ediverse Explorer la plateforme

À la une PEPPOL BIS Billing 3.0 L’obligation européenne d’e-invoicing arrive : France sept 2026, Belgique janv 2026, Allemagne 2025.

AUDIT-TRAIL

Journal immuable et horodaté de chaque opération sur une transaction EDI. Outil juridique, opérationnel, et de gouvernance.

Définition

L'audit trail (ou piste d'audit en français réglementaire) est un journal séquentiel qui consigne chaque événement de la vie d'un message EDI — depuis sa réception en frontal jusqu'à sa transmission en aval — avec horodatage, identité de l'acteur, paramètres et résultat. Le NIST SP 800-12 le définit comme « a chronological record of system activities sufficient to enable the reconstruction, review, and examination of the sequence of environments and activities ».

Pour un EDI, un audit trail correct couvre :

  1. Transport : reception/émission AS2/AS4/OFTP2/SFTP, MIC ou hash du fichier, MDN/EERP/receipt signé conservé.
  2. Validation syntaxique : parser appelé, version utilisée, segments valides/invalides, CONTRL ou 997 émis.
  3. Validation métier : règles Schematron ou business rules appliquées, code de retour, ORDRSP/855 émis.
  4. Mapping : source, cible, version du mapping, durée, exceptions levées.
  5. Diffusion : vers ERP/WMS/comptabilité, identifiant de traitement aval.
  6. Conservation : stockage de l'original, du traduit, et de tous les accusés.

L'immuabilité (write-once, hash-chained, ou stocké sur un support WORM/object lock S3) protège l'évidence en cas de litige ou de contrôle fiscal. La durée légale française pour les factures électroniques est 10 ans (Code de commerce L123-22 et CGI art. 286).

Origine

Le concept d'audit trail vient de la comptabilité papier : chaque écriture doit pouvoir être reliée à sa pièce justificative. La traduction informatique apparaît dans les années 1970 (audit COBOL/CICS, logs IBM SMF). L'EDI hérite de cette tradition : AS2 a été conçu en partie pour fournir un audit trail signé (MDN), HIPAA et SOX (États-Unis) le rendent obligatoire, le règlement européen eIDAS le formalise pour les signatures électroniques qualifiées, l'article 286 du CGI français l'impose pour les factures électroniques.

Exemple en contexte

Lors d'un contrôle TVA, l'administration fiscale française demande à un e-commerçant la preuve d'une facture B2B émise 4 ans plus tôt. L'audit trail doit fournir : l'INVOIC EDIFACT d'origine, le MDN signé du client, le CONTRL renvoyé, l'éventuel ORDRSP de modification, l'écriture comptable correspondante, l'horodatage de chaque étape, et la preuve que le système d'archivage est conforme à la NF Z42-013 ou à un dispositif équivalent.

Termes liés

  • Non-répudiation — propriété renforcée par un audit trail signé.
  • MDN — élément central de l'audit trail AS2.
  • Idempotency — propriété qui simplifie la réémission auditable.
  • XAdES — signature qui fournit la preuve archivable.

Dernière mise à jour: 14 mai 2026