Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/DocuSign et RGPD : guide de conformite 2026
RGPD

DocuSign et RGPD : guide de conformite 2026

DocuSign est-il conforme au RGPD ? Analyse du DPA, des transferts, de la securite et configuration recommandee.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202611 min de lecture
Sommaire
  1. Qualification juridique : DocuSign comme sous-traitant
  2. Analyse du DPA DocuSign
  3. Transferts internationaux et analyse d’impact sur les transferts (TIA)
  4. Securite informatique
  5. Configuration recommandee pour la conformite RGPD
  6. Points d’attention specifiques
  7. FAQ

DocuSign est le leader mondial de la signature electronique. En France, la plateforme est massivement utilisee par les entreprises de toutes tailles pour signer des contrats de travail, des NDA, des baux, des mandats, des consentements medicaux et une multitude d’autres documents juridiques. Cette position de leader implique une responsabilite considerable en matiere de protection des donnees : DocuSign ne traite pas seulement l’identite des signataires, mais aussi le contenu integral des documents signes, qui peuvent contenir n’importe quel type de donnees personnelles.

C’est la particularite fondamentale des solutions de signature electronique par rapport aux autres outils SaaS : le contenu des documents est imprevisible. Un contrat de travail contient le salaire, l’adresse, le numero de securite sociale. Un bail contient des donnees financieres. Un consentement medical contient des donnees sensibles. DocuSign traite tout cela sans distinction. L’analyse RGPD doit en tenir compte.

Pour une vue d’ensemble de la conformite des outils SaaS, consultez notre guide RGPD par outil. Voir egalement notre analyse d’Adobe Sign, le principal concurrent de DocuSign.

Qualification juridique : DocuSign comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

DocuSign Inc. agit en qualite de sous-traitant au sens de l’article 28 du RGPD pour ses services de signature electronique. Votre organisation determine les finalites du traitement (signature de contrats, authentification de documents) et les moyens essentiels (quels documents sont soumis a signature, quels signataires sont invites). DocuSign fournit l’infrastructure technique et traite les donnees selon vos instructions.

Les categories de donnees traitees

DocuSign traite plusieurs categories de donnees personnelles distinctes :

  • Donnees d’identite des signataires : nom, prenom, adresse email, adresse IP de connexion
  • Donnees d’authentification : methode d’authentification utilisee (email, SMS, piece d’identite), horodatage de la signature
  • Contenu des documents : l’integralite du document soumis a signature. C’est le point critique – DocuSign a acces au contenu complet des documents.
  • Metadonnees de la transaction : horodatage, certificat de signature, journal d’audit de l’enveloppe
  • Donnees de paiement : si la fonctionnalite de paiement integre est utilisee

La nature imprevisible du contenu des documents signe est le facteur de risque principal. Un meme compte DocuSign peut traiter, dans la meme journee, un accord de confidentialite anodin et un consentement medical contenant des donnees de sante. Votre documentation RGPD doit refleter cette diversite.

Analyse du DPA DocuSign

Le DPA de DocuSign est disponible en ligne et s’applique a l’ensemble des clients. Il a ete significativement renforce ces dernieres annees pour repondre aux exigences du marche europeen. Voici l’analyse au regard de l’article 28 du RGPD.

Exigence Art. 28 RGPD Couverture dans le DPA DocuSign Evaluation
Objet, duree, nature et finalite du traitement Definis dans le DPA et les conditions de service Conforme
Types de donnees et categories de personnes Decrits dans l’annexe au DPA Conforme
Instructions documentees du responsable Traitement sur instructions documentees Conforme
Confidentialite du personnel Engagement de confidentialite pour le personnel DocuSign Conforme
Mesures de securite (Art. 32) Mesures techniques et organisationnelles detaillees dans l’annexe securite Conforme
Sous-traitants ulterieurs Liste publiee avec mecanisme de notification et d’objection Conforme
Assistance pour les droits des personnes Engagement d’assistance dans le DPA Conforme
Suppression ou restitution en fin de contrat Suppression des donnees apres resiliation, selon la politique de retention Conforme
Droit d’audit Prevu dans le DPA (via rapports SOC 2, ISO 27001 et possibilite d’audit) Conforme
Information en cas d’instruction contrevenant au RGPD Prevu dans le DPA Conforme

Le DPA de DocuSign est un document complet qui couvre les exigences de l’article 28. Le point d’attention principal concerne la retention des documents : par defaut, DocuSign conserve les documents signes de maniere indefinie dans l’enveloppe du compte. Cette conservation par defaut doit etre confrontee au principe de limitation de la conservation et configuree en consequence.

