La computación cuántica ne brisera pas les lois fiscales, elle brisera l'architecture qui les soutient
Le système fiscal mondial ne fonctionne pas sur papier. Depuis au moins deux décennies, il repose sur des signatures numériques, des certificats d'appareils, des chaînes de hachage et des transmissions chiffrées vers les autorités fiscales. Cette infrastructure, invisible pour la plupart des dirigeants du commerce de détail, est celle qui se trouve aujourd'hui techniquement exposée à une pression qui ne vient ni des régulateurs ni des concurrents : elle vient d'une transformation de la puissance de calcul qui pourrait rendre inutiles les fondements cryptographiques sur lesquels repose la confiance fiscale de l'ensemble du système.
Il ne s'agit pas d'une menace abstraite ni de science-fiction. C'est une transition matérielle dotée d'une structure temporelle que les équipes technologiques ne peuvent plus ignorer. Et le commerce de détail, par son échelle, sa vitesse transactionnelle et son exposition réglementaire simultanée dans des dizaines de juridictions, est le secteur où cette pression se fera sentir avec la plus grande brutalité opérationnelle.
La fiscalisation est un problème de cryptographie avant d'être un problème de politique
La fiscalisation, dans son sens technique et réglementaire, désigne l'ensemble des contrôles électroniques qui obligent les détaillants à enregistrer les transactions de manière intègre, vérifiable et non altérée, généralement en temps réel ou avec transmission périodique vers l'autorité fiscale. C'est ainsi que cela fonctionne dans des marchés aussi différents que le Brésil, la Serbie, l'Italie, la Pologne, le Maroc ou le Kenya. Le mécanisme de fond est toujours le même : une signature numérique qui certifie que ce qui a été enregistré n'a pas été modifié, un certificat qui valide que l'appareil qui l'a émis est autorisé par l'État, et un canal chiffré qui protège la transmission vers le fisc.
Ce qui rend cette architecture possible, ce sont les algorithmes à clé publique : RSA, ECDSA, Diffie-Hellman. Ce sont les mêmes qui protègent le commerce électronique, la banque et les communications d'entreprise à l'échelle mondiale. Et ce sont précisément ceux que l'algorithme de Shor, exécuté sur un ordinateur quantique d'échelle suffisante, peut briser avec une efficacité que les systèmes classiques ne peuvent pas égaler.
Le problème n'est pas que la computación cuántica soit puissante dans l'abstrait. Le problème est que la courbe de progression s'est accélérée de manière mesurable. Google a réduit l'estimation du nombre de qubits physiques nécessaires pour compromettre la cryptographie à courbe elliptique — qui protège des actifs comme le Bitcoin et l'Ethereum — d'environ dix millions à moins de cinq cent mille. D-Wave a annoncé des architectures de plus de sept mille qubits. Le PDG de Google a situé l'utilité pratique de ces machines dans une fenêtre de cinq à dix ans. Cela, en termes de cycles de renouvellement technologique pour les grandes enseignes de distribution dotées de flottes de terminaux dans plusieurs pays, n'est pas « l'avenir ». C'est le prochain cycle d'investissement.
Ce qui change structurellement, ce n'est pas qu'une machine arrive pour « pirater tout ». Ce qui change, c'est que le fondement de confiance sur lequel repose la preuve fiscale cesse d'être techniquement solide. Une signature numérique compromise n'implique pas seulement une vulnérabilité de sécurité : cela implique que le reçu qu'un auditeur fiscal prend comme preuve légale pourrait avoir été falsifié sans laisser de trace vérifiable. Et ce n'est pas un problème informatique. C'est un problème de droit fiscal, de responsabilité d'entreprise et d'exposition à des sanctions qui, dans de nombreux marchés, sont cumulatives par transaction.
Cinq points de rupture absents de la cartographie des risques du commerce de détail
Il y a une différence entre savoir que la computación cuántica existe et comprendre où, précisément, elle brise la logique d'un système fiscal. La littérature technique identifie au moins cinq zones d'exposition, et aucune d'entre elles n'apparaît encore dans les rapports de risque standard des grands opérateurs de commerce de détail.
