V7 et loi anti-fraude

Bonjour,

J’utilise Dolibar dernière version disponible 6.0.5.

J’ai lu dans plusieurs articles que la V7 serait confirme à la loi anti fraude (« Il vous faut alors vous assurer que le module « Log inaltérable » (« BlockedLog ») fourni avec la v7 est bien activé »)
-https://wiki.dolibarr.org/index.php/Loi_article_88_finances_2016_France_et_NF525

Savez-vous quand elle sera disponible ?

Merci

Elle l’est !
Attention, il vous faudra une attestation de conformité (délivrée par un éditeur ou un intégrateur par exemple) pour être en accord avec la loi anti-fraude.

Bonjour manu,

aurais tu des pistes pour trouver une intégrateur ou éditeur qui serait prêt à délivré une attestation pour Dolibarr installé sur un serveur local ?

:wink:

Bonjour Patrice,
Je pense que n’importe quel intégrateur connaissant Dolibarr peut le faire. Personnellement ça ne me dérangera pas de le faire sur une installation locale avec quelques conditions. Il lui faut un accès à votre installation pour vérifier que les différents points sont respectés (basiquement aucune modif sur les fichiers de la version installée et que le module « log inaltérable » est activée).
Attention, l’attestation n’est valable que pour la version contrôlée. Donc pour faire simple la moindre modif peut invalider l’attestation de votre intégrateur… Tout dépend des précautions qu’il prend (pour sa responsabilité) et des modifs réalisées… C’est à voir avec lui.

Hello la communauté,

Comment trouver un intégrateur / éditeur près de chez soi pour l’homologation svp ? (je suis sur Toulouse)

Merci de votre aide !

A++

Le Veilleur

Bonjour,
Pour l’attestation (on parle d’attestation, pas d’homologation dans ce cas là), j’ai lu qu’une liste de prestataires possibles (non exhaustive), sera ouverte courant 1er trimestre 2018. A ma connaissance elle ne l’est pas encore mais vous pouvez déjà consulter la liste des Officiel prefered partners France : https://wiki.dolibarr.org/index.php/List_of_Dolibarr_partners_and_providers#Official_Preferred_partners_11 ou bien celle des Dolibarr suppliers France : https://wiki.dolibarr.org/index.php/Dolibarr_suppliers_France

Ok merci, je vais voir ce qu’ils peuvent faire donc !

Bonjour,
Il ne devrait pas y avoir de liste de prestataire « attestant » sur le site Dolibarr.
En effet, Dolibarr (l’association) ne peut se porter « garante » de quoique ce soit à ce niveau.

De notre coté, nous allons attester Dolibarr pour nos clients en mode SaaS. Y compris sur une version 6 spécifique en attendant une v7 stable.
@+

Bonjour,
Pour la liste des prestataires attestant, c’est une information que j’ai lu dans le wiki à la page spécifique concernant cette loi anti-fraude (super complète au passage !). J’imagine que ça sera sous forme de liste ouverte un peu comme la liste des Dolibarr suppliers ? a moins qu’il y a eu changement d’avis à ce niveau ?

De notre côté, on a aussi prévu d’attester pour nos clients SaaS mais pas avant la V7 (que l’on ne va pas encore déployer maintenant) dans le cadre de leur contrat. Mais on reste ouvert à des attestations délivrées sur demande mais ça se fera au cas par cas et dans notre secteur d’intervention uniquement.
Juste par curiosité, vous avez modifié la V6 ou vous partez simplement du principe qu’en mode SaaS il y a une inaltérabilité des données ?

@ manu
Je vais attendre que cette liste soit disponible.
Je suis en V6.04 pour l’instant , sous Debian 9.
J’ai Dolibarr en local car l’internet n’est pas au top et la dispo de la gestion doit être 100%.
Les quelques développeur consultés ne veulent pas se mouiller pour la certification …
Je suis ouvert à tous conseils :happy:
@philazerty
Il me semblait avoir lu qu’il y aurait une version certifiée par an !
Si après il faut un financement participatif, pourquoi pas, je pense ne pas être le seul dans ce cas :wink:

Si elle l’est… c’est ce qui est écrit dans le wiki. Après voir aussi la réponse de philazerty.

C’est toujours dommage je trouve. Pour la fiabilité des connexions, on met parfois des choses spécifiques en place chez nos clients. Comme par exemple une connexion de secours en 4G qui prend automatiquement le relais en cas de coupure de liaison ADSL. Mais je conçois qu’il y a des cas compliqué (surtout ici, nous sommes en secteur rural et montagne !).

Ce sont des dév qui connaissent Dolibarr ? Franchement la responsabilité n’est quand même pas énorme je pense… Mais pour attester, c’est quand même mieux de connaître c’est sûr :wink:
Je n’ai pas encore eu le plaisir de me pencher sur cette V7 (outre les infos présentes ici https://wiki.dolibarr.org/index.php/Loi_article_88_finances_2016_et_Certification_NF525_-_Travaux_Dolibarr pour le sujet qui nous concerne). Mais le développeur génère une signature de la version et du paramétrage qu’il atteste… Si il y a des changements fait par l’utilisateur, la signature change et l’attestation aussi (ainsi que la responsabilité du dév).
Après, je ne suis pas frileux de nature :lol:

J’ai lu ça aussi. Mais j’ai l’impression que c’est pas trop l’orientation principale. Il est écrit partout qu’il est conseillé de faire attester sa version.

