Risques de l'obligation de facturation électronique pour les entreprises
Question de :
Mme Laure Lavalette
Var (2e circonscription) - Rassemblement National
Mme Laure Lavalette alerte M. le ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique sur les risques d'usurpation d'identité liés à l'entrée en vigueur de l'obligation de facturation électronique au 1er septembre 2026. À compter de cette date, l'ensemble des entreprises, quelle que soit leur taille (TPE, PME, micro-entrepreneurs, professions libérales) devront recourir à un dispositif de facturation électronique pour leurs échanges inter-entreprises. La mise en œuvre pratique de cette réforme suscite de fortes inquiétudes en matière de sécurité numérique. En effet, contrairement au projet initial prévoyant une plateforme publique assortie d'une authentification sécurisée via FranceConnect+ ou France Identité, l'État a finalement délégué cette compétence à une centaine de prestataires privés. Or la plupart d'entre eux n'offrent pas de garanties suffisantes en matière de vérification d'identité. La création d'un compte se limite souvent à la simple saisie d'informations de base, tels que le nom, SIRET et courriel, voire à l'envoi d'une copie de pièce d'identité, une procédure désormais considérée comme obsolète et risquée. Ces pratiques ouvrent la voie à des usurpations à grande échelle, facilitées par la diffusion en open data des informations relatives aux entreprises et par la circulation massive de données personnelles compromises. Chaque année, plus de 300 000 personnes sont victimes d'usurpation d'identité selon le ministère de l'intérieur. Si aucune mesure de sécurisation n'est prise, plusieurs millions d'entrepreneurs pourraient être exposés à ces fraudes dans les prochaines années, avec des conséquences dramatiques, comme des escroqueries, des dettes injustifiées, ou encore des procédures judiciaires contre des victimes innocentes. Aussi, elle lui demande de préciser si le Gouvernement entend reporter l'entrée en vigueur de cette obligation, le temps de garantir un niveau de sécurité suffisant dans l'authentification des usagers et s'il envisage de créer une plateforme publique nationale de facturation électronique, à l'image d'autres dispositifs comme ANTS, permettant une authentification via FranceConnect+ ou France Identité.
Réponse publiée le 21 avril 2026
Le dispositif de facturation électronique tel que prévu à l'article 26 de la loi de finances rectificative pour 2022 et à l'article 91 de la loi de finances pour 2024 s'appuyait à la fois sur un portail public de facturation (PPF) gratuit mais offrant un service minimum, et des opérateurs privés, les plateformes agréées. Le 15 octobre 2024, l'État, tout en réaffirmant le caractère majeur du projet de facturation électronique, a fait le choix de ne pas construire de PPF. Les entreprises devront donc choisir parmi des plateformes immatriculées par l'État pour échanger leurs factures de manière sécurisée et remonter les données à l'administration fiscale. À ce jour, une centaine de plateformes ont obtenu une immatriculation définitive. Ces plateformes sont des tiers de confiance immatriculés et certifiés par l'administration fiscale et répondent à un cahier des charges bien précis, notamment concernant les sujets liés à la sécurité des données. Elles doivent héberger leurs données au sein de l'Union européenne et, lorsqu'elles recourent à un cloud, s'appuyer sur une infrastructure qualifiée SecNumCloud ou répondant à des exigences de sécurité équivalentes. Les plateformes doivent également produire une certification ISO/IEC 27001 qui garantit la traçabilité des données et le respect des normes principales de sécurité. Les plateformes sont auditées chaque année par des cabinets professionnels. En cas de non-conformité, le retrait de l'immatriculation est possible. Le choix de ne pas concentrer l'ensemble des flux nationaux dans un point de passage unique participe également de la stratégie de sécurité. Un portail central aurait constitué une cible évidente et attractive pour une attaque d'ampleur, avec un risque systémique majeur en cas de défaillance. Le modèle distribué retenu réduit cette exposition : il évite la concentration de tous les flux dans une seule infrastructure et limite les effets de propagation en cas d'incident isolé. Cette architecture renforce la résilience globale du dispositif et contribue, au-delà de la protection des données, à la protection du fonctionnement économique lui-même. Il s'agit d'un choix assumé de sécurité systémique au service de la stabilité de l'économie.
Auteur : Mme Laure Lavalette
Type de question : Question écrite
Rubrique : Entreprises
Ministère interrogé : Économie, finances, souveraineté industrielle, énergétique et numérique
Ministère répondant : Action et comptes publics
Dates :
Question publiée le 24 février 2026
Réponse publiée le 21 avril 2026