À l’heure où Bercy promet de la simplicité grâce à la dématérialisation des factures, la généralisation de la facturation électronique de la TVA s’impose comme l’une des grandes réformes techniques et budgétaires des prochaines années. Mais derrière l’argumentaire de simplification et de lutte contre la fraude, ce nouveau dispositif repose sur un maillage inédit de plateformes privées, qui deviendront les points de passage obligés de toutes les factures des entreprises françaises. Entre ambition de modernisation et risque de captation massive de données sensibles, la question n’est plus seulement de savoir comment facturer, mais à qui l’on confie, demain, le système circulatoire de l’économie nationale.
La TVA, un enjeu de ressources pour l’Etat
La TVA, taxe sur la valeur ajoutée, est la ressource la plus importante de l’Etat, qui perçoit grâce à elle 207,8 milliards d’euros en 2025. Au-delà des variations annuelles dépendantes de la conjoncture économique, la TVA fait l’objet d’un manque à gagner entre les recettes dues et les recettes effectivement collectées. En effet, on l’estime à 9 milliards d’euros par an en moyenne. Ce montant a même pu être estimé jusqu’à 20 à 25 milliards d’euros en 2012 par l’INSEE. Ceci, malgré les contrôles de la Direction générale des finances publiques (DGFiP) menés par la Direction nationale des enquêtes fiscales (DNEF) sur les secteurs les plus à risque de fraude à la TVA et par les Comités opérationnels départementaux anti-fraude (CODAF) émanant de la Mission interministérielle de coordination anti-fraude (MICAF) créée en 2020.
Dans un contexte de finances publiques dégradées, avec un déficit équivalent à 5,1% du PIB en 2025, la réduction de cette perte constitue un objectif de consolidation des comptes de l’Etat.
Cet écart de recettes est notamment le fait de la fraude à la TVA, commise par non-reversement de la TVA par celle qui doit la collecter, l’entreprise, ou encore par le mécanisme du « carrousel » qui exploite les failles des échanges transfrontaliers. C’est ainsi que l’Inspection générale des finances a étudié en 2019 les options de lutte contre la fraude à la TVA dans le cadre d’une modernisation du recouvrement des impôts. La facturation électronique constituait à ce titre une option privilégiée. La réforme italienne du même type, entreprise progressivement de 2019 à 2024, aurait rapporté à l’Etat italien 3,5 milliards d’euros auparavant perdus annuellement.
La réforme s’inscrit plus globalement dans un mouvement européen de dématérialisation du système de TVA. En effet, la TVA fait l’objet depuis longtemps d’une harmonisation européenne, fixant une partie des taux. Au-delà, la dématérialisation de la TVA s’est imposée comme une politique européenne. Le paquet législatif « VAT in the Digital Age » (ViDA) est entré en vigueur en avril 2025 après 3 ans de préparation, et porte l’ambition d’une modernisation du système de TVA adossée à la lutte contre la fraude et à l’adaptation à l’économie des plateformes. Il comprend trois piliers : la déclaration numérique obligatoire basée sur la facturation électronique, un régime de TVA spécifique aux plateformes de l’économie numérique et une extension du guichet unique OSS afin d’éviter les enregistrements multiples au sein du marché intérieur européen.
Au-delà de la lutte contre la fraude, cette réforme permettrait dans le même temps d’accélérer l’intégration du numérique à toutes les entreprises et de simplifier, en théorie, l’environnement fiscal. En effet, la TVA, avec d’autres impôts, contribue à l’engorgement des tribunaux administratifs : on compte en 2018 plus de 21 000 recours au juge administratif relevant du contentieux fiscal. Dématérialiser permettrait de réaliser moins d’erreurs, de gagner du temps, de renforcer la traçabilité et de réduire les coûts administratifs.
Le ministère de l’Economie évalue ainsi un gain de simplification pour plus de 4 millions d’entreprises de 4,5 milliards d’euros. A terme, la réforme ambitionne de simplifier aussi les déclarations via un pré-remplissage, particulièrement pratique pour les TPE-PME qui subissent de manière disproportionnée les coûts de la conformité fiscale.
