Le 21 avril 2026, Odoo a annoncé avoir obtenu la certification ISO/IEC 27001:2022. L'annonce arrive quelques jours après l'échéance qu'Odoo s'était elle-même fixée pour sa propre mise en conformité NIS2, et cinq mois avant l'obligation facturation électronique française. Le calendrier n'est pas un hasard. Pour les PME et ETI qui tournent sur Odoo en France, cette certification change quelque chose. Mais pas forcément ce qu'on en dit dans les communiqués.
Ce que la certification atteste vraiment
ISO/IEC 27001 est le standard international pour les systèmes de management de la sécurité de l'information. La version 2022 est la plus récente. Obtenir la certification, cela signifie qu'un auditeur tiers indépendant a vérifié qu'Odoo dispose d'un processus documenté pour identifier les risques de sécurité sur les données qu'elle héberge, appliquer des contrôles, mesurer leur efficacité et les faire évoluer.
La certification porte sur la plateforme Odoo et ses processus internes. Elle s'ajoute aux audits SOC 1 (ISAE 3402) et SOC 2 Types I et II qu'Odoo maintient déjà annuellement via des auditeurs externes. On a désormais trois référentiels qui se recoupent sur la même infrastructure, avec un niveau de transparence raisonnable pour un éditeur SaaS de cette taille.
Ce n'est pas un label marketing. C'est la preuve que les processus de sécurité d'Odoo en tant qu'hébergeur SaaS sont auditables et audités. Pour un client qui utilise Odoo Online ou Odoo.sh, cela veut dire que les serveurs qui hébergent la base sont désormais sous un cadre de sécurité documenté, contrôlé et renouvelé chaque année.
Cela dit, la certification concerne Odoo SA, pas vos propres systèmes. C'est la distinction qu'on va devoir marteler auprès des dirigeants pendant les prochains mois.
NIS2 : ce que ça règle et ne règle pas
La directive NIS2 est entrée en application en octobre 2024. Ses obligations se déploient selon des échéances fonction du statut de chaque entité (essentielle ou importante) et du secteur concerné. Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, selon le plus élevé des deux. Odoo s'était elle-même fixé le 18 avril 2026 comme échéance interne de mise en conformité NIS2. La certification ISO 27001 arrivée trois jours plus tard matérialise ce travail.
Selon une analyse récente de Vision Compliance, ISO 27001 couvre environ 70 % des exigences NIS2 en matière de gestion des risques cybersécurité. C'est une base solide, mais ce n'est pas une équivalence. Les exigences qui ne sont pas couvertes sont précisément celles qui font souvent trébucher les organisations : le reporting d'incidents sous délais stricts (24 h/72 h/1 mois), la responsabilité personnelle engagée de la direction, et l'audit de sécurité sur la chaîne d'approvisionnement numérique.
Qu'apporte exactement le fait qu'Odoo soit ISO 27001 pour une entreprise française soumise à NIS2 ?
Cela règle la partie "tiers hébergeur" de votre cartographie de conformité. Quand vous devrez démontrer à l'ANSSI ou à un auditeur que votre ERP ne constitue pas un point de faiblesse dans votre chaîne, vous produirez la certification d'Odoo comme preuve que le prestataire externe qui héberge vos données est lui-même audité. Sans cela, vous auriez dû soit produire votre propre audit de l'infrastructure Odoo, soit imposer à Odoo un questionnaire de sécurité contractuel, ce qui n'est pas toujours négociable avec un éditeur de cette taille.
Cela ne règle pas votre propre obligation de gouvernance. Si votre entreprise relève de NIS2, vous restez personnellement responsable de définir votre politique de sécurité, de déclarer vos incidents dans les temps impartis, de former vos équipes et de documenter votre chaîne de sous-traitance. Odoo certifié, c'est une case cochée dans votre tableau de bord. Votre tableau de bord reste à tenir.
RGPD : une facilité, pas une exemption
Le RGPD fonctionne selon une logique différente de NIS2. La certification ISO 27001 ne constitue pas une preuve de conformité RGPD, mais elle fournit des garanties sur la sécurité des traitements hébergés.
En pratique, la certification facilite trois choses. Votre DPIA (analyse d'impact relative à la protection des données) sur les traitements hébergés sur Odoo devient plus simple à finaliser, parce que vous documentez une sécurité du sous-traitant attestée par un tiers indépendant. Votre contrat de sous-traitance avec Odoo au sens de l'article 28 du RGPD s'appuie désormais sur une certification externe, ce qui rend la clause "mesures techniques et organisationnelles" plus solide en cas de litige. En cas de contrôle CNIL enfin, vous disposez d'un élément objectif pour démontrer la due diligence exercée sur le choix de votre prestataire.
Ce que ça ne fait pas, c'est vous exempter de votre responsabilité de responsable de traitement. La CNIL considère depuis longtemps que même un sous-traitant certifié ne décharge pas le responsable de traitement de ses propres obligations. Le registre des traitements, la collecte du consentement, la gestion des droits des personnes concernées, les flux transfrontaliers : tout cela reste votre sujet et votre seule responsabilité.
Les angles morts que la certification ne couvre pas
La question qui arrive en clientèle est toujours la même. Suis-je couvert parce que j'utilise Odoo ? La réponse courte est non, et on va devoir le répéter pendant plusieurs mois.
