fiscal ou de litige avec un client ou un fournisseur. Avant de confier vos données comptables à un prestataire, vérifiez donc qu’il figure bien dans la liste des prestataires de services de confiance qualifiés et demandez les documents de conformité eIDAS correspondants.
La conformité au règlement général sur la protection des données (RGPD)
La conformité au RGPD n’est pas un « plus » marketing, c’est une obligation légale dès lors que la plateforme traite des données personnelles (dirigeants, salariés, fournisseurs, clients…). Une plateforme comptable sérieuse doit être en mesure de démontrer sa conformité, pas seulement de l’affirmer dans une phrase générique de ses mentions légales. Vous devez pouvoir identifier clairement le responsable de traitement, le Délégué à la Protection des Données (DPO) et les principaux sous-traitants impliqués.
Concrètement, examinez la politique de confidentialité, la gestion des droits des personnes (accès, rectification, effacement, portabilité) et les engagements relatifs aux durées de conservation des données. Vérifiez aussi la localisation des serveurs (UE ou pays tiers) et la présence, ou non, de transferts vers des pays non adéquats au sens du RGPD. Enfin, n’hésitez pas à demander au prestataire les résultats de ses audits de conformité ou, à défaut, une attestation émise par un cabinet spécialisé en protection des données.
L’habilitation de l’ordre des Experts-Comptables pour les plateformes collaboratives
De nombreuses plateformes comptables se positionnent aujourd’hui comme interfaces collaboratives entre l’entreprise et son expert-comptable (échange de pièces, saisie partagée, validation des écritures…). Lorsque ces plateformes s’adressent à la profession, l’Ordre des Experts-Comptables peut intervenir pour les labelliser ou les référencer. Cette habilitation n’est pas toujours obligatoire, mais elle est un bon indicateur de sérieux et de conformité.
Si votre cabinet comptable vous recommande une plateforme, interrogez-le sur les relations entre celle-ci et l’Ordre : existe-t-il un référencement officiel, une convention, un label ? De nombreuses instances ordinales publient des listes de systèmes recommandés, ce qui vous aide à vérifier si la plateforme envisagée y figure.
Vérifier la conformité technique des infrastructures de sécurité
Même parfaitement agréée sur le plan réglementaire, une plateforme est vulnérable si ses infrastructures techniques ne sont pas au niveau. La cybersécurité des données comptables s’appuie sur une combinaison de normes internationales, de protocoles de chiffrement solides et de procédures internes rigoureuses. L’objectif est double : diminuer la probabilité d’incident de sécurité et limiter son ampleur si un incident survient malgré tout.
La certification pour la gestion de la sécurité de l’information
La norme internationale en matière de management de la sécurité de l’information est une référence mondiale. Une plateforme comptable certifiée prouve qu’elle a mis en place un Système de Management de la Sécurité de l’Information (SMSI) couvrant les risques, les procédures, la formation des équipes et l’amélioration continue. C’est l’équivalent, pour la sécurité, d’un plan comptable structuré et documenté.
Demandez au prestataire une copie de son certificat, en vérifiant la période de validité, le périmètre couvert (tous les services ou seulement une partie) et l’organisme certificateur. Un prestataire sérieux sera également en mesure de vous donner la déclaration d’applicabilité (SoA), document qui recense les mesures de sécurité appliquées. Si la plateforme n’est pas encore certifiée, interrogez-la sur sa feuille de route : une démarche de certification en cours avec un calendrier bien établi est un signal positif.
La validation des protocoles de chiffrement
Le chiffrement protège vos données comptables comme un coffre-fort protège vos espèces : c’est un rempart indispensable. Deux niveaux sont à distinguer : le chiffrement en transit (lorsque les données circulent entre votre navigateur et la plateforme) et le chiffrement au repos (lorsqu’elles sont stockées sur les serveurs). Pour le premier, la norme actuelle est le protocole TLS récent ; pour le second, l’algorithme de chiffrement perfectionné est la référence pour les données sensibles.
Dans la pratique, vérifiez que la plateforme impose le HTTPS avec un protocole TLS récent et qu’aucun contenu mixte (non chiffré) n’est chargé. Côté stockage, demandez une confirmation écrite que les bases de données et sauvegardes sont chiffrées avec un algorithme reconnu.
L’audit des centres de données avec certification
Les plateformes comptables hébergent généralement leurs applications dans des centres de données externes (cloud public, cloud privé, hébergeur spécialisé). La solidité de ces infrastructures se mesure à travers des certifications et des comptes-rendus d’audit, très répandus dans le secteur du cloud. Ces documents évaluent, sur une période donnée, la conformité des contrôles relatifs à la sécurité, la disponibilité, l’intégrité des traitements, la confidentialité et la protection des données.
