Application web avec Génération de Factures - Norme NF 525

Bonjour.

Je viens demander un peu d’aide SVP, car je n’ai pour le moment jamais développé de système de facturation. Ce n’ai pas une aide technique que je viens demander, mais + une aide d’un point de vue "commercial".

J’ai quelques questions en ce qui concerne des normes. Car il y a la norme NF 525 qui est arrivée en Janvier 2018, et le RGPD qui arrive en Mai 2018. Et je pense + logique de poser mes questions sur un même sujet plutôt que d’en ouvrir plusieurs.

Je vais (en 2018) commencer le développement d’une application web sur mesure (un "petit" CRM) pour une entreprise (un commerce). Et dans cette application web il y aura un module "Devis / Bon de commande / Génération de Factures".

Je précise que cette application web ne sera pas un site E-commerce, et qu’il ni aura pas de système de payement en ligne (pas de Paypal, pas de payement par CB, etc.).

Je précise aussi que cette application web sera hébergé chez OVH (probablement sur un VPS).

En ce qui concerne la norme NF 525 :

_Tout d’abord, est-il obligatoire que le module "Devis / Bon de commande / Génération de Factures" que je le développe en respectant norme NF 525 ?

_Si oui, et que cette norme n’est pas respectée, qui est le responsable en cas d’éventuel contrôle dans le futur ? Le prestataire (le développeur Freelance) ? Ou le client ?

En ce qui concerne le RGPD :

_Si le client ne veux pas que son application web respecte le RGPD, qui est le responsable en cas d’éventuel contrôle dans le futur ? Le prestataire (le développeur Freelance) ? Ou le client ?

PS :

Le client pour le moment ne veux pas se prendre la tête avec ces normes, il veux juste un outil web qui lui permet de générer des factures et de collecter des statistiques. Mais je préfère me renseigner avant de commencer le développement car je tiens à faire les choses très proprement.

Je précise aussi que ça ne sera pas une application web en mode SaaS avec location, ça sera une une application web sur mesure vendu pour un client spécifique (et cette application web sera hébergée sur un serveur web au Nom du client).

Merci beaucoup.

Hello, pourquoi ne pas lui proposer d’utiliser Dolibarr ?

Et sinon, personnellement je n’y connais rien, mais du coup tu peux toujours regarder le code de Dolibarr, vu que c’est Open Source.

Dura lex, sed lex. Concernant la norme NF, je crois qu’en non compatibilité, c’est considéré comme fraude. Pour RGPD, c’est aussi un truc strict.

Donc faut respecter la loi. J’ai envie de conduire avec 10g d’alcool dans le sang, mais je le fais pas, parce que sinon je serais puni.

Donc faut respecter la loi. J’ai envie de conduire avec 10g d’alcool dans le sang, mais je le fais pas, parce que sinon je serais puni.

Si tu veux monter dans une voiture sans t’attacher, c’est ta responsabilité seule et non celle du conducteur (contrairement à ce que l’on croit souvent). C’est un peu la question qu’il pose ici.

Malheureusement n’étant pas juriste je n’ai pas la moindre idée de la réponse, bien qu’intuitivement je pencherai pour une responsabilité du client.

Salut,

Pour le RGPD, la responsabilité incombe au propriétaire des données ainsi qu’au(x) sous-traitant(s) ayant réalisé le développement. Le pourcentage n’est (de mémoire) pas le même, mais la responsabilité de la boîte de développement est engagée. Du coup, que ton client veuille ou non respecter la RGPD ne change rien : il faut le faire !

« Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement » (art. 82 al. 2).

Cependant :

« Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci » (art. 82 al. 2).

M’enfin bon, si tu veux mon avis, respecte le RGPD. Concernant l’autre norme, je ne connaissais pas, mais du coup j’irais me renseigner, ça m’intéresse grandement.

Merci à tous pour vos réponses.

Le client veux vraiment une solution sur mesure (il veux et va aussi vouloir dans le futur des fonctionnalités sur mesure que Dolibar n’a pas).

D’après les recherches Google que j’avais fait (mais les articles que j’ai lu ne sont peut être pas fiables…) :

_Si c’est un logiciel SaaS en mode contrat de location, le prestataire et le client sont tout les 2 responsables en cas de non respect du RGPD. Et la, ça me parait logique que le prestataire soit responsable étant donné que seul lui a à sa disposition les codes sources du logiciel.

_Si c’est un logiciel sur mesure vendu spécifiquement pour un client, apparemment c’est le client le seul responsable en cas de non respect du RGPD.

