La loi anti-fraude TVA : d’où vient l’obligation « NF525 »
Le fondement juridique est l’article 286, I-3° bis du Code général des impôts, entré en vigueur au 1er janvier 2018. Il visait à mettre fin aux logiciels de caisse « permissifs », équipés de fonctions cachées permettant d’effacer des ventes pour minorer le chiffre d’affaires déclaré. Le principe est simple : si vous enregistrez les règlements de vos clients avec un logiciel ou un système de caisse, celui-ci doit garantir que les données saisies ne pourront pas être trafiquées.
« NF525 » est en réalité le nom d’un référentiel de certification édité par Infocert (groupe AFNOR). Par métonymie, tout le monde l’emploie pour désigner l’obligation elle-même, mais la loi, elle, ne cite jamais « NF525 » : elle exige une conformité prouvée, sans imposer un label précis.
Certification NF525/LNE ou attestation de l’éditeur : deux preuves valides
La loi reconnaît deux justificatifs, de valeur juridique équivalente :
- Le certificat délivré par un organisme accrédité — NF525 (Infocert) ou la certification du LNE (Laboratoire national de métrologie et d’essais). Un tiers indépendant a audité le logiciel.
- L’attestation individuelle de l’éditeur — un document signé par l’éditeur, qui engage sa responsabilité sur la conformité de son produit. Aucune certification externe n’est requise pour qu’elle soit valable.
Autrement dit, un petit éditeur sérieux qui délivre une attestation complète est aussi en règle qu’un grand acteur certifié NF525. Ce qui n’a aucune valeur, en revanche, c’est une simple mention marketing « conforme à la loi » sur un site : il vous faut un document nominatif, mentionnant le logiciel et sa version.
Les 4 conditions ISCA que le logiciel doit remplir
La conformité repose sur quatre exigences, résumées par l’acronyme ISCA :
- Inaltérabilité — une opération enregistrée ne peut plus être modifiée ni supprimée discrètement ; toute correction laisse une trace (une vente s’annule par une opération inverse, pas par un effacement).
- Sécurisation — les données d’encaissement sont horodatées, chaînées et signées, de façon à détecter toute rupture dans la séquence des enregistrements.
- Conservation — les données restent accessibles et lisibles pendant la durée légale, avec des clôtures obligatoires (journalière, mensuelle, annuelle).
- Archivage — les clôtures figées peuvent être exportées et archivées dans un format exploitable par l’administration en cas de contrôle.
Qui est concerné — et qui ne l’est pas
L’obligation vise tout assujetti à la TVA (y compris ceux qui bénéficient de la franchise en base) qui utilise un logiciel de caisse pour enregistrer des règlements de clients particuliers. Peu importe la taille : un commerçant, un artisan, un auto-entrepreneur, un salon, un food truck sont tous concernés dès qu’ils encaissent via un logiciel.
Deux nuances importantes :
- Ce n’est PAS l’obligation d’avoir une caisse. La loi n’impose à personne de posséder un logiciel de caisse. Un carnet de reçus et un facturier papier restent légaux. Elle encadre uniquement les caisses que l’on choisit d’utiliser.
- Le B2B pur n’est pas visé. Si vous vendez exclusivement à des professionnels avec facturation, vous êtes hors du champ de cette obligation précise (mais d’autres règles, comme la facture électronique, s’appliquent alors).
Point de vigilance fréquent : une application d’encaissement gratuite sur smartphone est un logiciel de caisse au sens de la loi. Le format ne change rien à l’obligation.
L’amende de 7 500 € et le délai de 60 jours
En cas de contrôle, l’administration demande le certificat ou l’attestation de chacun de vos logiciels de caisse. Sans justificatif valide, la sanction est de 7 500 € par logiciel non conforme. Vous disposez ensuite de 60 jours pour régulariser votre situation ; passé ce délai sans mise en conformité, l’amende peut être appliquée à nouveau. Le risque réel dépasse souvent l’amende : un logiciel non sécurisé jette le doute sur la sincérité de toutes vos recettes déclarées.
Comment vérifier votre logiciel en pratique
- Recensez tous vos outils d’encaissement (caisse principale, app mobile, module de caisse d’un logiciel métier) : chacun doit être couvert.
- Réclamez la preuve de conformité à chaque éditeur : certificat NF525/LNE ou attestation individuelle, mentionnant le nom ET la version exacte.
- Contrôlez la version installée : une version obsolète, non maintenue, peut ne plus être couverte par le document.
- Archivez le justificatif (papier et numérique) : c’est la première pièce demandée en contrôle inopiné.
Si votre logiciel est ancien (une version Windows achetée il y a dix ans, un freeware sans éditeur identifiable) et qu’aucun document ne peut être produit, considérez-le non conforme et planifiez une migration.
NF525 : les questions fréquentes
La certification NF525 est-elle vraiment obligatoire ?
Non, pas la certification en tant que telle. Ce que la loi impose, c’est d’utiliser un logiciel de caisse conforme aux conditions d’inaltérabilité, sécurisation, conservation et archivage. La preuve peut être un certificat NF525 (délivré par Infocert) ou LNE, mais aussi une simple attestation individuelle de l’éditeur. Une preuve de conformité est obligatoire ; le label NF525 n’est que l’une des deux voies acceptées.
Quelle différence entre certification NF525 et attestation de l’éditeur ?
La certification NF525/LNE est délivrée par un organisme accrédité indépendant qui audite le logiciel. L’attestation individuelle est produite par l’éditeur lui-même, sous sa responsabilité, en s’engageant sur la conformité de son produit. Juridiquement, les deux documents ont la même valeur pour justifier de votre conformité en contrôle. La certification apporte simplement une garantie externe supplémentaire.
Que veut dire ISCA (les 4 conditions) ?
ISCA résume les quatre exigences de la loi : Inaltérabilité (une vente enregistrée ne peut plus être modifiée ou supprimée en douce), Sécurisation (traçabilité des opérations et signature des données), Conservation (les données restent accessibles pendant la durée légale) et Archivage (clôtures périodiques figées et exportables). Un logiciel conforme respecte ces quatre conditions de manière démontrable.
Quel est le montant de l’amende NF525 ?
7 500 € par logiciel ou système de caisse non conforme. L’administration vous accorde 60 jours pour régulariser après le constat ; à défaut, l’amende peut être appliquée de nouveau. Au-delà de la sanction, un logiciel non sécurisé fragilise l’ensemble de votre comptabilité lors d’une vérification et peut ouvrir la voie à une reconstitution de recettes.
Comment vérifier que mon logiciel de caisse est conforme ?
Demandez à votre éditeur le certificat NF525/LNE ou l’attestation individuelle. Le document doit mentionner le nom exact du logiciel et sa version, et correspondre à la version que vous utilisez réellement. Conservez-le sous forme papier et numérique : c’est la pièce que l’administration réclame en premier lors d’un contrôle inopiné dédié.
Notre verdict
Le moyen le plus simple d’être en règle : une caisse déjà conforme
Vérifier des attestations, surveiller des versions, s’inquiéter d’un vieux logiciel : c’est du temps que vous n’avez pas. Une caisse cloud déjà conforme comme SumUp vous met en règle sans effort — la preuve de conformité est fournie et la mise à jour se fait automatiquement, sans « version 2026 » à racheter. Vous restez concentré sur votre activité, pas sur la paperasse fiscale.