Sans certification ISO/IEC 27001 en cours de validité, aucun dossier d’immatriculation PDP n’est instruit par la DGFiP. La norme figure nommément dans la liste des pièces exigées par le Service d’Immatriculation de Lille, aux côtés de la qualification SecNumCloud et du rapport d’audit de conformité. La version applicable est désormais celle de 2022, avec ses 93 contrôles répartis en quatre thèmes. Dans le vocabulaire officiel depuis janvier 2026, la dénomination PDP est remplacée par Plateforme Agréée, mais l’exigence de sécurité reste identique. Les candidats sans SMSI structuré découvrent rapidement que l’obtention prend 8 à 18 mois selon la maturité initiale, et coûte entre 50 000 et 100 000 € la première année pour une PME. Une plateforme visant l’immatriculation sans certification préalable a très peu de chances d’aller au bout. Le calendrier réglementaire ne laisse plus de marge : la réception obligatoire est fixée au 1er septembre 2026, et la nouvelle dénomination des plateformes agréées implique une revue complète des engagements des éditeurs.
Pourquoi la DGFiP impose ISO 27001 aux Plateformes Agréées
L’administration ne demande pas ISO 27001 pour satisfaire une norme de confort. Une PA manipule l’ensemble des données de facturation B2B française, des montants hors taxes aux identifiants SIREN, avec une traçabilité exigible en cas de contrôle fiscal. Le cadre juridique figure dans le décret n°2022-1299 et l’arrêté du 7 octobre 2022, qui citent explicitement la norme.
Les données fiscales qui transitent par une PA justifient un SMSI certifié
Chaque facture électronique contient des données sensibles : chiffre d’affaires, TVA collectée, conditions commerciales, coordonnées bancaires potentielles. Ces flux sont ensuite agrégés au Concentrateur de données de la DGFiP pour alimenter la lutte contre la fraude à la TVA. Ainsi, une fuite sur une PA ne compromet pas seulement un client : elle affecte l’intégrité du dispositif fiscal national. Par ailleurs, la DGFiP impose un engagement d’exploitation depuis l’Union européenne sans transfert hors UE, couplé à la démonstration d’un Système de Management de la Sécurité de l’Information mature. ISO 27001 fournit précisément le cadre de gouvernance et de traçabilité attendu. Pour en savoir plus sur qu’est-ce qu’une Plateforme Agréée (PA), le rôle central qu’elle joue dans ce dispositif explique le niveau d’exigence retenu.
Une norme internationale reconnue, pas une invention française
ISO/IEC 27001 est co-éditée par l’ISO et l’IEC depuis 2005. Près d’un cinquième des certificats mondiaux actifs relèvent du secteur IT selon l’étude ISO 2021. Autrement dit, la DGFiP ne réinvente pas un référentiel national propriétaire : elle s’appuie sur un standard connu des auditeurs, des éditeurs logiciels et des organismes certificateurs accrédités COFRAC comme AFNOR, BSI ou LSTI. En particulier, ce choix évite de créer une barrière administrative supplémentaire pour les candidats étrangers déjà certifiés. De plus, l’ANSSI recommande explicitement ISO 27001 comme référentiel de démonstration de conformité pour NIS2, dont la transposition française arrive en 2026. Un éditeur certifié satisfait donc simultanément aux exigences PDP, aux attentes NIS2 et à l’article 32 du RGPD. Cette convergence réglementaire transforme la certification en levier de conformité multiple plutôt qu’en contrainte isolée.
Ce que la norme ISO 27001:2022 exige concrètement
Depuis le 31 octobre 2025, seule la version 2022 est applicable. Les plateformes certifiées sous l’ancien référentiel 2013 devaient migrer avant cette date. Toute attestation encore formulée sur la version 2013 est désormais caduque pour une immatriculation PA. Cette bascule change la structure même de l’Annexe A.
