Publié le 18 octobre 2021 par : Mme Bono-Vandorme, M. Jolivet.
I. – 1. Les petites et moyennes entreprises ainsi que les entreprises de taille intermédiaire imposées d’après leur bénéfice réel ou exonérées en application des articles 44 sexies, 44 sexies A, 44 septies, 44 octies, 44 octies A, 44 duodecies et 44 terdecies à 44 septdecies du code général des impôts, peuvent bénéficier d’un crédit d’impôt au titre des dépenses engagées entre le 1er janvier 2022 et le 31 décembre 2022 aux fins de renforcer leur dispositif de cybersécurité.
Les petites et moyennes entreprises mentionnées au premier alinéa du 1 du présent I répondent à la définition de l’annexe I du règlement (UE) n° 651/2014 de la Commission du 17 juin 2014 déclarant certaines catégories d’aide compatibles avec le marché intérieur en application des articles 107 et 108 du traité. Les entreprises de taille intermédiaire mentionnées audit alinéa sont celles définies à l’article 3 du décret n° 2008‑1354 du 18 décembre 2008 relatif aux critères permettant de déterminer la catégorie d’appartenance d’une entreprise pour les besoins de l’analyse statistique et économique.
2. Le crédit d’impôt mentionné au 1 du présent I s’applique aux dépenses engagées au titre :
a) des prestations de missions d’évaluation, d’audit de sécurité informatique externe ;
b) des prestations de services de société de conseil spécialisée en sécurité informatique ;
c) acquisition de :
– solutions de type « système de gestion de l’apprentissage » procurant des contenus en matière de cybersécurité ;
– solutions de simulations d’attaque informatique et de hameçonnage ;
d) des prestations de services de simulations de crise ou de plan de reprise informatique par l’intermédiaire d’un prestataire spécialisé ;
e) des prestations de mise en place de centres des opérations de sécurité et des prestations d’exploitation de SOC internalisés ou externalisés ;
f) acquisition de solutions certifiées par l’Agence nationale de la sécurité des systèmes d’information ou « cybermalveillance.gouv.fr », anti-virus, anti-malware, détection et réponse des points d’accès, gestion de terminaux mobiles ;
g) acquisitions de solutions certifiées par l’Agence nationale de la sécurité des systèmes d’information ou « cybermalveillance.gouv.fr », pare-feu, pare-feu d’application Web, passerelle de messagerie, contrôleur d’accès au réseau, de sauvegarde, d’évaluation des vulnérabilités, de gestion des patchs, de classification et de protection des données, de supervision et de gestion d’information et d’événements de sécurité.
3. Le crédit est égal à 20 % du prix de revient hors taxes de ces dépenses. Les mêmes dépenses ne peuvent entrer à la fois dans la base de calcul du crédit d’impôt défini au présent I et dans celle d’un autre crédit d’impôt.
Lorsque les dépenses sont engagées par les sociétés mentionnées aux articles 8, 238 bis L, 239 ter et 239 quater A du code général des impôts ou par les groupements mentionnés aux articles 238 ter, 239 quater, 239 quater B, 239 quater C et 239 quinquies du même code, le crédit d’impôt peut être utilisé par leurs associés proportionnellement à leurs droits dans ces sociétés ou groupements, à condition qu’il s’agisse de redevables de l’impôt sur les sociétés ou de personnes physiques participant à l’exploitation au sens du 1° bis du I de l’article 156 dudit code.
4. Le montant total de crédit d’impôt octroyé au titre d’un ou plusieurs exercices, dont peut bénéficier une entreprise, toutes dépenses éligibles confondues, ne peut excéder, au titre des dépenses engagées du 1er janvier 2022 au 31 décembre 2022, un plafond de 200 000 €.
Ce plafond s’apprécie en prenant en compte la fraction du crédit d’impôt correspondant aux parts des associés de sociétés de personnes et aux droits des membres de groupements mentionnés au 3 du I du présent article.
II. – Le crédit d’impôt défini au I est imputé sur l’impôt sur le revenu dû par le contribuable au titre de l’année civile au cours de laquelle l’entreprise a engagé les dépenses, après imputation des prélèvements non libératoires et des autres crédits d’impôt. Si le montant du crédit d’impôt excède l’impôt dû au titre de cette année, l’excédent est restitué.
