Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
DocuSign est la principale plateforme de signature électronique et de gestion des accords, utilisée par des millions d'organisations pour signer, envoyer et gérer des documents juridiquement contraignants de manière numérique. Lorsqu'il est intégré à un site ou utilisé pour rediriger des signataires, DocuSign dépose des cookies et collecte des données personnelles incluant l'identité du signataire, l'adresse IP et les informations sur l'appareil. La conformité RGPD dépend du contexte d'utilisation, l'exécution d'un contrat étant la base légale principale lorsque DocuSign sert à conclure des accords avec des personnes concernées.
DocuSign est la principale plateforme mondiale de signature électronique et de gestion des accords, utilisée par plus d''un million de clients dans 180 pays. Elle permet aux organisations de préparer, signer, traiter et gérer des accords entièrement de manière numérique. DocuSign s''intègre avec les principales plateformes professionnelles, notamment Salesforce, Microsoft 365, Google Workspace ainsi que de nombreux outils RH et juridiques. Lorsqu''un signataire accède à une enveloppe DocuSign, que ce soit via un lien direct ou une session de signature intégrée à un site web, DocuSign collecte des données personnelles et dépose des cookies dans le cadre du processus d''authentification et de piste d''audit.
DocuSign collecte le nom et l''adresse e-mail du signataire, l''adresse IP au moment de la signature, la géolocalisation dérivée de l''IP, le type d''appareil et les informations sur le navigateur, ainsi que l''horodatage de chaque action de signature. Ces données constituent la piste d''audit juridiquement contraignante annexée à chaque document signé. DocuSign dépose également des cookies de session et des cookies fonctionnels pour gérer l''interface de signature, authentifier la session et maintenir l''état lors des flux de signature multi-étapes.
L''utilisation de DocuSign s''inscrit dans deux cadres européens clés. Au titre du RGPD, la collecte de données personnelles du signataire (nom, e-mail, IP, appareil) nécessite une base légale. Au titre du règlement eIDAS, DocuSign se qualifie comme fournisseur de signature électronique avancée pour les cas d''usage courants. La base légale du traitement au titre du RGPD est typiquement l''exécution d''un contrat (Art. 6(1)(b)) lors de la signature d''un accord, ou l''obligation légale (Art. 6(1)(c)) lorsqu''une signature est légalement requise. Le consentement (Art. 6(1)(a)) est requis pour les cookies non essentiels déposés par l''interface de signature.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La question du consentement pour DocuSign est nuancée. Les données de signature collectées pour la piste d''audit ne nécessitent pas de consentement, car elles sont nécessaires à l''exécution du contrat signé. En revanche, si DocuSign est intégré à un site et dépose des cookies de suivi ou d''analyse non essentiels, ceux-ci requièrent un consentement conforme à la directive ePrivacy. Les signataires doivent être informés des données collectées via la notice de confidentialité avant de signer, même si un consentement distinct aux cookies n''est pas requis pour la fonction de signature principale.
Par défaut, DocuSign traite les données des accords sur une infrastructure américaine, ce qui constitue un transfert vers un pays tiers au titre du Chapitre V du RGPD. DocuSign propose un hébergement des données en Europe via son EU Agreement Cloud, qui stocke et traite les données exclusivement à Francfort et Dublin sur AWS eu-central-1 et eu-west-1. Les organisations soumises à des exigences strictes de localisation des données, notamment dans les secteurs réglementés, devraient évaluer cette option. Pour les clients sur les plans standard, les clauses contractuelles types et la certification dans le cadre du Data Privacy Framework UE-États-Unis constituent les garanties de transfert applicables.
Pour utiliser DocuSign en conformité avec le RGPD : signez un accord de traitement des données avec DocuSign et incluez-les dans votre liste de sous-traitants ; mentionnez DocuSign dans votre politique de confidentialité comme sous-traitant utilisé pour la signature électronique, avec une description des données collectées et du mécanisme de transfert ; informez les signataires des données collectées au moment de la signature ; passez en revue les cookies déposés par votre intégration et ajoutez-les à votre politique de cookies ; évaluez l''hébergement européen si vous traitez des documents sensibles ou réglementés ; et documentez la base légale de chaque activité de traitement impliquant DocuSign dans votre registre.
Les sites web utilisant DocuSign doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD doit être envisagée lorsque DocuSign est utilisé à grande échelle pour traiter des accords contenant des données sensibles (documents RH, financiers ou de santé), lorsque des workflows automatisés traitent de grands volumes de signataires sans examen individuel, ou lorsque les données DocuSign sont intégrées dans des systèmes CRM ou RH. Le transfert vers les États-Unis est un facteur de risque majeur sauf si l'hébergement européen est configuré.
Exemple de texte de consentement
Nous utilisons DocuSign pour gérer la signature électronique de cet accord. DocuSign collectera votre nom, votre adresse e-mail, votre adresse IP et les informations sur votre appareil afin d'authentifier votre signature et de créer une piste d'audit. Vos données peuvent être traitées sur les serveurs DocuSign aux États-Unis. En procédant à la signature, vous prenez acte de ce traitement de données nécessaire à l'exécution de l'accord.