Transferts internationaux et analyse d’impact sur les transferts (TIA)

Localisation des donnees

DocuSign Inc. est une societe americaine basee a San Francisco. L’entreprise dispose cependant d’un centre de donnees europeen a Francfort (Allemagne), disponible sur les plans Business et Enterprise.

Il faut distinguer :

  • Documents et donnees de signature : hebergeables dans l’UE (Francfort) si le plan et la configuration le permettent
  • Donnees de compte et de facturation : peuvent rester aux Etats-Unis
  • Metadonnees de service et logs : peuvent etre traitees aux Etats-Unis

Mecanismes de transfert

Pour les transferts vers les Etats-Unis, DocuSign s’appuie sur :

  1. EU-US Data Privacy Framework (DPF). DocuSign Inc. est certifiee au DPF, ce qui fournit une base legale pour les transferts vers les Etats-Unis.

  2. Clauses contractuelles types (CCT). Le DPA integre les CCT 2021 comme mecanisme supplementaire, fournissant une base legale alternative en cas d’invalidation du DPF.

Conduite de la TIA

Les elements a evaluer :

  • Cadre juridique americain. FISA Section 702, EO 12333, avec les garanties de l’EO 14086 dans le cadre du DPF. DocuSign est soumis a ces regimes de surveillance.
  • Nature des donnees. C’est ici que la TIA doit etre particulierement rigoureuse. DocuSign peut traiter des donnees allant de l’anodin (accord de confidentialite standard) au hautement sensible (consentement medical, contrat de travail avec donnees financieres). La sensibilite maximale des documents signes doit etre prise en compte.
  • Mesures supplementaires. Chiffrement en transit et au repos. L’hebergement UE (Francfort) reduit significativement l’exposition pour les documents et les donnees de signature. Le chiffrement au repos empeche l’acces aux donnees sans les cles de dechiffrement, meme en cas d’acces physique aux serveurs.

Pour les organisations signant des documents contenant des donnees sensibles, l’hebergement europeen n’est pas optionnel – c’est une necessite pratique.

Securite informatique

DocuSign a investi massivement dans la securite, ce qui est coherent avec sa position de leader sur un marche ou la confiance est le facteur commercial determinant.

Certifications et audits

  • SOC 2 Type II – audit independant des controles de securite et de disponibilite
  • ISO 27001 – certification du systeme de management de la securite
  • ISO 27018 – protection des donnees personnelles dans le cloud
  • eIDAS – conformite au reglement europeen sur l’identification electronique et les services de confiance

Mesures techniques

  • Chiffrement en transit : TLS 1.2+ pour toutes les communications
  • Chiffrement au repos : AES-256 pour les documents et les donnees stockees
  • Authentification des signataires : multiples methodes (email, SMS, piece d’identite, acces par code, authentification basee sur les connaissances)
  • Authentification des utilisateurs : support SSO SAML 2.0, authentification multi-facteurs (MFA)
  • Journalisation : certificat de completion et journal d’audit detaille pour chaque enveloppe de signature
  • Integrite documentaire : sceau numerique garantissant l’integrite du document signe (protection contre la falsification)

Mesures organisationnelles

  • Programme de gestion des vulnerabilites
  • Tests de penetration reguliers par des auditeurs independants
  • Programme de bug bounty
  • Equipe de securite dediee
  • Notification des incidents de securite conformement au DPA

Le niveau de securite de DocuSign est parmi les plus eleves des outils SaaS analyses dans cette serie. La conformite eIDAS ajoute une couche de confiance supplementaire pour la validite juridique des signatures en Europe.

Configuration recommandee pour la conformite RGPD

  1. Activer l’hebergement europeen. Sur les plans Business et Enterprise, configurez le stockage des donnees dans l’UE (Francfort). Pour les organisations signant des documents contenant des donnees sensibles, c’est une etape indispensable.

  2. Signer et archiver le DPA. Acceptez le DPA de DocuSign disponible en ligne. Conservez une copie datee. Verifiez que le DPA couvre l’ensemble des services utilises (eSignature, CLM, Notary le cas echeant).

  3. Configurer les politiques de retention. C’est le point critique. Par defaut, DocuSign conserve les documents signes indefiniment. Definissez une politique de retention adaptee a chaque type de document : contrats de travail (duree de la relation contractuelle + prescription), NDA, baux, etc. Configurez la suppression automatique des enveloppes apres la duree de conservation definie.

  4. Renforcer l’authentification des signataires. Pour les documents sensibles, ne vous limitez pas a l’authentification par email. Activez la verification par SMS, la verification de piece d’identite ou l’authentification basee sur les connaissances selon le niveau de risque du document.

  5. Activer le SSO et le MFA. Configurez l’authentification unique via votre fournisseur d’identite et rendez le MFA obligatoire pour tous les utilisateurs du compte DocuSign.

