La cohérence de données : la faille du format Factur-X

by

Résumé : la norme Factur-X a pour objectif de normaliser l’échange de factures électroniques en Europe. C’est un format de facture électronique conçu communément par la France et l’Allemagne. Son point fort : être lisible par un humain ET par un ordinateur. Mais ce format dispose aussi d’un défaut. Et c’est indispensable de le connaître pour mieux l’utiliser !

Rappel : La réforme de la facture électronique va bouleverser les habitudes des entreprises en matière de facturation et des formats de factures. Une fois cette révolution mise en route, à partir du 1er juillet 2024, il subsistera seulement trois formats à savoir :
– UBL (Universal business languague)
– CII (Cross industry invoice)
– Factur-X (format mixte)

Le format Factur-X

Il correspond à l’implémentation de la norme européenne EN16931 via le concept nommé “facture mixte” ou “hybride” grâce à deux caractéristiques :
– un document PDF,
– des données structurées au format XML.
Ci-dessous un schéma synthétique.

Contenu d’un fichier Factur-X

Comme nous l’évoquions au début de cet article, le format Factur-X a des avantages et permet notamment :
– la lisibilité par un humain,
– la capacité de traitement et d’automatisation par un ordinateur.
Pour les entreprises qui réalisaient des factures PDF, ce format serait donc le format idéal pour passer à la facture électronique.

Un aperçu

Pour démarrer, vous trouverez ci-dessous un aperçu d’une facture en format Factur-X. On peut voir le lisible PDF à droite, et les données structurées contenues dans un fichier attaché “factur-x.xml”.

Une facture sous format Factur-X

Comment fabriquer une fausse facture sous format Factur-X ?

Nous allons fabriquer deux factures sous format Factur-X. Un contrôle visuel sur le PDF permet de dire que ce sont exactement la même facture, sauf … qu’elles ne contiennent pas les mêmes données structurées ! Voyons ce que cela donne quand on valide ces deux factures à l’aide d’un outil de validation de Factur-X (outil disponible sur le site du FNFE : https://fnfe-mpe.org).

La vraie facture

Nous sommes partis d’une facture au format Factur-X provenant d’un exemple fourni par la norme Factur-X. C’est la facture qui se trouve dans l’image précédente. Elle est bien VALIDE, comme le montre le résultat de l’analyse.

La “fausse” facture

Nous allons maintenant combiner le même PDF avec … un autre XML contenant des données complètement différentes. Pour cela, nous utilisons un outil de Factur-X qui permet de générer une facture “Factur-X” en attachant un fichier XML à un fichier PDF.

Le XML contenant des fausses données

Hélas, la facture est toujours VALIDE !!

Il est important de noter que la facture n’est pas modifiable une fois générée. En effet, l’enveloppe PDF étant en norme PDF/A-3 et son contenu, et dont le XML attaché, n’est pas modifiable, sous peine de violer cette norme. Et l’outil de validation Factur-X vérifie bien que la facture est valide contre la norme PDF/A-3.

Il est donc possible de réaliser une facture sous format Factur-X dont le contenu du XML est différent de celui du PDF.

Dans ce cas, même si la Factur-X est signée électroniquement, tel qu’il est recommandé dans les spécifications de la Factur-X, cela ne garantit en aucun cas que le contenu XML est cohérent avec le lisible PDF.

Que disent les normes ?

Il nous semble que le format Factur-X n’ait pas été conçu avec une validation intrinsèque du contenu du PDF ni de sa cohérence avec les données XML mais les concepteurs recommandent des bonnes pratiques pour contrôler la cohérences des données.

Côté DGFiP, selon les spécifications externes de la facturation électronique, le paragraphe spécifique sur la Factur-X précise que “Toutes les données de la facture doivent être portées par le lisible PDF alors que le fichier de données structurés ne contient que les informations nécessaires à l’automatisation du traitement de la facture par le destinataire. Ainsi, le fichier de données structurées ne peut contenir que des informations présentes dans le lisible PDF mais il ne peut pas contenir l’ensemble de ces informations, notamment si elles ne sont pas exploitables automatiquement”.

Les risques

Malgré toutes les recommandations de bonnes pratiques données par les normes, il existe un risque de sécurité important si les entreprises ne les appliquent pas de manière rigoureuse dans la pratique :
– Potentiellement, des acteurs malveillants pourraient profiter de cette faille afin de manipuler les données contenues dans la facture électronique et ainsi escroquer le destinataire de la facture.
– Même si le risque est faible, il peut y avoir des erreurs humaines de manipulation et de génération des factures et cela pourrait avoir des conséquences, par exemple, de litiges ou de paiements erronés.

Exemple

Supposons qu’une entreprise lambda reçoive une facture. Cette dernière réaliserait son contrôle en s’appuyant uniquement sur le PDF.

Sur le PDF, le montant à payer est de 100 €. Alors que, dans le XML le montant à payer y figure pour 10 000 € (par erreur ou par intention) !

En l’occurrence dans le système, le risque serait que le paiement soit déclenché pour 10 000 € !

L’écart serait détecté mais à postériori.

Conséquence : une perte de temps (et d’argent) et une grosse frustration pour l’entreprise et potentiellement des litiges avec les tiers concernés.

Quelles sont les solutions ?

La norme Factur-X recommande les bonnes pratiques suivantes pour assurer la cohérence de données :

  • Si vous vous appuyez uniquement sur le PDF pour contrôler vos factures, n’utilisez que des données qui sont sur le PDF.
  • Si vous vous appuyez également sur les données structurées XML, c’est plus compliqué. La mise en place d’une ou plusieurs solutions parmi les suivantes pourraient être judicieuses :
    • une piste d’audit fiable,
    • un contrôle manuel du cohérence de données,
    • un contrôle de cohérence de données en utilisant un outil permettant d’extraire et valider des données du PDF.

D’autre part, l’utilisation d’une signature électronique qualifiée appliquée sur l’enveloppe PDF permet d’assurer l’intégrité et l’authenticité de la facture.

Au delà de ces bonnes pratiques, si les entreprises adoptent largement ce format, il serait judicieux qu’à long terme une entité ou autorité fiable contrôle et assure la qualité des données ainsi que la sécurité des factures, un peu à la “Autorité de certification”. La sécurité des factures pourrait être un frein pour l’automatisation. Cette situation serait très dommageable étant donné que l’automatisation est l’une des finalités de la mise en place de la facturation électronique.

Si vous avez besoin de conseils sur les technologies et comment les mettre en place, n’hésitez pas à nous contacter !

Nous contacter

Suivez-nous sur Linkedin pour recevoir des informations à jour et précises, conseils sur la facturation électronique 🤗