Politique de confidentialité
Dernière mise à jour : 15 novembre 2024
Vous pouvez consulter la précédente version ici
Chez Yousign, on pense que la confiance est essentielle. Alors, pour la conserver, il nous semble important de vous aider à comprendre nos pratiques en matière de protection de données personnelles.
Dans le cadre de votre utilisation de notre Site, de votre accès à notre Plateforme et de l’utilisation de nos Services, nous sommes amenés à recueillir en qualité de Responsable de traitement, des Données Personnelles vous concernant.
Dans ce cadre, nous nous engageons à respecter la réglementation européenne sur la protection des Données Personnelles, en particulier le RGPD. Nous disposons pour cela d’une équipe dédiée, composée d’un délégué à la protection des données, d’une équipe juridique et d’une équipe sécurité.
A noter, tous les termes en majuscules qui ne sont pas définis dans la présente Politique de confidentialité auront la signification qui leur est donnée ici.
1. Qui est le Responsable de traitement ?
Yousign SAS, Rue de Suède Avenue Pierre Berthelot, 14000 Caen, France.
Pour plus de détails, veuillez consulter les Mentions légales.
2. Quelles Données Personnelles collectons-nous ?
En utilisant notre Site et notre Plateforme, vous êtes amenés à nous transmettre, directement ou indirectement, des informations dont certaines sont de nature à vous identifier directement ou indirectement et constituent de ce fait des Données Personnelles.
Ces informations peuvent contenir notamment les données des catégories suivantes :
- Des données d’identification et/ou de contact telles que vos nom et prénom(s), adresse postale, email, numéro de téléphone, votre nom d’Utilisateur de la Plateforme, les identifiants techniques qui vous sont assignés, votre voix et votre image lorsqu’un enregistrement téléphonique ou vidéo est réalisé ;
- Des données d’identité telles que des vidéos et/ou des images de votre document d'identité et de votre visage (par exemple, si vous êtes un signataire pour la Signature électronique avancée ou qualifiée) ou une copie scannée de votre document d'identité (par exemple, si vous êtes un représentant légal effectuant un Cachet électronique avancé) ;
- Des données extraites du document d’identité telles que votre prénom, votre nom, votre date de naissance, votre lieu de naissance, votre nationalité, la validité de votre document d'identité et d'autres informations relatives à votre identité extraites de votre document d'identité, notamment l’identifiant numérique du document, le type de document, la date d’expiration, le MRZ, le pays d'émission, le statut de validité du document d’identité (par exemple, si vous êtes un signataire pour la Signature électronique avancée ou qualifiée) ;
- Des données relatives à votre activité professionnelle telles que l’intitulé de votre poste, votre secteur d’activité, le nom de votre entreprise et sa taille, votre intention d’usage de nos Services ;
- Des données de transactions telles que le numéro de votre carte de crédit et votre relevé d’identité bancaire, qui sont utilisées pour effectuer le paiement de vos souscriptions ;
- Des données de connexion et d’utilisation telles que votre adresse IP, le type et la version du navigateur, le système d’exploitation utilisé, les pages visitées et le temps passé, les actions réalisées et les configurations sélectionnées, le jetons et clés API, ainsi que l’horodatage des actions.
- Des données de signature telles que l’identifiant numérique des documents signés, des demandes de signature, les données contenues dans les certificats et le hash et toutes les métadonnées associées.
Lors de la collecte directe de vos Données Personnelles, vous serez informés si certaines données doivent être obligatoirement renseignées ou si elles sont facultatives. A défaut de renseigner ces informations obligatoires, l’exécution de la demande pourra s’avérer impossible.
Certaines de ces Données Personnelles sont collectées via les cookies ou traceurs présents sur notre Site ou notre Plateforme. Pour en savoir plus, vous pouvez consulter à tout moment notre Politique de cookies.
3. Comment collectons-nous vos Données Personnelles ?
Les Données Personnelles traitées par Yousign sont collectées via différents canaux.
- Les Données Personnelles transmises directement par vous. Yousign est susceptible de traiter les Données Personnelles que vous nous fournissez directement (i) lors de la création de votre Compte Organisation/Utilisateur ou de l’utilisation des Services, (ii) via les formulaires de contact ou tout autre document disponibles en ligne sur le Site ou fournies à l’occasion d’évènements extérieurs, (iii) lors de vos échanges téléphoniques avec Yousign.
