Odoo et RGPD : guide de conformité 2026
Odoo est-il conforme au RGPD ? Hébergement Google Cloud, choix de région, DPA, statut de sous-traitant et configuration recommandée pour votre ERP.
Odoo s’est imposé en quelques années comme l’un des ERP les plus déployés dans les PME françaises, et c’est précisément ce qui en fait un sujet de conformité à part. Là où la plupart des outils SaaS ne traitent qu’une catégorie de données — vos prospects, vos appels, vos factures —, Odoo centralise tout : CRM, paie, e-commerce, comptabilité, marketing. Une seule base de données, plusieurs régimes RGPD superposés.
Cette concentration change la donne. Une erreur de paramétrage sur Odoo ne touche pas un traitement isolé, elle se propage à l’ensemble de votre activité. Voici comment qualifier juridiquement votre relation avec Odoo, ce que recouvre réellement la question de l’hébergement, et la configuration que je recommande après avoir audité plusieurs déploiements.
Pour une vue d’ensemble, consultez notre guide sur la conformité RGPD des outils et logiciels.
Le statut d’Odoo dépend de votre mode de déploiement
Première chose à clarifier, car elle conditionne tout le reste : votre relation juridique avec Odoo SA n’est pas la même selon que vous utilisez Odoo en mode hébergé ou que vous l’installez vous-même.
Si vous utilisez Odoo Online ou Odoo.sh (les offres hébergées), c’est vous qui décidez des finalités du traitement (gérer vos clients, payer vos salariés, prospecter) et des moyens essentiels. Vous êtes le responsable de traitement. Odoo SA, société de droit belge qui exploite l’infrastructure « pour votre compte », est un sous-traitant au sens de l’article 4(8) du RGPD.
Si vous déployez l’édition Community en auto-hébergement (sur votre propre serveur ou chez un hébergeur tiers que vous choisissez), Odoo SA n’intervient plus dans le traitement : vous êtes seul maître de la donnée. Dans ce cas, votre sous-traitant n’est pas Odoo, mais l’hébergeur sur lequel tourne votre instance. C’est une option de souveraineté que je recommande régulièrement aux structures sensibles — ayant travaillé six ans à la DCSSI, je reste convaincu que la maîtrise physique de l’infrastructure reste l’argument le plus solide face à un risque de transfert.
Le réflexe à avoir est simple : déterminez votre mode de déploiement avant toute analyse, car il désigne qui vous devez encadrer contractuellement.
Mode hébergé : l’article 28 et le contrat de sous-traitance
Dès lors que vous êtes en mode hébergé, la qualification de sous-traitant déclenche les obligations de l’article 28 du RGPD : la relation doit être encadrée par un contrat de sous-traitance écrit (DPA).
Odoo met à disposition un Data Processing Agreement et publie la liste de ses sous-traitants ultérieurs dans sa politique de confidentialité. Bon point. Le piège classique que je constate en audit n’est pas l’absence de DPA — il existe — mais le fait que personne ne l’ait réellement lu, en particulier ses annexes sur les sous-traitants ultérieurs et la localisation des données.
Concrètement, en tant que responsable de traitement, vous devez :
- récupérer et archiver le DPA d’Odoo ainsi que la liste datée de ses sous-traitants ultérieurs ;
- inscrire chaque traitement à votre registre des activités de traitement (un ERP en héberge facilement une dizaine : clients, prospects, salariés, candidats, fournisseurs) ;
- vérifier une base légale valable pour chaque module activé ;
- documenter la région d’hébergement choisie (voir ci-dessous).
Si vous hésitez sur la rédaction de l’encadrement contractuel, notre modèle de contrat de sous-traitance RGPD détaille les clauses attendues.
Hébergement et transferts : la vraie question
Odoo Online et Odoo.sh s’appuient sur l’infrastructure Google Cloud Platform, avec plusieurs régions disponibles. Le point décisif pour le RGPD est que vous pouvez choisir la région d’hébergement de votre base de données. Odoo SA étant établie en Belgique, retenir une région située dans l’Espace économique européen (Belgique, autre pays de l’UE) maintient vos données au sein de l’EEE : aucun transfert au sens du chapitre V du RGPD n’est alors à qualifier pour le stockage principal.
Le sujet des transferts ressurgit sur deux points qu’il ne faut pas négliger :
- Les sous-traitants ultérieurs. Certains prestataires d’Odoo (support, outils annexes) peuvent être établis hors UE. Si des données transitent par les États-Unis, l’encadrement repose aujourd’hui sur l’adéquation du Data Privacy Framework (pour les entités américaines certifiées) ou sur des clauses contractuelles types. Vérifiez l’annexe sous-traitants du DPA.
- La région d’hébergement par défaut. Ne présumez jamais qu’elle est européenne : vérifiez-la dans les paramètres de votre instance et, au besoin, demandez une région EEA à l’ouverture du compte.
Sur le volet sécurité, Odoo communique sur des audits SOC 1 / SOC 2 et des centres de données certifiés ISO 27001. Ces éléments nourrissent votre démonstration de conformité à l’article 32 du RGPD (sécurité du traitement), mais ne vous dispensent pas de vos propres mesures : gestion des accès, journalisation, sauvegardes. Le raisonnement est le même que pour tout hébergeur cloud — voir notre analyse de Google Cloud face au RGPD, l’infrastructure sous-jacente d’Odoo hébergé.
