Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/DocuSign et RGPD : guide de conformite 2026
RGPD

DocuSign et RGPD : guide de conformite 2026

DocuSign est-il conforme au RGPD ? Analyse du DPA, des transferts, de la securite et configuration recommandee.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202612 min de lecture
Sommaire
  1. Qualification juridique : DocuSign comme sous-traitant
  2. Analyse du DPA DocuSign
  3. Transferts internationaux et analyse d’impact sur les transferts (TIA)
  4. Sécurité informatique
  5. Configuration recommandée pour la conformité RGPD
  6. Points d’attention spécifiques
  7. FAQ

DocuSign est le leader mondial de la signature électronique. En France, la plateforme est massivement utilisée par les entreprises de toutes tailles pour signer des contrats de travail, des NDA, des baux, des mandats, des consentements médicaux et une multitude d’autres documents juridiques. Cette position de leader implique une responsabilité considérable en matière de protection des données : DocuSign ne traite pas seulement l’identité des signataires, mais aussi le contenu intégral des documents signés, qui peuvent contenir n’importe quel type de données personnelles.

C’est la particularité fondamentale des solutions de signature électronique par rapport aux autres outils SaaS : le contenu des documents est imprévisible. Un contrat de travail contient le salaire, l’adresse, le numéro de sécurité sociale. Un bail contient des données financières. Un consentement médical contient des données sensibles. DocuSign traite tout cela sans distinction. L’analyse RGPD doit en tenir compte.

Pour une vue d’ensemble de la conformité des outils SaaS, consultez notre guide RGPD par outil. Voir également notre analyse d’Adobe Sign, le principal concurrent de DocuSign.

Qualification juridique : DocuSign comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

DocuSign Inc. agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour ses services de signature électronique. Votre organisation détermine les finalités du traitement (signature de contrats, authentification de documents) et les moyens essentiels (quels documents sont soumis à signature, quels signataires sont invités). DocuSign fournit l’infrastructure technique et traite les données selon vos instructions.

Les catégories de données traitées

DocuSign traite plusieurs catégories de données personnelles distinctes :

  • Données d’identité des signataires : nom, prénom, adresse email, adresse IP de connexion
  • Données d’authentification : méthode d’authentification utilisée (email, SMS, pièce d’identité), horodatage de la signature
  • Contenu des documents : l’intégralité du document soumis à signature. C’est le point critique – DocuSign a accès au contenu complet des documents.
  • Métadonnées de la transaction : horodatage, certificat de signature, journal d’audit de l’enveloppe
  • Données de paiement : si la fonctionnalité de paiement intégré est utilisée

La nature imprévisible du contenu des documents signés est le facteur de risque principal. Un même compte DocuSign peut traiter, dans la même journée, un accord de confidentialité anodin et un consentement médical contenant des données de santé. Votre documentation RGPD doit refléter cette diversité.

Analyse du DPA DocuSign

Le DPA de DocuSign est disponible en ligne et s’applique à l’ensemble des clients. Il a été significativement renforcé ces dernières années pour répondre aux exigences du marché européen. Voici l’analyse au regard de l’article 28 du RGPD.

Exigence Art. 28 RGPD Couverture dans le DPA DocuSign Évaluation
Objet, durée, nature et finalité du traitement Définis dans le DPA et les conditions de service Conforme
Types de données et catégories de personnes Décrits dans l’annexe au DPA Conforme
Instructions documentées du responsable Traitement sur instructions documentées Conforme
Confidentialité du personnel Engagement de confidentialité pour le personnel DocuSign Conforme
Mesures de sécurité (Art. 32) Mesures techniques et organisationnelles détaillées dans l’annexe sécurité Conforme
Sous-traitants ultérieurs Liste publiée avec mécanisme de notification et d’objection Conforme
Assistance pour les droits des personnes Engagement d’assistance dans le DPA Conforme
Suppression ou restitution en fin de contrat Suppression des données après résiliation, selon la politique de rétention Conforme
Droit d’audit Prévu dans le DPA (via rapports SOC 2, ISO 27001 et possibilité d’audit) Conforme
Information en cas d’instruction contrevenant au RGPD Prévu dans le DPA Conforme

Le DPA de DocuSign est un document complet qui couvre les exigences de l’article 28. Le point d’attention principal concerne la rétention des documents : par défaut, DocuSign conserve les documents signés de manière indéfinie dans l’enveloppe du compte. Cette conservation par défaut doit être confrontée au principe de limitation de la conservation et configurée en conséquence.

Transferts internationaux et analyse d’impact sur les transferts (TIA)

Localisation des données

DocuSign Inc. est une société américaine basée à San Francisco. L’entreprise dispose cependant d’un centre de données européen à Francfort (Allemagne), disponible sur les plans Business et Enterprise.

