Signature électronique et RGPD : guide pour les DPO

Quelles données personnelles traite une solution de signature ?

Une plateforme de signature électronique traite plusieurs catégories de données personnelles.

• Identité du signataire : nom, prénom, email, numéro de téléphone
• Contenu des documents : potentiellement des données personnelles sensibles (contrats de travail, données de santé, données financières)
• Données d'audit trail : adresse IP, timestamp, user-agent
• Données comportementales : tracé de signature manuscrite sur tablette (si QES biométrique)

Hébergement et transferts hors UE

Le RGPD impose que les données personnelles ne soient transférées hors UE que vers des pays offrant un niveau de protection adéquat ou sous garanties appropriées (SCCs, BCRs). Pour les solutions de signature, cela signifie :

• Hébergement UE → transfert natif, pas de formalités supplémentaires
• Hébergement US avec SCCs → possible mais risque résiduel Cloud Act
• Entité US (Cloud Act) → risque non supprimable même avec hébergement UE

Cloud Act américain et signature électronique

Le Cloud Act (2018) autorise les autorités américaines à accéder aux données hébergées par des entreprises de droit américain, même si ces données sont stockées en Europe. DocuSign, Adobe Sign et Dropbox Sign sont des entreprises américaines soumises au Cloud Act. Certyneo est une entité française, non soumise à cette extraterritorialité.

Recommandations pour les DPO

1. 1Choisissez un prestataire dont l'entité légale est domiciliée en UE ou au Royaume-Uni (post-Brexit avec décision d'adéquation)
2. 2Vérifiez que l'hébergement est exclusivement en UE, sans réplication sur des serveurs hors UE
3. 3Obtenez et signez un DPA conforme à l'article 28 du RGPD
4. 4Documentez l'analyse d'impact (AIPD) si vous traitez des données sensibles dans vos documents
5. 5Vérifiez la durée de conservation des données et la politique de suppression en fin de contrat

Questions RGPD sur la signature électronique

Une signature électronique implique-t-elle un traitement de données personnelles ?

Oui. L'email, le nom, et potentiellement le numéro de téléphone du signataire sont collectés. Le contenu des documents peut aussi contenir des données personnelles. Le prestataire de signature est un sous-traitant au sens du RGPD, soumis aux obligations de l'article 28.

DocuSign est-il conforme RGPD ?

DocuSign affirme être conforme RGPD et propose des SCCs. Cependant, en tant que société américaine, elle reste soumise au Cloud Act. La CNIL a rappelé que le Cloud Act crée un risque non suppressible pour les données européennes hébergées par des entités US, même en UE.

Certyneo est-il conforme RGPD ?

Oui. Certyneo est une entité française, hébergée en UE (IONOS Allemagne), non soumise au Cloud Act. Les données sont chiffrées en transit (TLS 1.3) et au repos. Certyneo propose un DPA conforme à l'article 28 du RGPD.

Faut-il réaliser une AIPD pour l'usage d'une solution de signature ?

Une AIPD n'est pas systématiquement requise pour la signature électronique standard. Elle s'impose si vous signez des documents contenant des données sensibles (santé, RH avec données syndicales, etc.) ou si votre usage de la signature implique un profilage ou une surveillance à grande échelle.