Depuis le 1er janvier 2026, la facturation électronique est obligatoire pour les transactions entre entreprises en Belgique. Avec plus d’un million d’entreprises disposant déjà d’un identifiant Peppol, le taux d’adoption de Peppol figure parmi les plus élevés au monde. Nous constatons également une forte augmentation du volume de factures échangées via Peppol.
Le mandat de facturation électronique n’est pas seulement une obligation, il offre également de nombreux avantages aux entreprises, tels qu’un traitement plus fluide des factures, des paiements plus rapides et des factures qui arrivent directement dans un logiciel et peuvent ainsi être partagées numériquement avec le comptable. En outre, Peppol est souvent présenté comme un moyen plus sûr d’échanger des factures ; mais est-ce réellement le cas ? Qu’en est-il de la sécurité sur Peppol ?
Une autoroute sécurisée
Peppol fonctionne selon le modèle dit « à quatre coins » (four-corner model). Celui-ci distingue quatre acteurs : le logiciel de l’émetteur, le point d’accès Peppol de l’émetteur, le point d’accès du destinataire et le logiciel du destinataire.
Ces quatre coins constituent également les points de risque potentiels au sein du réseau Peppol. Les connexions entre ces coins sont toutefois fortement sécurisées et peuvent être comparées à un réseau téléphonique fermé. Elles sont particulièrement difficiles à intercepter ou à pirater. Peppol fonctionne ainsi comme un réseau parallèle au-dessus d’Internet, accessible uniquement aux points d’accès certifiés.
Les deuxième et troisième coins — les points d’accès Peppol — sont assurés par des prestataires certifiés. Ceux-ci doivent respecter des règles strictes définies par OpenPeppol, une ASBL basée à Bruxelles qui gère les spécifications et les normes de Peppol. La certification ISO 27001 est notamment obligatoire, ce qui atteste que l’organisation gère sa sécurité informatique de manière structurée et conformément aux normes internationales.
Le maillon potentiellement faible se situe principalement au niveau de l’accès au réseau Peppol, à savoir les coins 1 et 4 : l’émetteur et le destinataire. Selon l’accord Peppol (TIA), il est impératif que les points d’accès vérifient rigoureusement l’identité des entreprises avant d’attribuer un identifiant Peppol (le « numéro de téléphone » sur le réseau Peppol). Cette vérification peut s’effectuer par différentes méthodes, telles que itsme®, une confirmation par SMS ou par e-mail. Toutefois, toutes ces méthodes n’offrent pas le même niveau de sécurité, ce qui peut entraîner des risques potentiels.
Pour la réception des factures, un identifiant Peppol ne peut être enregistré qu’auprès d’un seul point d’accès. En Belgique, cet enregistrement se fait généralement sur la base du numéro d’entreprise (obligatoire, avec le préfixe Peppol 0208) et éventuellement aussi du numéro de TVA (facultatif mais fortement recommandé, avec le préfixe Peppol 9925). Dès qu’un identifiant Peppol est correctement enregistré, aucune autre partie ne peut le revendiquer et les factures arrivent en toute sécurité au bon point d’accès.
Le risque apparaît lorsqu’une entreprise n’enregistre pas son identifiant Peppol 9925 (numéro de TVA). Dans ce cas, il existe une possibilité que cet identifiant soit enregistré par erreur ou de manière frauduleuse par une autre partie. Les factures envoyées à ce numéro de TVA peuvent alors être perdues, voire interceptées.
En ce qui concerne l’envoi des factures, celui-ci peut en revanche se faire via plusieurs points d’accès. Même lorsqu’une entreprise est déjà enregistrée, des factures peuvent techniquement être envoyées depuis une autre application. Cela peut s’avérer utile dans certaines situations, mais comporte également des risques supplémentaires. C’est pourquoi un contrôle d’identité rigoureux, tant de la part des éditeurs de logiciels que des points d’accès Peppol, est crucial.
Une identité forte comme élément essentiel de la sécurité
La sécurité des échanges de factures via Peppol dépend d’un contrôle strict de l’accès au réseau par les points d’accès certifiés. En pratique, cela passe par une vérification approfondie de l’identité. Les règles Peppol ne précisent toutefois pas en détail comment ce contrôle doit être effectué, ce qui signifie que le niveau de sécurité peut varier d’un point d’accès à l’autre.
Dans certains pays, comme Singapour – où Peppol est connu localement sous le nom d’InvoiceNow – des exigences très strictes et standardisées s’appliquent à la vérification de l’identité des entreprises. En Belgique, l’autorité Peppol compétente, le SPF BOSA, laisse en grande partie ce choix aux fournisseurs de points d’accès.
Il est essentiel de vérifier non seulement l’identité de l’entreprise, mais aussi celle de l’administrateur ou du représentant légal. Une vérification via SMS ou itsme® ne confirme en effet que l’identité d’une personne physique, sans garantir que celle-ci est habilitée à représenter l’entreprise.
C’est pourquoi les points d’accès les plus sécurisés combinent une vérification de l’entreprise et de son représentant légal, afin de prévenir au maximum les abus et les erreurs.
Checklist pour l’expert-comptable
Vous souhaitez utiliser Peppol de manière sûre et correcte ? Vérifiez les points suivants auprès de votre fournisseur de logiciel ou de votre point d’accès Peppol :
- Vérifiez que votre point d’accès Peppol est certifié ISO 27001. Cette certification est obligatoire dans le cadre de Peppol et atteste que le prestataire gère la sécurité de l’information de manière structurée et conforme aux normes internationales.
- Enregistrez à la fois votre numéro d’entreprise (préfixe Peppol 0208) et votre numéro de TVA (préfixe Peppol 9925). Le numéro d’entreprise est obligatoire, mais le numéro de TVA est tout aussi important afin d’éviter que des factures ne soient mal adressées ou perdues.
- Renseignez-vous sur la manière dont votre fournisseur vérifie l’identité et le mandat du représentant légal. Un contrôle d’identité solide ne vérifie pas seulement qui est cette personne, mais également si elle est habilitée à agir au nom de l’entreprise.
Grâce à cette checklist, vous réduisez le risque d’erreurs, d’abus ou de factures manquées et vous tirez pleinement parti de la facturation électronique sécurisée via Peppol.
Christophe Vanhoutte
Lisez ce text dans l’ITAAzine de l’ITAA.
Autres articles sur Peppol et facturation électronique
0 commentaires