- Les Données Personnelles collectées de sources publiques. Yousign est susceptible d’utiliser des Données Personnelles disponibles publiquement.
- Les Données Personnelles collectées auprès de tiers. Yousign est susceptible de faire appel aux services de prestataires spécialisés afin d’accéder à des bases de données à jour.
- Les Données Personnelles collectées automatiquement lors de votre utilisation du Site et/ou de la Plateforme. Yousign est susceptible de recueillir vos Données Personnelles afin d’établir des statistiques de fréquentation de notre Site et/ou de notre Plateforme, et d’effectuer des campagnes de publicité ciblées.
4. Sur quelles bases légales, pour quelles finalités et pendant combien de temps conservons-nous vos Données Personnelles ?
Nous collectons et traitons vos Données Personnelles dans le respect du RGPD et seulement dans le cadre des bases légales suivantes :
- Le consentement : vous avez expressément consenti au traitement de vos Données Personnelles ;
- Le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat ;
- L’obligation légale : le traitement est imposé par des textes légaux ;
- L’intérêt légitime : le traitement est nécessaire à la poursuite de nos intérêts légitimes dans le strict respect des vos droits.
Nous stockons vos Données Personnelles pour une durée limitée et nécessaire à la finalité de traitement poursuivi. Un récapitulatif vous est fourni dans le tableau suivant.
Traitement | Finalités | Catégories de données | Bases légales | Durées de conservation |
|---|---|---|---|---|
Gestion des Abonnements | Mise en place des comptes / authentification / activation des comptes / communication transactionnelle / gestion de la vie de la souscription et suivi des consommations / invitation pour création compte utilisateur par l’Abonné | Données d’identification et de contact, Données d’activité professionnelle, Données de transaction, Données de connexion et d’utilisation | Contrat | Durée de la relation contractuelle, plus cinq (5) ans (FR) et dix (10) ans (DE/ITA) à compter de la fin du terme |
Gestion de la facturation | Facturation/ paiement/ contrôle des paiements / recouvrement | Données d’identification et de contact, Données d’activité professionnelle, Données de transaction | Contrat | Durée de la relation contractuelle, plus dix (10) ans (DE/ITA) à compter de la fin du terme |
Support client | support client/ debug techniques/ Gestion des fraudes et plaintes | Données d’identification et de contact, Données d’activité professionnelle, Données de transaction, Données de connexion et d’utilisation | contrat | Durée de la relation contractuelle, plus cinq (5) ans (FR) et dix (10) ans à compter de la fin du terme. |
Opérations légales | Gestion des demandes d'exercice de droits GDPR/ Gestion des demandes de réquisitions des autorités/ Gestion des violations de sécurité et données / gestion des fraudes/ gestion des contentieux | Données d’identification et de contact, Données d’activité professionnelle, Données de transaction, Données de connexion et d’utilisation | Obligations légales | pour les réquisitions judiciaires: un (1) an après la demande de l'autorité / pour la gestion de la fraude: six (6) ans après le closing du dossier de fraude / demande GDPR: Cinq (5) ans après le closing de la demande / Gestion des contentieux : cinq (5) ans (FR) et dix (10) ans (DE/ITA) à compter de la fin de la relation contractuelle Si nous vous demandons un justificatif d’identité : nous le conservons seulement pendant le temps nécessaire à la vérification d’identité. Une fois la vérification effectuée, le justificatif est supprimé. |
Création et gestion d'une base de données prospect/client | Identifier des prospects lors de webinar yousign | Données d’identification et de contact, Données d’activité professionnelle, Données de transaction, Données de connexion et d’utilisation | Intérêt légitime | Trois (3) ans après le dernier contact pour les prospects et durée du contrat pour les clients. Si la base légale est l'intérêt légitime: ou jusqu'à ce qu'une objection soit formulée Si la base légale est le consentement: ou jusqu'au retrait du consentement |
Identifier des prospects lors d'événements externes | Consentement | |||
Identifier des prospects via plateforme (externe ou website yousign) | Consentement | |||
Scoring de prospect identifiés dans webinar ou event externe | Intérêt légitime | |||
Création et gestion d'une base de données prospect/client | FR: Intérêt légitime (prospect) / contrat (Client) DE/ITA: consentement | |||
