La réforme de la facturation électronique marque un tournant majeur pour les entreprises françaises. Dès 2026 pour les grandes entreprises et les ETI, puis en 2027 pour les PME et microentreprises, l’émission et la réception de factures électroniques deviendront obligatoires. Dans ce contexte, le rôle des Plateformes de Dématérialisation Partenaires (PDP) est stratégique : elles assureront l’intermédiation technique et réglementaire entre les entreprises, l’administration fiscale et le Portail Public de Facturation (PPF).
Ainsi, s’outiller et s’immatriculer en amont sécurise votre trajectoire, vos intégrations et vos offres clients.
Mais quelles sont les conditions pour obtenir le statut de PDP ? Quels bénéfices en tirer et comment s’y préparer ? Netsystem décrypte pour vous les enjeux.
PDP : un maillon central dans la réforme de la facturation électronique
Les PDP sont des acteurs privés agréés par l’administration (DGFiP) pour accompagner les entreprises dans la gestion de leurs factures électroniques. Contrairement aux simples plateformes dites « OD » (opérateurs de dématérialisation), les PDP disposent d’un rôle élargi :
- Émettre, transmettre et recevoir les factures au format électronique.
- Assurer la transformation des factures dans l’un des formats structurés obligatoires (Factur-X, UBL, CII).
- Transmettre les données de facturation et de paiement à l’administration fiscale via le PPF.
- Garantir l’authenticité, l’intégrité et la lisibilité des factures sur toute leur durée de vie.
- Offrir des services complémentaires tels que l’archivage probant, l’intégration avec les ERP, le suivi des statuts ou encore la signature électronique.
En d’autres termes, la PDP devient un acteur de confiance pour sécuriser les échanges financiers et fiscaux des entreprises.
Les exigences pour devenir PDP
L’immatriculation en tant que PDP est encadrée par la DGFiP et le Service d’Immatriculation des Plateformes (SIM). Elle repose sur un processus rigoureux et un cahier des charges exigeant.
1. Dépôt du dossier de candidature
L’opérateur doit soumettre un dossier complet via le portail Démarches simplifiées. Celui-ci comprend un formulaire détaillé et de nombreuses pièces justificatives attestant de la conformité technique, organisationnelle et réglementaire.
2. Respect des normes techniques
La plateforme doit démontrer sa capacité à :
- Traiter les formats structurés reconnus (Factur-X, UBL, CII).
- Être interopérable avec le PPF et avec les autres PDP.
- Assurer la transmission fluide et sécurisée des données fiscales.
3. Garanties de sécurité
La dimension cybersécurité est au cœur du dispositif. Les PDP doivent intégrer des protocoles robustes garantissant la confidentialité, l’intégrité et la traçabilité des flux. Une certification ISO 27001 est fortement attendue pour attester de la maturité du système de management de la sécurité de l’information.
4. Conformité réglementaire
L’immatriculation repose sur le respect d’un corpus normatif issu de :
- La Loi de finances rectificative 2022.
- Le Décret n°2022-1299.
- L’Arrêté du 7 octobre 2022.
Ces textes fixent le cadre juridique et les obligations auxquelles chaque PDP doit se conformer.
5. Durée et suivi
L’immatriculation est valable 3 ans, renouvelable. Le SIM, basé à Lille, est responsable de l’instruction des candidatures, du contrôle des PDP et, le cas échéant, de la mise en œuvre de sanctions en cas de manquement.
Check-list DGFiP : pièces et exigences pour devenir PDP
La DGFiP publie une liste des pièces à déposer. Voici les attendus concrets (extraits & synthèse) :
Identité & conformité légale
SIREN + extrait Kbis (< 3 mois) ; identité du représentant légal/mandataire et justificatifs.
Sécurité & protection des données
Description précise des mesures RGPD Art. 32 (sécurité des données à caractère personnel).
Certification
Attestation ISO/IEC 27001 en cours de validité couvrant l’ensemble des SI, infrastructures, outils et services concernés.
Localisation & transferts
Engagement d’exploiter le SI depuis l’UE et absence de transferts hors UE. Modèle de lettre fourni par la DGFiP.
Hébergement
Si externalisé : qualification ANSSI “SecNumCloud” (ou justificatif de jalon de qualification, avec fourniture de la décision au plus tard lors du rapport d’audit).