Le vrai risque d’Odoo : la donnée par module
La conformité d’un ERP ne se joue pas seulement dans le contrat, mais dans le paramétrage de chaque module. Voici les points de vigilance que je vois le plus souvent.
Module CRM et prospection
Le module CRM stocke prospects et historiques de relance. La base légale de la prospection B2B repose généralement sur l’intérêt légitime (Art. 6(1)(f)), tandis que la prospection B2C par e-mail suppose le plus souvent un consentement préalable. Veillez à ne pas importer de bases achetées sans vérifier leur origine, et à documenter votre arbitrage dans le registre. Le sujet est détaillé dans notre guide sur la prospection commerciale et le RGPD.
Module Email Marketing
Le module d’e-mailing d’Odoo doit intégrer un lien de désinscription fonctionnel et tracer le consentement à l’inscription. C’est un point que la CNIL contrôle régulièrement : l’opt-out doit être aussi simple que l’opt-in.
Module RH et paie
Dès que vous activez les modules Employés / Paie, vous traitez des données de salariés, parfois sensibles (santé, arrêts de travail). Limitez les accès aux seules personnes habilitées (RH, paie) via la gestion fine des droits d’Odoo, et fixez des durées de conservation distinctes des données clients.
Durées de conservation
C’est la faiblesse structurelle des ERP : la donnée s’accumule sans jamais être purgée. Le RGPD impose pourtant une limitation de la conservation. Paramétrez des règles d’archivage et d’effacement par catégorie (prospects inactifs, anciens clients, ex-salariés) — voir notre guide sur les durées de conservation des données. Dans mon expérience d’audit, c’est le point sur lequel quasiment toutes les instances Odoo sont prises en défaut.
Droits des personnes
Une demande d’effacement ou d’accès portant sur une personne présente dans plusieurs modules (à la fois client, contact marketing et ancien candidat) suppose de la retrouver partout. Identifiez en amont comment Odoo permet de répondre à une demande de droit à l’effacement de façon transversale.
Configuration recommandée
Pour un déploiement Odoo hébergé que je considérerais comme défendable en cas de contrôle :
- Choisir explicitement une région d’hébergement dans l’EEE et le documenter.
- Archiver le DPA et la liste des sous-traitants ultérieurs, et les réexaminer une fois par an.
- Inscrire chaque module actif au registre comme un traitement distinct.
- Cloisonner les accès par profil (commercial, RH, compta) plutôt que d’ouvrir l’ERP en grand.
- Définir des durées de conservation et activer les purges automatiques.
- Tester une demande de droits de bout en bout avant qu’elle n’arrive.
Pour les structures les plus sensibles, l’édition Community auto-hébergée chez un hébergeur souverain reste l’option qui offre le plus de maîtrise — au prix d’une charge d’exploitation que vous assumez intégralement.
Ce qu’il faut retenir
- En mode hébergé (Odoo Online / Odoo.sh), vous êtes responsable de traitement et Odoo SA est sous-traitant : un DPA au titre de l’article 28 est obligatoire.
- En auto-hébergement (Community), Odoo SA n’est pas votre sous-traitant ; votre hébergeur l’est.
- Odoo hébergé tourne sur Google Cloud avec choix de la région : retenez une région EEE pour éviter tout transfert sur le stockage principal.
- Le vrai risque n’est pas le contrat mais le paramétrage module par module : base légale du CRM, opt-out marketing, accès RH, et surtout durées de conservation.
- Documentez tout au registre : un ERP, c’est une dizaine de traitements distincts à tracer.
FAQ
Odoo est-il conforme au RGPD ?
Odoo fournit les briques nécessaires à la conformité (DPA, choix de région d’hébergement dans l’EEE, certifications de sécurité), mais la conformité finale dépend de votre paramétrage : base légale par module, durées de conservation, gestion des accès et tenue du registre relèvent de votre responsabilité.
Où sont hébergées les données Odoo ?
Odoo Online et Odoo.sh s’appuient sur Google Cloud, avec plusieurs régions disponibles. Vous pouvez choisir une région située dans l’Espace économique européen ; vérifiez ce paramètre, car la région par défaut n’est pas nécessairement européenne.
Faut-il signer un DPA avec Odoo ?
Oui, dès que vous utilisez une offre hébergée. Odoo met à disposition un contrat de sous-traitance (DPA) et publie la liste de ses sous-traitants ultérieurs ; vous devez le récupérer, l’archiver et le réexaminer périodiquement.
L’auto-hébergement d’Odoo est-il plus conforme ?
Il vous donne davantage de maîtrise sur la localisation et la sécurité, ce qui peut réduire les questions de transfert. En contrepartie, vous assumez seul toutes les obligations de sécurité de l’article 32 : mises à jour, sauvegardes, contrôle des accès.
Vous voulez garder une longueur d’avance sur la conformité de vos outils ? Recevez nos analyses RGPD chaque semaine — décryptages d’outils, décisions CNIL et bonnes pratiques, sans jargon inutile.