577 577députés 17ᵉ législature

Question écrite n° 13128 Réponse publiée Source officielle ↗

Risques de l'obligation de facturation électronique pour les entreprises

Auteur : Laure Lavalette — Rassemblement National (Var · 2ᵉ circ.)
Ministère interrogé : Ministère de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique
Ministère attributaire : Ministère de l'action et des comptes publics
Rubrique : entreprises
Date de la question : 2026-02-24
Date de la réponse : 2026-04-21 (56 jours)

Texte de la question

Mme Laure Lavalette alerte M. le ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique sur les risques d'usurpation d'identité liés à l'entrée en vigueur de l'obligation de facturation électronique au 1er septembre 2026. À compter de cette date, l'ensemble des entreprises, quelle que soit leur taille (TPE, PME, micro-entrepreneurs, professions libérales) devront recourir à un dispositif de facturation électronique pour leurs échanges inter-entreprises. La mise en œuvre pratique de cette réforme suscite de fortes inquiétudes en matière de sécurité numérique. En effet, contrairement au projet initial prévoyant une plateforme publique assortie d'une authentification sécurisée via FranceConnect+ ou France Identité, l'État a finalement délégué cette compétence à une centaine de prestataires privés. Or la plupart d'entre eux n'offrent pas de garanties suffisantes en matière de vérification d'identité. La création d'un compte se limite souvent à la simple saisie d'informations de base, tels que le nom, SIRET et courriel, voire à l'envoi d'une copie de pièce d'identité, une procédure désormais considérée comme obsolète et risquée. Ces pratiques ouvrent la voie à des usurpations à grande échelle, facilitées par la diffusion en open data des informations relatives aux entreprises et par la circulation massive de données personnelles compromises. Chaque année, plus de 300 000 personnes sont victimes d'usurpation d'identité selon le ministère de l'intérieur. Si aucune mesure de sécurisation n'est prise, plusieurs millions d'entrepreneurs pourraient être exposés à ces fraudes dans les prochaines années, avec des conséquences dramatiques, comme des escroqueries, des dettes injustifiées, ou encore des procédures judiciaires contre des victimes innocentes. Aussi, elle lui demande de préciser si le Gouvernement entend reporter l'entrée en vigueur de cette obligation, le temps de garantir un niveau de sécurité suffisant dans l'authentification des usagers et s'il envisage de créer une plateforme publique nationale de facturation électronique, à l'image d'autres dispositifs comme ANTS, permettant une authentification via FranceConnect+ ou France Identité.

