Facturation électronique

Plateforme agréée française : faut-il en choisir une ?

La loi n'impose pas de plateforme agréée française : une PA doit être immatriculée par la DGFiP et respecter le RGPD, pas être tricolore. Mais vos factures contiennent vos clients, vos montants et vos marges. Entre souveraineté des données, RGPD et exposition au Cloud Act, choisir une plateforme française ou européenne change le niveau de protection. Voici ce que ça change vraiment et les critères pour décider.

Mis à jour le 9 min de lecture
Plateforme agreee francaise : faut-il en choisir une
Sommaire

Faut-il choisir une plateforme agréée française ?

Ce n'est pas une obligation : toute plateforme immatriculée par la DGFiP et conforme au RGPD est valable, française ou non. Mais comme vos factures exposent vos clients et vos marges, une plateforme française ou européenne souveraine réduit le risque lié aux lois extraterritoriales comme le Cloud Act. Pour la majorité des TPE et PME, c'est le choix le plus simple et le plus protecteur.

1. Ce que dit (et ne dit pas) la loi

Une plateforme agréée, ou PA, est le nouveau nom de la PDP : une plateforme privée immatriculée par la DGFiP pour émettre, recevoir et transmettre vos factures électroniques. Pour le rôle exact de cette brique, voir notre définition de la plateforme agréée et le guide comment fonctionne une plateforme agréée.

La réforme issue de l'ordonnance n° 2021-1190 du 15 septembre 2021 impose deux choses à une plateforme pour être immatriculée : des garanties techniques et de sécurité fixées par le cahier des charges de la DGFiP, et le respect du RGPD sur les données traitées. En revanche, elle n'exige pas une nationalité française. Une plateforme européenne, voire d'un éditeur international, peut être immatriculée si elle coche les cases.

Autrement dit, le choix d'une PA française est un choix d'entreprise, pas une contrainte réglementaire. Il se justifie par la sensibilité de vos données et par votre exposition à des juridictions étrangères, pas par la lettre de la loi.

2. Pourquoi vos factures sont des données sensibles

Souverainete des donnees de facturation et plateforme agreee francaise

On sous-estime souvent la valeur stratégique d'une facture. Prise une à une, c'est un document banal. Agrégées, vos factures dessinent une cartographie précise de votre activité :

  • Votre portefeuille clients : qui sont vos donneurs d'ordre, leur poids relatif, votre dépendance à tel ou tel compte.
  • Vos volumes et votre saisonnalité : le rythme réel de votre chiffre d'affaires, mois par mois.
  • Vos prix et vos marges : ce que vous facturez, à qui, et à quelles conditions. Une donnée concurrentielle de premier ordre.
  • Vos fournisseurs : votre chaîne d'approvisionnement et vos coûts.

Ces informations transitent et sont stockées par votre plateforme agréée. D'où la question légitime : qui peut techniquement et juridiquement y accéder ? C'est là que la nationalité de l'éditeur et le lieu d'hébergement cessent d'être un détail.

3. RGPD, Cloud Act et souveraineté : ce qui se joue vraiment

Deux cadres juridiques s'opposent et expliquent tout le débat.

Le RGPD protège les données personnelles dès qu'une entreprise traite celles de personnes situées dans l'Union européenne, quel que soit le pays de l'éditeur. À ce titre, une plateforme américaine ou asiatique qui sert des clients français doit le respecter. Le RGPD n'est donc pas, à lui seul, un argument pour le français.

Le point de friction, c'est le Cloud Act. Cette loi américaine de 2018 autorise les autorités des États-Unis à exiger d'une entreprise soumise au droit américain qu'elle remette des données qu'elle détient, même stockées en Europe. Une plateforme dont la maison mère relève du droit américain peut donc, en théorie, être contrainte de communiquer des données hébergées sur le sol européen. C'est exactement le type de données que contient une facture.