Les 93 contrôles de l’Annexe A répartis en 4 thèmes
La version 2022 consolide les 114 anciens contrôles en 93 mesures regroupées en quatre thèmes cohérents. Les mesures organisationnelles comptent 37 contrôles : gouvernance, politiques, gestion des actifs, relations fournisseurs, continuité, conformité. Les mesures liées aux personnes réduisent à 8 contrôles les aspects RH : sélection, sensibilisation, discipline. Les mesures physiques couvrent 14 contrôles autour des accès bâtiments, équipements et protection du matériel. Enfin, les mesures technologiques concentrent 34 contrôles sur le chiffrement, la gestion des accès logiques, la sécurité réseau, le développement sécurisé et la gestion des vulnérabilités. Tous les contrôles ne sont pas obligatoires : seuls ceux pertinents au regard de l’analyse de risque de la plateforme doivent être implémentés, les autres étant exclus avec justification dans la Déclaration d’Applicabilité.
Le SMSI, la Déclaration d’Applicabilité et le cycle PDCA
Un SMSI n’est pas un dossier documentaire : c’est un système vivant qui pilote la sécurité de l’information selon le cycle Plan-Do-Check-Act. La Déclaration d’Applicabilité, ou SoA, formalise quels contrôles de l’Annexe A sont retenus, comment ils sont mis en œuvre, et pourquoi certains sont écartés. C’est l’un des documents les plus scrutés par les auditeurs phase 1. En pratique, le SMSI exige une cartographie des actifs, une appréciation formelle des risques, un plan de traitement, des audits internes périodiques et une revue de direction annuelle. La documentation insuffisante reste la première cause d’échec en audit documentaire. Par conséquent, un candidat PA sans responsable SMSI dédié ni outils de gouvernance compromet très sérieusement ses chances.
Les 11 nouveaux contrôles qui comptent pour une PA
La version 2022 introduit 11 contrôles inédits qui touchent directement le métier d’une Plateforme Agréée. Le renseignement sur les menaces impose une veille active sur les vecteurs d’attaque affectant le secteur fintech et e-invoicing. La sécurité des services cloud encadre les relations avec les hébergeurs tiers, fortement impliqués dans la chaîne PA. La gestion de la configuration systématise le durcissement des systèmes critiques. Le masquage des données et la prévention des fuites concernent directement les données fiscales traitées. Le codage sécurisé et le filtrage web visent la surface d’attaque applicative. Ces nouveautés rapprochent ISO 27001 des exigences opérationnelles réelles d’un traitement massif de factures, là où la version 2013 laissait plus de flou sur le cloud et le DevSecOps.
ISO 27001 et SecNumCloud : complémentaires et non substituables
Une confusion fréquente chez les candidats PA concerne l’articulation entre ces deux référentiels. Les deux sont cités dans les pièces DGFiP, mais ils ne couvrent pas le même périmètre et ne s’activent pas dans les mêmes conditions. Le dossier d’immatriculation distingue très clairement leurs rôles respectifs.
Deux référentiels qui se chevauchent partiellement
ISO 27001 est une norme internationale applicable à toute organisation, indépendamment de son modèle technique. SecNumCloud est une qualification purement française délivrée par l’ANSSI, destinée aux fournisseurs de services cloud. En effet, SecNumCloud s’appuie sur ISO 27001 comme socle, puis ajoute des exigences spécifiques au cloud : souveraineté des données, localisation UE, absence de transfert extra-européen, durcissement des accès administrateurs, transparence contractuelle. Un prestataire qualifié SecNumCloud est donc de facto aligné sur ISO 27001, mais l’inverse n’est pas vrai. En particulier, un éditeur peut être certifié ISO 27001 sans être SecNumCloud s’il n’opère pas d’activité d’hébergement cloud tiers. Cette distinction conditionne la combinaison de pièces à déposer au SIM.