La France en avance pour toutes les entreprises sur les échéances européennes
Ancré législativement dans l’article 153 de la loi de finances pour 2020, qui fixe quatre objectifs à l’instauration de l’obligation de facturation électronique, le dispositif a ensuite été précisé et consolidé par l’ordonnance n° 2021-1190 du 15 septembre 2021, avant que la loi de finances pour 2024 en arrête définitivement le calendrier.
La réforme française concerne toutes les entreprises assujetties à la TVA, les entités publiques assujetties à la TVA ainsi que les transactions B2B sur le territoire français. Elle comprend trois fondations : la facturation électronique (émission et réception de factures dans un format structuré), la transmission des données (déclaration automatique à l’administration fiscale) et la transmission des données de paiement pour certaines opérations (internationales ou avec des entités non assujettis à la TVA). Dans ce cadre, les factures électroniques doivent transiter par des plateformes agréées par Bercy. Celles-ci doivent émettre et recevoir les factures dans un format défini, transmettre les données à l’administration fiscale et garantir l’interopérabilité entre les différents acteurs. Les entreprises sont libres de choisir leur opérateur parmi la liste des plateformes agréées, sur la base de la compatibilité de leurs outils avec elles, de leurs tarifs et des services qu’elles proposent.
Cette profonde modification du système de recouvrement demande cependant un temps d’adaptation coûteux et un accompagnement. C’est ainsi que le calendrier a plusieurs fois été modifié : d’abord prévue pour juillet 2024, la mise en place de la réforme a été repoussée et échelonnée aux années suivantes. Les grandes entreprises et les entreprises de taille intermédiaire seront ainsi soumises à l’obligation d’émission de factures électroniques pour le 1er septembre 2026, tandis que toutes les entreprises devront être capables de recevoir des factures électroniques à cette même date. L’obligation d’émission pour les PME et TPE est ensuite prévue pour le 1er septembre 2027. Ce calendrier reste cependant serré, notamment pour les petites entreprises. En effet, l’exemple italien a montré une adaptation plus lente pour celles-ci, du fait d’un manque d’information et de compétences sur ces sujets. Le risque : des amendes pour absence de choix d’une plateforme agréée, pour document non émis en format électronique ou pour défaut de transmission e-reporting. Ainsi, cette mesure devrait s’accompagner de ressources pédagogiques et d’accompagnement afin de faciliter les transitions organisationnelles nécessaires à la réalisation effective de cette réforme, notamment de la part des plateformes agréées.
La souveraineté économique menacée ?
Externaliser le traitement des factures de TVA à des entreprises privées interroge sur une possible perte de souveraineté. Il ne s’agit pas ici de traiter cette question de façon dogmatique, dans la situation financière du pays, un apport de deux à trois milliards d’euros par an n’est pas à négliger. Cela étant dit, un nombre important de ces structures sont étrangères soit par leurs maison-mères soit par leurs capitaux. Comment seront traitées les données de ces entreprises ? On peut aisément imaginer des fuites d’informations envers d’autres entreprises partenaires. Plusieurs de ces entreprises sont issues de puissances concurrentes, par exemple l’entreprise slovène, SNI, qui en fait appartient à Cem Yurdakul, un dirigeant d’entreprise turque turc. Plus important, les sociétés avec des activités, des fonds ou même utilisant des technologies et services basés aux États-Unis seraient exposés à la fois sur le plan de l’information et juridiquement. En effet, les États-Unis ont les moyens juridique de réclamer toutes les informations à des entreprises ayant des activités au USA et on déjà usé de ce droit à des fins économiques. De plus, elle tombe sous le coups des lois anti-corruption états-uniennes, qui ont déjà imposé des amendes records à des entreprises françaises. La vulnérabilité juridique de telles entreprises ainsi que la sensibilité des données en leurs possession crée un risque réel pour des entreprises qui les recruteraient sans en être prévenues.
Il faut également prendre en compte un risque moindre mais néanmoins réel, celui d’une récupération d’information dans le cadre d’une concurrence entre les différents pays européens. Cela pose aussi un problème de confidentialité pour les entreprises de la BITD (base industrielle de technologie et de défense) qui font appel à ces entreprises. La conservation et la préservation de la confidentialité de ces factures revêtent dès lors un importance pour la souveraineté du pays.