Le premier est l'intégrité de la transaction. Les régimes fiscaux les plus sophistiqués exigent que chaque reçu, chaque écriture comptable et chaque facture porte une signature numérique attestant de son authenticité. Si la cryptographie à clé publique qui sous-tend cette signature devient vulnérable, le système perd sa capacité à distinguer un document authentique d'un document fabriqué. Il ne s'agit pas d'un scénario d'attaque massive immédiate : c'est une dégradation progressive de la fiabilité de la norme que les auditeurs et les tribunaux utilisent comme référence.
Le deuxième est l'identité de l'appareil. De nombreux systèmes de fiscalisation ne se contentent pas de valider le document, ils valident également son origine : le terminal qui l'a émis doit être certifié par l'autorité fiscale au moyen d'un certificat d'appareil. Si cette chaîne de certification peut être compromise, il ne s'agit plus de falsifier un reçu, mais d'usurper l'identité d'un appareil autorisé. Un terminal non enregistré pourrait opérer comme s'il était fiscalisé. Cela ouvre la porte à une fraude fiscale systémique que l'architecture actuelle n'est tout simplement pas conçue pour détecter.
Le troisième est la transmission vers le fisc. Les systèmes de clearance en temps réel — qui représentent la direction dans laquelle évolue la fiscalisation mondiale — dépendent de canaux chiffrés et de l'authentification des API. Un ordinateur quantique capable de briser les algorithmes d'échange de clés actuellement en usage pourrait intercepter ou manipuler cette transmission. La feuille de route du Centre national de cybersécurité du Royaume-Uni fixe déjà comme objectif d'achever la migration vers la cryptographie post-quantique avant 2035, avec un processus de découverte initié en 2028.
Le quatrième est l'archivage à long terme. Les données fiscales, dans la plupart des juridictions, doivent être conservées entre cinq et dix ans. Cela active le problème que les spécialistes appellent « harvest now, decrypt later » (collecter maintenant, déchiffrer plus tard) : des acteurs malveillants qui, aujourd'hui, n'ont pas la capacité de déchiffrer les archives capturées, mais qui les stockent en sachant qu'à un moment donné dans les prochaines années, ils l'auront. Ce n'est pas une menace future : c'est une pratique active documentée par des organismes de renseignement et des agences de cybersécurité. Les archives fiscales générées aujourd'hui sont déjà susceptibles de ce type d'attaque.
Le cinquième est la vérification par codes QR. Plusieurs systèmes de fiscalisation, notamment dans les marchés émergents, exposent la chaîne de confiance directement au consommateur ou à l'auditeur via un code QR qui renvoie à une signature vérifiable. Si cette signature repose sur un algorithme compromis, le code QR perd sa valeur légale, non pas son existence physique. Le code reste lisible, mais la vérification qu'il produit n'est plus fiable.
Aucun de ces cinq points n'implique que le système fiscal s'effondrera demain. Ce qu'ils impliquent, c'est que l'architecture qui soutient aujourd'hui la validité légale de millions de transactions quotidiennes a une date d'expiration technique qui se raccourcit à mesure que le matériel quantique progresse.
La migration que personne ne planifie encore
L'Institut national des normes et de la technologie des États-Unis a publié en 2024 ses trois premiers standards finalisés de cryptographie post-quantique. Cela signifie que les algorithmes de remplacement existent, sont prêts et peuvent être mis en œuvre. La question n'est plus de savoir s'il existe des alternatives techniques : il y en a. La question est de savoir qui va absorber le coût, la complexité et le temps d'une migration qui, pour le commerce de détail mondial, signifie quelque chose de très précis.