C’est d’ailleurs écrit ceci :

La Cnil a eu l’occasion de l’affirmer à plusieurs reprises, et le règlement européen général en matière de protection des données (RGPD) ne change rien à la situation sur ce point: les éditeurs de logiciels ne sont pas considérés comme responsables de traitement. Seuls les clients utilisateurs le sont par principe.

dans cet article : https://www.lenetexpert.fr/editeurs-de-logiciels-pourquoi-vos-clients-vont-vous-contraindre-a-justifier-de-la-conformite-au-rgpd-de-vos-outils/

D’ailleurs, pour la vente d’un logiciel sur mesure ou d’un site web sur mesure, ça me parait logique que ce soit le client le seul responsable, parce que :

Si en tant que prestataire on a vendu dans le passé plein de sites et logiciels web, normal que le prestataire n’a pas respecté le RGPD vu que ça n’existais pas à l’époque.

Et les prestataires ne vont pas s’amuser à faire des refontes gratuite de tous les sites web et logiciels web qu’ils ont fait durant leurs carrières, et de nombreux clients ne vont pas vouloir payer pour que les prestataires fassent des refontes afin de respecter le RGPD.

Franchement, ce n’est pas facile… Hier j’ai téléphoné à un expert comptable (qui travail pour des commerces) + à un gros éditeur de logiciel (qui vend des logiciels de comptabilité à des commerces), et même eux sont complètement largués sur la norme NF 525.

Le problème c’est que j’avais fait deux gros devis il y a + d’1 an. Et à l’époque je n’avais pas pris en compte dans les devis le temps de développement afin que le RGPD + la norme NF 525 soient respectés. Et j’ai un de ces deux devis qui va tombé très bientôt, mais les clients ne vont pas vouloir payer une somme supérieur au devis. Et à mon avis d’autres prestataires vont avoir des surprises durant les mois et quelques années à venir.

J’ai quelques questions en ce qui concerne des normes. Car il y a la norme NF 525 qui est arrivée en Janvier 2018,

Tu parles de cette norme ? : Obligation d’utiliser des logiciels de caisse sécurisés certifiés : qui est concerné ?

D’habitude je guide un peu plus sur les questions de droit mais c’est une question délicate que tu poses. Surtout que le droit des contrats sur les transactions de prestation numérique est assez récent pour ne pas dire vague.

_Si oui, et que cette norme n’est pas respectée, qui est le responsable en cas d’éventuel contrôle dans le futur ? Le prestataire (le développeur Freelance) ? Ou le client ?

Déjà tu peux dégager deux types de contrôle :

• Un contrôle fiscale par la DGI (à moins que ça soit le rôle d’un CAC de vérifier cette norme) ;
• Une enquête fiscale par la police judiciaire.

Ensuite deux types de responsabilités :

• Civile : Réparer les dommages que tu as causé à l’entreprise ;
• Pénale : Sanction pour ne pas avoir respecté la loi.

_Si le client ne veux pas que son application web respecte le RGPD, qui est le responsable en cas d’éventuel contrôle dans le futur ? Le prestataire (le développeur Freelance) ? Ou le client ?

Certaine clause dans le contrat de vente peuvent-être prévu mais il faut s’interroger sur les limites de ces clauses. Si le cahier des charges ne prévoyaient pas une mise au norme et que tu fais apparaitre que le client à refuser une mise au norme NF 525, normalement tu ne pourras pas être tenu par ta responsabilité civile par client si tu rédiges correctement le contrat (EDIT : Après relecture, une clause qui veut enlever la responsabilité sur quelques choses qui n’est pas au norme, n’a pas de sens).

Pour ce qui est de ta responsabilité pénale en cas de procédure judiciaire d’enquête fiscale, je suis moins sûr. Car si tu fais apparaître la norme NF 525 dans le contrat ça voudra dire que tu avais conscience que ton client pouvait frauder et donc être considéré comme complice ? Je ne sais pas si ta bonne fois suffirait, tu devrais demander à un professionnel.

J’ai lu le BOFIP : http://bofip.impots.gouv.fr/bofip/10691-PGP.html Je n’ai pas trouvé d’informations supplémentaires.

Tu cites un article, je cite directement la RGPD.

On s’est beaucoup penché dessus dans ma boîte (gros groupe français), on a eu des réunions avec des juristes en interne. Et ce qu’il en ressort, c’est que le prestataire (le sous-traitant donc) est responsable de la non conformité à la RGPD.