Interopérabilité & échanges
Descriptif technique du processus émission/réception des factures, réception/transmission des données de facturation, de transaction et de paiement, protocoles sécurisés, dispositif d’authentification des utilisateurs.
Comptes-rendus de tests techniques d’interopérabilité avec le PPF et une autre PDP (protocole bilatéral ou réseau).
Annuaire central
Engagement à fournir et mettre à jour les informations utilisateurs pour l’annuaire central (art. 289 bis CGI).
Audit de conformité
Rapport d’audit à produire dans l’année suivant l’immatriculation, réalisé par un organisme/personne indépendante selon une méthode garantissant exhaustivité, intégrité, impartialité (modèle de déclaration DGFiP).
Bon à savoir
Toutes les pièces doivent être en français (ou traduction certifiée), au format PDF signé (signature électronique niveau avancé). La DGFiP fournit aussi une convention de nommage des pièces.
Le parcours d’immatriculation PDP en 6 étapes
- Cadrage & éligibilité : revue du périmètre, modèle (PDP « native », marque blanche/grise), choix d’hébergement (SecNumCloud si externalisé).
- SMSI & preuves : consolidation de votre ISO 27001, cartographie des actifs, risques, contrôles (Annexe A 2022), politiques & procédures sécurité / RGPD.
- Dossier DGFiP (démarches-simplifiées) : dépôts des pièces d’identité, attestations, descriptifs techniques, engagements, etc.
- Interopérabilité : préparation tests PPF + tests bilatéraux avec une autre PDP ; description des protocoles et de la sécurisation des flux.
- Instruction & échanges : suivi avec le Service d’immatriculation de Lille (SIM) via messagerie, mises à jour le cas échéant.
- Post-immatriculation : réalisation du rapport d’audit de conformité dans les 12 mois ; préparation du renouvellement (tous les 3 ans, selon le cadre en vigueur).
Les opportunités pour les entreprises
Devenir PDP n’est pas seulement une contrainte réglementaire : c’est aussi une opportunité de marché et de différenciation.
- Un rôle stratégique : les PDP se positionnent comme partenaires incontournables de la transformation numérique des entreprises.
- Une valeur ajoutée commerciale : au-delà de la facturation, elles peuvent proposer des services enrichis (reporting, intégration ERP, pilotage des flux financiers, tableaux de bord analytiques…).
- Un gage de confiance : obtenir l’agrément PDP constitue une preuve de sérieux et de conformité auprès des clients et partenaires.
- Un levier de compétitivité : les entreprises équipées d’une PDP réduisent leurs délais de traitement, minimisent les erreurs et optimisent leur trésorerie.
Comment NetSystem vous accompagne de bout en bout
NetSystem mobilise ses expertises PASSI (qualification ANSSI – audit de sécurité) et ISO 27001 pour sécuriser votre candidature PDP, accélérer vos preuves et fiabiliser vos intégrations.
1) Gouvernance & ISO 27001 (ISMS prêt pour PDP)
- Gap analysis ISO 27001:2022 vs exigences DGFiP (RGPD Art. 32, maîtrise des fournisseurs, journalisation, gestion des accès, chiffrement, continuité, etc.).
- Construction/ajustement du SMSI : politique sécurité, registre d’actifs, appréciation des risques, SOA, KPI, plan de traitement, audits internes et revue de direction.
- Preuves “prêtes à déposer” : politiques, processus, matrices d’habilitation, preuves d’exploitation, tableaux de correspondance « exigences DGFiP ↔ contrôles ISO 27001 ».
2) Sécurité & PASSI (exigences techniques PDP)
- Architecture de confiance (zonage, durcissement, IAM, MFA, chiffrement, sauvegardes, PRA/PCA).
- Tests d’intrusion ciblés, revues de code et audit d’architecture dans le respect des bonnes pratiques ANSSI.
- Conseil au choix/à l’évaluation de l’hébergement SecNumCloud et des prestataires critiques (contrats, SLA, réversibilité).
3) Interopérabilité & conformité fonctionnelle
- Préparation des spécifications d’interface et des protocoles sécurisés ; accompagnement aux tests PPF et tests bilatéraux PDP ; gestion des comptes-rendus.