Petite synthèse :
- La v7 qui vient de sortir (mais trop fraiche à mon gout pour de la prod) sera probablement certifiée mais dans quelques mois. Un bon débugage avant et surtout la procédure est longue. La certification est faite par un organisme spécifique.
- Un intégrateur peut attester ce qu’il veut, c’est lui qui décide et prend la responsabilité
- La responsabilité de l’attestation est énorme contrairement à ce que Patrice86 écrit. Pour celui qui atteste il y a solidarité avec le contrevenant si un cas de fraude est avéré.
- Notre v6 est modifiée pour bloquer les actions « interdites »
@+

Je ne comprends pas ce point. Celui qui atteste le fait sur une version donnée et une configuration donnée. Il s’en protège par une signature numérique de la version et de la configuration. Celui qui fraude devra nécessairement modifier la signature numérique ce qui enlèvera toute responsabilité de celui qui atteste, non ?

Vous mélangez avec une certification ! Là la version à été contrôlée par un organisme certificateur. Plus besoin d’attestation dans ce cas.

Dans le cas d’une attestation, le prestataire est solidaire. Si vous avez une amende, le prestataire aussi car c’est lui qui a pris la responsabilité CV d’attester une version qui permet la fraude.

1 J'aime

Non non, je ne mélange pas. Mais je pense avoir mal interprété votre message précédent concernant la responsabilité énorme pour celui qui atteste. Je comprends que le prestataire soit solidaire et donc que si il certifie un logiciel qui n’est pas ok, je comprends qu’il puisse prendre l’amende.
Par contre la responsabilité s’arrête là. C’est à dire que le prestataire ne prendra pas forcément une amende en cas de fraude. Le presta va attester une version en particulier mais ne sera pas responsable si le client (ou plutôt l’utilisateur) modifie lui-même la configuration ou les sources lui permettant de réaliser une fraude. Dans ce cas il y a fraude mais sur une version non attestée, donc sans responsabilité de la part du presta. Enfin je pense… C’est en tout cas ce que je voulais dire dans ma réponse précédente.

1 J'aime

Cette une bonne discutions,

Merci à manu et philazerty , on s’approche d’une réponse pour SandrinePro.

Il en ressort que la certification sera probablement délivrée que par des hébergeurs… ou un développeur courageux :wink:

J’essaierai de trouver une liaison ADSL 100% :happy:

Bonjour,

Désolée mais on ne s’approcha pas d’une réponse claire.
Je voudrais savoir si je peux continuer à utiliser Dolibar (pas en mode SAAS) et être conforme à la loi

Je ne suis pas en mode SAAS, dolibar est hébergé sur mes serveurs et en version 6.0.5

-ou est disponible la V7 ? nous ne trouvons pas le lien
-la 6.0.5 est-elle conforme à la loi anti-fraude ? faut-il activer un module, une fonction pour cela ?
Comme nous ne sommes pas en mode SAAS pour prouver que nous sommes conforme à la loi, il nous faut une attestation, est-ce bien cela ?
Une attesation que nous ne pouvons pas nous fournir nous à nous même

-tout cela est-il aussi exacte avec la V7 (pas en mode SAAS) ? ou des fonction sont intégrées qui font que même si nous hébergeons la solution l’inaltérabilité des données est garantie ?

-Faut-il passer en mode SAAS pour être conforme à la loi et avoir une attestation ?

Merci pour vos réponses

Je vais essayer d’être plus clair :wink:

Oui, avec la version 7 et un développeur / intégrateur qui accepte de vous délivrer une attestation de conformité pour votre installation.

D’après la conversation, ça sera donc plus difficile de trouver quelqu’un qui accepte de vous certifier votre installation. Mais pas impossible.

Il suffit pourtant de suivre le lien de téléchargement depuis le site officiel Dolibarr.

Attendez peut-être confirmation d’autres personnes mais pour moi, de base sans modification, elle ne l’est pas. La conformité se fait à partir de la version 7.0.0

Non. Le mode SaaS n’intervient pas dans le conformité. la conformité se fait sur le logiciel. Le mode SaaS est sans doute une facilité pour obtenir l’attestation (interprétation purement personnelle). Ca facilite les choses dans le sens où vous n’avez pas accès aux sources de Dolibarr et donc votre prestataire maîtrisera plus la situation et vous fournira plus facilement une attestation. En mode SaaS, il y a Dolibarr… mais aussi du service avec. Et il y a fort à parier que les éditeurs de solutions SaaS intègreront l’attestation dans leurs services (au moins sous forme d’option car ça ne concernera pas tout le monde et quelqu’un qui n’a pas besoin de l’attestation ne souhaitera pas forcément payer le prix de ce service en plus).

Selon votre cas, ça peut se faire. Ca ne sera pas un usage fréquente cependant… Je cite le wiki, très explicite sur ce point de « l’auto-attestation » :

La V7 intègre un module qui une fois activée permet de rendre Dolibarr conforme aux exigences sous réserve qu’aucune modification n’a été réalisée sur les fichiers sources (tout au moins certains fichiers sources). Le simple fait d’activer ce module ne donne pas accès à une attestation. On en revient à ce qui est dit plus haut : il faut qu’un éditeur atteste votre installation.

C’est sans doute la façon la plus simple mais ce n’est pas obligatoire à partir du moment où vous trouver quelqu’un qui accepte de contrôler votre installation et vous fournir l’attestation si celle-ci est conforme aux exigences.

Je précise que je ne suis pas un expert dans cette loi et que mes réponses s’appuient principalement sur la source suivante : https://wiki.dolibarr.org/index.php/Loi_article_88_finances_2016_France_et_NF525 pour laquelle j’ai peut-être fait des erreurs de lecture ou d’interprétation. Une façon de vous dire que ma réponse n’est pas officielle. C’est juste ma vision des choses.

SandrinePro écrit:

Apparemment on peut activer la fonction, mais surtout ne pas le faire si on veut migrer vers la V7.
Donc comme dit manu il vaut mieux attendre :happy: