La signature électronique implique le traitement de données personnelles : nom, email, adresse IP, horodatage. Comment s'assurer que votre solution de signature est conforme au RGPD ? Quelles données sont collectées et pour combien de temps ?
Quelles données sont collectées lors d'une signature ?
Une solution de signature électronique collecte typiquement : l'identité du signataire (nom, email), l'adresse IP au moment de la signature, l'horodatage précis, le type d'appareil et de navigateur, et dans le cas d'une AES, le numéro de téléphone pour l'envoi de l'OTP. Ces données constituent la piste d'audit, essentielle à la valeur probante de la signature.
Quelle base légale pour le traitement ?
Le traitement des données dans le cadre d'une signature électronique repose généralement sur deux bases légales du RGPD : l'exécution d'un contrat (article 6.1.b) pour les données du signataire, et l'intérêt légitime (article 6.1.f) pour les données de la piste d'audit nécessaires à prouver la validité de la signature.
Durée de conservation des données
La durée de conservation des documents signés et de la piste d'audit dépend de la nature du document : 5 ans pour les contrats commerciaux (prescription civile), 10 ans pour les documents comptables, 30 ans pour les actes immobiliers. Le prestataire de signature doit permettre la suppression des données à l'expiration de ces délais.
Comment choisir un prestataire conforme RGPD ?
- Hébergement des données en Europe (pas de transfert hors UE)
- Chiffrement AES-256 au repos et TLS 1.3 en transit
- DPA (Data Processing Agreement) disponible sur demande
- Politique de rétention configurable par le client
- Droit d'accès, de rectification et de suppression respecté
- Certifications : SOC 2 Type II, ISO 27001