Oui, la signature electronique est compatible avec le RGPD, a condition que le prestataire respecte les obligations du reglement europeen sur la protection des donnees (UE 2016/679). En pratique, le processus de signature electronique collecte des donnees personnelles — nom, email, adresse IP, horodatage — qui sont indispensables a la validite juridique de la signature mais qui relevent pleinement du champ d’application du RGPD.
Cet article detaille les donnees collectees, les bases legales applicables, les obligations du prestataire de signature, et les risques lies aux transferts de donnees hors de l’Union europeenne. Il explique egalement pourquoi le choix d’une solution 100 % francaise comme Sesign constitue un avantage determinant en matiere de conformite.
Quelles donnees personnelles sont collectees lors d’une signature electronique ?
Chaque signature electronique genere un ensemble de donnees personnelles qui constituent le dossier de preuve (ou fichier de preuve). Ce dossier est essentiel : c’est lui qui permet de prouver, en cas de contestation, que la signature est bien celle du signataire designe, et qu’elle a ete apposee a une date et une heure precises.
Les donnees systematiquement collectees
| Donnee | Finalite | Base legale |
|---|---|---|
| Nom et prenom | Identification du signataire | Execution du contrat |
| Adresse email | Envoi du lien de signature et des notifications | Execution du contrat |
| Adresse IP | Preuve d’authenticite et tracabilite | Interet legitime |
| Horodatage (date et heure) | Preuve de la date de signature | Obligation legale (eIDAS) |
| Consentement explicite | Preuve que le signataire a consenti a signer | Execution du contrat |
| Empreinte numerique (hash du document) | Preuve d’integrite du document signe | Obligation legale (eIDAS) |
Les donnees collectees selon le niveau de signature
Pour une signature electronique simple (SES), les donnees ci-dessus suffisent. Lorsqu’une signature electronique avancee (AES) est requise, des donnees supplementaires peuvent etre collectees :
- Numero de telephone (pour la verification par SMS/OTP)
- Piece d’identite (pour la verification d’identite)
- Donnees biometriques (dans de rares cas, pour la signature manuscrite sur tablette)
Chacune de ces donnees constitue une donnee personnelle au sens de l’article 4 du RGPD. Leur collecte doit etre justifiee par une base legale et limitee au strict necessaire (principe de minimisation, article 5.1.c du RGPD).
Les bases legales applicables a la signature electronique
Le RGPD exige que tout traitement de donnees personnelles repose sur l’une des six bases legales definies a l’article 6. Pour la signature electronique, trois bases legales sont principalement mobilisees.
1. L’execution du contrat (article 6.1.b)
C’est la base legale la plus naturelle. Lorsqu’un document est envoye en signature, le traitement des donnees du signataire est necessaire a l’execution du contrat que les parties s’appretent a conclure. Le nom, l’email et le consentement sont indispensables a la formalisation de l’accord.
Cette base legale s’applique a la grande majorite des cas d’usage : signature d’un devis, d’un contrat de travail, d’un bail, d’un bon de commande. Pour decouvrir l’ensemble des documents concernees, consultez notre liste des 71 types de documents signables electroniquement.
2. L’interet legitime (article 6.1.f)
La collecte de l’adresse IP et la constitution du dossier de preuve relevent de l’interet legitime du responsable de traitement. En effet, ces donnees sont necessaires pour :
- Prouver la validite de la signature en cas de contestation judiciaire
- Respecter les exigences du reglement eIDAS en matiere de piste d’audit
- Proteger les interets juridiques des parties
L’interet legitime suppose une balance des interets : l’atteinte a la vie privee du signataire (collecte de son adresse IP) est proportionnee a l’objectif poursuivi (securite juridique de la signature). La CNIL a confirme cette analyse dans ses recommandations relatives aux services de signature electronique.
3. L’obligation legale (article 6.1.c)
Certaines donnees sont collectees en vertu d’une obligation legale. Le reglement eIDAS impose la constitution d’un fichier de preuve comprenant un horodatage fiable et une empreinte numerique du document. Le prestataire de signature est tenu de collecter ces informations pour garantir la conformite de ses signatures au droit europeen.
