Si la signature électronique permet en effet de signer instantanément, où que l’on soit, la quasi totalité des actes administratifs ou commerciaux, nos clients utilisateurs de Odoo se tournent vers nous avec de nombreuses questions tant au niveau des conditions d’utilisations de la signature électronique que de celles de la conservation des documents.
Petit tour d’horizon.

Valeur légale de la signature électronique Odoo
Le module de signature électronique implémenté nativement dans Odoo, respecte le règlement eIDAS européen.
Trois niveaux sont reconnus par ce règlement :

• Signatures électroniques simples
• Signatures électroniques avancées
• Signatures électroniques qualifiées

La fonctionnalité de signature Odoo est donc considérée comme étant de niveau 1
Sa vocation est donc de simplifier des processus internes où la signature est indispensable

• autorisations,
• accusés de réception,
• commandes,
• contrats,
• etc

Souvent nommée « signature numérique », elle peut donc valoir commencement de preuve par écrit.
Attention tout de même, sa valeur juridique est limitée, car elle ne garantit pas :

• l’intégrité des données signées,
• ni l’identité du signataire, etc.

Choix du niveau de signature
Le choix du niveau de signature, tel que défini par l’eIDAS, dépend donc de plusieurs facteurs, qu’il appartient à nos clients de prendre en compte :

• l’usage,
• les enjeux attachés au document à signer
• le contexte.

En cas de litige, plus la signature aura un niveau de fiabilité fort, plus il sera difficile de contester la validité de l’acte signé et les engagements qu’il contient.
Aussi il est donc recommandé de réaliser une analyse des risques de litige pour estimer et donc choisir le niveau de signature nécessaire et bien entendu la fonctionnalité à implémenter dans Odoo.

Conservation des documents signés dans Odoo
Les règles associées à la conservation numérique des documents dépendent là encore de différents facteurs :

• la nature des documents
• la nature des données (personnelles) qu’ils contiennent.

Pour comprendre les règles relatives à la gestion de ces documents, retenons simplement que les données personnelles ne peuvent être conservées indéfiniment.

Une durée de conservation doit être déterminée par l’entreprise en fonction de l’objectif ayant conduit à la collecte de ces données. Le principe de conservation limitée des données personnelles est prévu par le RGPD et la loi Informatique et Libertés.

Durée de conservation des données personnelles
Pour un même traitement, les données personnelles poursuivent donc « trois phases de vie successives » :

• conservation en base active
• archivage intermédiaire
• archivage définitif

La définition de la durée de conservation exige de procéder à une petite analyse de conformité en fonction de deux contextes :

• soit la durée de conservation est fixée par la réglementation. Par exemple, l’article L3243-4 du Code du travail impose à l’employeur de conserver un double du bulletin de paie du salarié pendant 5 ans.
• soit la durée de conservation n’est pas encadrée réglementairement. Dans ce cas, il appartient alors au responsable du fichier de la déterminer en fonction de la finalité du traitement.

Cas de la gestion des ressources humaines
En qualité d’intégrateur de Odoo, nous contribuons chaque jour à stabiliser avec nos clients leurs règles de gestion, via, après inventaire et analyse des besoins, la formalisation de notes de spécifications.
Cette approche permet :

• de tracer l’ensemble des protocoles et règles de gestion associée
• de préparer la configuration des fonctionnalités de Odoo.

Des données personnelles - plus ou moins sensibles – sont en effet collectées et conservées dans cadre de la gestion des équipes de salariés.
La CNIL propose à ce sujet un référentiel pertinent permettant aux entreprises de s’assurer de la conformité des traitements mise en œuvre dans ce contexte, aux principes relatifs à la protection des données personnelles.
Pour plus de simplicité retenons deux points essentiels :

• les données RH conservées ne doivent être accessibles, de manière sécurisée (droits d’accès) que par l’employé et le responsable RH (et supérieurs hiérarchiques éventuels)
• l’employeur doit assurer la sécurité des informations et garantir que seules les personnes habilitées en prennent connaissance

Il convient donc dans le cadre de la configuration des modules ressources humaines notamment de Odoo, de s’assurer que les droits d’accès aux données RH sont conformes à ces préconisations.