Les grands opérateurs du commerce de détail ne font pas face à une migration. Ils font face à plusieurs. Chaque juridiction dans laquelle ils opèrent dispose de son propre corpus réglementaire de fiscalisation, de ses propres exigences de certification des appareils, de ses propres organismes de validation et de ses propres délais de transition — qui n'existent pas encore, car aucun gouvernement n'a émis de mandat de migration post-quantique pour les systèmes fiscaux. Cela signifie que lorsque le mandat arrivera, il n'arrivera pas de manière synchronisée. Il arrivera de manière échelonnée, avec des délais différents au Brésil, en Italie, en Serbie, au Mexique, au Nigeria. Et les fabricants de terminaux, les fournisseurs de logiciels fiscaux et les intégrateurs de systèmes devront répondre à toutes ces exigences en parallèle.
La charge opérationnelle de cette situation est disproportionnée pour les opérateurs présents simultanément sur de nombreux marchés. Un détaillant présent dans vingt pays devra coordonner le renouvellement des certificats d'appareils, la mise à jour des bibliothèques cryptographiques, la validation auprès des autorités fiscales locales et la migration des archives historiques, le tout dans des fenêtres réglementaires qui ne seront pas alignées entre elles.
Ce que l'on appelle techniquement l'« agilité cryptographique » — la capacité d'un système à changer d'algorithme sans remplacer l'intégralité de l'infrastructure sous-jacente — cesse d'être un concept d'architecture avancée pour devenir une nécessité opérationnelle fondamentale. Les systèmes fiscaux aujourd'hui construits comme des blocs monolithiques, où la logique métier et la couche de confiance cryptographique sont couplées, seront considérablement plus difficiles et plus coûteux à migrer. Ceux qui disposent d'une séparation nette entre ces deux couches bénéficieront d'un avantage structurel qui n'apparaît dans aucun KPI actuel, mais qui, dans un horizon de huit à douze ans, pourrait représenter la différence entre une migration gérable et une crise de conformité.
Il existe un facteur supplémentaire qui aggrave la situation pour le commerce de détail en particulier : les algorithmes post-quantiques génèrent des signatures et des certificats de taille supérieure à leurs équivalents actuels. Dans les systèmes à fort volume transactionnel, ce n'est pas un détail technique mineur. Cela peut affecter la latence des terminaux, la bande passante de transmission vers le fisc et la capacité de stockage des archives à long terme. Le coût de la migration ne se mesure pas seulement en heures d'ingénierie : il se mesure également en refonte d'infrastructure et potentiellement en matériel de nouvelle génération pour les terminaux certifiés.
Ce qui se brise avant la loi fiscale
L'observation la plus précise qui ressort de cette analyse n'est pas que la computación cuántica va modifier les lois fiscales. Les lois n'opèrent pas au niveau des algorithmes. Ce qui opère à ce niveau, c'est l'architecture technique qui rend les lois exécutables et vérifiables.
Et cette architecture présente une caractéristique qui la rend particulièrement fragile face à cette transition : elle a été conçue sous l'hypothèse implicite que la cryptographie à clé publique qui la soutient est pratiquement inviolable dans des horizons de temps pertinents. Cette hypothèse est en cours de révision. Non pas par caprice réglementaire ni par innovation produit, mais parce que la physique quantique avance sur une courbe que les systèmes de certification fiscale n'ont pas anticipée et pour laquelle ils ne disposent d'aucun mécanisme d'adaptation établi.
Le point d'inflexion ne sera pas le moment où un ordinateur quantique brisera une signature fiscale dans une attaque spectaculaire. Ce sera le moment où un organisme réglementaire, un tribunal ou une agence d'audit décidera que les normes cryptographiques en usage ne sont plus suffisantes pour garantir l'intégrité des preuves fiscales. Ce moment pourrait arriver avant même que la technologie qui le justifie soit pleinement disponible, car la réglementation anticipe fréquemment les risques lorsque le coût de l'inaction devient politiquement insoutenable.
Pour les dirigeants du commerce de détail exposés fiscalement dans plusieurs marchés, la question stratégique n'est pas de savoir quand arrivera un ordinateur quantique suffisamment puissant. La question est de savoir si leur architecture de conformité fiscale peut changer de couche cryptographique sans s'effondrer opérationnellement. À cette question, aujourd'hui, la grande majorité n'a pas de réponse.