Quand SecNumCloud devient obligatoire pour une PA
La DGFiP active l’exigence SecNumCloud uniquement si la plateforme externalise son hébergement. Un éditeur qui héberge sa PA en interne, dans ses propres datacenters sous son propre périmètre ISO 27001, n’a pas à produire de qualification SecNumCloud. En revanche, dès qu’un hébergeur tiers intervient dans la chaîne technique, ce prestataire doit détenir la qualification ANSSI SecNumCloud ou fournir un jalon de qualification avec décision attendue au plus tard lors du rapport d’audit. Par ailleurs, les grands acteurs du secteur choisissent généralement des hébergeurs qualifiés comme 3DS Outscale, Orange Business Cloud Avenue ou OVHcloud SecNumCloud. Ce choix architectural pèse sur le budget global et sur le calendrier de constitution du dossier d’immatriculation.
La place de l’attestation ISO 27001 dans le dossier d’immatriculation
Le Service d’Immatriculation de Lille instruit chaque candidature sur pièces. L’attestation ISO/IEC 27001 figure dans la liste des pièces obligatoires publiée par la DGFiP, aux côtés du document de mesures RGPD article 32, du descriptif technique d’interopérabilité et des engagements d’exploitation UE.
L’attestation et son périmètre de certification
Un simple certificat ne suffit pas : la DGFiP examine le périmètre déclaré sur l’attestation. Ce périmètre doit couvrir l’intégralité des systèmes d’information, infrastructures, outils et services concernés par la prestation PA. Autrement dit, certifier uniquement le siège social ou une équipe support laisse hors périmètre les systèmes réellement exposés. Le SIM rejette les dossiers dont le scope de certification ne recouvre pas le service facturation électronique. Par conséquent, la phase de définition du périmètre SMSI détermine directement la recevabilité du dossier PA. Les éditeurs avisés alignent ce périmètre dès le gap analysis initial, plutôt que de le rectifier en catastrophe à six mois de l’audit initial. C’est notamment l’un des pièges documentés dans la procédure d’immatriculation d’une PA.
Le rapport d’audit de conformité à fournir sous un an
Au dépôt, la DGFiP peut accorder une immatriculation sous réserve sur présentation du certificat ISO 27001 et des autres pièces essentielles. Toutefois, le rapport d’audit de conformité spécifique à l’activité PA doit être transmis dans un délai d’un an. Ce document complémentaire vérifie que l’implémentation technique respecte les spécifications externes DGFiP sur les formats UBL, CII et Factur-X, les protocoles d’échange et les obligations de reporting. L’organisme INFOCERT propose un label PDP Ready structuré en étapes pour accompagner cette phase. Les modalités d’immatriculation sous réserve vs définitive conditionnent la communication commerciale possible, notamment l’affichage sur impots.gouv.fr. Sans transmission du rapport dans les délais, l’immatriculation ne passe pas au statut définitif.
Calendrier, coût et étapes clés en pratique
Entamer un projet ISO 27001 en visant une immatriculation PA demande une lecture réaliste du temps et du budget nécessaires. Les promesses à six mois sont rares et concernent des organisations déjà matures. Les retards s’expliquent quasi systématiquement par une documentation initiale insuffisante.
8 à 18 mois selon la maturité de l’organisation
Une PME structurée avec un RSSI en place, des politiques écrites et un outillage SIEM déjà déployé peut viser 8 à 10 mois. Une organisation partant de zéro, sans politique de sécurité formalisée ni cartographie des actifs, s’oriente plutôt vers 12 à 18 mois. Le phasage type se décompose ainsi : gap analysis sur 2 mois, construction du SMSI et politiques sur 4 à 6 mois, déploiement des contrôles techniques sur 3 à 5 mois, audit interne à blanc sur 1 à 2 mois, puis audit phase 1 et phase 2 sur 2 à 3 mois. La prise de rendez-vous avec l’organisme certificateur peut elle-même repousser le planning de plusieurs mois si elle est mal anticipée. Par ailleurs, les éditeurs déjà certifiés SOC 2 ou HDS bénéficient d’un chevauchement de contrôles qui réduit sensiblement la charge.