- Alignement aux spécifications externes (formats, statuts, échanges) et organisation de la conformité e-reporting.
4) Dossier DGFiP & audit de conformité
- Pilotage du dossier (démarches-simplifiées), constitution et revue de conformité de chaque pièce (PDF signés, conventions de nommage).
- Pré-audit “DGFiP-ready” et préparation du rapport d’audit (indépendant) à remettre dans l’année suivant l’immatriculation, avec trajectoire de remédiation documentée.
5) Run & maintien de l’immatriculation
- Tableau de bord de conformité continue (contrôles clés, vulnérabilités, incidents, MCO).
- Audits internes périodiques ISO 27001, exercices de continuité (PRA/PCA) et revues sécurité pour préparer le renouvellement d’immatriculation.
Ce que la DGFiP attend vraiment d’une PDP (traduction opérationnelle)
- Sécurité démontrable : non seulement des intentions, mais des preuves d’exploitation (journaux, contrôles, tickets, rapports).
- Interopérabilité éprouvée : tests et compte-rendus avec PPF + une autre PDP ; respect des formats/flux et réversibilité.
- Maîtrise des tiers : SI hébergé dans l’UE ; si cloud, SecNumCloud ; sous-traitants contrôlés (contrats, audits).
- Organisation ISO 27001 : gouvernance, risques, contrôles, amélioration continue. C’est un prérequis officiel.
Feuille de route type (6–9 mois)
- M-0 à M-1 : cadrage, gap ISO 27001/RGPD, schéma cible, plan d’actions.
- M-2 à M-4 : déploiement contrôles (IAM, chiffrement, logs, PRA/PCA), production pièces, préparation interop.
- M-5 : pré-audit PDP (à blanc), corrections & evidence pack.
- M-6 : dépôt dossier DGFiP, planification tests PPF/PDP.
- M-7 à M-9 : interopérabilité, puis instruction ; post-immatriculation : audit de conformité < 12 mois.
(Le calendrier réel dépendra de votre maturité de départ, des choix d’hébergement et du périmètre fonctionnel.)
Les réponses à vos interrogations
La certification ISO 27001 est-elle obligatoire ?
Oui, une attestation ISO/IEC 27001 en cours de validité fait partie des pièces à fournir.
Peut-on héberger hors UE ?
Non. Il faut exploiter le SI depuis l’UE et s’engager à aucun transfert hors UE.
SecNumCloud est-il requis ?
Oui, si vous avez recours à un prestataire d’hébergement, sa qualification SecNumCloud (ou jalon validé) est attendue, la décision pouvant être fournie au plus tard lors du rapport d’audit.
Quand produire le rapport d’audit de conformité ?
Dans l’année suivant l’immatriculation, par un acteur indépendant selon une méthode d’audit robuste.
Où déposer le dossier ?
Sur la plateforme démarches-simplifiées ; la DGFiP publie un guide utilisateur détaillant les pièces et le suivi de l’instruction.
Existe-t-il une liste des PDP déjà immatriculées (ou sous réserve) ?
Oui, la DGFiP publie la liste des PDP immatriculées sous réserve, utile pour vos tests d’interopérabilité bilatéraux.
Passer à l’action
Vous visez l’immatriculation PDP ou vous portez une offre marque blanche/grise ? Netsystem vous accompagne de A à Z : cadrage, ISO 27001, preuves RGPD, sécurité PASSI, interopérabilité PPF/PDP, dossier DGFiP, pré-audit et maintien en conditions de conformité.
Parlons-en : obtenez une évaluation en 90 minutes de votre état de préparation PDP et une check-list personnalisée des pièces à produire.
Références utiles (officielles) :
- Liste des documents à fournir pour devenir PDP (DGFiP) — et Guide utilisateur (démarches-simplifiées).
- Décret n° 2022-1299 et Arrêté du 7 octobre 2022 : cadrent les obligations, les spécifications techniques, l’immatriculation PDP (et son renouvellement) ainsi que les exigences de sécurité et d’interopérabilité.
- Décret 2024-266 (mise à jour) + Arrêté du 7/10/2022 + Décret 2022-1299 (économie.gouv.fr).
- Calendrier (Direction de l’information légale et administrative – service-public.fr).
