Aller au contenu

Signature électronique avancée dans Smart OSH

Lorsque vous envoyez un document à un travailleur depuis Smart OSH pour qu’il le signe — une évaluation des risques, une remise d’EPI, un certificat de formation —, la plateforme applique un ensemble de mesures techniques qui lui confèrent une validité en tant que signature électronique avancée selon le Règlement (UE) 910/2014 (eIDAS).

Cette page explique ce que fait Smart OSH pour garantir cette validité, quelles preuves sont générées et consultables, et quelles responsabilités vous incombent en tant que client et responsable du traitement des données.

Ce que fait Smart OSH pour garantir la validité légale

Section intitulée « Ce que fait Smart OSH pour garantir la validité légale »

Smart OSH met en œuvre quatre mesures qui, ensemble, remplissent les exigences de la signature électronique avancée :

  • Signature du document avec un certificat numérique interne garantissant l’intégrité : toute modification ultérieure du document est détectable.
  • Signature manuscrite du signataire intégrée dans le document final.
  • Journal d’audit (auditlog) avec la traçabilité complète de la transaction.
  • Document Legacy probatoire généré automatiquement pour chaque signature, avec le détail complet du cycle de vie.

Pour chaque signature réalisée, Smart OSH génère un PDF probatoire signé avec un certificat numérique interne, également appelé Certificat légal probatoire ou Certificat légal de finalisation.

Ce document contient toutes les preuves électroniques de la transaction, divisées en deux moments :

Lors de l’envoi du document :

  • Données complètes de l’entreprise cliente : adresse physique, email et responsable du service (PRL / RH).
  • Données de la personne effectuant la communication (le SPA, le cas échéant).
  • Compte email d’origine et adresse IP d’origine.
  • Identifiant unique du document.
  • Objet de la transaction (par exemple, Évaluation des risques décembre 2025).
  • Identifiant unique du travailleur, nom complet et coordonnées.
  • Date et heure de l’envoi.

Lors de la réception et de la signature par le travailleur :

  • Compte email destinataire du travailleur.
  • Adresse IP depuis laquelle le document a été ouvert.
  • Image de la signature.
  • Date et heure de la signature.
  • Date et heure du traitement final.
  • Hash du certificat numérique garantissant la confidentialité et l’intégrité.

Les preuves générées sont accessibles à la fois pour l’administrateur client et pour le travailleur signataire :

  • Le document signé peut être consulté depuis l’interface utilisateur de l’application.
  • Il est également envoyé par email au travailleur et, optionnellement, au client.
  • Le PDF Legacy probatoire peut être téléchargé depuis le compte administrateur.
  • Un rapport de preuves peut être généré avec : entreprise, identifiant du document, objet de la transaction, données du travailleur, date d’envoi et date de signature.

Smart OSH fournit l’infrastructure technique, mais en tant que responsable du traitement selon le RGPD, trois points doivent être pris en charge par vous :

Pour que la signature identifie de manière non équivoque le signataire, utilisez toujours le compte email personnel du travailleur au sein du domaine de votre organisation. Évitez les comptes génériques (info@, personnel@, etc.).

Incluez l’utilisation de cet outil — et la finalité du traitement de leur compte email — dans les politiques ou déclarations de confidentialité que vous fournissez déjà à vos travailleurs. C’est une obligation découlant du RGPD qui vous incombe en tant que responsable du traitement.

Bien que Smart OSH stocke de manière persistante le document signé et le certificat probatoire, il est recommandé comme bonne pratique de conserver une copie de cette documentation dans vos propres systèmes internes.

Smart OSH s’appuie sur le bloc normatif suivant :

En droit espagnol, la validité d’un contrat ne requiert pas de signature manuscrite : il est valable si les parties ayant la capacité juridique parviennent à un accord, que ce soit verbalement, par moyens électroniques ou sur papier.

Le Règlement eIDAS est technologiquement neutre et reconnaît trois types de signature. Smart OSH implémente la signature électronique avancée (FEA), qui est adaptée aux processus habituels de PRL et RH.

Une case à cocher ou case d’acceptation. Permet d’exprimer un accord, mais n’identifie pas de manière fiable le signataire. En cas de litige, il est très difficile de prouver qui a accepté le document.

Signature avancée (FEA) — celle utilisée par Smart OSH

Section intitulée « Signature avancée (FEA) — celle utilisée par Smart OSH »

Remplit quatre conditions cumulatives :

  • Elle est liée de manière unique au signataire.
  • Elle permet d’identifier le signataire.
  • Elle est créée par des moyens que le signataire garde sous son contrôle exclusif.
  • Elle est liée aux données signées de sorte que toute modification ultérieure est détectable.

Variante de la FEA avec un dispositif de création sécurisé certifié par un organisme gouvernemental. Offre les garanties légales maximales (équivalente à la signature manuscrite) mais n’est pas nécessaire pour les cas d’usage habituels de Smart OSH.


Source : « Signature électronique avancée dans la distribution de documents », rapport élaboré par Toni Martín Ávila (IT Government Assessor & DPO, IT360.es) pour PrevenControl, 22 avril 2019.