Une signature électronique implique-t-elle un traitement de données personnelles ?

Oui. L'email, le nom, et potentiellement le numéro de téléphone du signataire sont collectés. Le contenu des documents peut aussi contenir des données personnelles. Le prestataire de signature est un sous-traitant au sens du RGPD, soumis aux obligations de l'article 28.

DocuSign est-il conforme RGPD ?

DocuSign affirme être conforme RGPD et propose des SCCs. Cependant, en tant que société américaine, elle reste soumise au Cloud Act. La CNIL a rappelé que le Cloud Act crée un risque non suppressible pour les données européennes hébergées par des entités US, même en UE.

Certyneo est-il conforme RGPD ?

Oui. Certyneo est une entité française, hébergée en UE (IONOS Allemagne), non soumise au Cloud Act. Les données sont chiffrées en transit (TLS 1.3) et au repos. Certyneo propose un DPA conforme à l'article 28 du RGPD.

Faut-il réaliser une AIPD pour l'usage d'une solution de signature ?

Une AIPD n'est pas systématiquement requise pour la signature électronique standard. Elle s'impose si vous signez des documents contenant des données sensibles (santé, RH avec données syndicales, etc.) ou si votre usage de la signature implique un profilage ou une surveillance à grande échelle.

Guide conformité 2026

Signature électronique et RGPD : guide pour les DPO

L'adoption d'une solution de signature électronique soulève plusieurs questions RGPD : où les données sont-elles hébergées ? Qui peut y accéder ? Y a-t-il un risque Cloud Act ? Ce guide répond à ces questions et explique comment choisir une solution conforme au RGPD pour votre organisation.

Mis à jour le 27 avril 2026

Quelles données personnelles traite une solution de signature ?

Une plateforme de signature électronique traite plusieurs catégories de données personnelles.

Identité du signataire : nom, prénom, email, numéro de téléphone
Contenu des documents : potentiellement des données personnelles sensibles (contrats de travail, données de santé, données financières)
Données d'audit trail : adresse IP, timestamp, user-agent
Données comportementales : tracé de signature manuscrite sur tablette (si QES biométrique)

Hébergement et transferts hors UE

Le RGPD impose que les données personnelles ne soient transférées hors UE que vers des pays offrant un niveau de protection adéquat ou sous garanties appropriées (SCCs, BCRs). Pour les solutions de signature, cela signifie :

Hébergement UE → transfert natif, pas de formalités supplémentaires
Hébergement US avec SCCs → possible mais risque résiduel Cloud Act
Entité US (Cloud Act) → risque non supprimable même avec hébergement UE

Cloud Act américain et signature électronique

Le Cloud Act (2018) autorise les autorités américaines à accéder aux données hébergées par des entreprises de droit américain, même si ces données sont stockées en Europe. DocuSign, Adobe Sign et Dropbox Sign sont des entreprises américaines soumises au Cloud Act. Certyneo est une entité française, non soumise à cette extraterritorialité.

Solution	Niveau de risque Cloud Act par solution
Certyneo	Aucun risque — entité française
Yousign	Aucun risque — entité française
DocuSign	Risque résiduel — entité américaine
Adobe Acrobat Sign	Risque résiduel — entité américaine
Dropbox Sign	Risque résiduel — entité américaine

DPA et bases légales

Le traitement des données par une solution de signature doit reposer sur une base légale valide (contrat, intérêt légitime, ou consentement). Un Data Processing Agreement (DPA) doit être conclu avec le prestataire de signature. Certyneo propose un DPA RGPD-conforme, signable électroniquement, avec les éléments requis par l'article 28 du RGPD.

Recommandations pour les DPO

1Choisissez un prestataire dont l'entité légale est domiciliée en UE ou au Royaume-Uni (post-Brexit avec décision d'adéquation)
2Vérifiez que l'hébergement est exclusivement en UE, sans réplication sur des serveurs hors UE
3Obtenez et signez un DPA conforme à l'article 28 du RGPD
4Documentez l'analyse d'impact (AIPD) si vous traitez des données sensibles dans vos documents
5Vérifiez la durée de conservation des données et la politique de suppression en fin de contrat

Questions RGPD sur la signature électronique

Une signature électronique implique-t-elle un traitement de données personnelles ?: Oui. L'email, le nom, et potentiellement le numéro de téléphone du signataire sont collectés. Le contenu des documents peut aussi contenir des données personnelles. Le prestataire de signature est un sous-traitant au sens du RGPD, soumis aux obligations de l'article 28.
DocuSign est-il conforme RGPD ?: DocuSign affirme être conforme RGPD et propose des SCCs. Cependant, en tant que société américaine, elle reste soumise au Cloud Act. La CNIL a rappelé que le Cloud Act crée un risque non suppressible pour les données européennes hébergées par des entités US, même en UE.
Certyneo est-il conforme RGPD ?: Oui. Certyneo est une entité française, hébergée en UE (IONOS Allemagne), non soumise au Cloud Act. Les données sont chiffrées en transit (TLS 1.3) et au repos. Certyneo propose un DPA conforme à l'article 28 du RGPD.
Faut-il réaliser une AIPD pour l'usage d'une solution de signature ?: Une AIPD n'est pas systématiquement requise pour la signature électronique standard. Elle s'impose si vous signez des documents contenant des données sensibles (santé, RH avec données syndicales, etc.) ou si votre usage de la signature implique un profilage ou une surveillance à grande échelle.

→ Nos garanties de sécurité · → Guide signature électronique · → Règlement eIDAS

Une solution de signature conforme RGPD

Entité française, hébergement UE exclusif, DPA disponible, hors Cloud Act.