Reggie Davis, General Counsel chez DocuSign, participe à l’éducation et à l’adoption de la signature électronique et des transactions numériques dans le monde entier. Nous avons rencontré Reggie pour avoir son avis concernant la Réglementation Générale de Protection des Données (RGPD ou GDPR) qui arrive très prochainement et pour comprendre l’approche de DocuSign par rapport à cette dernière, ainsi que comment DocuSign pourra améliorer la capacité de ses clients à se conformer.

Q : Alors, la RGPD : c’est quoi ?

R : La Réglementation Générale de Protection des Données (RGPD) est une loi européenne visant à renforcer la protection des données des individus au sein de l’UE et à uniformiser au mieux la conformité des données pour les entreprises européennes.

Entrant en vigueur le 25 mai 2018, la RGPD nécessite que les organisations recueillant et exploitant des données personnelles (données personnelles de traitement, par exemple) se montrent extrêmement responsables. La réglementation prévoit d’imposer des pénalités en cas de non-conformité. Elle donne également aux individus un plus grand pouvoir sur ce que les entreprises peuvent faire des données recueillies les concernant.

Q : Quelle est l’approche de DocuSign concernant la RGPD ?

R : En tant que contrôleur et processeur de données, l’une des priorités majeures de DocuSign porte sur la confidentialité et la sécurité des documents de nos clients et nous suivons avec attention la transition de l’UE vers la RGPD. Nous avons déjà réalisé d’importantes avancées dans ce domaine et nombre d’entre elles s’appliquent à la RGPD.

DocuSign a déjà rédigé des ébauches de Règles d’Entreprise Contraignantes (Binding Corporate Rules, BCR) comportant des règles sur la confidentialité et les a transmises, avec de nombreuses annexes à l’appui, pour approbation par les autorités de supervision européennes. Nous continuerons d’accepter les clauses de références figurant dans les accords de l’UE à destination des entreprises traitant des données clients, afin de garantir une protection adéquate ainsi que la confidentialité des données européennes, en toute conformité avec la loi.

DocuSign dispose également des certifications pour les normes ISO 27001 et PCI Data Security Standard. Nous avons mis en places des contrôles suffisants pour atteindre les objectifs des normes SOC1 et SOC2 ou normes équivalentes et chaque année, des contrôles sont effectués pour évaluer notre conformité à ces normes.

Toutes les « données des documents électroniques » créées par nos clients lorsqu’ils utilisent le service DocuSign sont automatiquement chiffrées avec une clé de chiffrement AES 256bits ou équivalente. De plus, les documents électroniques traités par DocuSign pour ses clients de l’EEA peuvent être stockées dans des centres de données européens.

Q : Que sont les Règles d’Entreprise Contraignantes (BCR) ?

R : Les BCR définissent la politique globale d’une entreprise par rapport à la protection des données. D’une manière spécifique, elles permettent aux multinationales de rendre les transferts transfrontaliers des données personnelles entre les organisations conformes avec la loi européenne sur la protection des données.

Les BCR sont transmises aux autorités européennes en charge de la protection des données pour qu’elles les relisent, les modifient et les approuvent, après quoi les données personnelles transférées vers et au sein d’une structure d’entreprise sont protégées. Les BCR sont largement évoquées dans la RGPD et sont considérées par la majorité comme étant la « règle d’or » de la protection des données.

Q : Quelle est la différence entre les BCR et la RGPD ?

R : La RGPD est la réglementation générale sur la confidentialité qui entrera en vigueur le 25 mai 2018. Les BCR constituent l’un des mécanismes approuvés pour le transfert de données personnelles sous l’autorité de la RGPD.

Q : Que fait DocuSign pour préparer sa conformité à la RGPD ?

R : En tant qu’organisation axée sur la confiance et la gestion attentive des documents des clients, DocuSign a développé une véritable culture de la conformité et de la garantie de la sécurité qui se reflète dans la certification ISO 27001. Les efforts fournis par DocuSign pour se conformer à la RGPD vont valoriser ces atouts déjà présents. DocuSign surveille de près les directives de régulation et les interprétations des exigences clés de la RGPD pour appuyer ses efforts et, comme beaucoup de prestataires de service cloud, la société revoit son programme de protection des données et apporte des ajustements pour garantir la conformité à la RGPD d’ici le 25 mai 2018.

Q : Est-ce que DocuSign utilise sa propre technologie pour appuyer ses efforts de conformité à la RGPD ?

R : DocuSign emploie généralement sa propre technologie pour appuyer ses processus internes comme la création, la révision et l’approbation de politiques. La technologie de signature électronique de DocuSign est parfaitement adaptée à la sécurisation des consentements en accord avec la RGPD et nous allons étudier avec attention la possibilité de la déployer pour des cas d’utilisation pour lesquels DocuSign s’appuierait sur le consentement comme base légitime de traitement des données personnelles.

La solution de signature électronique de DocuSign est parfaitement adaptée au déploiement et à l’exécution de contrats avec des prestataires de service, dont les gestionnaires de données. Nous allons la déployer dans le cadre de nos efforts pour nous assurer que les accords avec les gestionnaires de données répondent aux exigences de la RGPD concernant la protection des données.

Q : Est-ce que DocuSign peut aider les clients à se conformer à la RGPD ?

R : DocuSign peut aider ses clients de différentes manières :

  • Si les clients s’appuient sur le consentement comme base légitime pour le traitement des données personnelles, la signature électronique peut les aider à recueillir et documenter ce consentement.
  • Si les clients cherchent à accroître la transparence de leur traitement, la signature électronique peut également les aider à déployer et documenter les reçus d’avis de traitement des données.
  • Si les clients doivent apporter aux prestataires (par exemple, des gestionnaires de données) des conditions contractuelles exigées par la RGPD ou les réapprovisionner avec ce genre de contenu, DocuSign est l’outil idéal.

> Vous souhaitez en savoir plus sur les réglementations qui impactent la signature électronique ?

Inscrivez-vous à notre webinar du 25/01/2018 à 11h : « GDPR, eIDAS : le nouveau cadre réglementaire européen sur l’identité et la signature électronique »

Tags