Après, il faut bien distinguer plusieurs choses :

• Il y aura une tolérance pour les applications développées avant le 25 mai 2018.
• Les applications développées après le 25 mai 2018 n’auront aucune excuse.
• Enfin, tout dépend de l’importance de l’application. Facebook par exemple sera bien plus scruté que le site lambda qui a 50 visiteur par jour.
• Tout dépend de l’importance des informations stockées. Une donnée bancaire ou médicale par exemple n’a pas la même importance qu’un nom et un prénom. Et donc l’action menée contre le propriétaire et le sous-traitant ne sera pas la même.

Il semblerait que pour les applications ne stockant pas des données "importantes", utiliser https suffit.

Maintenant concernant les vieux sites, le propriétaire est censé se mettre à jour. Pour les modalités, tout dépend de ce qu’il a prévu dans son contrat. Mais prenons un exemple qui arrive souvent : un sous-traitant a développé le site d’un client et il s’occupe également de l’hébergement. Le sous-traitant envoi un mail avec un devis à son client en le prévenant qu’une mise à jour doit être faite, afin de respecter le droit européen. Si aucune réponse n’est apportée sous X jours, le site sera mis hors-ligne afin que le sous-traitant ne puisse pas être mis en cause. Que penses-tu que va faire le client ?

@John Sous-traitant = SaaS ? Car ici c’est plus un maitre d’œuvre qu’un sous-traitant.

Encore merci pour vos précieuses réponses.

Oui je parle de cette norme.

Je précise que je ne parle à aucun moment de cette norme dans le contrat (et j’ai demandé au client de ne rien signer pour le moment, tant que tout n’est pas clair dans ma tête car je veux vraiment faire les choses proprement).

En ce qui concerne le RGPD, ça ne m’inquiète pas trop. Je pense que ça va me rajouter "seulement" 1 ou 2 jours supplémentaire de dév. Et il y a plein de documentations sur internet.

Mais en ce qui concerne la norme norme NF 525, je suis complètement largué (suis je concerné dans cette situation ?) Et les sites E-commerce, sont-ils aussi concernés ? J’ai lu de tout et de rien dans Google… Et même un expert comptable qui travaille avec des commerçants m’a confié qu’il ne savais pas si mon client dans cette situation est concerné ou pas.

ça dépend des clients (de son état d’esprit et de ses moyens financiers). Certains clients vont être compréhensibles qu’il faut que leur site soit mis à jour. Mais d’autres clients vont crier au scandale.

Mais en ce qui concerne mon cas présent, je ne vais pas héberger. L’application web sera vendu à un client spécifique, et sera hébergé sur un serveur web au nom du client. Ce que je vend : c’est le développement de l’outil sur mesure.

Si ça peut aider : https://linuxfr.org/news/projet-de-loi-de-finances-fr-2016-interdiction-des-logiciels-libres-de-comptabilite-et-de-caisse

Je tiens à rappeler que je ne suis pas un expert, mon job à moi c’est développeur. Mon discours n’est que mon impression par rapport à la mise en place du RGPD, par rapport à ce qui se dit dans ma boîte.

Si après le 25 mai 2018, une société délivre une application qui ne respecte pas le RGPD, et que la CNIL met son nez dedans, le propriétaire de la-dite application ainsi que la société de développement seront tenus pour responsables. Si le client n’est pas informé, il y a clairement un manque d’informations de la part de son prestataire. Si le prestataire n’est pas informé… C’est son métier, il doit se tenir au courant.

Maintenant attention, il faut bien retenir que c’est le stockage des données qui entre en ligne de compte. Si une application ne fait qu’envoyer des données à une autre, sans jamais les stocker, alors la première n’a pas à respecter le RGPD, puisqu’elle ne stocke rien. En revanche, l’application qui va stocker la donnée doit respecter le RGPD. Et ce n’est pas le client qui va mettre le nez dans le code et la BDD pour vérifier ; s’il savait le faire, il n’aurait pas fait appel à un prestataire. Donc peu importe que l’hébergement ne soit pas géré par la société de développement. C’est à elle de mettre l’application en conformité. Quand vous achetez une voiture neuve, ce n’est pas à vous de la mettre aux normes, c’est au constructeur. Et il ne peut pas dire qu’il ne connaissait pas les normes, c’est son métier.

@A-312, @qwerty, En fait, la loi parle de pouvoir rendre inaltérable les données, pas le logiciel

Encore merci pour vos réponse.

@A-312, je pense que tu as raison.