Il faut distinguer :

  • Documents et données de signature : hébergeables dans l’UE (Francfort) si le plan et la configuration le permettent
  • Données de compte et de facturation : peuvent rester aux États-Unis
  • Métadonnées de service et logs : peuvent être traitées aux États-Unis

Mécanismes de transfert

Pour les transferts vers les États-Unis, DocuSign s’appuie sur :

  1. EU-US Data Privacy Framework (DPF). DocuSign Inc. est certifiée au DPF, ce qui fournit une base légale pour les transferts vers les États-Unis.

  2. Clauses contractuelles types (CCT). Le DPA intègre les CCT 2021 comme mécanisme supplémentaire, fournissant une base légale alternative en cas d’invalidation du DPF.

Conduite de la TIA

Les éléments à évaluer :

  • Cadre juridique américain. FISA Section 702, EO 12333, avec les garanties de l’EO 14086 dans le cadre du DPF. DocuSign est soumis à ces régimes de surveillance.
  • Nature des données. C’est ici que la TIA doit être particulièrement rigoureuse. DocuSign peut traiter des données allant de l’anodin (accord de confidentialité standard) au hautement sensible (consentement médical, contrat de travail avec données financières). La sensibilité maximale des documents signés doit être prise en compte.
  • Mesures supplémentaires. Chiffrement en transit et au repos. L’hébergement UE (Francfort) réduit significativement l’exposition pour les documents et les données de signature. Le chiffrement au repos empêche l’accès aux données sans les clés de déchiffrement, même en cas d’accès physique aux serveurs.

Pour les organisations signant des documents contenant des données sensibles, l’hébergement européen n’est pas optionnel – c’est une nécessité pratique.

Sécurité informatique

DocuSign a investi massivement dans la sécurité, ce qui est cohérent avec sa position de leader sur un marché où la confiance est le facteur commercial déterminant.

Certifications et audits

  • SOC 2 Type II – audit indépendant des contrôles de sécurité et de disponibilité
  • ISO 27001 – certification du système de management de la sécurité
  • ISO 27018 – protection des données personnelles dans le cloud
  • eIDAS – conformité au règlement européen sur l’identification électronique et les services de confiance

Mesures techniques

  • Chiffrement en transit : TLS 1.2+ pour toutes les communications
  • Chiffrement au repos : AES-256 pour les documents et les données stockées
  • Authentification des signataires : multiples méthodes (email, SMS, pièce d’identité, accès par code, authentification basée sur les connaissances)
  • Authentification des utilisateurs : support SSO SAML 2.0, authentification multi-facteurs (MFA)
  • Journalisation : certificat de complétion et journal d’audit détaillé pour chaque enveloppe de signature
  • Intégrité documentaire : sceau numérique garantissant l’intégrité du document signé (protection contre la falsification)

Mesures organisationnelles

  • Programme de gestion des vulnérabilités
  • Tests de pénétration réguliers par des auditeurs indépendants
  • Programme de bug bounty
  • Équipe de sécurité dédiée
  • Notification des incidents de sécurité conformément au DPA

Le niveau de sécurité de DocuSign est parmi les plus élevés des outils SaaS analysés dans cette série. La conformité eIDAS ajoute une couche de confiance supplémentaire pour la validité juridique des signatures en Europe.

Configuration recommandée pour la conformité RGPD

  1. Activer l’hébergement européen. Sur les plans Business et Enterprise, configurez le stockage des données dans l’UE (Francfort). Pour les organisations signant des documents contenant des données sensibles, c’est une étape indispensable.

  2. Signer et archiver le DPA. Acceptez le DPA de DocuSign disponible en ligne. Conservez une copie datée. Vérifiez que le DPA couvre l’ensemble des services utilisés (eSignature, CLM, Notary le cas échéant).

  3. Configurer les politiques de rétention. C’est le point critique. Par défaut, DocuSign conserve les documents signés indéfiniment. Définissez une politique de rétention adaptée à chaque type de document : contrats de travail (durée de la relation contractuelle + prescription), NDA, baux, etc. Configurez la suppression automatique des enveloppes après la durée de conservation définie.

  4. Renforcer l’authentification des signataires. Pour les documents sensibles, ne vous limitez pas à l’authentification par email. Activez la vérification par SMS, la vérification de pièce d’identité ou l’authentification basée sur les connaissances selon le niveau de risque du document.

  5. Activer le SSO et le MFA. Configurez l’authentification unique via votre fournisseur d’identité et rendez le MFA obligatoire pour tous les utilisateurs du compte DocuSign.

  6. Structurer les droits d’accès. Définissez des groupes d’utilisateurs avec des permissions différenciées. Les utilisateurs du service commercial n’ont pas besoin d’accéder aux enveloppes RH, et inversement. Utilisez les dossiers et les permissions de groupe pour cloisonner les accès.

