I. - Pour obtenir le numéro d'immatriculation mentionné à l'article 290 B du code général des impôts, l'opérateur de dématérialisation produit à l'appui de sa demande introduite auprès de l'administration fiscale :
1° Son numéro d'identification mentionné au premier alinéa de l'article R. 123-221 du code de commerce et, pour les opérateurs non établis en France, un document équivalent à l'extrait d'immatriculation au registre du commerce et des sociétés de moins de trois mois.
Lorsque les autorités compétentes du pays d'origine ou d'établissement du demandeur ne délivrent pas les documents justificatifs mentionnés à l'alinéa précédent, ils peuvent être remplacés par une déclaration sous serment ou, dans les pays où une telle procédure n'existe pas, une déclaration solennelle faite par l'intéressé devant une autorité judiciaire ou administrative, un notaire ou un organisme professionnel qualifié de son pays d'origine ou d'établissement ;
2° Lorsqu'il n'est pas établi en France, une attestation de moins de trois mois délivrée par l'administration du lieu d'établissement justifiant du respect de ses obligations fiscales déclaratives et de paiement ;
3° Un document présentant de manière précise les moyens mis en œuvre pour assurer la sécurité des données à caractère personnel en application de l'article 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
4° Lorsque l'opérateur de dématérialisation recourt à un prestataire d'hébergement, la référence ou la copie de la décision de qualification “SecNumCloud” délivrée par l'Agence nationale de la sécurité des systèmes d'information en cours de validité le concernant. Dans le cas où la procédure de qualification est en cours, ces éléments peuvent être apportés au plus tard lors de la remise du rapport d'audit mentionné au c du 6° du présent I ;
5° L'attestation de certification ISO/IEC/27001 en cours de validité relative à son système d'information, incluant l'ensemble des infrastructures, outils, services et éléments d'organisation informatique qui contribuent à réaliser son activité d'émission, de transmission et de réception des factures et de transmission des données de facturation, de transaction et de paiement, assortie de l'engagement de l'opérateur de dématérialisation d'exploiter son système d'information depuis le territoire d'un Etat membre de l'Union européenne.
Il s'engage également à s'assurer qu'aucun transfert en-dehors de l'Union européenne des données hébergées du service qu'il opère n'est possible et fournit à cet effet les éléments justificatifs permettant de le vérifier.
Ces exigences s'entendent pour l'opérateur lui-même ainsi que pour l'ensemble des tiers sur lesquels il peut choisir de s'appuyer dès lors qu'ils ont la possibilité technique d'obtenir les données opérées par le service ;
6° Une déclaration par laquelle il s'engage à :
a) Fournir et mettre à jour les informations relatives à ses utilisateurs permettant d'assurer le fonctionnement de l'annuaire central prévu au III de l'article 289 bis du code général des impôts ;
b) Utiliser l'annuaire central à la seule fin d'assurer l'adressage des factures électroniques aux plateformes de dématérialisation partenaires de leurs destinataires ;
c) Produire, au plus tard dans le délai d'un an à compter de la notification de la délivrance du numéro d'immatriculation, un rapport d'audit de conformité réalisé par un organisme spécialisé ou toute autre personne physique ou morale respectant une méthode d'audit assurant un examen impartial et exhaustif, présentant des garanties d'indépendance, d'intégrité et d'honorabilité et accomplissant sa mission en évitant tout conflit d'intérêts. Ce rapport porte sur les points de conformité dont la liste est établie par arrêté du ministre chargé du budget. Il comporte également en annexe les conclusions des audits réalisés pendant l'année en cours relatifs à la qualification “SecNumCloud” et à la certification ISO/IEC/27001 ;
7° Une documentation technique constituée des éléments suivants :
a) Un descriptif du dispositif d'authentification de ses utilisateurs qui précise les moyens mis en œuvre pour vérifier l'identité et la qualité de l'utilisateur et sécuriser les conditions d'accès à la plateforme et à ses services dans les conditions prévues à l'article 242 nonies F ;
b) Un descriptif technique du processus d'envoi et de réception des factures électroniques, de réception des données de facturation, de transaction et de paiement précisant les formats proposés par la plateforme et les mesures de sécurisation mises en œuvre pour assurer l'authenticité de l'origine, l'intégrité du contenu et la lisibilité des factures électroniques à compter de leur émission jusqu'à la fin de la période de conservation ;
c) Un descriptif des modalités d'extraction et de transmission des données de facturation, de transaction et de paiement et des garanties apportées pour transmettre ces données dans les délais requis par l'administration fiscale ;
d) Des comptes rendus de tests techniques établissant l'interopérabilité de la plateforme en émission, réception et transmission avec, d'une part, le portail public de facturation et, d'autre part, une autre plateforme de dématérialisation partenaire dans le cadre d'une convention d'interopérabilité bilatérale ou de son adhésion à un protocole d'échange d'information en réseau ;
e) Le protocole de communication sécurisé utilisé pour transmettre les factures et les données de facturation, de transaction et de paiement et répondant aux conditions précisées par arrêté du ministre chargé du budget.
La demande d'immatriculation est présentée par le représentant légal de l'opérateur de dématérialisation ou son mandataire et comporte, dans ce dernier cas, les documents permettant d'établir sa qualité.
La demande ainsi que l'ensemble des pièces justificatives mentionnées au présent I sont produits en langue française ou, à défaut, accompagnés d'une traduction certifiée en langue française.
II. - Seul un opérateur de dématérialisation qui respecte ses obligations fiscales déclaratives et de paiement peut obtenir un numéro d'immatriculation.
III. - L'administration fiscale délivre, dans un délai de deux mois à compter de la réception de la demande complète qui lui est présentée, un numéro d'immatriculation enregistré dans l'annuaire central à l'opérateur de dématérialisation qui satisfait aux conditions prévues aux I et II pour la durée prévue à l'article 290 B du code général des impôts sous réserve de la production du document mentionné au c du 6° du I dans le délai imparti, ou, à défaut, lui notifie un refus motivé.
IV. - En cas de défaut de production du rapport mentionné au c du 6° du I dans le délai imparti, l'administration fiscale informe, dans un délai de deux mois à compter de l'expiration du délai précité, l'opérateur de plateforme de dématérialisation de l'expiration de la validité du numéro d'immatriculation qui prend effet dans les deux mois à compter de cette notification.
Lorsque le rapport d'audit produit par l'opérateur de plateforme de dématérialisation constate une ou plusieurs non-conformités, celui-ci est tenu, lors de sa transmission à l'administration fiscale, de l'informer des mesures correctrices prises pour y remédier et de leur délai de mise en œuvre. Ce dernier ne peut excéder trois mois après la date de remise du rapport d'audit à cette administration. A défaut de cette information ou s'il apparait que les mesures correctrices envisagées par l'opérateur sont insuffisantes, les dispositions du premier alinéa s'appliquent.