L’on ne peut faire l’économie d’une réflexion sur un usage plus officieux de ces informations : Celles-ci pourraient donner lieu à un mise sous pression ou à une nuisance active. Dans le cadre d’une fuite de données cela paraît évident de par la nature hostile des assaillants, imaginons que ce soit du fait de la Russie, il est évident que si cela leurs était utile ils diffuseraient les informations. Plus simplement, sommes-nous assurés que dans une affaire se passant mal, comme par exemple le SCAF, ou un appel d’offres opposant F-35 et Rafale, un pays ou une grande entreprise pouvant trouver ces données s’en priverait ?
Le cas Alstom, nous donne un élément de réponse.
Une liste d’opérateur très, voire trop, fournie
Le nombre de plateformes immatriculées, ou en attente d’immatriculation par Bercy est colossal. Près de 40% d’entre elles ne sont pas immatriculées en France : sur les 142 entreprises immatriculées ou en attente d’immatriculation, 40 d’entre elles sont basées à l’étranger. Elles se situent toutes au sein de l’Union européenne (UE) sauf une en Australie. Néanmoins, la localisation d’une entreprise dans un pays particulier ne rend pas compte de sa nationalité ni celle de son bénéficiaire effectif, qui est le véritable propriétaire de l’entreprise. De plus, afin de traiter les secrets de facturations des entreprises françaises (clients, produits et services, lieux de livraison, prix, référence de marché…), les prestataires se doivent d’avoir un nombre de collaborateurs et des résultats économiques et financiers suffisamment solides pour éviter tout risque de faillite ainsi que la maîtrise des délais imposés. La cybersécurité et la cybersûreté sont également des critères essentiels à prendre en compte.
Certaines entreprises étudiées dans le cadre de cet article semblent intéressantes quant aux risques qu’elles soulèvent pour traiter les secrets de facturation des entreprises françaises.
Par exemple, l’entreprise italienne INFOCERT SPA a subi une cyberattaque en 2024. Le pirate a mis en vente les données de 5.5 millions d’utilisateurs. La société italienne est un fournisseur de service d’identité numérique à l’époque de l’attaque. INFOCERT SPA appartient à la société TINEXTA qui elle-même appartient à TECNO HOLDING. En décembre 2025, le fonds d’investissement américain ADVENT INTERNATIONAL et le fonds d’investissement italien NEXTALIA deviennent actionnaires majoritaires de TECNO HOLDING en rachetant près de 39% du capital, possédant par le même coup TINEXTA et donc INFOCERT. INFOCERT apparaît donc comme étant une société américano-italienne.
Concernant l’entreprise danoise SHINE, nous ne connaissons pas les bénéficiaires effectifs. En effet, les propriétaires de SHINE sont des entreprises basées aux Îles Caïman et au Luxembourg. Le registre du commerce danois nous informe que nous pouvons faire une demande afin d’avoir accès aux réels propriétaires. Cependant, nous devons remplir « des conditions d’intérêt légitime, d’entités engagées ou d’autorités compétentes » afin d’effectuer cette demande. Ensuite, la plateforme nous autorise l’accès ou non. Certains changements de propriétaires et de capitaux attirent notre attention. Notamment lorsque l’actionnaire majoritaire, AMINO ApS, se retire le 13 mars 2017, ARMADILLO INVESTMENT LIMITED, société basée aux Îles Caïmans devient actionnaire majoritaire à la même date. Le fait de ne pas connaître le propriétaire légal de cette entreprise ainsi que de ne pas avoir la possibilité de le connaître renforcent les soupçons, particulièrement si cette dernière est amenée à traiter les secrets de facturation des entreprises françaises.
Ces deux entreprises sont en attente de certification de la part de Bercy. Néanmoins, ces dernières ont une dimension extra-européenne assez forte car leurs réels propriétaires se situent hors du vieux continent.
Les prérequis de Bercy
Les critères d’agréments imposés par Bercy sont nombreux. Ils mettent particulièrement en avant le respect de la protection des données et la souveraineté numérique. L’entreprise doit fournir « un document présentant de manière précise les moyens mis en œuvre pour assurer la sécurité des données à caractère personnel en application de l’article 32 du règlement (UE) 2016/679 du Parlement européen du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) » ainsi qu’ « une attestation de certification ISO/IEC/27001 en cours de validité » et « Une déclaration par laquelle le candidat PDP s’engage à exploiter son système d’information depuis l’UE et à s’assurer d’aucun transfert de données hors UE (modèle disponible sur la plateforme démarche.numerique.gouv.fr) (…) Si vous avez recours à un prestataire d’hébergement, la décision de qualification « SecNumCloud » délivrée par l’ANSSI ».