Le cœur du sujet : la souveraineté ne se résume pas à « les serveurs sont en France ». Une donnée hébergée en France mais opérée par une filiale d'un groupe soumis au Cloud Act reste exposée. La vraie souveraineté combine hébergement européen et droit applicable européen sur l'ensemble de la chaîne.

En réponse, l'État a créé le visa SecNumCloud de l'ANSSI, qui qualifie les offres cloud conçues pour résister aux lois extraterritoriales. C'est le plus haut niveau de garantie de souveraineté disponible en France.

4. Les avantages concrets d'une plateforme agréée française

Choisir une PA française ou européenne souveraine apporte des bénéfices tangibles, au-delà du principe :

Avantage Ce que ça change concrètement
Protection contre l'extraterritorialité Données hors de portée du Cloud Act et des injonctions étrangères
Conformité RGPD simplifiée Pas de transfert hors UE à encadrer ni à justifier
Support et droit applicable français Litige tranché en France, support en français, fuseau commun
Proximité réglementaire Éditeur au plus près des évolutions de la DGFiP et du PPF
Soutien à l'écosystème Résilience d'une filière numérique française de la e-facture

Bonne nouvelle, ce choix n'est pas un luxe : plus d'une centaine de plateformes sont déjà immatriculées par la DGFiP, dont une large part d'éditeurs français à tous les tarifs, y compris gratuits pour les micro-entrepreneurs. Des solutions comme Pennylane, Indy, Tiime, Qonto ou Axonaut sont des éditeurs français. Pour une vue d'ensemble, voir notre liste des plateformes agréées et notre sélection des meilleurs logiciels de facturation agréés.

Vous voulez une solution française qui gère facturation et comptabilité au même endroit ?

Comparer les experts-comptables en ligne

5. Les nuances : « française » ne veut pas tout dire

Attention au réflexe trop simple. Une marque française n'est pas automatiquement souveraine, et une plateforme étrangère n'est pas automatiquement à proscrire :

  • La marque française adossée à un groupe étranger. Certaines solutions au nom bien français appartiennent à des groupes internationaux ou s'appuient sur des hébergeurs soumis à une loi extraterritoriale. La nationalité affichée ne dit rien de la chaîne réelle.
  • L'hébergeur en sous-traitance. Une PA française peut héberger ses données chez un fournisseur cloud américain. Les serveurs sont en France, mais l'opérateur relève d'un droit étranger.
  • La plateforme européenne souveraine. Une PA allemande ou belge, hébergée en UE et hors du Cloud Act, peut offrir un niveau de souveraineté équivalent à une française. L'enjeu est européen autant que national.

La conclusion est donc nuancée : ce qui compte n'est pas le drapeau sur le logo, mais la réalité de la chaîne d'hébergement et le droit applicable. C'est ce que mesurent les quatre critères suivants.

6. Les 4 critères pour juger la souveraineté réelle

Critère Ce qu'il faut vérifier Bon signal
Hébergement Où sont physiquement stockées les données Centres de données en France ou en UE
Droit applicable Nationalité de la maison mère et juridiction de rattachement Société et capital sous droit européen
Certifications Niveau de sécurité et de souveraineté attesté ISO 27001, et SecNumCloud pour le plus haut niveau
Sous-traitants Chaîne d'hébergeurs et de prestataires en aval Aucun maillon exposé à une loi extraterritoriale

Ces informations figurent normalement dans la politique de confidentialité, les conditions générales et la documentation sécurité de l'éditeur. Une plateforme transparente les met en avant ; une plateforme évasive sur ces points doit éveiller la prudence.

7. Comment vérifier et choisir en pratique

Pour trancher sans y passer des heures, procédez dans cet ordre :

  1. Confirmez l'immatriculation. Avant tout, la plateforme doit figurer sur la liste officielle des PA immatriculées par la DGFiP. Sans immatriculation, la question de la nationalité ne se pose même pas.
  2. Lisez la politique de confidentialité. Cherchez le lieu d'hébergement et la mention d'éventuels transferts hors UE.
  3. Identifiez la maison mère. Un nom français ne suffit pas : remontez jusqu'au groupe propriétaire et à son droit de rattachement.
  4. Regardez les certifications. ISO 27001 pour la sécurité, SecNumCloud si vous visez le plus haut niveau de souveraineté.