  7. Définir une politique d’utilisation interne. Documentez les types de documents autorisés à être signés via DocuSign et ceux qui ne le sont pas (par exemple, interdiction de signer des documents contenant des données de santé sur un plan sans hébergement UE).

  8. Documenter le traitement dans le registre. Créez une fiche de traitement spécifique à DocuSign dans votre registre des traitements. Mentionnez la variété des types de documents signés et les catégories de données correspondantes.

  9. Mettre en place une procédure pour les droits des personnes. Un signataire externe peut exercer son droit d’accès (art. 15) ou d’effacement (art. 17) sur les documents qu’il a signés. Prévoyez une procédure pour localiser et traiter ces demandes dans DocuSign.

  10. Informer les signataires. Les personnes dont les données sont traitées via DocuSign doivent être informées conformément à l’article 13 (si les données sont collectées directement) ou 14 (si les données sont présentes dans un document envoyé par un tiers). Vérifiez que votre politique de confidentialité mentionne l’utilisation de DocuSign.

Points d’attention spécifiques

La conservation indéfinie par défaut : un risque RGPD majeur

C’est le point le plus critique de la conformité RGPD de DocuSign. Par défaut, tous les documents signés sont conservés indéfiniment dans le compte. Or, le principe de limitation de la conservation impose de ne conserver les données personnelles que pendant la durée strictement nécessaire à la finalité du traitement. Un contrat de travail résilié depuis 10 ans n’a plus lieu d’être conservé dans DocuSign (il peut être archivé ailleurs conformément aux obligations légales de conservation). La configuration de politiques de rétention est donc une priorité absolue.

Les documents sensibles : un risque spécifique aux solutions de signature

DocuSign traite le contenu intégral des documents. Un consentement médical, un mandat de protection judiciaire, un accord transactionnel post-licenciement : tous ces documents contiennent des données sensibles au sens de l’article 9 du RGPD. Le responsable de traitement doit évaluer si le traitement de ces documents via DocuSign est compatible avec les exigences renforcées applicables aux données sensibles, et si l’hébergement européen est suffisant pour ce type de données.

Le certificat de complétion : une trace probatoire riche en données

Chaque enveloppe DocuSign génère un certificat de complétion contenant : noms et emails des signataires, adresses IP, horodatages, méthodes d’authentification. Ce certificat est un document probatoire indispensable, mais il constitue aussi un traitement de données personnelles à part entière. Sa conservation doit être alignée sur celle du document signé.

L’intégration native DocuSign-Salesforce est l’une des plus déployées – les contrats signés sont automatiquement rattachés aux fiches CRM, créant un flux de données personnelles bidirectionnel. Pour la signature de contrats de travail et avenants, DocuSign s’articule avec les outils RH comme PayFit – les documents signés contiennent des données salariales sensibles.

FAQ

DocuSign est-il conforme au RGPD ?

DocuSign fournit un cadre contractuel et technique solide pour une utilisation conforme : DPA complet, hébergement européen (Francfort), certification DPF, certifications SOC 2, ISO 27001, ISO 27018, conformité eIDAS. La conformité effective dépend de votre configuration, et notamment de la politique de rétention des documents, de l’activation de l’hébergement UE, et de la gestion des droits d’accès. La responsabilité incombe au responsable de traitement.

Les signatures électroniques DocuSign ont-elles une valeur juridique en France ?

Oui. DocuSign est conforme au règlement eIDAS qui définit le cadre juridique des signatures électroniques dans l’UE. Les signatures électroniques simples et avancées de DocuSign sont reconnues en droit français (article 1367 du Code civil). Pour les actes nécessitant une signature qualifiée (actes authentiques, certains actes de droit public), vérifiez que DocuSign propose le niveau de signature requis.

Faut-il réaliser une AIPD pour DocuSign ?

Une analyse d’impact est recommandée si vous utilisez DocuSign pour signer des documents contenant des données sensibles à grande échelle : consentements médicaux, contrats de travail avec données de santé, documents judiciaires. Pour un usage standard de signature de contrats commerciaux et de NDA, l’AIPD n’est pas formellement requise mais reste une bonne pratique compte tenu de la variété potentielle des données traitées.

Comment gérer les demandes de suppression de signataires externes ?

Un signataire externe peut demander l’effacement de ses données (art. 17). Cependant, l’effacement peut se heurter à l’obligation légale de conservation du document signé (base légale de l’art. 17(3)(b)). Dans ce cas, vous pouvez refuser l’effacement mais devez informer le demandeur de la base légale justifiant la conservation. À l’expiration de l’obligation légale de conservation, la suppression doit être effectuée. Documentez cette procédure dans votre politique de traitement des demandes de droits.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformite cloud infrastructure

9 avril 2026 · 16 min