Accord de traitement des données

Dernière mise à jour : 15 novembre 2024
Vous pouvez consulter la précédente version ici

1. OBJET

Le présent accord sur les Traitements de Données Personnelles (ci-après, l’ « Accord ») fait partie intégrante du Contrat. L’Accord a pour objet de définir les conditions dans lesquelles Yousign s’engage à effectuer les Traitements des Données Personnelles fournies dans le cadre de l’exécution des Services conformément à l'article 28 du Règlement (UE) 2016/679 (ci-après le « RGPD »). 

Le présent Accord entre en vigueur à compter de la signature du Contrat auquel il est attaché et reste en vigueur durant toute la durée de la relation contractuelle unissant Yousign et l’Abonné/Utilisateur.

2. DÉFINITIONS 

Tous les termes en majuscules qui ne sont pas définis dans le présent Accord auront la signification qui leur est donnée ici.

3. DESCRIPTION DES TRAITEMENTS

Pour les seuls besoins de l’exécution du Contrat, l’Abonné/Utilisateur autorise Yousign à réaliser pour son compte des Traitements de Données Personnelles (ci-après, les « Traitements confiés ») nécessaires pour fournir les Services.

4. QUALIFICATION DES PARTIES

Pour l’ensemble des Traitements confiés dans le cadre de l’exécution du Contrat, les Parties reconnaissent expressément que l’Abonné/Utilisateur est le Responsable du traitement, et que Yousign est un Sous-traitant.

Yousign est autorisée par l’Utilisateur/Abonné à traiter, pour le compte du Responsable de traitement, les Données Personnelles nécessaires à la fourniture des Services. Tous les Traitements effectués par Yousign en qualité de Responsable de traitement sont mentionnés dans la Politique de confidentialité disponible sur le Site.

5. SÉLECTION DES SERVICES

L’Abonné/Utilisateur est seul responsable du choix des Services et doit s’assurer que les Services, auxquels il souscrit pour les besoins de ses activités, ont les caractéristiques et les conditions requises par celui-ci. 

6. CONFORMITÉ À LA RÉGLEMENTATION APPLICABLE

Chaque Partie s’engage à exécuter le Contrat en conformité avec les Lois et réglementations applicables en matière de protection des Données Personnelles, et à respecter à tout moment dans le cadre de l’exécution du Contrat les obligations qui lui sont applicables, en particulier, les dispositions du RGPD.

7. OBLIGATIONS DE L’ABONNÉ/UTILISATEUR EN QUALITÉ DE RESPONSABLE DE TRAITEMENT

L’Abonné/Utilisateur, en sa qualité de Responsable du traitement, est tenu de s’acquitter des obligations qui lui reviennent en application du RGPD. Il est en particulier seul responsable (i) de la licéité des Traitements confiés, au regard notamment des principes et obligations prévus par les Lois et réglementations applicables en matière de protection des Données Personnelles concernant en particulier la base légale des Traitements confiées et l’information des Personnes concernées, (ii) de l’utilisation de la Plateforme, des Services, et des Documents qu’il complète, dépose, stocke, archive, consulte, télécharge et/ou supprime de la Plateforme, (iii) de la tenue de son registre des Traitements, et (iv) le cas échéant de l’accomplissement des formalités préalables à la mise en œuvre du Traitement.

L’Abonné/Utilisateur s’engage à fournir à Yousign les données mentionnées en annexe 1 afin de permettre à Yousign de fournir les Services de Signature électronique, et à superviser les Traitements confiés, y compris en réalisant des audits dans les conditions décrites à l’article « Audits ».

L’Abonné/Utilisateur s’engage à désigner un interlocuteur privilégié chargé de représenter le Responsable de traitement, et à communiquer ses coordonnées à Yousign par le biais du Compte Organisation.

L’Abonné/Utilisateur est également responsable de son utilisation des Services, et notamment de la protection et de la sécurité des Données Personnelles en transit depuis et vers la Plateforme.

8. OBLIGATIONS DE YOUSIGN EN QUALITÉ DE SOUS-TRAITANT

8.1 Respect des Instructions. Yousign s'engage à traiter les Données Personnelles uniquement aux fins décrites dans le présent Accord ou, comme convenu autrement, dans le cadre des Instructions légales de l’Abonné/Utilisateur. 

