Yousign et RGPD : guide de conformité 2026
Yousign est-il conforme au RGPD ? Sous-traitant, DPA, hébergement en France, dossier de preuve, signature qualifiée et configuration recommandée.
- Yousign est un sous-traitant au sens de l’article 28
- L’atout maître : un hébergement 100 % en France
- Le dossier de preuve : la vraie spécificité d’un outil de signature
- Signature simple, avancée, qualifiée : un enjeu de minimisation
- Base légale, information et sécurité : ce qui reste votre travail
- Ce qu’il faut retenir
- FAQ
Faire signer un contrat de travail, un bail ou un mandat par voie électronique, c’est traiter des données personnelles aussi sensibles que faciles à oublier dans le registre : nom, e-mail, numéro de téléphone, adresse IP, parfois une pièce d’identité. Yousign — l’un des rares acteurs français à être lui-même prestataire de services de confiance qualifié eIDAS — coche beaucoup de cases, mais le choix de l’outil ne dispense jamais d’une analyse propre. Voici ce qu’il faut comprendre et configurer.
Yousign est un sous-traitant au sens de l’article 28
Quand vous utilisez Yousign pour faire signer vos documents, c’est vous qui décidez de la finalité (conclure un contrat, recueillir un accord) et des moyens du traitement. Vous êtes responsable de traitement au sens de l’Art. 4(7). Yousign, qui exécute techniquement la collecte des signatures et la conservation des documents pour votre compte, agit comme sous-traitant au sens de l’Art. 4(8).
Cette qualification déclenche une obligation précise : vous devez disposer d’un contrat de sous-traitance conforme à l’Art. 28. Yousign a intégré ces clauses directement dans ses conditions générales — durée et finalité du traitement, catégories de données et de personnes concernées, obligations de l’éditeur et droits du responsable. C’est juridiquement valable, mais cela impose une vigilance : vous devez avoir lu et conservé ces clauses au même titre qu’un DPA distinct, et surveiller leurs mises à jour.
Attention à la double casquette. Yousign est aussi responsable de traitement pour ses propres finalités : gestion de votre compte, support, facturation, prospection commerciale. Sur ce périmètre, ce n’est pas votre conformité qui est en jeu mais la sienne, et vous n’avez pas à la documenter comme une sous-traitance.
L’atout maître : un hébergement 100 % en France
Le principal argument de Yousign face à un DocuSign américain tient en une phrase : les données sont hébergées exclusivement en France. Concrètement, Yousign stocke les documents et leurs métadonnées dans des centres de données situés sur le territoire français, et chiffre les documents au repos en AES-256, les clés étant gérées par Yousign. Les fichiers de preuve associés à chaque signature sont archivés chez Arkhinéo, tiers-archiveur certifié au niveau européen.
Pour vous, cela signifie qu’aucun transfert hors UE n’est, en principe, nécessaire pour le service de signature lui-même. Vous échappez à l’analyse lourde du chapitre V (clauses contractuelles types, analyse d’impact des transferts) qui plombe la plupart des outils SaaS américains.
La nuance que personne ne mentionne
Hébergement « en France » ne veut pas automatiquement dire « hors de portée d’une loi extraterritoriale ». Yousign s’appuie, pour cette infrastructure française, sur trois prestataires : OVH, mais aussi Amazon AWS et Microsoft Azure. Or AWS et Azure sont des sociétés de droit américain, donc théoriquement soumises au CLOUD Act, même lorsque les serveurs physiques sont en France.
Dans mon expérience de conseil, ce point ne disqualifie pas Yousign — la localisation française et le chiffrement à clé maîtrisée par l’éditeur réduisent fortement le risque réel. Mais il mérite une ligne honnête dans votre registre des traitements : data résidente en France, sous-traitants ultérieurs incluant des entités de groupe américain, risque d’accès gouvernemental résiduel apprécié comme faible. Ne surjouez pas le « 100 % souverain » dans vos communications internes ; documentez plutôt la réalité technique.
Le dossier de preuve : la vraie spécificité d’un outil de signature
C’est ici que la conformité d’un outil de signature diffère d’un simple SaaS de stockage. Chaque signature génère un dossier de preuve : horodatage, adresse IP du signataire, traces du parcours, parfois données d’identité. Ce dossier a une finalité juridique — prouver le consentement et l’intégrité du document en cas de litige — distincte de la finalité du contrat lui-même.
Cela a deux conséquences sur la durée de conservation. D’abord, le dossier de preuve doit être conservé aussi longtemps que court le risque contentieux : en pratique, le délai de prescription applicable au contrat signé (souvent cinq ans en matière civile, Art. 2224 du Code civil, parfois davantage). Ensuite, cette conservation probatoire prime, pendant ce délai, sur une demande d’effacement.
C’est le point qui surprend le plus mes clients : un signataire peut exercer son droit à l’effacement, mais l’Art. 17(3)(e) réserve le cas où la conservation est nécessaire à la constatation, l’exercice ou la défense de droits en justice. Vous pouvez donc légitimement refuser l’effacement du dossier de preuve pendant la durée de prescription — à condition de l’avoir annoncé dans votre information préalable et de purger les données dès l’échéance. Distinguez bien, dans vos durées, les données de compte (effaçables) et le fichier de preuve (conservé pour sa valeur probante).
Signature simple, avancée, qualifiée : un enjeu de minimisation
Yousign propose les trois niveaux prévus par le règlement eIDAS (Règlement (UE) n° 910/2014) : signature simple, avancée et qualifiée. Plus le niveau est élevé, plus la valeur probante est forte — et plus la collecte de données s’intensifie.
