Mise en œuvre de la procédure de traitements informatiques : retour d’expériences et conseils pratiques
L’application stricte du délai de 15 jours suivant la formulation de l’option pour la mise en œuvre de la procédure de traitements informatiques peut inciter les entreprises à opter pour la réalisation des traitements informatiques par l’administration fiscale dans l’entreprise.
Aux termes de l’article L 47 A II du livre des procédures fiscales (ci-après LPF), en présence d’une comptabilité tenue au moyen de systèmes informatisés et lorsqu’ils envisagent des traitements informatiques, les agents de l’administration fiscale indiquent par écrit au contribuable la nature des investigations envisagées. Le contribuable formalise par écrit son choix parmi l’une des options suivantes :
- vérification, par l’administration, sur le matériel de l’entreprise (alinéa « a ») ;
- réalisation, par l’entreprise, de tout ou partie des traitements informatiques et transmission des fichiers résultats au service vérificateur (alinéa « b ») ;
- transmission des copies des documents, données et traitements soumis au droit de contrôle, sous la forme de fichiers plats utiles à la réalisation des traitements informatiques (alinéa « c »).
Depuis le 1er janvier 2017, une contrainte supplémentaire s’impose à l’entreprise lorsqu’elle choisit de réaliser elle-même les traitements (alinéa « b ») ou pour la remise des copies de documents, données et traitements soumis au droit de contrôle (alinéa « c ») du même article. En effet, l’administration fiscale peut exiger que l’entreprise transmette les copies de documents, données, traitements, soumis au droit de contrôle, dans un délai de 15 jours suivant la formulation pour l’une de ces deux options.
- Retour d’expérience
Ce nouveau délai de 15 jours est d’autant plus difficile à respecter qu’il est nécessaire de procéder à des contrôles de cohérence, afin de s’assurer de la pertinence des traitements effectués avant leur remise au service vérificateur.
Si certains services de contrôle font preuve de souplesse dans la gestion de ce délai, d’autres l’appliquent à la lettre, notamment lorsque que la demande de traitements est dite « générique », c’est-à dire qu’elle correspond à un « modèle » prétendument transposable à plusieurs types d’entreprise, en fonction du thème fiscal.
La tentation est alors forte, surtout en cas d’hésitation sur la portée exacte des traitements demandés, ou lorsqu’elles portent sur des données qui n’existent pas de façon native dans le système d’information (SI) de l’entreprise, d’opter pour la vérification par l’administration, sur le matériel et dans les locaux de l’entreprise.
- Réalisation des traitements informatiques par l’administration fiscale dans les locaux et sur le matériel de l’entreprise : nos recommandations
L’entreprise doit garantir la préservation de l’intégrité des données, la sécurité du matériel et des logiciels, et mettre à la disposition du vérificateur « un environnement informatique intellectuel et matériel » comportant notamment les informations, données, traitements et la documentation permettant de réaliser, dans des conditions normales, les investigations nécessaires à la vérification.
Ces règles, issues de la doctrine administrative, ont peu évolué au cours des dernières années.
Elles ne prévoient pas de délais impartis à l’entreprise. Mais en pratique, un délai de 7 jours (en moyenne) est accordé décompté à partir de la formulation de l’option pour que l’entreprise mette en place l’organisation matérielle et intellectuelle correspondante.
- Environnement matériel
L’entreprise, doit mettre à disposition du vérificateur un local (dans l’entreprise ou chez son comptable / conseil) contenant le matériel informatique nécessaire.
Un matériel de type PC sera généralement mis à disposition du vérificateur doté d’un environnement qu’il maîtrise. Ainsi on favorisera le système d’exploitation Windows (plutôt que Linux par exemple) et un accès au moyen d’un émulateur aux applications dites « exotiques » (qui ne fonctionnent pas sur un PC). Ce dernier cas nécessite par conséquent un accès via un accès réseau aux ressources matérielles sur lesquelles sont hébergées les applications et données utiles à la réalisation des traitements.
Sur ces PC, l’entreprise évitera les périphériques tels que les lecteurs (Cédérom DVD Rom), ainsi que les ports de type USB par exemple ou les aura verrouillés.
Pour les applications qui fonctionnent uniquement à distance (mode SAAS par exemple), il est nécessaire de permettre au vérificateur un accès direct au moyen d’un compte utilisateur spécifique lui permettant uniquement de lire et d’extraire les données nécessaires à la réalisation des traitements.
- Environnement logiciel
L’entreprise doit aussi donner accès aux copies des programmes et données de production qui concourent directement ou indirectement à la réalisation des bénéfices comptables et ou fiscaux.