Si Yousign considère qu’une Instruction constitue une violation du RGPD ou de toute autre disposition des Lois et réglementations applicables en matière de protection des Données Personnelles, Yousign en informe immédiatement l’Abonné/Utilisateur. 

Il est précisé que l’engagement de Yousign se limite à la fourniture des Services et à l’hébergement de la Plateforme. Dès lors que le Responsable de traitement renseigne des Données Personnelles dans la Plateforme, il doit respecter les prescriptions légales en matière de protection des Données Personnelles en particulier l’information et le consentement des Personnes concernées, le cas échéant.  

8.2 Confidentialité. Yousign réserve l’accès aux Données Personnelles confiées aux seules personnes parmi ses employés et sous-traitants ultérieurs ayant besoin d’y accéder pour l’exercice de leurs fonctions dans le cadre de l’exécution du Contrat. Yousign s’engage à ce que ces destinataires soient tous tenus par des obligations de confidentialité équivalentes à celles mentionnées dans le présent Accord.

8.3 Sécurité des Traitements confiés. Yousign s’engage à prendre et à maintenir des mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles contre toute violation, comme décrit sur la page Sécurité. Yousign peut modifier ou mettre à jour ces mesures de sécurité à sa seule discrétion, à condition que cette modification ou mise à jour n'entraîne pas une réduction du niveau de sécurité. 

8.4 Sous-traitants ultérieurs. Yousign dispose d’une autorisation générale de l’Utilisateur/Abonné lui permettant de faire appel aux Sous-traitants ultérieurs listés ici. Yousign s'engage à informer chaque Utilisateur/Abonné, par écrit, trente (30) jours en avance, de tout changement envisagé concernant l'ajout ou le remplacement de Sous-traitants ultérieurs.
Si l’Utilisateur/Abonné a des raisons légitimes et raisonnables de s’opposer à la nomination d’un nouveau Sous-traitant ultérieur, l’Utilisateur doit immédiatement motiver sa réclamation à Yousign en adressant un avis écrit au Service Support, dans les trente (30) jours suivant la notification émise par Yousign, à défaut de quoi l’Utilisateur/Abonné sera réputé avoir approuvé et accepté les changements. 

Après discussions et en l’absence d’accord entre Yousign et l’Utilisateur/Abonné, l’Utilisateur/Abonné pourra, dans les trente (30) jours suivant la notification, résilier la partie du Contrat affectée par la mise à jour en question. 

En toute hypothèse, Yousign s’engage à faire preuve d'une diligence raisonnable dans l'évaluation, la nomination et la surveillance des activités de Traitement des Sous-traitants ultérieurs. Les Sous-traitants doivent à ce titre présenter des garanties suffisantes au regard des obligations applicables en matière de sécurité et de confidentialité des données Personnelles confiées,  et être tenues envers Yousign d’obligations identiques ou équivalentes à celles prévues par le présent Accord.

Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des Données Personnelles, Yousign demeure pleinement responsable, à l’égard de l’Utilisateur/Abonné, de l’exécution de ses obligations. 

8.5 Transferts de données. Si, en application du Contrat, des Données Personnelles sont transférées en dehors de l’Union européenne vers un pays qui ne fait pas l’objet d’une décision d’adéquation, Yousign s’engage à mettre en place un accord de transfert de données conforme aux Clauses Contractuelles Types ou, à sa discrétion, toute autre garantie appropriée prévue au chapitre V du RGPD.

En outre, si Yousign est tenue de procéder à un transfert de Données Personnelles vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel elle est soumise, elle doit informer l’Abonné/Utilisateur de cette obligation juridique avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

8.6 Droits des Personnes concernées. Il appartient au Responsable de traitement de donner suite aux demandes de droit des Personnes concernées sur leurs Données Personnelles. Dans la mesure du possible, Yousign, en sa qualité de Sous-traitant et sur demande du Responsable de traitement, pourra assister le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des Personnes concernées, telles que les demandes de droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). 

Si une Personne concernée contacte directement Yousign pour exercer l'un de ses droits, Yousign s'engage à renvoyer la Personne concernée vers le Responsable de traitement dans les plus brefs délais afin que ce dernier puisse donner suite à sa demande.