Acquisition et enrichissement des données (B2B) | Intérêt légitime (FR) / Consentement (DE/ITA) | |||
Lead routing | Intérêt légitime | |||
Actions et communication marketing | enquête de satisfaction | Données d’identification et de contact, Données d’activité professionnelle, Données de connexion et d’utilisation | Intérêt légitime | Clients: Les données sont conservées pendant toute la durée de la relation commerciale ou jusqu'à ce qu'une objection soit formulée Prospects: Trois (3) ans (FR) ou deux (2) ans (ITA/DE) à compter de l'enquête ou jusqu'à ce qu'une objection soit formulée |
Gestion des temoignages | Consentement | Les données sont conservées aussi longtemps que nécessaire pour l’exploitation du témoignage ou jusqu'à ce que le consentement soit retiré | ||
Envoi par e-mail des informations relatives aux mises à jour produit | Données d’identification et de contact | Intérêt légitime | Durée de la relation contractuelle ou jusqu'à ce qu'une objection soit formulée. | |
communication (par email ou autre forme de communication) sur des produits et Services similaires aux Abonnés | Données d’identification et de contact, Données d’activité professionnelle | Intérêt légitime | Durée de la relation contractuelle ou jusqu'à ce qu'une objection soit formulée. | |
communication (par email ou autre forme de communication) sur les nouveaux produits et Services à des prospects, des Abonnés ou des Particuliers | Données d’identification et de contact, Données d’activité professionnelle | Intérêt légitime ou consentement (va dépendre de la personne concernée (B2B ou B2C) et du pays) | Client: Durée de la relation contractuelle. Prospect: trois (3) ans à compter de l'envoi de la dernière communication (2 ans ITA/DE) ou jusqu'au retrait du consentement. | |
Création de mailing list | Données d’identification et de contact | Intérêt légitime (FR) / consentement (ITA/DE) | Client: Durée de la relation contractuelle ou jusqu'à ce qu'une objection soit formulée. Prospect: trois (3) ans à compter de l'envoi de la dernière communication (deux (2) ans ITA/DE) ou jusqu'au retrait du consentement ou jusqu'à ce qu'une objection soit formulée | |
Gestion des listes de désinscription | Données d’identification et de contact | obligation légale | Trois (3) ans à compter de la demande de désinscription | |
Envoi d’invitations à des évènements | Données d’identification | Intérêt légitime | Pour les évènements, les données sont conservées pendant toute la durée de l’évènement, plus une période de six (6) mois, ou jusqu'à ce qu'une objection soit formulée | |
Analytics | Évaluation et amélioration des performances des Services/Plateforme/Site | Données de connexion et d’utilisation | Intérêt légitime | Pour les logs de connexion : six (6) mois à compter de la connexion. Pour l’adresse IP :un (1) an à compter du jour de l’enregistrement. |
reporting interne | Données d’identification et de contact | contrat pour les clients / Intérêt légitime pour les prospects | Client: durée de la relation contractuelle Prospect: trois (3) ans à compter du dernier contact (deux (2) ans ITA/DE) ou jusqu’à ce qu’une objection soit formulée | |
Enregistrement d’appel | training interne/ amélioration produit/ customer satisfaction/ | Données d’identification et de contact, Données d’activité professionnelle, | intérêt légitime | trois (3) mois après l’enregistrement ou jusqu’à ce qu’une objection soit formulée |
Test produit | sélection des testeurs / amélioration des fonctionnalités et développement de nouveaux produits | Données d’identification et de contact, Données d’activité professionnelle | intérêt légitime | six (6) mois après l’enregistrement, l’enregistrement est supprimé |
Vérification d’identité et gestion des certificats | Vérification de l'identité du signataire pour la délivrance, le renouvellement et la révocation d'un certificat de Signature électronique | Données d’identification et de contact, données d’identité, données extraites du document d’identité | Obligation légale | Les données sont conservées pendant sept (7) ans à compter de la fin de la validité du certificat. |
Vérification de l'identité du représentant légal et du titulaire du certificat pour la délivrance , le renouvellement et la révocation d'un certificat de Cachet électronique avancé | Données d’identification et de contact, données d’identité, données extraites du document d’identité | Obligation légale | Les données sont conservées pendant sept (7) ans à compter de la fin de la validité du certificat. | |