En résumé, l’entreprise doit assurer à Bercy qu’elle respecte le RGPD, qu’elle bénéficie de la norme ISO la plus protectrice en matière de sécurité des données ainsi que de garantir que les données restent sur le territoire européen.
Cependant, le RGPD peut être outrepassé par le Cloud Act, loi extraterritoriale américaine, si l’entreprise utilise des serveurs américains (AWS, Azure…) ou que la maison mère de l’entreprise est américaine ou qu’elle se situe aux Etats-Unis.
La norme ISO/IEC/27001 est une garantie de la force de la sécurité informatique d’une entreprise mais ne rentre pas dans le cadre juridique extraterritorial d’un autre Etat.
Le « SecNumCloud » est un dispositif de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) établissant des « cloud » de confiance afin d’héberger des données sensibles, rendant inopérantes les attaques juridiques extra-européennes comme le Cloud Act. Cependant, si un lien capitalistique existe avec une entreprise américaine, alors, le SecNumCloud serait inopérant car ce dernier protège le prestataire et non l’entreprise. Cela signifie que si un lien capitalistique existe entre l’entreprise accréditée par Bercy et une entreprise américaine, alors le Cloud Act reste en vigueur et contourne le dispositif de l’ANSSI.
La majorité des entreprises connaît des temps difficiles, compte tenu de l’accélération et l’accroissement des crises (guerre en Ukraine et en Iran, crise énergétique etc.). Par conséquent, le fait que des entreprises étrangères traitent leurs données sensibles pour un moindre coût leur paraît être le moindre mal ou alors, leur seule solution. De plus, cette sous-traitance à des entreprises étrangères a été validée par l’Etat, donc, elle leur semble sécurisée. Néanmoins, la réalité est toute autre.
Quels risques réels pour les entreprises françaises ?
Une facture n’est pas un simple document comptable : c’est une fiche de renseignement économique extrêmement dense sur la vie d’une entreprise. Elle décrit qui achète (client, secteur, parfois taille et localisation), quoi (produits, gammes, références internes), combien (volumes, montants, taux de remise), où (sites de livraison, hubs logistiques, pays de destination) et quand (saisonnalité, cadence de commandes, pics d’activité). À cela s’ajoutent des informations de paiement (délais, acomptes, conditions particulières) qui permettent de reconstituer la santé de la trésorerie et le rapport de force commercial entre deux entités commerciales.
Dans le futur dispositif, ces données ne restent plus enfermées dans un ERP ou chez l’expert‑comptable : elles sont systématiquement extraites et transmises via les plateformes agréées, qui centralisent les flux d’émission, de réception et de reporting pour le compte de Bercy. Cette massification et cette standardisation transforment la donnée de facture en véritable big data sectoriel, structuré, historisé autrement dit, directement exploitable pour être analysée.
Pour un acteur d’intelligence économique, l’ensemble de ces informations est une mine d’or. À grande échelle, elle permet de cartographier des filières entières : identifier les donneurs d’ordre, les sous‑traitants critiques, les dépendances à quelques fournisseurs uniques, les marges par gamme de produits, les zones géographiques les plus dynamiques. En recoupant des séries de factures sur plusieurs années, on peut anticiper des mouvements stratégiques: montée en puissance d’un nouveau client, retrait d’un marché, pression sur les prix avant une offensive commerciale. Les spécialistes de la cybersécurité soulignent que la dématérialisation des flux financiers accroît à la fois la valeur et l’attractivité de ces données pour des acteurs malveillants, du cybercriminel opportuniste au service de renseignement étranger.
De plus, les plateformes agréées n’ont pas toutes le profil de « champions nationaux » dotés de moyens considérables. Les listes officielles mélangent grands éditeurs, fintechs bien établies et structures beaucoup plus récentes ou de taille modeste, qui assument pourtant des fonctions critiques : émission, transmission, réception et extraction des données de facturation pour le compte des entreprises. Or, confier un rôle systémique à des acteurs au capital limité, à la capacité d’investissement cyber incertaine et parfois fortement dépendants de sous‑traitants techniques pose une question simple : que se passe-t-il s’ils deviennent la porte d’entrée d’une attaque majeure ?
