ediverse Explorer la plateforme

À la une PEPPOL BIS Billing 3.0 L’obligation européenne d’e-invoicing arrive : France sept 2026, Belgique janv 2026, Allemagne 2025.

— 15 mai 2026 · 12 min de lecture

OpenPEPPOL : architecture du réseau 4-corner et adoption en Europe

PEPPOL n'est pas un format de facture. C'est un réseau d'échange à quatre coins, avec ses propres règles de gouvernance, ses certificats X.509, son annuaire global et ses access points certifiés. Comprendre l'architecture explique pourquoi ce réseau, né d'un projet pilote en 2008, est devenu le socle de l'e-invoicing européen en 2026.

Le projet PEPPOL, de l'expérimentation à l'AISBL

PEPPOL — Pan-European Public Procurement Online — démarre en 2008 comme un projet large-scale pilot cofinancé par la Commission européenne au titre du programme ICT-PSP (Information and Communication Technologies Policy Support Programme). Le consortium initial réunit douze pays autour d'un objectif simple sur le papier : permettre à un fournisseur établi dans un État membre de soumissionner et facturer un acheteur public dans un autre État membre sans avoir à intégrer manuellement le portail national de chaque acheteur. L'idée fondatrice est donc transfrontalière, et orientée marchés publics.

Le pilote s'achève en 2012. En septembre 2012, l'association internationale sans but lucratif OpenPeppol AISBL est fondée à Bruxelles pour prendre la suite de la gouvernance technique. Le statut juridique d'association belge a une conséquence concrète : la gouvernance est statutairement multi-acteurs (États membres, opérateurs privés, éditeurs), et les BIS (Business Interoperability Specifications) sont publiés sous licence libre. Le siège est basé à Bruxelles, le secrétariat administratif est confié à un opérateur norvégien (DIFI à l'époque, aujourd'hui Digdir).

En 2026, OpenPeppol revendique près de 600 membres et la participation active d'une vingtaine d'autorités nationales (PEPPOL Authorities) qui supervisent l'enrôlement local des access points. La gouvernance fonctionne par work groups sectoriels (Post-Award, Pre-Award, eHealth, etc.) qui produisent les profils BIS.

Le modèle 4-corner détaillé

L'architecture PEPPOL repose sur quatre coins logiques, numérotés C1 à C4. Le Corner C1 est l'émetteur métier : l'application ERP qui produit une facture, un bon de commande ou un avis d'expédition. Ce coin n'est pas directement raccordé au réseau : il transmet son document à un Corner C2 — l'access point de l'émetteur — via une API privée propre à l'opérateur. Cette connexion locale n'est pas normée par PEPPOL : chaque access point la décide (REST, SOAP, dépôt SFTP, queue Kafka).

Le Corner C2 est où commence le réseau « normé ». Cet access point est un opérateur certifié qui détient un certificat PEPPOL, signé par l'autorité de certification PEPPOL (PEPPOL Authority CA). Il agit en proxy pour son émetteur, valide le document contre les Schematron du profil BIS demandé, le sérialise dans l'enveloppe SBDH (Standard Business Document Header) version 1.0 et le pousse en AS4 vers le Corner C3, l'access point destinataire. Ce push AS4 obéit au profil PEPPOL eDelivery basé sur OASIS ebMS 3.0, lui-même un binding SOAP de l'ebXML Messaging Service.

Le Corner C3 reçoit le message, vérifie la signature, dépose un receipt AS4 (preuve de non-répudiation) et livre le document à son client final, le Corner C4 — l'application métier du destinataire (ERP, plateforme de facturation, comptabilité publique). Cette livraison « dernière mile » est, comme C1↔C2, hors normalisation PEPPOL.

Ce schéma à quatre coins a un effet pratique fort : l'émetteur métier (C1) ne connaît que son propre access point (C2). Il n'a pas à découvrir le destinataire, ni à négocier de capacité : c'est le rôle de la couche d'annuaire.

SMP, SML, l'annuaire bicéphale

Pour que C2 sache où pousser un message destiné à un identifiant donné, PEPPOL définit deux annuaires. Le SML (Service Metadata Locator) est un annuaire DNS centralisé — un seul SML pour toute la communauté production — opéré par l'autorité technique de PEPPOL. Sa fonction est simple : étant donné un identifiant destinataire au format ICD (par exemple 0088:5790000435906 pour un GLN belge), il renvoie l'URL du SMP (Service Metadata Publisher) qui détient les métadonnées détaillées de ce destinataire.

Le SMP est un annuaire fédéré : chaque access point opère son propre SMP pour les destinataires qu'il représente. Sur ce SMP sont publiées, pour chaque identifiant client, les capacités acceptées : « je peux recevoir des Invoice BIS Billing 3.0 », « je peux recevoir des Order BIS » , avec pour chaque capacité l'URL AS4 cible, le certificat à utiliser pour le chiffrement, et la date de mise à jour. Le SMP est interrogeable en HTTPS REST ; sa spécification est documentée dans le BIS technique PEPPOL SMP.

La résolution complète d'un destinataire se fait donc en deux temps : un appel SML (DNS lookup) pour trouver le SMP, puis un appel HTTPS au SMP pour obtenir l'access point cible. Cette séparation découple la résolution de l'envoi, et permet à un destinataire de changer d'access point sans changer son identifiant.

eDelivery, AS4 et le building block CEF

Le transport entre Corner C2 et Corner C3 utilise PEPPOL AS4, qui est un profil restrictif de l'AS4 OASIS lui-même fondé sur ebMS 3.0. Le profil PEPPOL fige plusieurs options : chiffrement obligatoire en XML Encryption, signature en XML Signature avec certificat PEPPOL, modèle de communication One-Way / Push exclusivement (pas de Pull en production), et acquittement Receipt mode Non-Repudiation.