Les traitements à réaliser n’existent pas forcément de façon native dans les logiciels, progiciels ERP utilisés par l’entreprise sur la période vérifiée. Le vérificateur doit donc disposer d’outils / logiciels appropriés tels que par exemple un éditeur de texte amélioré permettant l’accès et la lecture de fichiers dont la taille est importante et d’un outil d’analyse / requêtage des données.
Doit être octroyé au vérificateur un accès à un répertoire du disque dur du PC dans lequel seront stockés les fichiers source issus des extractions des applications métiers, des fichiers intermédiaires et des fichiers résultats.
A l’issue de chaque intervention du vérificateur, il est conseillé de sauvegarder les travaux effectués.
Lorsque les traitements sont terminés, une édition des seuls résultats des traitements est effectuée sur une imprimante ou sur un fichier à plat (texte, CSV, Excel), à l’exclusion de tout autre fichier, notamment des fichiers de données, et fichiers intermédiaires à la constitution des fichiers résultats.
- Quid des données ?
L’entreprise doit avoir préalablement recensé quelles sont les applications et les données à mettre à disposition du vérificateur au regard de la nature des traitements contenus dans la demande.
Une question se pose alors : cette mise à disposition correspond-elle à une extraction des données par l’entreprise ou l’entreprise doit-elle simplement laisser le vérificateur effectuer lui-même les extractions ?
Aucune jurisprudence n’a à ce jour tranché cette question, mais la loi comme la doctrine laissent à penser que la deuxième solution doit être privilégiée, quitte, dans le cadre des bonnes relations entre l’administration et l’entreprise vérifiée, à laisser à la disposition du vérificateur un informaticien de la société.
- La documentation
En principe, le vérificateur aura, préalablement à la formulation de sa demande de traitements informatiques, audité le SI ou a minima adressé un questionnaire informatique à l’entreprise au début des opérations de contrôle, afin de connaître notamment ce qui est disponible en termes de documentation et exercer si besoin son droit de communication auprès des éditeurs de logiciels. En effet, il est courant que l’entreprise ne détienne que le guide utilisateur d’un logiciel et non le dictionnaire des données et le code source. Attention, l’entreprise doit aussi s’assurer qu’elle dispose des bonnes versions de documentation qui correspondent au SI sur la période contrôlée.
- Les traitements
Il n’est généralement pas possible d’extraire des applications du SI les différents traitements, programmes ou transactions qui sont indissociables de l’application, car ils ne peuvent fonctionner sans le « moteur » applicatif. Ces traitements pourront, selon qu’ils auront été développés par l’entreprise ou par une SSII (pour répondre à ses besoins de gestion) dans un progiciel ou une application développée en interne, être présentés dans la documentation technique, le code source des traitements pouvant, le cas échéant, être édité à la demande du vérificateur.
Certains traitements existant sous la forme de requêtes prédéfinies ou modifiables générant des états en sortie du type tableaux de bords, statistiques, états de contrôles, etc. peuvent être présentés au vérificateur en les faisant « rejouer » (dans un environnement test) à partir des données élémentaires afin de vérifier que les résultats restitués sur des fichiers résultats soient identiques à ceux déjà présentés dans le cadre des opérations de contrôles.
Conclusion
La réalisation des traitements / extractions des données par l’entreprise (option b ou c) dans les délais requis suppose que la demande de traitements ait été précédée d’un échange permettant au vérificateur de formuler une demande cohérente avec les caractéristiques du SI. En effet, si la demande de traitements s’avère inadaptée et donc potentiellement irréalisable, l’entreprise se trouvera tentée, dans un souci de sécurité, de les faire réaliser dans ses locaux et sur son matériel par le vérificateur.
Cette dernière option peut également s’avérer plus appropriée pour les PME et TPE qui ne disposent pas des ressources humaines et financières pour réaliser elles-mêmes les traitements ou extraire les données utiles à leur réalisation mais on doit s’assurer alors de remplir toutes les conditions requises pour mettre le vérificateur en mesure de « rejouer la partie » sur une période passée !
Article paru dans Option Finance le 05/10/2020
Auteurs
Frédéric Agez, avocat en droit fiscal
En savoir plus
LEXplicite.fr est une publication de CMS Francis Lefebvre Avocats, l’un des principaux cabinets d’avocats d’affaires internationaux. Notre enracinement local, notre positionnement unique et notre expertise reconnue nous permettent de fournir des solutions innovantes et à haute valeur ajoutée en droit fiscal, en droit des affaires et en droit du travail. |