💬 Conformité NF525 et Prestashop : comment gérez-vous vos enregistrements de ventes ?

[scabotse]

Bonjour à tous,

Je me permets d’ouvrir ce sujet, car la question revient souvent chez nos utilisateurs et partenaires, et je pense qu’elle concerne beaucoup de marchands Prestashop ici.

Depuis la loi anti-fraude à la TVA (entrée en vigueur en 2018), les commerçants assujettis à la TVA qui enregistrent des paiements de clients particuliers doivent utiliser un logiciel de caisse conforme (certifié NF525 depuis 2025).

Le problème, c’est que Prestashop n’entre pas vraiment dans cette catégorie :
il s’agit d’un logiciel e-commerce, pas d’un système d’encaissement au sens fiscal du terme.
Résultat : les ventes sont bien enregistrées, mais pas dans un système certifié — et en cas de contrôle, certains comptables préfèrent recommander un enregistrement complémentaire dans un logiciel conforme.

C’est là que la frontière devient floue :
👉 Pour un site 100 % en ligne, faut-il vraiment un logiciel de caisse conforme ?
👉 Ou bien suffit-il que les transactions soient tracées via les prestataires de paiement (Stripe, PayPal, etc.) ?
👉 Et comment font les autres e-commerçants Prestashop ici ?

Pour situer un peu mon rôle :
je suis l’éditeur du logiciel Caisse.Enregistreuse.fr, un système de caisse certifié NF525, principalement utilisé par des commerces physiques.
Nous avons récemment ajouté une fonction gratuite permettant d’importer et d’enregistrer les ventes issues d’un site Prestashop pour ceux qui souhaitent se mettre en conformité ou simplement centraliser leurs ventes (je présente le module ici : module prestashop ).

Je précise que ce n’est pas un message promotionnel — je m’intéresse vraiment aux pratiques réelles des e-commerçants :

Est-ce un sujet que vous prenez en compte ?

Votre comptable vous en a-t-il parlé ?

Ou considérez-vous que ce n’est pas pertinent pour le commerce en ligne ?

Vos retours d’expérience m’intéressent beaucoup, car la frontière entre e-commerce et caisse “fiscale” reste très floue, et c’est un débat utile pour toute la communauté.

[coeos.pro]

Prestashop n'a jamais cherché à être conforme, la preuve ils gagnent de l'argent en vendant des modules qui permettent de supprimer des commandes : https://addons.prestashop.com/fr/recherche?search_query=delete+order et https://addons.prestashop.com/fr/recherche?search_query=supprimer+commande

[scabotse]

46 minutes ago, coeos.pro said:

Prestashop n'a jamais cherché à être conforme, la preuve ils gagnent de l'argent en vendant des modules qui permettent de supprimer des commandes : https://addons.prestashop.com/fr/recherche?search_query=delete+order et https://addons.prestashop.com/fr/recherche?search_query=supprimer+commande

Ah oui, alors çà en effet, c'est pas conforme. Du coup il faut resaisir manuellement les ventes dans un autre logiciel pour se protéger, non ?

Sinon, en cas de contrôle, l'export des ventes Prestashop n'a aucune valeur...

[coeos.pro]

là pour moi il n'y a aucune protection, si je fais 10 ventes aujourd'hui, ce soir j'installe un module pour supprimer les commandes, je supprime 5 commandes, je désinstalle ensuite le module et il ne reste aucune trace (des commandes et du module), sauf les paiements sur mon compte bancaire.

[scabotse]

On 10/16/2025 at 11:23 AM, coeos.pro said:

là pour moi il n'y a aucune protection, si je fais 10 ventes aujourd'hui, ce soir j'installe un module pour supprimer les commandes, je supprime 5 commandes, je désinstalle ensuite le module et il ne reste aucune trace (des commandes et du module), sauf les paiements sur mon compte bancaire.

Oui, mais le gouvernement est ok avec çà car il peuvent le détecter.