Domaines tiers contactes
docusign.comdocusign.netapp.docusign.comaccount.docusign.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| DSSessionID | session | Session | Session identifier used to manage the signing interface state and authenticate the active signing session |
| DS-Signer-Auth-Token | session | Session | Authentication token for the active DocuSign signing session, used to verify signer identity throughout the signing flow |
| ds_cookie_support | session | Session | Technical detection cookie used to verify that the signer's browser supports cookie storage, required for secure session management |
DocuSign utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
DocuSign dépose des cookies de session pour gérer l'interface de signature et l'état d'authentification, ainsi que des cookies fonctionnels pour maintenir la progression dans les flux de signature multi-étapes. Lorsque DocuSign est intégré à un site via son SDK JavaScript, des cookies supplémentaires peuvent être déposés selon la configuration. Les principaux cookies incluent DSSessionID (un identifiant de session) et DS-Signer-Auth-Token (un jeton d'authentification pour la session de signature). DocuSign collecte également les adresses IP et les informations sur l'appareil dans le cadre de la piste d'audit, traitées côté serveur.
Cela dépend du contexte. Les données personnelles collectées pour créer la piste d'audit juridiquement contraignante (nom, e-mail, IP, appareil, horodatage) sont traitées sur la base de l'exécution d'un contrat ou d'une obligation légale, et non du consentement. En revanche, si DocuSign est intégré à un site et dépose des cookies non essentiels, le consentement ePrivacy est requis pour ces cookies. Les signataires doivent toujours être informés du traitement de leurs données via votre notice de confidentialité avant de signer.
La base légale principale est l'exécution d'un contrat (Art. 6(1)(b) RGPD), lorsque DocuSign est utilisé pour conclure un accord avec la personne dont les données sont traitées. L'obligation légale (Art. 6(1)(c)) peut s'appliquer lorsque la signature électronique est légalement obligatoire. Pour les cookies non essentiels déposés par l'interface DocuSign, le consentement (Art. 6(1)(a)) est requis. L'intérêt légitime (Art. 6(1)(f)) peut s'appliquer aux automatisations de workflows internes n'impliquant pas directement la personne concernée comme partie au contrat.
Oui, par défaut. DocuSign est basé à San Francisco et traite les données sur une infrastructure américaine, ce qui constitue un transfert vers un pays tiers au titre du Chapitre V du RGPD. DocuSign propose un hébergement des données en Europe via son EU Agreement Cloud, avec des données stockées à Francfort et Dublin. Pour les clients sur les plans standard, les transferts reposent sur les clauses contractuelles types. DocuSign est également certifié dans le cadre du Data Privacy Framework UE-États-Unis.
Une AIPD est recommandée lorsque DocuSign est utilisé pour traiter des accords contenant des données sensibles (dossiers médicaux, données financières, contrats RH) à grande échelle, lorsque des workflows DocuSign automatisés traitent un grand nombre de personnes sans examen individuel, ou lorsque les intégrations DocuSign alimentent des données personnelles dans des systèmes CRM, RH ou analytiques en aval. Le transfert vers les États-Unis est un facteur de risque supplémentaire à évaluer.
Signez un accord de traitement des données avec DocuSign et ajoutez-les à votre liste de sous-traitants. Mentionnez DocuSign dans votre politique de confidentialité en décrivant les données collectées et la base légale applicable. Informez les signataires avant qu'ils signent, soit dans l'e-mail d'invitation DocuSign, soit sur une page d'information pré-signature. Vérifiez les cookies déposés par votre intégration et ajoutez-les à votre politique de cookies. Si vous traitez des documents sensibles ou réglementés, évaluez l'EU Agreement Cloud. Documentez la base légale et le transfert vers les États-Unis dans votre registre.
Oui. Yousign est un prestataire de signature électronique français qui stocke toutes les données en Europe et propose des signatures qualifiées eIDAS. Universign est une autre alternative européenne. Pour les organisations nécessitant des signatures électroniques qualifiées au titre d'eIDAS, des prestataires de services de confiance nationaux en France (Certigna, CertEurope), en Allemagne et dans d'autres États membres de l'UE proposent des solutions de signature entièrement hébergées en Europe, éliminant totalement les problèmes de transfert vers des pays tiers.
Si DocuSign est intégré à votre site ou dépose des cookies lors d'un flux de signature hébergé sur votre domaine, ajoutez les cookies concernés à votre tableau de politique de cookies en indiquant leur nom, catégorie, durée et finalité. Si les signataires sont redirigés vers docusign.com, les cookies sont déposés sur le domaine de DocuSign et n'ont pas besoin de figurer dans votre politique de cookies, bien que DocuSign doive toujours être mentionné dans votre politique de confidentialité comme sous-traitant. Renvoyez vers la politique de confidentialité de DocuSign à l'adresse docusign.com/company/privacy-policy.