Pour une TPE ou une PME, le chemin le plus simple reste souvent de passer par un expert-comptable en ligne français dont la plateforme agréée est intégrée. Vous bénéficiez d'une solution souveraine, d'un interlocuteur unique et d'une comptabilité alignée sur votre facturation, sans avoir à auditer vous-même la chaîne d'hébergement. Pensez aussi à anticiper la portabilité : si vous deviez en partir, notre guide changer de plateforme agréée détaille la marche à suivre. Et pour situer les coûts, voir le coût d'une plateforme agréée.

8. Questions fréquentes

Faut-il obligatoirement choisir une plateforme agréée française ?

Non, la loi ne l'impose pas. Une PA doit être immatriculée par la DGFiP et respecter le RGPD, mais pas être française. Choisir une plateforme française relève d'un arbitrage de souveraineté et de protection des données. Pour beaucoup d'entreprises, c'est néanmoins le choix le plus simple et le plus sûr.

Une plateforme agréée étrangère est-elle conforme au RGPD ?

Elle peut l'être. Le RGPD s'applique dès qu'on traite des données de personnes situées dans l'UE, quel que soit le pays de l'éditeur. Le point sensible n'est pas la nationalité mais le lieu d'hébergement et les transferts hors UE. Une plateforme dont les serveurs et sous-traitants sont en Europe offre un cadre plus lisible.

Qu'est-ce que le Cloud Act et en quoi concerne-t-il les factures ?

Le Cloud Act est une loi américaine qui permet aux autorités des États-Unis de réclamer des données détenues par une entreprise soumise au droit américain, même stockées en Europe. Vos factures contenant clients, montants et marges, une plateforme dont la maison mère relève du droit américain peut théoriquement y être exposée.

Quels critères regarder pour une plateforme agréée souveraine ?

Quatre critères : le lieu d'hébergement (idéalement France ou UE), la nationalité et le droit applicable à la maison mère, les certifications (ISO 27001, voire le visa SecNumCloud pour le plus haut niveau), et la chaîne de sous-traitants, pour vérifier qu'aucun maillon ne réintroduit une dépendance hors UE.

Les plateformes agréées françaises sont-elles plus chères ?

Pas spécialement. Le marché français compte de nombreuses PA à tous les prix, de la formule gratuite pour les micro-entrepreneurs à l'offre sur devis pour les ETI. La souveraineté n'est pas un surcoût en soi. Le prix dépend surtout du volume et des fonctions, pas de la nationalité.

Comment savoir si une plateforme agréée est vraiment française ?

Vérifiez trois éléments : le siège social et la maison mère, le lieu d'hébergement des serveurs, et la politique de confidentialité qui détaille les transferts. Méfiez-vous d'une marque française adossée à un groupe étranger ou à un hébergeur soumis à une loi extraterritoriale. La nationalité affichée ne suffit pas, c'est la chaîne complète qui compte.

Optez pour une solution souveraine : un expert-comptable français dont la plateforme agréée est intégrée

Comparer les 20 meilleures offres

Sources

  • impots.gouv.fr : facturation électronique, immatriculation des plateformes agréées
  • Légifrance : ordonnance n° 2021-1190 du 15 septembre 2021 relative à la généralisation de la facturation électronique
  • ANSSI : référentiel SecNumCloud, qualification des offres cloud souveraines
  • CNIL : RGPD et encadrement des transferts de données hors Union européenne

Article mis à jour le . Le niveau de souveraineté dépend de la chaîne d'hébergement propre à chaque plateforme agréée. Vérifiez l'hébergement, le droit applicable et les certifications dans la documentation de l'éditeur avant de décider.