Sur le papier, l’agrément impose des exigences de sécurité abordées précédemment. Mais une due diligence sérieuse ne se limite pas à cocher des cases de conformité au jour J. Dans une logique de sécurité économique, il faudrait aussi examiner de près la gouvernance, l’actionnariat, la structure de la dette, la dépendance à des prestataires tiers, ou encore les perspectives de rachat. Les recommandations générales de l’ANSSI en matière de maîtrise du risque numérique insistent justement sur cette approche globale de la chaîne de fournisseurs numériques.
En l’état, le débat public se focalise sur la capacité des plateformes à délivrer un « service qui marche » pour les TPE/PME, beaucoup plus que sur leur robustesse à moyen ou long terme comme maillon critique de la souveraineté fiscale et du secret des affaires. Or, une plateforme de facturation agréée qui tomberait en panne, se ferait rançonner ou serait discrètement rachetée par un acteur étranger hostile ne mettrait pas seulement en difficulté ses clients : elle fragiliserait un morceau du système nerveux économique français.
En concentrant les flux de facturation de dizaines ou centaines de milliers d’entreprises sur un nombre restreint d’intermédiaires, la réforme crée de fait de nouveaux « centres de gravité » pour les attaquants. Les experts alertent déjà : les plateformes agréées vont devenir des cibles de choix pour des campagnes de ransomware, des intrusions visant à exfiltrer des bases complètes de données ou des manipulations de flux : injection de fausses factures, usurpation d’identité, détournement de paiements.
Le contexte général n’est pas rassurant : une majorité d’entreprises françaises ont déjà subi des cyberattaques ces dernières années, avec des coûts dépassant fréquemment le million d’euros, et les études convergent sur une progression continue des menaces, notamment via des vecteurs cloud et supply chain. Les professions manipulant de la donnée financière sensible, comme les cabinets comptables, sont déjà particulièrement ciblées, précisément parce qu’elles concentrent la data de multiples entreprises clientes. Les plateformes de facturation, demain, joueront un rôle comparable, mais à une échelle bien plus vaste.
Ici les scénarios d’exploitation dépassent largement la simple fraude : espionnage économique, avec reconstitution fine des chaînes de valeur, des marges, des dépendances critiques, utile pour orienter des stratégies industrielles ou commerciales étrangères.
Ciblage sectoriel, en identifiant quelles entreprises sont le maillon faible d’une filière (fournisseur unique, sous-traitant clef, PME innovante) avant des opérations d’OPA hostiles, de désorganisation de la chaîne ou de rachat opportuniste.
Ou des actions de déstabilisation, en paralysant les capacités de facturation d’entreprises d’un même écosystème (santé, agroalimentaire, énergie) pour perturber l’économie réelle ou forcer des concessions. Les analyses sur l’espionnage économique montrent déjà que ce type d’attaque peut accroître de plus de 50% le risque de défaillance d’une entreprise dans les mois qui suivent.
La facturation électronique de la TVA concentre ainsi une tension que le débat public n’a, pour l’instant, qu’esquissée : d’un côté, un instrument puissant de rationalisation fiscale et de lutte contre la fraude, susceptible de rapporter plusieurs milliards d’euros par an à un État en déficit chronique mais de l’autre, un dispositif qui externalise au profit d’acteurs privés, parfois étrangers, un gisement de données au cœur de la compétitivité et de la souveraineté économiques françaises.
En érigeant les plateformes agréées en passage obligé de toutes les factures interentreprises, la réforme crée des « points uniques de vérité » pour Bercy, mais aussi des « points uniques de vulnérabilité » pour les entreprises, que ni les labels, ni les normes, ni les promesses contractuelles ne suffisent à sanctuariser si la question du contrôle capitalistique, de la localisation réelle des données et du risque d’ingérence n’est pas prise au sérieux. Le véritable enjeu, désormais, est moins de savoir si la facturation électronique sera mise en œuvre, car elle le sera, mais de décider si la France l’assumera comme un simple outil de recouvrement ou comme un choix stratégique structurant, appelant un pilotage beaucoup plus exigeant en matière de sécurité économique, de souveraineté numérique et de protection du secret des affaires.
Maxime Mercier, T.L, Jules Léger, Félix Champseix
Pour aller plus loin :