Guide complet NF525 : tout comprendre pour réussir sa certification

Sommaire

Qu’est-ce que la NF525 ?

La NF525 certifie que votre logiciel de caisse respecte les exigences légales françaises en matière d’inaltérabilité, sécurisation, conservation et archivage des données d’encaissement.

Elle assure à l’administration fiscale :

  • que vos données ne peuvent pas être modifiées
  • que les actions sensibles sont tracées
  • que les exports sont fiables
  • que les clôtures et historiques sont cohérents

Qui est concerné ?

La NF525 vise tous les éditeurs dont le logiciel :

  • enregistre des encaissements
  • gère des paiements
  • produit des justificatifs (tickets, factures, notes)
  • ou permet d’enregistrer des opérations impactant une comptabilisation de recettes

Exemples de logiciels concernés :

  • POS / logiciels de caisse
  • ERP avec module encaissement
  • Solutions SaaS avec workflow de vente + paiement
  • Outils métier avec flux monétaires intégrés

Définir si un logiciel est concerné par l’obligation de certification NF525 est plus compliqué que ce qui est précisé dans la loi. En effet, l’usage actuel veut que des logiciels de Gestion Commerciale n’ayant pas de solution de caisse mais permettant de réaliser des opérations B2C soient concernés par cette obligation.

Le périmètre NF525 : un point souvent mal compris

Le périmètre est fonctionnel, pas marketing.

Il couvre toutes les fonctions pouvant influencer les recettes :

  • Ticketing
  • Vente / encaissement
  • Annulation
  • Correction
  • Remise / réduction
  • Reports / clôtures
  • Export comptable ou fiscal
  • Journal des opérations
  • Archivage
  • Restitution des données

Les 4 piliers techniques de la NF525

La NF525 repose sur 4 piliers énoncés dans la loi finance. Le Bulletin Officiel des Impôts BOI-TVA-DECLA-30-10-30 crée 4 conditions qu’un logiciel de caisse doit respecter pour être déclaré conforme.

1. Inaltérabilité

Aucune donnée validée ne peut être altérée sans trace. Cela inclut :

  • Montants
  • Quantités
  • Taxes
  • Paiements
  • Remises
  • Taux de TVA
  • Dates

Toute modification doit créer un nouvel enregistrement, jamais modifier l’ancien.

2. Sécurisation

Le logiciel doit garantir l’intégrité de chaque enregistrement via :

  • Hash
  • Signature électronique
  • Chaînage
  • Empreintes cryptographiques
  • Checksum
  • Méthode propriétaire documentée

3. Conservation

Le logiciel doit conserver l’intégralité des données nécessaires :

  • Historique complet,
  • Journal d’événements,
  • Séquentialité des numéros,
  • Détails des opérations.

4) Archivage

L’archivage doit permettre :

  • Une restitution lisible,
  • Une extraction complète,
  • Un scellage des données archivées.

Les exports doivent être exploitables sur toute la période légale (6 ans + exercice en court).

Les spécificités NF525

Le JET : La piste d’audit de la NF525

Le journal doit contenir tous les événements sensibles, dont, au minimum :

  • Création d’une vente
  • Encaissement
  • Modification
  • Annulation
  • Réouverture / corrections
  • Remises
  • Changements de TVA
  • Clôtures
  • Exports
  • Actions à risque (suppression impossible)

C’est souvent le premier point où les éditeurs échouent.

Le chaînage : La colonne vertébrale

Les trois questions que l’auditeur pose :

  1. Comment garantissez-vous l’intégrité ?
  2. Comment détectez-vous une altération ?
  3. Comment empêchez-vous une réécriture silencieuse ?

Les solutions les plus courantes :

  • Chaînage de type blockchain (hash du précédent intégré au suivant)
  • Chaînage par lot (par jour, par session)
  • Signature + empreinte
  • HMAC
  • Double journal : brut + sécurisé

L’auditeur vérifie que :

  • le mécanisme est documenté,
  • le code est cohérent avec ce que vous expliquez,
  • l’intégrité est réellement vérifiable.

Les flux critiques vérifiés pendant l’audit

Vente

Les données de vente enregistrées doivent être exhaustives. Les recalcules à la volée au moment de l’impression sont interdits.

Le logiciel doit être capable de restituer des justificatifs avec leur valeurs initiales. Les duplicatas doivent être le reflet intégral de la pièce justificative originale.

Annulation

Doit être conforme aux recommandations comptables. Une vente annulée est compensée par un mouvement négatif.

Suppression

La suppression est interdite pour toutes les données de vente. Le logiciel doit l’interdire et détecter les tentatives.

Exports

  • Export comptable
  • Export fiscal
  • FEC (si facturation)
  • Archive fiscale

Clôture

Le logiciel doit gérer des clôtures quotidiennes, mensuelles et annuelles qui interdisent la facturation sur les périodes clôturées et génèrent des données cumulatives et récapitulatives des ventes sur la période clôturée.

  • Clôture automatique / manuelle
  • Cohérence des totaux
  • Horodatage

En résumé

L’auditeur va vérifier les points suivants

  • Identification des pièces justificatives
  • Numérotation continue des pièces justificatives
  • Enregistrement exhaustif des données de vente
  • Sécurisation par signature électronique et chaînage des données
  • Traçabilité des modifications
  • Encadrement des événements techniques
  • Rendu des lisibles
  • Gestion des clôtures de périodes
  • Export des archives
  • Détection des tentatives d’altération des données

Hacktiv’ Studio vous accompagne

100% des éditeurs que nous avons accompagnés ont obtenu leur certificat à l’issue de leur audit initial. En moyenne, la mise en conformité a duré 3 mois.

NOUS CONTACTER