En faisant cela vous aurez un décalage des dates d'enregistrement des données de vente.
A chaque fois que vous percevez un paiement, un enregistrement doit être immédiatement effectué dans la base de donnée du logiciel certifié, et vous avez un maximum de 30 secondes pour réaliser cela sans lever d'alerte, mais dépasser la demi seconde est déjà très suspicieux si cela ne correspond pas à vos latences habituelles, mais il y a d'autre faisceaux d'indices qui permettent de détecter cela..

En tant que responsable du système de management de la conformité, et j'ai beaucoup étudié les spécifications du gouvernement, avec l'aide du Laboratoire national de métrologie et d'essais (LNE). 

En tant que programmeur, il y a des points de cette loi que j'ai trouvé bien conçus, d'autres moins, mais je ne suis pas là pour exposer mon opinion, mais pour étudier les faits.

Ce que le fisc demande avec la loi n° 2025-127 du 14 février 2025 de finances pour 2025: 
"Un logiciel de caisse certifié répond aux conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données"

Ce qui importe au fisc, c'est que le logiciel soit certifié, cad que les données ne puissent jamais être modifiées (inaltérabilité), que les données soient signées dès l'enregistrement (sécurisation), conservées pendant un délai minimal de 6 années (conservation) et régulièrement transférées de manière sécurisée à l'établissement via un processus automatique (archivage).

Pour vous donner un exemple, de notre coté, chaque transaction doit être immédiatement signée avec une signature HMAC-SHA256.
La signature doit porter sur des attributs spécifiés par la règlementation, et sur la signature du précédent enregistrement, ce qui équivault à une blockchain appliquée aux données de ventes du logiciel. 

La chaine cryptographique pourrait tout être ré-écrite complètement après suppression de certaines commandes, et nous obtiendrons alors une nouvelle chaine cryptographique valide. Mais cela ne les dérange pas non plus.

J'ai en premier lieu considéré que cela représentait une faille dans leur raisonnement, mais en y réflechissant bien, il me semble que cela ne pose pas de problème car leur objectif est l'intangibilité.

D'abord, il y pourrait y avoir des problèmes avec les identifiants en base de donnée, qui ne seraient plus séquentiels et sans trous, s'il y a suppression (mais avec prestashop il reste possible de modifier l'identifiant primaire en base de donnée pour qu'il n'y ait pas de trous, pas dans notre logiciel).

Ensuite, à intervalle régulier, un rapport doit être émis, archivé, et envoyé à l'établissement, contenant les données de ventes signées, donc il y aurait risque d'incohérence avec ces données, ce serait facilement détectable, mais l'utilisateur peut toujours agir immédiatement en étant rapide.

Après cela, le fisc dispose d'une capacité à faire intervenir notre service de management de la conformité afin d'expertiser la conformité des données, et la il y beaucoup de choses qui pourraient être détectées (connexion, et deconnexion du module par exemple).

Et enfin, de toute évidence, il sera difficile de justifier les paiement reçus si vous effacez des commandes.

C'est pour ces raisons, je pense, que le gouverment n'a pas imposé l'envoi des données de ventes sur un serveur centralisé en temps réel via un executable obfuscé qu'il auraient fourni et qui resterait connecté à leur serveur. Tout système peut être interrompu, puis redémaré ensuite, peu importe le niveau, ils ont voulu via cette loi mettre en place l'intangibilité des données, qui complique grandement la tache des fraudeurs, voir la rend quasiment impossible.

Quoi qu'il en soit, lors d'un contrôle fiscal, ne pensez pas que vous aurez affaire à des idiots.

Si votre comptabilité est claire, concordante, si en plus vous utilisez un logiciel de caisse certifié qui garanti l'intangibilité des données, je peux vous garantir que cela se passera beaucoup mieux que si vous fournissez un export de vos données Prestashop, qui peuvent être trafiquées à loisir, et n'apportent absolument aucune garantie de la véracité de vos données.