La certification Odoo vaut pour les services Odoo Online et Odoo.sh au niveau de l'infrastructure et du code standard. Dès que vous activez des modules communautaires non maintenus, des développements spécifiques réalisés par un tiers ou des intégrations avec des outils hors du périmètre Odoo, vous sortez du scope audité. Trois cas de figure qu'on rencontre régulièrement méritent d'être nommés.
Premier cas, les instances on-premise. Si vous hébergez Odoo sur vos propres serveurs, vous êtes le responsable de la sécurité de l'infrastructure. La certification d'Odoo SA ne couvre que ses propres services hébergés, pas votre déploiement interne. L'argumentaire "on est sur Odoo certifié" ne tiendra pas devant un auditeur s'il constate que votre instance tourne dans votre salle serveur.
Deuxième cas, les intégrations tierces. Un CRM externe, un WMS, une plateforme e-commerce qui dialoguent avec Odoo : les flux qui sortent d'Odoo et qui entrent dans Odoo transitent par des canaux qui ne sont pas couverts par la certification. Chaque intégration doit être auditée pour elle-même, et les clés d'API stockées quelque part restent une zone grise à documenter.
Troisième cas, les modules OCA ou tiers installés. Ce sont des extensions maintenues hors du cœur Odoo, sans les mêmes exigences de sécurité industrialisées. Un module bien choisi, maintenu par un acteur reconnu comme Akretion ou Camptocamp, reste une bonne option. Un module abandonné depuis deux versions mineures, c'est un risque que la certification ne couvre pas et qu'aucune communication marketing ne masquera.
Pour nos clients soumis à NIS2 ou en préparation e-invoicing, on adopte une lecture en trois temps. On prend l'attestation Odoo ISO 27001 comme l'un des éléments du dossier de conformité, pas comme le dossier lui-même. On documente formellement le périmètre couvert (Odoo Online ou Odoo.sh) et on exclut explicitement ce qui sort de ce périmètre (spécifiques, intégrations, modules tiers). On reprend ensuite la revue de sécurité sur les briques hors scope avec un audit dédié, parce que c'est là que se cachent la plupart des vrais risques opérationnels.
E-invoicing : la validation PA arrive
Deuxième signal notable cette semaine pour nos clients français, indépendant du sujet ISO 27001. Depuis janvier 2026, Odoo figurait dans la liste DGFiP avec le statut "immatriculé sous réserve". Ce statut n'était pas une anomalie propre à Odoo : c'est le processus normal que traversent toutes les plateformes. La validation définitive était conditionnée à la réussite des tests d'interopérabilité avec le Portail Public de Facturation (PPF) et les autres PA.
Ces tests d'interopérabilité sont désormais validés pour Odoo. L'éditeur passe donc de "immatriculé sous réserve" à Plateforme Agréée à part entière. Pour un client qui tourne sur Odoo Online ou Odoo.sh, cela signifie que l'option "Odoo comme PA directe" devient opérationnelle sans avoir à souscrire à une PA tierce intermédiaire pour l'échéance de septembre 2026.
Ce sujet mérite son propre article. On publiera vendredi prochain un guide détaillé sur le mode opératoire pour déclarer Odoo comme PA dans votre configuration. On y détaillera les étapes de paramétrage côté Odoo, les déclarations à faire côté DGFiP, les points d'attention pour le multi-entités, et les cas de figure où on continue à recommander une PA tierce malgré tout.
Côté code Odoo cette semaine
Sur le repo public odoo/odoo (branche master), la semaine du 17 au 24 avril a vu deux commits notables côté localisation française, tous les deux dans le module l10n_fr_account et directement liés à la comptabilité française.
Le compte 649 passe à deux sous-comptes dans l10n_fr_account
Le commit a5e90ae1, poussé le 20 avril 2026 par Ali Alfie, divise le compte 649 en deux sous-comptes 6491 et 6492 dans la localisation française. Pour les clients dont la comptabilité s'appuie sur ce compte, cela permet une granularité supplémentaire sans avoir à créer manuellement les subdivisions. Les nouvelles instances Odoo bénéficieront directement de cette structure. Les bases existantes devront faire l'objet d'une vérification lors d'une future migration de version, notamment pour vérifier que les écritures antérieures restent cohérentes avec la nouvelle structure comptable.
Un tag fiscal corrigé sur les taxes de services
Le commit d0b66dba, poussé le 22 avril 2026 par Anh Thao Pham, retire le tag fiscal "17" des taxes de type services dans l10n_fr_account. Ce tag servait au remplissage automatique d'une case sur la déclaration CA3. Son affectation sur les taxes de services pouvait fausser la déclaration générée par Odoo pour certains profils d'entreprise, notamment celles dont l'activité mêle ventes de biens et prestations. Le correctif entrera dans les prochaines versions mineures. Si vous avez paramétré des déclarations de TVA automatisées sur vos journaux de ventes de services, un contrôle du mapping de taxes vaut le coup avant votre prochaine CA3.
Si votre entreprise est soumise à NIS2 ou en préparation facturation électronique, et que vous voulez savoir exactement ce qui reste à couvrir côté Odoo chez vous, contactez-nous pour un audit de conformité. On regarde ensemble le périmètre effectivement couvert par la certification Odoo et ce qui reste à documenter de votre côté.