Retour au blog
    Sécurité12.2.2026

    Journal d'audit, preuves et conservation des données GDPR dans la signature électronique

    La piste d'audit d'une signature électronique est une preuve numérique de qui a signé, quand et comment. C'est un élément essentiel de la validité de la signature et de la résolution des litiges. Dans cet article, nous examinerons ce que contient la piste d'audit, comment le RGPD affecte la conservation des données et comment une petite entreprise peut organiser son archivage.

    Qu'est-ce qu'une piste d'audit ?

    La piste d'audit (en anglais, audit trail) est un enregistrement collecté automatiquement d'un événement de signature. Elle enregistre chaque étape du début à la fin.\n\nLa piste d'audit est un élément essentiel de la valeur probante d'une signature électronique. Sans elle, une signature électronique n'est pratiquement qu'un pixel à l'écran – la piste d'audit la rend juridiquement significative.

    Quelles informations la piste d'audit contient-elle ?

    Une piste d'audit complète contient les informations suivantes :

    • Nom et adresse e-mail du signataire
    • Méthode d'authentification utilisée (identifiants bancaires, certificat mobile, confirmation par e-mail)
    • Horodatage (date et heure, fuseau horaire)
    • Adresse IP à partir de laquelle la signature a été effectuée
    • Informations sur l'appareil et le navigateur
    • Hachage cryptographique du document (hash) – prouve que le document n'a pas été modifié
    • Heure d'envoi et d'ouverture de la demande de signature
    • Heure d'achèvement de la signature

    Ce que cela signifie en pratique : si un client nie avoir signé un contrat, la piste d’audit prouve qu’une personne spécifique a ouvert le document à partir d’une adresse IP donnée, s’est authentifiée à l’aide des identifiants bancaires et a signé le document à un moment précis.

    GDPR et conservation des signatures électroniques

    La piste d’audit contient des données personnelles, le RGPD (Règlement général sur la protection des données de l’UE) définit donc comment elles peuvent être traitées et conservées.\n\nPrincipes clés du RGPD pour la piste d’audit :

    • Limitation des finalités : les données ne peuvent être collectées que pour une finalité spécifique (vérification de la signature)
    • Minimisation des données : seules les données nécessaires sont collectées
    • Limitation de la conservation : les données ne sont conservées que le temps nécessaire
    • Intégrité et confidentialité : les données doivent être protégées techniquement

    Concrètement, la durée de conservation des signatures et des données de piste d’audit associées dépend de la nature du contrat :

    Type de documentDurée de conservation recommandéeJustification
    Contrat commercial6–10 ans après la fin du contratDélai de prescription (général 3 ans, droit commercial 5 ans)
    Contrat de travail10 ans après la fin de la relation de travailExpiration des créances salariales
    Documents comptables6 ans après la fin de l'exercice comptableLoi sur la comptabilité 2:10
    Transaction immobilièreDe façon permanente ou au moins 10 ansExigences selon le code foncier

    Modèle d'archivage pour les petites entreprises

    Une petite entreprise peut organiser son archivage de signatures électroniques simplement :

    1. Utilisez un service de signature (comme EpicSign) qui archive automatiquement les documents signés et les pistes d’audit
    2. Définissez les durées de conservation par type de document (voir tableau ci-dessus)
    3. Exportez les contrats les plus importants vers votre propre système de sauvegarde.
    4. Vérifiez une fois par an s’il existe des documents expirés qui peuvent être supprimés conformément au RGPD
    5. Documentez votre politique de conservation dans la déclaration de confidentialité

    Exemple concret : cabinet comptable et contrats clients

    Un cabinet comptable de Tampere est passé des contrats papier à EpicSign. Auparavant, les contrats étaient dans des classeurs — certains au bureau, d’autres chez les clients. Personne n’était sûr de l’emplacement de la dernière version.\n\nAprès la signature électronique, la situation a changé :

    • Tous les contrats se trouvent dans l’archive électronique avec une fonction de recherche
    • La piste d’audit prouve qui a signé et quand
    • La déclaration de confidentialité RGPD a été mise à jour pour inclure la conservation des données de signature
    • Les anciens contrats sont supprimés automatiquement une fois la période de conservation expirée

    Questions fréquentes

    Combien de temps faut-il conserver la piste d’audit ?

    La durée de conservation dépend du type de contrat. Pour les contrats commerciaux, généralement 6 à 10 ans ; pour les contrats de travail, 10 ans après la fin de la relation de travail.

    La piste d’audit contient-elle des données personnelles ?

    Oui. Le nom, l’e-mail et l’adresse IP du signataire sont des données personnelles au sens du RGPD. Ils doivent être traités conformément aux réglementations sur la protection des données.

    La piste d’audit peut-elle être modifiée après coup ?

    Non. Une empreinte cryptographique (hash) garantit que les données ne peuvent pas être modifiées sans être détectées. C’est une condition préalable fondamentale pour la piste d’audit.

    Quel est l’impact du RGPD sur la conservation des données de signature ?

    Le GDPR exige que les données ne soient conservées que pendant le temps nécessaire. Une fois la période de conservation écoulée, les données doivent être supprimées ou anonymisées.

    EpicSign enregistre-t-il la piste d’audit automatiquement ?

    Oui. EpicSign crée automatiquement une piste d’audit complète pour chaque événement de signature.

    Cet article est d'ordre général et ne constitue pas un avis juridique.

    Essayez EpicSign

    Démarrez un essai gratuit et envoyez votre première demande de signature en moins de 20 secondes.

    Voir les prix