Signature électronique et RGPD : ce qu'il faut savoir
La signature électronique implique le traitement de données personnelles. Quelles sont les obligations RGPD à respecter ? Notre guide complet.
La signature électronique implique le traitement de nombreuses données personnelles : nom, email, adresse IP, données de connexion, empreintes biométriques dans certains cas. Le RGPD encadre strictement ce traitement et impose plusieurs obligations aux entreprises qui y recourent.
Les données personnelles traitées
Une enveloppe de signature collecte et traite plusieurs catégories de données : identifiants du signataire (nom, prénom, email, téléphone), métadonnées de signature (horodatage, adresse IP, user agent, géolocalisation approximative), et empreintes cryptographiques du document signé. Certaines solutions ajoutent des données biométriques (signature manuscrite capturée sur tablette).
Base légale du traitement
Le traitement de ces données repose généralement sur deux bases légales : l'exécution d'un contrat (article 6.1.b du RGPD) pour les données nécessaires à la signature, et l'intérêt légitime (article 6.1.f) pour la conservation de la preuve. Le consentement n'est pas toujours requis si la signature est nécessaire à l'exécution du contrat.
Durée de conservation
La durée de conservation doit être proportionnée aux finalités. Pour les documents signés, elle correspond généralement à la durée de prescription applicable : 5 ans pour les contrats commerciaux, 30 ans pour les contrats immobiliers, 10 ans minimum pour les contrats de travail. Cette durée doit figurer dans votre registre des traitements et être communiquée aux signataires.
Droits des signataires
Les signataires disposent des droits RGPD habituels : accès, rectification, effacement (dans la limite de la valeur probante), limitation, portabilité et opposition. L'effacement peut être limité pour les données nécessaires à la valeur probante du document, mais le signataire doit en être informé dès la signature.
Choisir un prestataire conforme
Votre prestataire de signature électronique est un sous-traitant au sens du RGPD. Vous devez signer un DPA (Data Processing Agreement) qui précise les responsabilités de chacun. Privilégiez un prestataire hébergeant les données en Union européenne, offrant chiffrement au repos et en transit, et proposant un registre d'audit accessible.
Certyneo est hébergé en France, conforme RGPD par conception, fournit un DPA standard et permet à chaque client d'exporter ou de supprimer les données de ses signataires via son interface ou son API.
Information des signataires
Avant la signature, chaque signataire doit être informé de manière claire et concise : identité du responsable de traitement, finalités, base légale, destinataires, durée de conservation, droits et moyens de les exercer. Certyneo affiche automatiquement ces informations avant la signature et permet de personnaliser la politique de confidentialité.
Essayez Certyneo gratuitement
Envoyez votre première enveloppe de signature en moins de 5 minutes. 5 enveloppes gratuites par mois, sans carte bancaire.
Continuez votre lecture sur Réglementation
Approfondissez vos connaissances avec ces articles en lien avec le sujet.