Oui c’est vrai. Mais quand un client achète une voiture neuve chez un concessionnaire, le client ne rédige pas de cahier des charges à la concession avant de passer commande et de verser un acompte. Et quand un client commande une voiture neuve chez un concessionnaire, ce n’est pas une voiture 100% sur mesure qu’il commande. Les constructeurs commercialisent divers modèles de voitures aux normes pour rouler en pleine circulation, mais rien n’interdit les constructeurs de fabriquer et de vendre une voiture fabriquée sur mesure spécifiquement sur demande d’un client spécifique (après si le client décide de rouler en pleine circulation en ville, c’est sa responsabilité à lui il me semble).

Dans le développement informatique, quand le client veux acheter un logiciel sur mesure, c’est au client de rédiger un cahier des charge afin que le prestataire lui développe son logiciel en fontion de ce cahier des charges. Après, bien sûr, un prestataire sympa se doit de conseiller le client avant que le client lui rédige le cahier des charges.

Hier soir je suis aller voir une startup (un éditeur de logiciel de comptabilité SaaS en mode contrat de location). Je leur ai posé la question sur la norme NF 525, il m’ont expliqué que dans mon cas (vu que c’est une vente d’un logiciel sur mesure) ce n’est pas moi le responsable si on oubli de respecter une norme durant le développement (il y a surement d’autres normes qu’on ne connais pas, et d’autres normes qui risquent de sortir dans un futur proche… donc durant le développement d’un "gros" logiciel il est possible que l’on oubli des "petites" normes). Il m’ont aussi expliqué que même les experts comptables se contredisent tous sur le sujet de la norme NF 525 (que même les experts comptables ne savent pas quels types de commerçants se doivent de respecter cette norme).

Oui, sauf que le constructeur a prévenu son client et que c’est certainement dans le contrat de vente. L’acheteur du véhicule ne rédige certes pas de cahier des charges, mais il choisit des options et des équipements. La voiture est donc spécifique à sa demande.

De plus, si on continue dans l’analogie, alors c’est que l’application n’est pas faite pour enregistrer des données.

Donc si demain un client te demande un logiciel pour pénétrer dans le réseau informatique de la DGSE, en toute illégalité, tu crois que seul lui sera tenu pour responsable ? J’émets un ÉNORME doute là-dessus.

Pour le coup les textes que j’ai indiqués précédemment me semblent assez clairs.

Tu ne peux pas comparer la vente d’un produit fini avec un projet qui fait appel à un MOE. Le droit fait la distinction entre ces deux éléments, il y a des articles spécifiques à chacun.

Oui c’est vrai que dans un exemple comme celui-ci, le prestataire deviendrai complice (étant donné que le prestataire étais au courant à l’avance que le client serai malintentionné avec le logiciel commandé).

Mais un prestataire qui a développé pleins de sites web dans le passé sans respecter le RGPD ni la norme NF 525 (vu que ces normes n’existais pas à l’époque), ne peut pas faire des refontes gratuite ou très mal payé de tout les sites web qu’il a vendu. Et si le prestataire contact tout ses anciens clients en mode "bonjour, votre site web ne respecte pas 2 nouvelles normes qui viennent de sortir, ça va vous coûter quelques milliers d’€…", le prestataire va se faire beaucoup d’ennemies parmi ses anciens clients (même si le prestataire ni ai absolument pour rien étant donné que ces normes n’existaient pas à l’époque où il avais développé les sites web).

Le RGPD, les médias en ont pas mal parlés, donc les prestataires sont avertis qu’ils ont intérêt à développer leurs futurs sites web et logiciels en respectant le RGPD. Mais la norme NF 525, j’ai l’impression que quasiment personne est au courant (de qui sont vraiment concernés, et si les sites E-commerce sont concernés, et si les logiciels vendus sur mesure sont concerné, etc.).

Ton client est assujetti à la TVA ?

Il m’avais dit que oui. C’est un commerce.

Re bonjour.

Y a aussi un truc important en ce qui concerne la facturation qui n’est pas clair dans ma tête :

Quand on ouvre une entreprise, les numéros de factures doivent se suivre, OK.

Mais si une société veut en + de son magasin aussi un site E-commerce (pour vendre ses produits aussi sur internet),

les numéros de factures doivent se suivre sur l’ensemble des 2 : le magasin + le site E-commerce ?

Ou les numéros de factures du magasin + les numéros de factures du site E-commerce peuvent-elles êtres "séparées" ? Le magasin a ses propres numéros de factures, et le site E-commerce à ses propres numéros de factures) ?

Encore merci.