Le profil PEPPOL AS4 fait partie du building block eDelivery de la Connecting Europe Facility (CEF), un programme d'infrastructure numérique de la Commission européenne. Cela signifie concrètement que tout opérateur public européen peut s'appuyer sur les artefacts CEF eDelivery (notamment le projet open source Domibus) pour bâtir son propre access point conforme. Cette mutualisation a réduit drastiquement le coût d'entrée d'un opérateur public — un ministère, une mairie, une caisse de sécurité sociale — sur le réseau.

BIS Billing 3.0 et les profils sectoriels

Au-dessus du transport, le réseau définit un catalogue de BIS (Business Interoperability Specifications). Le plus connu est PEPPOL BIS Billing 3.0, le profil facture, basé sur UBL 2.1 et conforme à EN 16931. La page dédiée chez ediverse — PEPPOL — détaille les business terms (BT-1 à BT-200+) et les règles métier (BR-XX, BR-CO-XX, BR-NN-XX).

D'autres BIS coexistent. PEPPOL BIS Order Only 3.0 couvre les bons de commande UBL Order. PEPPOL BIS Order Agreement 3.0 couvre l'accusé de commande (UBL OrderResponse). PEPPOL BIS Despatch Advice 3.0 couvre l'avis d'expédition. Plus récemment, l'AISBL a publié PEPPOL eOrder & Order Response et travaille sur des profils Post-Award post-paiement.

Hors champ commercial, PEPPOL Healthcare publie des profils eHealth — notamment pour les prescriptions et les rapports d'examen — qui réutilisent le transport AS4 et l'annuaire SMP avec des documents HL7 CDA ou FHIR R4 en charge utile.

Adoption pays par pays

L'adoption PEPPOL n'est pas uniforme. Quelques pays-clés en 2026 :

Belgique. Mandate généralisé à toutes les administrations publiques depuis 2019, étendu au B2B obligatoire au 1er janvier 2026 (loi du 6 février 2024) pour les assujettis TVA établis en Belgique. Le réseau PEPPOL est désigné comme canal de transmission par défaut.

Allemagne. XRechnung, le standard fédéral, est un CIUS d'EN 16931 et passe nativement sur PEPPOL. L'obligation B2B est échelonnée à partir du 1er janvier 2025 (réception obligatoire) avec montée en charge 2027-2028 (émission obligatoire selon CA).

Pays-Bas. Pays pionnier : l'usage PEPPOL est généralisé pour les flux gouvernementaux depuis 2017. SimplerInvoicing, le profil néerlandais, est un CIUS reconnu d'EN 16931.

Italie. Adopte un modèle parallèle : le SdI (Sistema di Interscambio) opère en circuit clos national depuis 2014, mais peut recevoir et émettre vers PEPPOL via une passerelle officielle. Le format domestique est FatturaPA, qui n'est pas un CIUS d'EN 16931 mais reste alignable.

France. La réforme e-invoicing prévue par les ordonnances de 2021 introduit le modèle PPF/PDP (Plateforme Publique de Facturation, Plateformes de Dématérialisation Partenaires). Les calendriers d'obligation, repoussés à plusieurs reprises, mentionnent septembre 2026 pour la réception obligatoire B2B et septembre 2027 pour l'émission, mais ce calendrier peut encore évoluer. PEPPOL est cité comme l'un des moyens d'échange via les PDPs.

Espagne. La Ley Crea y Crece de 2022 introduit l'e-invoicing B2B obligatoire ; le décret d'application précise un format Facturae national et un transit via PEPPOL pour les flux transfrontaliers. Date d'entrée en vigueur dépendant de la publication officielle du décret.

Norvège, Suède, Danemark, Finlande. Pays scandinaves historiquement très en avance — la Norvège mandate EHF (un CIUS PEPPOL) depuis 2012 pour les flux gouvernementaux, généralisé au B2B en 2024 — qui constituent un marché test pour les nouvelles versions BIS.

Le rôle économique des access points

Du point de vue d'un acteur métier, l'access point joue trois rôles. Garant de conformité : il valide les documents contre les Schematron à jour avant de les déposer sur le réseau. Opérateur de transport : il maintient le certificat PEPPOL, gère le tunnel AS4, et opère le SMP de ses clients. Couche de SLA : il garantit la disponibilité, la rétention et le rejeu en cas d'incident. La certification PEPPOL est annuelle, payante, et impose des audits techniques.

En 2026, on compte environ 250 access points certifiés dans le monde. Les majors : Stedi, Pagero, B2Brouter, Ibanity, Tickstar, Tradeshift, et une constellation d'opérateurs locaux liés aux ERP nationaux (Cegid, Sage, Visma…). Aux marges, certains éditeurs SaaS opèrent leur propre access point pour leurs seuls clients — modèle dit « corner-1 in » : le SaaS de facturation est aussi l'access point.

Un réseau qui a tenu

L'enseignement le plus frappant, en 2026, c'est que le pari fondateur de 2008 — construire un réseau de droit privé européen capable de tenir face à des plateformes nationales fortes — a tenu. PEPPOL n'a remplacé personne : il a coexisté avec le SdI italien, ChorusPro français, le Bundesportal allemand, et peu à peu il est devenu le canal commun par lequel tout le monde transite à défaut d'avoir voulu unifier les portails nationaux. La page Foundations dédiée à PEPPOL revient sur les briques techniques en détail.

Pour qui doit implémenter en 2026, le plan technique tient en quatre lignes : adopter un access point (rarement opérer le sien), conformer ses sorties au profil BIS pertinent, déclarer ses identifiants sur un SMP, et tester systématiquement contre le validateur OpenPeppol — ce dernier point fait l'objet de la page Tester ses pipelines EDI.