La signature qualifiée, en particulier, suppose une vérification d’identité renforcée, donc la collecte d’une pièce d’identité, voire un contrôle vidéo. C’est un traitement bien plus intrusif qu’une signature simple par code SMS. Le principe de minimisation de l’Art. 5(1)© impose de calibrer le niveau de signature sur le risque réel : n’exigez pas une signature qualifiée et une copie de carte d’identité pour un accusé de réception anodin.
Si vous traitez des pièces d’identité à grande échelle (onboarding bancaire, RH à fort volume), interrogez-vous sur la nécessité d’une analyse d’impact au titre de l’Art. 35 : vérification d’identité systématique de personnes vulnérables ou usage de données biométriques sont des critères qui font basculer vers l’AIPD. À noter aussi : une pièce d’identité n’est pas en soi une donnée sensible au sens de l’Art. 9, mais le numéro qu’elle porte et son caractère hautement identifiant justifient des mesures de sécurité à la hauteur.
Base légale, information et sécurité : ce qui reste votre travail
Yousign ne crée aucune base légale pour vous. La signature électronique est un moyen, pas une finalité. La base légale reste celle du traitement sous-jacent : le plus souvent l’exécution d’un contrat (Art. 6(1)(b)) pour un bail ou un contrat de travail, parfois l’obligation légale ou l’intérêt légitime. Ne confondez pas le consentement à signer (un acte juridique) avec le consentement RGPD (une base légale) : ce sont deux notions différentes.
Côté transparence, votre information des personnes au titre de l’Art. 13 doit mentionner le recours à Yousign comme sous-traitant et destinataire, la conservation du dossier de preuve et sa durée. Pour un signataire externe, c’est vous — et non Yousign — qui répondez aux demandes d’exercice des droits : Yousign agit en sous-traitant et vous redirigera les demandes qu’il recevrait.
Sur la sécurité (Art. 32), Yousign apporte un socle solide : chiffrement AES-256 et TLS, certifications ISO 27001, ISO 27018 et SOC 2 Type II, hébergement de données de santé (HDS), audits annuels et statut de prestataire de confiance qualifié supervisé par l’ANSSI. Mais la part qui vous revient reste entière : activer l’authentification forte sur les comptes administrateurs, gérer finement les droits d’accès de vos équipes, ne pas partager un compte, et purger les documents qui n’ont plus à figurer dans l’espace de travail.
Enfin, méfiez-vous des intégrations. Connecter Yousign à votre CRM, à Zapier ou à un connecteur IA fait potentiellement intervenir des sous-traitants ultérieurs supplémentaires, qui ne sont pas couverts par l’analyse de Yousign et qu’il faut porter à votre registre. C’est exactement le type de cartographie — outils, DPA, sous-traitants, durées, transferts — que Legiscope maintient à jour dans un registre vivant plutôt que dans un tableur figé.
Ce qu’il faut retenir
- Yousign est votre sous-traitant (Art. 28) : vous restez responsable de traitement. Les clauses de l’Art. 28(3) sont intégrées aux conditions générales — lisez-les et conservez-les.
- Hébergement 100 % en France, donc pas de transfert hors UE pour le service lui-même : un avantage net face à DocuSign. Nuance à documenter : l’infrastructure s’appuie aussi sur AWS et Azure (groupes américains).
- Le dossier de preuve obéit à une logique propre : conservation pour la durée de prescription du contrat (souvent 5 ans), qui prime sur le droit à l’effacement (Art. 17(3)(e)).
- Calibrez le niveau de signature (simple / avancée / qualifiée) sur le risque réel : la signature qualifiée collecte une pièce d’identité et peut déclencher une AIPD.
- Yousign ne crée pas votre base légale ni votre information Art. 13 : ce travail reste le vôtre, tout comme la maîtrise des accès et des intégrations.
FAQ
Yousign est-il conforme au RGPD ?
Yousign fournit les garanties attendues d’un sous-traitant conforme : clauses Art. 28 dans ses conditions, hébergement en France, chiffrement AES-256, certifications ISO 27001 et SOC 2, et statut de prestataire de confiance qualifié eIDAS supervisé par l’ANSSI. La conformité de votre usage dépend toutefois de votre propre configuration : base légale, information des signataires, durées de conservation et gestion des accès.
Yousign ou DocuSign : lequel choisir pour le RGPD ?
Sur le seul critère de la protection des données, Yousign présente un avantage structurel : un hébergement exclusivement français qui évite l’analyse de transfert hors UE imposée par les solutions américaines comme DocuSign. DocuSign garde des atouts d’écosystème et d’intégrations. Pour une organisation française sensible à la souveraineté des données, Yousign simplifie nettement le dossier de conformité.
Combien de temps Yousign conserve-t-il les documents signés ?
Le document et son dossier de preuve doivent être conservés aussi longtemps que dure le risque de contentieux, généralement le délai de prescription applicable au contrat (souvent cinq ans en matière civile). Vous définissez cette durée dans votre politique de conservation ; au-delà, les données doivent être purgées. Les données de compte, elles, suivent leur propre durée et restent effaçables.
Un signataire peut-il demander l’effacement de sa signature ?
Il peut exercer son droit à l’effacement, mais vous pouvez le refuser pour le dossier de preuve tant que court la prescription, sur le fondement de l’Art. 17(3)(e) (défense de droits en justice). Vous devez l’avoir annoncé dans votre information préalable et procéder à la purge à l’échéance. Pour un signataire externe, la demande se traite auprès de vous, pas auprès de Yousign.