Réponse ministérielle

Le dispositif de facturation électronique tel que prévu à l'article 26 de la loi de finances rectificative pour 2022 et à l'article 91 de la loi de finances pour 2024 s'appuyait à la fois sur un portail public de facturation (PPF) gratuit mais offrant un service minimum, et des opérateurs privés, les plateformes agréées. Le 15 octobre 2024, l'État, tout en réaffirmant le caractère majeur du projet de facturation électronique, a fait le choix de ne pas construire de PPF. Les entreprises devront donc choisir parmi des plateformes immatriculées par l'État pour échanger leurs factures de manière sécurisée et remonter les données à l'administration fiscale. À ce jour, une centaine de plateformes ont obtenu une immatriculation définitive. Ces plateformes sont des tiers de confiance immatriculés et certifiés par l'administration fiscale et répondent à un cahier des charges bien précis, notamment concernant les sujets liés à la sécurité des données. Elles doivent héberger leurs données au sein de l'Union européenne et, lorsqu'elles recourent à un cloud, s'appuyer sur une infrastructure qualifiée SecNumCloud ou répondant à des exigences de sécurité équivalentes. Les plateformes doivent également produire une certification ISO/IEC 27001 qui garantit la traçabilité des données et le respect des normes principales de sécurité. Les plateformes sont auditées chaque année par des cabinets professionnels. En cas de non-conformité, le retrait de l'immatriculation est possible. Le choix de ne pas concentrer l'ensemble des flux nationaux dans un point de passage unique participe également de la stratégie de sécurité. Un portail central aurait constitué une cible évidente et attractive pour une attaque d'ampleur, avec un risque systémique majeur en cas de défaillance. Le modèle distribué retenu réduit cette exposition : il évite la concentration de tous les flux dans une seule infrastructure et limite les effets de propagation en cas d'incident isolé. Cette architecture renforce la résilience globale du dispositif et contribue, au-delà de la protection des données, à la protection du fonctionnement économique lui-même. Il s'agit d'un choix assumé de sécurité systémique au service de la stabilité de l'économie.
Données brutes (debug) 
{"question": {"@xmlns": "http://schemas.assemblee-nationale.fr/referentiel", "@xmlns:xsi": "http://www.w3.org/2001/XMLSchema-instance", "@xsi:type": "QuestionEcrite_Type", "uid": "QANR5L17QE13128", "identifiant": {"numero": "13128", "regime": "5eme Republique", "legislature": "17"}, "type": "QE", "indexationAN": {"rubrique": "entreprises", "teteAnalyse": null, "analyses": {"analyse": "Risques de l'obligation de facturation électronique pour les entreprises"}}, "auteur": {"identite": {"acteurRef": "PA795912", "mandatRef": "PM840402"}, "groupe": {"organeRef": "PO845401", "abrege": "RN", "developpe": "Rassemblement National"}}, "minInt": {"organeRef": "PO873685", "abrege": "Économie, finances, souveraineté industrielle, énergétique et numérique", "developpe": "Ministère de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique"}, "minAttribs": {"minAttrib": [{"infoJO": {"typeJO": "JO_QUESTION", "dateJO": "2026-02-24", "pageJO": null, "numJO": null, "urlLegifrance": null, "referenceNOR": null}, "denomination": {"organeRef": "PO873685", "abrege": "Économie, finances, souveraineté industrielle, énergétique et numérique", "developpe": "Ministère de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique"}}, {"infoJO": {"typeJO": "JO_QUESTION", "dateJO": "2026-03-10", "pageJO": null, "numJO": null, "urlLegifrance": null, "referenceNOR": null}, "denomination": {"organeRef": "PO879409", "abrege": "Action et comptes publics", "developpe": "Ministère de l'action et des comptes publics"}}]}, "textesQuestion": {"texteQuestion": {"infoJO": {"typeJO": "JO_QUESTION", "dateJO": "2026-02-24", "pageJO": "1566", "numJO": "20260008", "urlLegifrance": null, "referenceNOR": null}, "texte": "Mme Laure Lavalette alerte M. le ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique sur les risques d'usurpation d'identité liés à l'entrée en vigueur de l'obligation de facturation électronique au 1er septembre 2026. À compter de cette date, l'ensemble des entreprises, quelle que soit leur taille (TPE, PME, micro-entrepreneurs, professions libérales) devront recourir à un dispositif de facturation électronique pour leurs échanges inter-entreprises. La mise en œuvre pratique de cette réforme suscite de fortes inquiétudes en matière de sécurité numérique. En effet, contrairement au projet initial prévoyant une plateforme publique assortie d'une authentification sécurisée <em>via</em> FranceConnect+ ou France Identité, l'État a finalement délégué cette compétence à une centaine de prestataires privés. Or la plupart d'entre eux n'offrent pas de garanties suffisantes en matière de vérification d'identité. La création d'un compte se limite souvent à la simple saisie d'informations de base, tels que le nom, SIRET et courriel, voire à l'envoi d'une copie de pièce d'identité, une procédure désormais considérée comme obsolète et risquée. Ces pratiques ouvrent la voie à des usurpations à grande échelle, facilitées par la diffusion en <em>open data</em> des informations relatives aux entreprises et par la circulation massive de données personnelles compromises. Chaque année, plus de 300 000 personnes sont victimes d'usurpation d'identité selon le ministère de l'intérieur. Si aucune mesure de sécurisation n'est prise, plusieurs millions d'entrepreneurs pourraient être exposés à ces fraudes dans les prochaines années, avec des conséquences dramatiques, comme des escroqueries, des dettes injustifiées, ou encore des procédures judiciaires contre des victimes innocentes. Aussi, elle lui demande de préciser si le Gouvernement entend reporter l'entrée en vigueur de cette obligation, le temps de garantir un niveau de sécurité suffisant dans l'authentification des usagers et s'il envisage de créer une plateforme publique nationale de facturation électronique, à l'image d'autres dispositifs comme ANTS, permettant une authentification <em>via</em> FranceConnect+ ou France Identité."}}, "textesReponse": {"texteReponse": {"infoJO": {"typeJO": "JO_QUESTION", "dateJO": "2026-04-21", "pageJO": "3377", "numJO": "20260016", "urlLegifrance": null, "referenceNOR": null}, "texte": "Le dispositif de facturation électronique tel que prévu à l'article 26 de la loi de finances rectificative pour 2022 et à l'article 91 de la loi de finances pour 2024 s'appuyait à la fois sur un portail public de facturation (PPF) gratuit mais offrant un service minimum, et des opérateurs privés, les plateformes agréées. Le 15 octobre 2024, l'État, tout en réaffirmant le caractère majeur du projet de facturation électronique, a fait le choix de ne pas construire de PPF. Les entreprises devront donc choisir parmi des plateformes immatriculées par l'État pour échanger leurs factures de manière sécurisée et remonter les données à l'administration fiscale. À ce jour, une centaine de plateformes ont obtenu une immatriculation définitive. Ces plateformes sont des tiers de confiance immatriculés et certifiés par l'administration fiscale et répondent à un cahier des charges bien précis, notamment concernant les sujets liés à la sécurité des données. Elles doivent héberger leurs données au sein de l'Union européenne et, lorsqu'elles recourent à un cloud, s'appuyer sur une infrastructure qualifiée SecNumCloud ou répondant à des exigences de sécurité équivalentes. Les plateformes doivent également produire une certification ISO/IEC 27001 qui garantit la traçabilité des données et le respect des normes principales de sécurité. Les plateformes sont auditées chaque année par des cabinets professionnels. En cas de non-conformité, le retrait de l'immatriculation est possible. Le choix de ne pas concentrer l'ensemble des flux nationaux dans un point de passage unique participe également de la stratégie de sécurité. Un portail central aurait constitué une cible évidente et attractive pour une attaque d'ampleur, avec un risque systémique majeur en cas de défaillance. Le modèle distribué retenu réduit cette exposition : il évite la concentration de tous les flux dans une seule infrastructure et limite les effets de propagation en cas d'incident isolé. Cette architecture renforce la résilience globale du dispositif et contribue, au-delà de la protection des données, à la protection du fonctionnement économique lui-même. Il s'agit d'un choix assumé de sécurité systémique au service de la stabilité de l'économie."}}, "cloture": {"codeCloture": "REP_PUB", "libelleCloture": "Réponse publiée", "dateCloture": "2026-04-21", "infoJO": {"typeJO": "JO_QUESTION", "dateJO": "2026-04-21", "pageJO": "3377", "numJO": "20260016", "urlLegifrance": null, "referenceNOR": null}}, "signalement": null, "renouvellements": null}}