Journal d'audit, preuves et conservation des données GDPR dans la signature électronique
La piste d'audit d'une signature électronique est une preuve numérique de qui a signé, quand et comment. C'est un élément essentiel de la validité de la signature et de la résolution des litiges. Dans cet article, nous examinerons ce que contient la piste d'audit, comment le RGPD affecte la conservation des données et comment une petite entreprise peut organiser son archivage.
Qu'est-ce qu'une piste d'audit ?
La piste d'audit (en anglais, audit trail) est un enregistrement collecté automatiquement d'un événement de signature. Elle enregistre chaque étape du début à la fin.\n\nLa piste d'audit est un élément essentiel de la valeur probante d'une signature électronique. Sans elle, une signature électronique n'est pratiquement qu'un pixel à l'écran – la piste d'audit la rend juridiquement significative.
Quelles informations la piste d'audit contient-elle ?
Une piste d'audit complète contient les informations suivantes :
- Nom et adresse e-mail du signataire
- Méthode d'authentification utilisée (identifiants bancaires, certificat mobile, confirmation par e-mail)
- Horodatage (date et heure, fuseau horaire)
- Adresse IP à partir de laquelle la signature a été effectuée
- Informations sur l'appareil et le navigateur
- Hachage cryptographique du document (hash) – prouve que le document n'a pas été modifié
- Heure d'envoi et d'ouverture de la demande de signature
- Heure d'achèvement de la signature
Ce que cela signifie en pratique : si un client nie avoir signé un contrat, la piste d’audit prouve qu’une personne spécifique a ouvert le document à partir d’une adresse IP donnée, s’est authentifiée à l’aide des identifiants bancaires et a signé le document à un moment précis.
GDPR et conservation des signatures électroniques
La piste d’audit contient des données personnelles, le RGPD (Règlement général sur la protection des données de l’UE) définit donc comment elles peuvent être traitées et conservées.\n\nPrincipes clés du RGPD pour la piste d’audit :
- Limitation des finalités : les données ne peuvent être collectées que pour une finalité spécifique (vérification de la signature)
- Minimisation des données : seules les données nécessaires sont collectées
- Limitation de la conservation : les données ne sont conservées que le temps nécessaire
- Intégrité et confidentialité : les données doivent être protégées techniquement
Concrètement, la durée de conservation des signatures et des données de piste d’audit associées dépend de la nature du contrat :
| Type de document | Durée de conservation recommandée | Justification |
|---|---|---|
| Contrat commercial | 6–10 ans après la fin du contrat | Délai de prescription (général 3 ans, droit commercial 5 ans) |
| Contrat de travail | 10 ans après la fin de la relation de travail | Expiration des créances salariales |
| Documents comptables | 6 ans après la fin de l'exercice comptable | Loi sur la comptabilité 2:10 |
| Transaction immobilière | De façon permanente ou au moins 10 ans | Exigences selon le code foncier |
Modèle d'archivage pour les petites entreprises
Une petite entreprise peut organiser son archivage de signatures électroniques simplement :
- Utilisez un service de signature (comme EpicSign) qui archive automatiquement les documents signés et les pistes d’audit
- Définissez les durées de conservation par type de document (voir tableau ci-dessus)
- Exportez les contrats les plus importants vers votre propre système de sauvegarde.
- Vérifiez une fois par an s’il existe des documents expirés qui peuvent être supprimés conformément au RGPD
- Documentez votre politique de conservation dans la déclaration de confidentialité
Exemple concret : cabinet comptable et contrats clients
Un cabinet comptable de Tampere est passé des contrats papier à EpicSign. Auparavant, les contrats étaient dans des classeurs — certains au bureau, d’autres chez les clients. Personne n’était sûr de l’emplacement de la dernière version.\n\nAprès la signature électronique, la situation a changé :
- Tous les contrats se trouvent dans l’archive électronique avec une fonction de recherche
- La piste d’audit prouve qui a signé et quand
- La déclaration de confidentialité RGPD a été mise à jour pour inclure la conservation des données de signature
- Les anciens contrats sont supprimés automatiquement une fois la période de conservation expirée
Questions fréquentes
Combien de temps faut-il conserver la piste d’audit ?
La durée de conservation dépend du type de contrat. Pour les contrats commerciaux, généralement 6 à 10 ans ; pour les contrats de travail, 10 ans après la fin de la relation de travail.
La piste d’audit contient-elle des données personnelles ?
Oui. Le nom, l’e-mail et l’adresse IP du signataire sont des données personnelles au sens du RGPD. Ils doivent être traités conformément aux réglementations sur la protection des données.
La piste d’audit peut-elle être modifiée après coup ?
Non. Une empreinte cryptographique (hash) garantit que les données ne peuvent pas être modifiées sans être détectées. C’est une condition préalable fondamentale pour la piste d’audit.
Quel est l’impact du RGPD sur la conservation des données de signature ?
Le GDPR exige que les données ne soient conservées que pendant le temps nécessaire. Une fois la période de conservation écoulée, les données doivent être supprimées ou anonymisées.
EpicSign enregistre-t-il la piste d’audit automatiquement ?
Oui. EpicSign crée automatiquement une piste d’audit complète pour chaque événement de signature.
Sources
Cet article est d'ordre général et ne constitue pas un avis juridique.
Essayez EpicSign
Démarrez un essai gratuit et envoyez votre première demande de signature en moins de 20 secondes.
Voir les prix