Les obligations du prestataire de signature electronique
Le prestataire de signature electronique agit generalement en tant que sous-traitant au sens de l’article 28 du RGPD. A ce titre, il est soumis a des obligations specifiques.
Le contrat de sous-traitance (DPA)
Le prestataire et son client doivent conclure un Data Processing Agreement (DPA), aussi appele accord de sous-traitance. Ce contrat, obligatoire en vertu de l’article 28.3 du RGPD, doit preciser :
- La nature et la finalite du traitement
- Les categories de donnees personnelles traitees
- La duree du traitement
- Les obligations du sous-traitant en matiere de securite
- Les conditions de recours a des sous-traitants ulterieurs
- Les modalites de restitution ou de suppression des donnees en fin de contrat
Chez Sesign, le DPA est mis a disposition de tous les clients et peut etre signe directement depuis l’espace de gestion du compte.
La duree de conservation
Les donnees de signature ne peuvent pas etre conservees indefiniment. Le prestataire doit definir une duree de conservation proportionnee a la finalite du traitement.
En pratique, la duree de conservation est generalement alignee sur les delais de prescription applicables aux contrats :
- 5 ans pour les contrats civils (article 2224 du Code civil)
- 10 ans pour les documents comptables (article L123-22 du Code de commerce)
- 30 ans pour les actes relatifs a l’immobilier
Au-dela de ces delais, les donnees doivent etre supprimees ou anonymisees.
Les mesures de securite
L’article 32 du RGPD impose au prestataire de mettre en oeuvre des mesures techniques et organisationnelles appropriees pour garantir la securite des donnees. Pour un service de signature electronique, cela inclut notamment :
- Le chiffrement des donnees en transit (TLS) et au repos (AES-256)
- Le controle d’acces aux donnees de signature
- La sauvegarde reguliere des donnees
- La journalisation des acces (logs d’audit)
- Les tests de securite reguliers (penetration testing)
Sesign met en oeuvre l’ensemble de ces mesures. Pour en savoir plus, consultez notre page securite.
Le droit des personnes
Le prestataire doit permettre l’exercice effectif des droits des signataires :
- Droit d’acces (article 15) : le signataire peut obtenir une copie de ses donnees de signature
- Droit de rectification (article 16) : correction des donnees inexactes
- Droit a l’effacement (article 17) : suppression des donnees, sous reserve des obligations legales de conservation
- Droit a la portabilite (article 20) : recuperation des donnees dans un format structure
- Droit d’opposition (article 21) : opposition au traitement fonde sur l’interet legitime
Le droit a l’effacement merite une attention particuliere. Un signataire peut demander la suppression de ses donnees, mais le prestataire peut legitimement refuser si cette suppression compromettrait le dossier de preuve pendant la duree legale de prescription. L’article 17.3.e du RGPD prevoit cette exception pour la “constatation, l’exercice ou la defense de droits en justice”.
Le probleme des transferts de donnees hors de l’Union europeenne
C’est le point le plus sensible du sujet RGPD et signature electronique. La question est simple : ou sont stockees vos donnees de signature ?
L’arret Schrems II et ses consequences
En juillet 2020, la Cour de justice de l’Union europeenne a rendu l’arret Schrems II (affaire C-311/18), invalidant le Privacy Shield qui encadrait les transferts de donnees entre l’UE et les Etats-Unis. La Cour a juge que les lois americaines de surveillance (FISA Section 702, Executive Order 12333) ne garantissent pas un niveau de protection equivalant au droit europeen.
Depuis cet arret, les transferts de donnees vers les Etats-Unis reposent sur les clauses contractuelles types (CCT) adoptees par la Commission europeenne en juin 2021. Mais ces clauses ne resolvent pas le probleme de fond : les autorites americaines conservent un acces potentiel aux donnees stockees par les entreprises soumises au droit americain.
Le Data Privacy Framework : une solution fragile
En juillet 2023, la Commission europeenne a adopte le EU-US Data Privacy Framework, censee fournir un nouveau cadre juridique pour les transferts transatlantiques. Cependant, de nombreux experts et autorites de protection des donnees estiment que ce cadre pourrait etre invalide a son tour par la CJUE, comme l’ont ete les deux cadres precedents (Safe Harbor en 2015, Privacy Shield en 2020).