La créance sur l’État correspondant au crédit d’impôt non utilisé est inaliénable et incessible, sauf dans les cas et selon les conditions prévues aux articles L. 313‑23 à L. 313‑35 du code monétaire et financier.
III. – Le crédit d’impôt défini au I du présent article est imputé sur l’impôt sur les sociétés dû par l’entreprise, dans les conditions prévues au II. En cas de clôture d’exercice en cours d’année civile, le montant du crédit d’impôt est calculé en prenant en compte les dépenses éligibles au titre de la dernière année civile écoulée.
La société mère mentionnée à l’article 223 A du code général des impôts est substituée aux sociétés du groupe pour l’imputation sur le montant de l’impôt sur les sociétés dont elle est redevable, au titre de chaque exercice, des crédits d’impôt dégagés par chaque société du groupe en application du I du présent article. Les dispositions du II s’appliquent à la somme de ces crédits d’impôt.
IV. – Les entreprises déposent une déclaration conforme à un modèle établi par l’administration dans les mêmes délais que la déclaration annuelle de résultat souscrite en application des articles 53 A et 223 du code général des impôts.
La société mère d’un groupe, au sens de l’article 223 A du même code, déclare les crédits d’impôt pour le compte des sociétés du groupe, y compris ceux qui la concernent, lors du dépôt de la déclaration relative au résultat d’ensemble du groupe.
V. – Le bénéfice du crédit d’impôt défini au I du présent article est subordonné au respect du règlement (UE) n° 1407/2013 de la Commission du 18 décembre 2013 relatif à l’application des articles 107 et 108 du traité sur le fonctionnement de l’Union européenne aux aides de minimis.
VI. – La perte de recettes pour l’État est compensée à due concurrence par la création d’une taxe additionnelle aux droits mentionnés aux articles 575 et 575 A du code général des impôts.
VII. – Le I n’est applicable qu’aux sommes venant en déduction de l’impôt dû.
Alors que jusqu’ici les entreprises de taille intermédiaire (ETI) étaient assez peu exposées au risque cyber, celui-ci s’est considérablement accru ces derniers mois. Selon une enquête du Mouvement des entreprises de taille intermédiaire (METI), 1 ETI sur 2 a fait l’objet d’une cyberattaque entre avril 2020 et avril 2021. Les plus graves d’entre elles ont un coût considérable pour l’entreprise : coût financier bien sûr, mais aussi coût de réputation et traumatisme durable de l’équipe dirigeante comme des salariés.
La multiplication des cyberattaques visant les ETI s’explique en partie par l’accélération de la transformation digitale induite par la crise de la COVID-19. En outre, les ETI sont des entreprises multi-sites, pour les trois quarts d’entre elles présentes à l’international, ce qui augmente d’autant plus leur exposition à la menace cyber. Elles ont aussi des capacités financières susceptibles d’attiser la convoitise des cybercriminels.
Or, la majorité des entreprises de taille intermédiaire ne sont pas encore suffisamment outillées, tant en termes de compétences, d’expertises que de technologies, pour faire face au risque cyber tel qu’il se présente désormais. Il est donc impératif que ces entreprises, qui constituent un atout stratégique et un enjeu de souveraineté pour notre économie, et qui sont en outre des fournisseurs-clés de grands groupes industriels et d’OIV (opérateurs d’importance vitale), investissent rapidement et significativement dans la cybersécurité.
Le présent amendement propose par conséquent de créer un crédit d’impôt temporaire dédié aux dépenses des PME et ETI en matière d’audit, de prévention, de formation, et de protection face au risque cyber.
Seraient éligibles les dépenses engagées par les entreprises au titre de l’année 2022. Avec un taux porté à 20 % des dépenses éligibles, ce crédit d’impôt serait limité à 200 000 euros par entreprise. Il aurait un effet d’accélération immédiat sur les investissements des PME et ETI dans la cybersécurité.
Cette incitation à l’investissement dans les solutions de protection et briques technologiques serait soumise à des fournisseurs de solutions cyber certifiés ANSSI ou cybermalveillance.gouv.fr. Cela permettra une accélération du développement de la filière cyber en France, partie de la stratégie annoncée par le président de la République dans son discours du 18 février 2021 qui ambitionne un triplement du chiffre d’affaires de cette filière à 25 Mds d’Euro et la création de 38 000 emplois.
Aucun commentaire n'a encore été formulé sur cet amendement.