  6. Structurer les droits d’acces. Definissez des groupes d’utilisateurs avec des permissions differenciees. Les utilisateurs du service commercial n’ont pas besoin d’acceder aux enveloppes RH, et inversement. Utilisez les dossiers et les permissions de groupe pour cloisonner les acces.

  7. Definir une politique d’utilisation interne. Documentez les types de documents autorises a etre signes via DocuSign et ceux qui ne le sont pas (par exemple, interdiction de signer des documents contenant des donnees de sante sur un plan sans hebergement UE).

  8. Documenter le traitement dans le registre. Creez une fiche de traitement specifique a DocuSign dans votre registre des traitements. Mentionnez la variete des types de documents signes et les categories de donnees correspondantes.

  9. Mettre en place une procedure pour les droits des personnes. Un signataire externe peut exercer son droit d’acces (art. 15) ou d’effacement (art. 17) sur les documents qu’il a signes. Prevoyez une procedure pour localiser et traiter ces demandes dans DocuSign.

  10. Informer les signataires. Les personnes dont les donnees sont traitees via DocuSign doivent etre informees conformement a l’article 13 (si les donnees sont collectees directement) ou 14 (si les donnees sont presentes dans un document envoye par un tiers). Verifiez que votre politique de confidentialite mentionne l’utilisation de DocuSign.

Points d’attention specifiques

La conservation indefinie par defaut : un risque RGPD majeur

C’est le point le plus critique de la conformite RGPD de DocuSign. Par defaut, tous les documents signes sont conserves indefiniment dans le compte. Or, le principe de limitation de la conservation impose de ne conserver les donnees personnelles que pendant la duree strictement necessaire a la finalite du traitement. Un contrat de travail resilie depuis 10 ans n’a plus lieu d’etre conserve dans DocuSign (il peut etre archive ailleurs conformement aux obligations legales de conservation). La configuration de politiques de retention est donc une priorite absolue.

Les documents sensibles : un risque specifique aux solutions de signature

DocuSign traite le contenu integral des documents. Un consentement medical, un mandat de protection judiciaire, un accord transactionnel post-licenciement : tous ces documents contiennent des donnees sensibles au sens de l’article 9 du RGPD. Le responsable de traitement doit evaluer si le traitement de ces documents via DocuSign est compatible avec les exigences renforcees applicables aux donnees sensibles, et si l’hebergement europeen est suffisant pour ce type de donnees.

Le certificat de completion : une trace probatoire riche en donnees

Chaque enveloppe DocuSign genere un certificat de completion contenant : noms et emails des signataires, adresses IP, horodatages, methodes d’authentification. Ce certificat est un document probatoire indispensable, mais il constitue aussi un traitement de donnees personnelles a part entiere. Sa conservation doit etre alignee sur celle du document signe.

FAQ

DocuSign est-il conforme au RGPD ?

DocuSign fournit un cadre contractuel et technique solide pour une utilisation conforme : DPA complet, hebergement europeen (Francfort), certification DPF, certifications SOC 2, ISO 27001, ISO 27018, conformite eIDAS. La conformite effective depend de votre configuration, et notamment de la politique de retention des documents, de l’activation de l’hebergement UE, et de la gestion des droits d’acces. La responsabilite incombe au responsable de traitement.

Les signatures electroniques DocuSign ont-elles une valeur juridique en France ?

Oui. DocuSign est conforme au reglement eIDAS qui definit le cadre juridique des signatures electroniques dans l’UE. Les signatures electroniques simples et avancees de DocuSign sont reconnues en droit francais (article 1367 du Code civil). Pour les actes necessitant une signature qualifiee (actes authentiques, certains actes de droit public), verifiez que DocuSign propose le niveau de signature requis.

Faut-il realiser une AIPD pour DocuSign ?

Une analyse d’impact est recommandee si vous utilisez DocuSign pour signer des documents contenant des donnees sensibles a grande echelle : consentements medicaux, contrats de travail avec donnees de sante, documents judiciaires. Pour un usage standard de signature de contrats commerciaux et de NDA, l’AIPD n’est pas formellement requise mais reste une bonne pratique compte tenu de la variete potentielle des donnees traitees.

Comment gerer les demandes de suppression de signataires externes ?

Un signataire externe peut demander l’effacement de ses donnees (art. 17). Cependant, l’effacement peut se heurter a l’obligation legale de conservation du document signe (base legale de l’art. 17(3)(b)). Dans ce cas, vous pouvez refuser l’effacement mais devez informer le demandeur de la base legale justifiant la conservation. A l’expiration de l’obligation legale de conservation, la suppression doit etre effectuee. Documentez cette procedure dans votre politique de traitement des demandes de droits.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformite cloud infrastructure

9 avril 2026 · 15 min