Pour les entreprises soucieuses de securite juridique, la seule certitude est de conserver les donnees au sein de l’Union europeenne, idealement dans le pays ou elles operent.
Le cas des prestataires americains de signature electronique
Les principaux acteurs du marche de la signature electronique (DocuSign, Adobe Sign, HelloSign) sont des entreprises americaines. Meme lorsqu’elles proposent un hebergement europeen, elles restent soumises au CLOUD Act (2018), qui autorise les autorites americaines a acceder aux donnees detenues par des entreprises americaines, quel que soit le lieu de stockage.
Cela signifie qu’un document signe via un prestataire americain, meme heberge en Europe, pourrait theoriquement faire l’objet d’une demande d’acces de la part d’une agence de renseignement americaine, sans que le responsable de traitement europeen en soit informe.
L’avantage d’une solution 100 % francaise
Sesign a ete concu des l’origine pour offrir une conformite RGPD native, sans compromis ni construction juridique complexe.
Hebergement exclusivement francais
Toutes les donnees de signature sont stockees en France, sur l’infrastructure cloud de Scaleway. Les datacenters sont situes a Paris et Lille, sur le territoire francais. Aucune donnee n’est transferee hors de l’Union europeenne, ni meme hors de France.
Ce choix elimine integralement la problematique des transferts internationaux de donnees. Pas de clauses contractuelles types a negocier, pas de transfert d’impact a realiser, pas de risque Schrems II.
Entreprise francaise, droit francais
Sesign est edite par une societe de droit francais. Cela signifie que :
- L’entreprise est soumise exclusivement au droit francais et europeen
- La CNIL est l’autorite de controle competente
- Aucune loi extra-territoriale (CLOUD Act, FISA) ne s’applique
- Les contrats sont regis par le droit francais et les litiges relèvent des juridictions francaises
Transparence et controle
En choisissant Sesign, le responsable de traitement conserve un controle total sur ses donnees de signature :
- Acces aux dossiers de preuve depuis le tableau de bord
- Export des donnees a tout moment
- Suppression des documents et des donnees sur demande
- DPA disponible et signe directement en ligne
- Registre des sous-traitants ulterieurs accessible publiquement
Pour comparer les fonctionnalites de securite et de conformite, consultez notre page securite et nos tarifs.
Checklist RGPD pour choisir un prestataire de signature electronique
Avant de choisir votre solution de signature electronique, verifiez les points suivants :
- Localisation des donnees : les donnees sont-elles stockees dans l’UE ? Idealement en France ?
- Nationalite de l’entreprise : est-elle soumise au CLOUD Act ou a d’autres lois extra-territoriales ?
- DPA disponible : un contrat de sous-traitance conforme a l’article 28 du RGPD est-il propose ?
- Duree de conservation : est-elle definie, documentee et conforme aux delais de prescription ?
- Droits des personnes : le prestataire facilite-t-il l’exercice des droits d’acces, de rectification et d’effacement ?
- Mesures de securite : chiffrement, controle d’acces, journalisation, tests de securite ?
- Sous-traitants ulterieurs : la liste est-elle accessible ? Sont-ils tous bases dans l’UE ?
- Certification : le prestataire dispose-t-il d’une certification ISO 27001 ou equivalent ?
Sesign repond positivement a chacun de ces criteres. Vous pouvez egalement consulter notre guide pour signer un document en ligne gratuitement et commencer a utiliser la plateforme des aujourd’hui.
Passez a une signature electronique conforme au RGPD
La conformite RGPD n’est pas une option : c’est une obligation legale dont la violation peut entrainer des sanctions pouvant atteindre 4 % du chiffre d’affaires annuel mondial (article 83 du RGPD). En choisissant un prestataire de signature electronique francais, heberge en France, vous eliminez les risques lies aux transferts internationaux et vous garantissez a vos signataires une protection optimale de leurs donnees personnelles.
Creer mon compte Sesign — signature electronique conforme au RGPD, hebergee en France, 5 signatures gratuites par mois.