Création du dossier d’enregistrement pour la signature avancée | Données d’identification et de contact, données d’identité, données extraites du document d’identité | Obligation légale | Les données sont conservées pendant dix ans (FR/DE) et vingt (20) ans (ITA). | |
Création d’un portefeuille d’identité | Données extraites du document d’identité | Contrat | Les données sont conservées pendant trois ( 3) ans à compter de la création de l'identité du signataire plus cinq (5) ans (FR) et dix (10) ans (ITA/DE) | |
Gestion des bugs liées à la vérification d’identité | Données d’identification et de contact, données d’identité, données extraites du document d’identité | contrat | Données d’identité: quatre vingt dix (90) jours après l’opération de vérification d’identité. Données d’identification et de contact et les données extraites du document d’identité: durée du contrat. | |
audit interne sur la vérification d’identité | Données d’identification et de contact, données d’identité, données extraites du document d’identité | Obligation légale | Données d’identité: quatre vingt dix (90) jours après l’opération de vérification d’identité. Données d’identification et de contact et les données extraites du document d’identité: sept (7) ans à compter de la fin de validité du certificat | |
Gestion de preuves associées à la vérification de l'identité en cas de litige ou de fraude | Données d’identification et de contact, Données d’identité, données extraites du document d’identité | Obligation légale | Les données sont conservées pendant 6 ans à compter de la vérification de l'identité pour la Signature électronique avancée et la Signature électronique qualifiée.Pour la Signature électronique qualifiée, les données sont conservées pendant trois (3) mois à compter de la vérification de l'identité si, le cas échéant, l'identité du signataire n'a pas pu être vérifiée. | |
Gestion des preuves du processus de signature électronique en cas de litige ou de fraude | Données mentionnées dans le dossier de preuve telles que les données d’identification et de contact et données extraites du document d’identité | Obligation légale | Les données sont conservées pendant dix (10) ans à compter de la signature | |
Gestion de la plateforme | Gestion des authentification (SSO / OTP / login & password) | Données d’identification et de contact, Données de connexion et d’utilisation | contrat | Les données sont conservées pendant la relation contractuelle + 5 ans (FR) et dix (10) ans (ITA/DE) |
Gestion des menaces de sécurité | Données d’identification et de contact, Données de connexion et d’utilisation | obligations légales | Les données sont conservées dix (10) ans |
5. Qui sont les destinataires de vos Données Personnelles ?
Les Données Personnelles de nos Visiteurs et Utilisateurs/Abonnés sont strictement confidentielles. Elles peuvent être traitées par les employés de Yousign SAS et ses filiales, dans la limite de leurs attributions respectives et ce exclusivement afin de réaliser les finalités de la présente Politique.
Sauf obligation légale, comptable ou judiciaire, nous ne transmettons pas vos Données Personnelles à des tiers autres que :
- Nos prestataires d’hébergement aux fins d’exécution des prestations de maintenance et d’hébergement des bases de données ;
- Nos fournisseurs de services, sous-traitants (tels que les fournisseurs d’outil CRM, prestataire d’envoi emailing) et partenaires, aux fins d’accès aux services demandés, d'exécution d’une transaction ou de réponse à vos demandes d’assistance et de renseignements.
6. Vos données sont-elles susceptibles d’être transférées hors de l’Union Européenne ?
L’infrastructure supportant la Plateforme Yousign est située en France. Toutefois, lorsque cela est nécessaire, nous pouvons être amenés à transmettre vos Données Personnelles à des prestataires opérant hors de l’Union européenne. Le transfert de vos données dans ce cadre est sécurisé au moyen des outils suivants :
- Les données sont transférées dans un pays ayant été jugé comme offrant un niveau de protection adéquat par une décision de la Commission européenne ;
- Nous avons conclu avec nos Sous-traitants un contrat spécifique encadrant les transferts de vos données en dehors de l’Union européenne, sur la base des Clauses contractuelles types approuvées par la Commission Européenne ;
- Nous avons recours aux garanties appropriées prévues par la réglementation applicable.