Demandez au prestataire sur quel type d’infrastructure il s’appuie (cloud souverain, cloud hyperscaler, datacenters en France ou en Europe) et s’il dispose de bilans d’audit ou équivalents. Vous n’obtiendrez pas forcément le document complet pour des raisons de confidentialité, mais un résumé exécutif ou une lettre d’attestation de l’auditeur est généralement accessible aux clients.
Le contrôle des systèmes de sauvegarde et de récupération des données
Une panne importante, un ransomware ou une mauvaise manipulation peuvent rendre vos données comptables inaccessibles. Dans ce contexte, la question n’est pas « si » un incident surviendra, mais « quand » et comment la plateforme y réagira. Les systèmes de sauvegarde et de restauration sont donc nécessaires pour garantir la continuité d’activité et la résilience de votre système comptable.
Interrogez la plateforme sur la fréquence des sauvegardes (quotidienne, horaire, continue), la durée de conservation, la localisation des copies et les tests de restauration effectués. Idéalement, le prestataire doit pouvoir vous communiquer son RPO (Recovery Point Objective, perte de données maximale admissible) et son RTO (Recovery Time Objective, délai cible de remise en service). Plus ces valeurs sont faibles, plus votre exposition en cas d’incident est limitée.
Analyser les certifications sectorielles et labels de qualité
Une fois les agréments de base vérifiés, d’autres certifications peuvent vous aider à choisir entre plusieurs prestataires. Ces reconnaissances supplémentaires ne sont pas toujours obligatoires, mais elles révèlent souvent la maturité du prestataire et son engagement dans des démarches qualité volontaires. Elles montrent aussi que l’entreprise accepte de se soumettre à des audits externes réguliers et de rendre des comptes sur ses pratiques de sécurité et de gestion des données.
En plus des grands référentiels internationaux, de nombreux labels et certifications sectorielles aident à ajuster l’évaluation d’une plateforme comptable. Ces distinctions témoignent souvent d’un haut niveau d’exigence en matière de sécurité, de qualité de service et de conformité réglementaire.
Parmi ces labels, on peut citer les qualifications pour les clouds souverains, les labels de confiance numériques, ou encore les référencements auprès d’organismes professionnels (Ordre des Experts-Comptables, organisations sectorielles…). Lorsque vous comparez plusieurs plateformes, ces éléments peuvent faire la différence, à condition de vérifier la réalité des labels affichés et de ne pas se limiter au logo présent sur le site marketing.
Consulter les registres officiels et bases de données réglementaires
Avant de confier vos données à une plateforme, vérifier qu’elle est vraiment agréée auprès des autorités compétentes est une étape indispensable. Les registres publics permettent de vérifier qu’une plateforme est réellement agréée et déclarée auprès des autorités compétentes. Ces bases, tenues par l’administration ou des organismes européens, donnent des informations fiables sur le statut juridique des prestataires, leurs agréments, leurs éventuelles sanctions et leur périmètre d’activité.
L’interrogation du fichier SIREN et du registre du commerce et des sociétés
Validez l’existence légale de l’entreprise qui édite la plateforme. Pour cela, vous pouvez interroger gratuitement le fichier SIREN ou consulter le Registre du Commerce et des Sociétés (RCS) via des sites officiels. Vous obtenez alors la raison sociale exacte, l’adresse du siège, la date de création, le code NAF et le statut juridique.
Comparez ces informations aux mentions légales du site de la plateforme. Le moindre écart (numéro SIREN incorrect, adresse fantaisiste, absence de RCS) doit vous alerter. De la même façon que vous n’ouvririez pas un compte bancaire auprès d’un établissement dont le numéro d’agrément est introuvable, vous ne devriez pas confier vos données comptables à une société dont les informations de base ne sont pas cohérentes.
La vérification auprès de l’ANSSI pour les prestataires de cybersécurité
L’ANSSI recense et qualifie des prestataires de confiance dans plusieurs domaines de la cybersécurité : audit, réponse à incident, hébergement sécurisé, services de confiance qualifiés, etc. Si votre plateforme met en avant une expertise particulière en cybersécurité ou affirme travailler avec des prestataires qualifiés par l’ANSSI, vous pouvez le vérifier sur le site de l’agence.
Cette vérification est importante si votre activité implique des données sensibles ou si vous êtes soumis à des exigences sectorielles renforcées (santé, secteur public, opérateurs de services importants…). Un prestataire effectivement référencé par l’ANSSI inspire davantage confiance, car il a été audité sur la base de paramètres très rigoureux en matière de sécurité et d’organisation.