Budget réel d’une certification de PA
Les estimations publiques divergent fortement, ce qui complique le chiffrage. Selon les données 2026 disponibles, une PME de 50 à 200 salariés investit entre 50 000 et 100 000 € la première année, tous coûts confondus. L’audit de certification initial représente 10 000 à 50 000 € selon le nombre de jours d’audit. Les audits de surveillance annuels reviennent à environ un tiers du coût initial, soit 8 000 à 15 000 €. La construction du SMSI et la documentation absorbent 7 500 à 20 000 €. Les coûts internes cachés représentent typiquement 50 à 70 % du total : un RSSI à 80 000 €/an alloué à 50 % sur 12 mois pèse environ 40 000 € en coût d’opportunité. Un logiciel SMSI dès le premier jour évite de reconstruire la documentation après coup et fait partie des leviers d’économie les plus documentés.
Questions fréquentes
Faut-il être certifié ISO 27001 avant de déposer le dossier d’immatriculation PA ?
Oui. L’attestation ISO/IEC 27001 en cours de validité fait partie des pièces obligatoires à fournir au Service d’Immatriculation de Lille. Sans certification délivrée par un organisme accrédité COFRAC, le dossier n’est pas recevable. Certains candidats ont cru pouvoir s’engager sur une certification à venir : cette voie ne fonctionne pas pour ISO 27001, contrairement à SecNumCloud qui tolère un jalon de qualification. Il faut donc intégrer le délai de 8 à 18 mois de certification dans le rétroplanning d’immatriculation.
SecNumCloud remplace-t-il ISO 27001 pour une Plateforme Agréée ?
Non. Les deux référentiels coexistent dans le dossier DGFiP. ISO 27001 est systématiquement exigée pour la plateforme elle-même. SecNumCloud s’ajoute uniquement lorsque l’hébergement est externalisé chez un prestataire tiers. Une PA qui héberge en interne ses systèmes produit donc une attestation ISO 27001 couvrant tout le périmètre et n’a pas besoin de SecNumCloud. À l’inverse, une PA s’appuyant sur un hébergeur externe doit combiner sa propre ISO 27001 et la qualification SecNumCloud du prestataire.
Que se passe-t-il si la certification expire pendant la période d’immatriculation ?
L’immatriculation est accordée pour 3 ans renouvelables. Pendant cette période, la plateforme doit maintenir une certification ISO 27001 active en permanence. En cas d’expiration sans renouvellement, le SIM peut procéder à un contrôle et, en cas de manquement répété, retirer l’immatriculation. La logique des audits de surveillance annuels ISO 27001 correspond justement à cette exigence de continuité. Concrètement, les éditeurs alignent leur cycle triennal de recertification ISO avec leur cycle d’immatriculation DGFiP pour éviter les ruptures de conformité.
Combien coûte ISO 27001 pour un éditeur candidat PA ?
Le ticket d’entrée réaliste se situe entre 50 000 et 100 000 € sur la première année, tous coûts confondus. Cette enveloppe inclut l’audit initial, la construction du SMSI, l’éventuel accompagnement par un cabinet, les outils et les ressources internes mobilisées. Les années suivantes, le coût récurrent se stabilise entre 15 000 et 25 000 € pour les audits de surveillance et le maintien du système. Ces montants sont à mettre en regard du marché PA, qui compte 101 opérateurs immatriculés à mi-2025 selon la liste publiée par impots.gouv.fr.
Quel organisme certificateur choisir pour une candidature PA ?
Le choix doit se porter sur un organisme accrédité COFRAC pour l’ISO 27001. AFNOR Certification, BSI, LSTI, Bureau Veritas et LNE figurent parmi les acteurs les plus représentés sur le marché français. Les prix varient de 30 à 40 % entre organismes pour un périmètre identique, donc demander au moins trois devis est recommandé. La DGFiP ne privilégie aucun organisme en particulier : ce qui compte, c’est l’accréditation et la portée de certification, pas le logo. En revanche, un certificateur déjà familier du secteur de la facturation électronique accélère les échanges techniques lors de l’audit.