7. Quelles mesures sont mises en place pour protéger vos Données Personnelles ?
Le choix des mesures repose sur une approche par les risques, axée sur la préservation de la confidentialité, de l’intégrité et de la disponibilité de vos Données Personnelles. Les mesures de sécurité mises en œuvre peuvent être de nature organisationnelle ou technique et sont décrites sur la page Sécurité.
En cas de recours à un prestataire agissant pour notre compte en qualité de sous-traitant, nous adoptons là aussi une approche par les risques afin de tendre vers un alignement des objectifs de sécurité de Yousign et du prestataire, préalablement à toute communication de vos Données Personnelles.
8. Quels sont vos droits sur vos Données Personnelles ?
Yousign garantit l’exercice effectif de l’ensemble des droits qui vous sont octroyés par la réglementation. Vous pouvez donc :
- Avoir accès à vos Données Personnelles ;
- Rectifier les Données Personnelles inexactes vous concernant ;
- Obtenir l’effacement de vos Données Personnelles ;
- Restreindre nos Traitements de vos Données Personnelles ;
- Retirer votre consentement aux Traitements de vos Données Personnelles ;
- Vous opposer au traitement de vos Données Personnelles ;
- Obtenir une copie de vos Données Personnelles (droit à la portabilité des données) ;
- Définir des directives relatives à la conservation, à l’effacement et à la communication de vos Données Personnelles après votre mort.
Yousign vous informe que certaines exceptions aux droits peuvent exister concernant, notamment :
- La rectification ou la suppression de dossier de preuve et des résultats de la vérification d’identité à distance, ainsi que de l’ensemble des informations nécessaires à la constitution du résultat.
- l’accès aux données ayant fait l’objet de traitements automatisés ou manuels dont la communication est susceptible de renseigner sur la nature des vérifications réalisées par le service et relatives à la détection d’usurpation d’identité.
Vous pouvez exercer ces droits en complétant le formulaire disponible ici. Nous pourrons vous demander à cette occasion de nous fournir des informations ou documents complémentaires pour justifier votre identité.
Vous pouvez également à tout moment accéder aux Données Personnelles vous concernant en vous connectant à votre Compte Utilisateur, et les modifier en vous rendant dans les paramètres de votre profil.
En cas de réponse insatisfaisante, vous pouvez introduire une réclamation concernant la collecte et l'utilisation de vos Données Personnelles auprès de l’autorité nationale compétente. En France, vous pouvez vous adresser à la Commission nationale de l’informatique et des libertés (CNIL) sur son site à l’adresse suivante : https://www.cnil.fr/fr.
9. Modifications de la présente Politique de confidentialité
Nous pouvons être amenés à modifier à tout moment la présente Politique afin d’y intégrer les évolutions réglementaires, jurisprudentielles ou techniques améliorant le niveau de protection de vos Données Personnelles.
En cas de modifications mineures, nous changerons la date de « Mise à jour », en haut de page, en indiquant la date à laquelle les modifications ont été apportées. En revanche, en cas de modifications substantielles de la présente Politique (relatives aux finalités de traitement, aux Données Personnelles collectées, à l’exercice des droits, ou au transfert des Données Personnelles), nous vous informerons, par tout moyen et notamment par e-mail, dans un délai minimum de trente (30) jours avant leur date de prise d’effet. Tout accès et utilisation du Site et des Services passé ce délai seront soumis aux termes de la nouvelle Politique.
Nous vous invitons à consulter régulièrement cette page afin de prendre connaissance d' éventuelles modifications ou mises à jour apportées à notre Politique de confidentialité.
10. Vie privée des enfants
Nos Services ne sont ni conçus pour ni offerts aux personnes âgées de moins de 18 ans ou de tout autre âge désigné par la loi applicable (les "mineurs"). Nous ne collectons ni ne demandons sciemment des données à caractère personnel à des mineurs, et nous n'autorisons pas les mineurs à utiliser nos Services. Si vous êtes mineur, veuillez ne pas utiliser nos Services ni nous envoyer vos données personnelles.
11. Nous contacter
Pour toute question relative à la présente Politique ou pour toute demande relative à vos Données Personnelles, vous pouvez consulter notre page RGPD ou encore notre Centre d’aide.
En outre, vous pouvez nous contacter en complétant le formulaire disponible ici.