Un logiciel de signature électronique peut faciliter le quotidien de vos équipes mais attention au niveau de sécurité qu’il garantit, notamment en ce qui concerne la protection des données personnelles. Le RGPD, s’il ne concerne pas directement la signature électronique, s’y applique pleinement. Pour rappel, le texte européen sur la protection des données s’applique à toutes les entreprises dès lors qu’elles traitent les données personnelles de résidents européens.
Reprenons les termes de ce champ d’application pour bien comprendre. La notion de traitement des données, d’abord, est très large puisqu’elle comprend la collecte, l’utilisation, le stockage ou encore le partage des données. Ainsi, collecter les informations nécessaires à la création d’un contrat signé électroniquement est bien une opération de traitement.
Ensuite, la notion de données personnelles est également très vaste. Parmi les éléments dont vous pourriez avoir besoin pour procéder à la signature électronique d’un document, citons le nom et prénom des personnes, les coordonnées de l’entreprise, son numéro SIREN, une adresse postale ou e-mail…
Précisons également que le RGPD s’applique indifféremment à toutes les entreprises. Dès que les données traitées concernent des résidents européens, il faut le respecter, quelle que soit la taille ou le secteur d’activité de votre entreprise.
Or, respecter le RGPD est une obligation légale et les manquements peuvent entraîner des sanctions prononcées par la CNIL et pouvant atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires de l’entreprise. Autant dire qu’un oubli peut coûter cher…
Voyons donc plus précisément comment le RGPD s’applique aux enjeux de la signature électronique.
Comment collecter les informations nécessaires pour remplir votre contrat électronique ?
On l’a dit, un des points majeurs pour lesquels le RGPD intervient en matière de signature électronique est la collecte des informations nécessaires à la création du document ou du contrat.
La collecte de données personnelles se fait, conformément au texte européen, selon 6 bases légales distinctes. Sans entrer dans le détail, le fondement le plus utilisé dans le cas de la signature électronique est celui du consentement donné par l’utilisateur.
Or ce consentement doit respecter certaines conditions pour être valide. Premièrement, votre client ou utilisateur qui vous confie ces informations doit être informé de ce que vous allez en faire : c’est ce que l’on appelle la finalité du traitement. Le consentement doit ainsi être éclairé.
Ensuite, le consentement doit être libre. Autrement dit, votre client doit avoir la possibilité de refuser de partager ces informations. En pratique, cela rendra la signature électronique impossible et votre utilisateur renoncera donc à bénéficier de votre service.
Enfin, le consentement doit découler d’une action positive de votre client ou utilisateur. Autrement dit, le simple fait de remplir les informations est insuffisant : l’accord doit être explicite et requérir par exemple de cocher une case. Cette disposition est imposée notamment parce que le consentement doit être précis : c’est bien au traitement envisagé que la personne consent, précisément.
Une fois les données personnelles collectées, vous pourrez procéder à la signature électronique. Cependant, la conformité au RGPD ne s’arrête pas là ! Encore faut-il respecter les droits des personnes tout au long de la vie des données.
Exercice des droits des personnes et signature électronique
L’exercice des droits des personnes, qu’est-ce que c’est ? Ce sont les droits protégés par le RGPD. On y trouve :
- le droit d’accès aux données (vous devez pouvoir fournir à la personne concernée les données que vous possédez sur elle) ;
- le droit d’effacement (suppression des données) ;
- le droit à la portabilité (la possibilité de récupérer les données sous format électronique interopérable, pour pouvoir les transmettre à un autre prestataire notamment) ;
- le droit de modification (mise à jour ou correction d’une donnée) ;
- le droit d’opposition (qui permet à la personne de s’opposer à l’utilisation de ses données pour un usage précis) ;
- le droit à la limitation (qui ne supprime pas la donnée mais en suspend l’utilisation, par exemple le temps de se pencher sur une demande particulière).
L’exercice de ces droits doit être facilité par l’entreprise. Cela signifie qu’il doit être facile de faire la demande de les exercer : il peut s’agir d’une page web dédiée ou encore d’une adresse e-mail spécifique et publiquement partagée.
De même, le traitement de la demande doit être facilité, c’est-à-dire traité rapidement : la règle à ce sujet est un délai d’un mois pour répondre à une demande.
On a vu maintenant comment gérer les données personnelles durant leur durée de vie : intéressons-nous maintenant à la fin de cette vie, justement : quand et comment doit-on supprimer les données ?
Durée de conservation du document signé électroniquement et RGPD
La durée de conservation des données personnelles dépend de la finalité de leur utilisation. En effet, selon les cas, les données peuvent être conservées plus ou moins longtemps. Ainsi, par exemple, des données portant sur un candidat non retenu pour un poste peuvent être conservées jusqu’à 2 ans.
Il faut bien comprendre ensuite que ce chronomètre de la donnée démarre à un moment précis qui est la fin de la relation entre vous et la personne concernée. Vous utilisez la signature électronique pour un contrat de prestation de service ? Dans ce cas, la fin de la relation aura lieu à l’exécution du contrat, c’est-à-dire quand le projet ou le service rendu sera terminé.
Ensuite, il faut noter que certaines obligations légales viennent rallonger la durée de conservation des données. Sans toutes les énumérer, revenons sur l’exemple du contrat qui est un des cas d’usages majeurs de la signature électronique. Dans ce cas, le Code de commerce impose que les données de facturation et les contrats soient conservés pendant 5 ans après la fin de la relation commerciale.
À noter aussi qu’un archivage électronique intermédiaire permet de sécuriser séparément les données dont vous n’avez plus besoin au quotidien (par exemple, les informations concernant d’anciens clients) tout en les conservant accessibles à certaines personnes habilitées en cas de besoin.
Vous avez maintenant toutes les clés pour mener une politique de signature électronique parfaitement conforme au RGPD ! Pour en savoir plus, vous pouvez consulter les ressources de notre partenaire Witik sur les règles de conformité au RGPD pour les entreprises.
Article rédigé par Witik