La consultation du registre des prestataires de services de confiance de l’UE
Le règlement eIDAS s’appuie sur un registre européen unique qui recense l’ensemble des prestataires de services de confiance qualifiés dans les États membres. Ce registre, accessible librement, vous aide à vérifier si la plateforme, ou l’un de ses sous-traitants techniques, est bien reconnue comme prestataire qualifié pour des services comme la signature électronique, l’horodatage ou l’archivage à valeur probante.
La consultation est directe : vous sélectionnez le pays, puis recherchez le nom du prestataire. Vous pouvez ainsi vérifier le type de services couverts, la période de validité de la qualification et les éventuelles limitations. Cette étape est indispensable si votre plateforme se positionne comme un tiers de confiance pour la signature ou la conservation probante de documents comptables, car elle conditionne la valeur juridique des opérations effectuées.
Le contrôle des sanctions et mesures disciplinaires via les autorités compétentes
Enfin, vérifiez si le prestataire a déjà fait l’objet de sanctions ou de mises en demeure par les autorités de contrôle. La CNIL, par exemple, publie régulièrement des décisions de sanction en matière de protection des données personnelles, alors que l’ACPR ou les autorités européennes de supervision financière informent sur les mesures disciplinaires prononcées à l’encontre des acteurs régulés.
Une sanction passée n’est pas forcément rédhibitoire si elle a été suivie d’actions correctives notables. En revanche, des manquements répétés ou des violations graves et récentes doivent vous inciter à la prudence.
Évaluer les garanties contractuelles et les assurances professionnelles
Les autorisations et certifications ne protègent pas complètement vos intérêts si le contrat est flou ou incomplet. Un prestataire peut disposer de tous les agréments requis et avoir des certifications prestigieuses, mais si les termes du contrat ne vous protègent pas, vous êtes exposé en cas de problème. Le contrat détermine ce qui se passe concrètement quand les choses tournent mal : qui paie les dégâts, comment vous récupérez vos données, quels recours vous avez si le service devient indisponible pendant plusieurs jours. C’est donc un document à examiner avec autant d’attention que les agréments eux-mêmes.
Les agréments, certifications et labels ne suffisent pas si les engagements contractuels ne sont pas à la hauteur. Le contrat qui vous lie à la plateforme – conditions générales, DPA (Data Processing Agreement), annexes de sécurité – forme la dernière barrière de protection de vos intérêts. C’est là que sont indiqués les responsabilités de chacun, les niveaux de service garantis et les recours possibles en cas de défaillance.
Commencez par examiner les engagements de disponibilité (SLA), les pénalités en cas de non-respect et les modalités de réversibilité (comment récupérer la totalité de vos données comptables en cas de changement de prestataire). Assurez-vous également que le prestataire est couvert par des assurances professionnelles adaptées : responsabilité civile professionnelle, assurance cyber, éventuellement assurance fraude. N’hésitez pas à demander des attestations récentes, au même titre que vous demanderiez une attestation d’assurance décennale à un artisan.
Les procédures de vérification et l’audit de conformité continue
Contrôler les agréments d’une plateforme ne se fait pas une seule fois, mais régulièrement tout au long de votre collaboration. Le paysage réglementaire évolue, les prestataires peuvent perdre certaines autorisations ou au contraire en obtenir de nouvelles, leurs infrastructures techniques changent au fil du temps. Un prestataire parfaitement conforme aujourd’hui peut rencontrer des difficultés demain si sa situation financière se dégrade, s’il est racheté par un concurrent, ou s’il migre ses données vers de nouveaux datacenters sans vous en informer correctement. Une surveillance continue vous aide à détecter ces changements avant qu’ils ne deviennent problématiques.
Vérifier qu’une plateforme est bien agréée n’est pas un exercice ponctuel à l’instant T, mais une démarche continue. Les agréments évoluent, les infrastructures changent, les risques de cybersécurité se renouvellent en permanence. C’est pourquoi il est recommandé de formaliser une procédure de vérification structurée, avec des étapes claires avant la sélection du prestataire, puis des contrôles réguliers tout au long de la relation contractuelle.
Dans la pratique, cela peut prendre la forme d’une check-list interne structurée, d’un questionnaire de sécurité adressé aux prestataires, voire d’audits réalisés avec l’appui de votre DSI, de votre DPO ou de votre expert-comptable. Vous pouvez par exemple prévoir une revue annuelle des certifications, un contrôle des journaux de sauvegarde et des tests de réversibilité. Cette discipline vous aide à garder la main sur vos données comptables, à diminuer les risques de non-conformité et à construire, dans la durée, un réseau de partenaires numériques réellement fiables.