8.7 Notification des violations de Données Personnelles. Yousign notifie par écrit à l’Abonné/Utilisateur toute violation de Données Personnelles. Cette notification est accompagnée de toute documentation utile afin de permettre à l’Abonné/Utilisateur, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

8.8 Registre des activités de traitement. Yousign déclare tenir par écrit un registre de toutes les catégories de Traitement effectuées pour le compte du Responsable de traitement conformément aux dispositions du RGPD.

8.9 Information et assistance fournie au Responsable de traitement. Sur demande écrite de l’Abonné/Utilisateur, Yousign fournit à l’Abonné/Utilisateur une assistance raisonnable dans la réalisation d’analyses d’impact relative à la protection des Données Personnelles, prévues par le RGPD. Yousign met à la disposition du Responsable de traitement toutes les informations nécessaires concernant les Traitements confiés afin de l'assister dans l’accomplissement de ses obligations légales.

9. AUDITS
Afin de s’assurer du respect des dispositions du présent Accord, le Responsable de traitement pourra réaliser ou faire réaliser à ses frais des audits organisationnels ou techniques, dans le respect des conditions prévues au présent article et dans la limite d’un (1) audit par an et de trois (3) jours ouvrés maximum, le temps passé par le personnel de Yousign étant facturé au Responsable de traitement.

L’audit devra se dérouler conformément aux règles et exigences de sécurité de Yousign. Aucun audit n'est autorisé pour quelque motif que ce soit, sans l’accord écrit et préalable de Yousign. Yousign peut s’opposer à la nomination d’un auditeur en raison de l’absence d’indépendance ou de conflit d’intérêt avec celui-ci. Dans ce cas, le Responsable de traitement notifiera à Yousign le nom d’un autre auditeur.

Chaque audit devra faire l’objet d’une convention d’audit, mise à disposition par écrit par le Responsable de traitement, et formellement approuvée par Yousign au minimum trente (30) jours avant le début de l’audit. La convention d’audit devra détailler le périmètre exact, les limites, les exclusions, les objectifs, la nature des tests et la méthodologie suivie par les auditeurs, les dates et horaires, le processus d’escalade en cas d’incident en cours d’audit, et les coordonnées de l’ensemble des parties intéressées. 

Les informations obtenues au cours de l’audit sont des Informations Confidentielles et devront être traitées comme telles par le Responsable de traitement. Dans le cas où l’audit serait réalisé par un auditeur externe, le Responsable de traitement s’engage à ce que ce dernier présente des garanties de confidentialité suffisantes au regard de la nature des informations auxquelles il pourrait accéder dans le cadre de l’audit.

Le Responsable de traitement s’engage à communiquer gratuitement et systématiquement le rapport d’audit complet à Yousign, qui pourra présenter ses observations. Si le rapport d’audit fait apparaître un non-respect des obligations visées dans le présent Accord, Yousign déterminera sur la base de ses politiques internes le délai à compter de la réception de la version finale du rapport pour corriger les manquements et/ou non-conformités constatés.

10. CONSERVATION, SUPPRESSION ET RESTITUTION DES DONNÉES PERSONNELLES. 

Yousign s’engage à respecter la période de conservation des Données Personnelles applicable aux finalités pour lesquelles elles ont été collectées ou fournies et les supprimer/anonymiser dès lors que ces finalités n'existent plus, sous réserve d'obligations légales de conservation. 

Yousign s’engage à tenir à disposition de l’Utilisateur/Abonné, pendant toute la durée du Contrat une copie des  Données Personnelles confiées au cours de l’exécution du Contrat. Par ailleurs, à la fin de la relation contractuelle, l’Abonné/Utilisateur pourra récupérer les Données Personnelles confiées dans le cadre de la réalisation des Services, dans les conditions prévues au Contrat. Ces données seront mises à disposition de l’Utilisateur/Abonné dans un format garantissant leur interopérabilité.

11. RESPONSABILITÉ

Yousign ne peut être tenu responsable que des dommages causés par un Traitement confié pour lequel (i) il n'a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement au Sous-traitant ou pour lequel (ii) il a agi en-dehors des Instructions licites du Responsable de traitement ou contrairement à celles-ci.

12.  INTÉGRALITÉ DE L’ACCORD

Le présent Accord constitue l'intégralité de l'accord entre les Parties en ce qui concerne son objet et remplace tous les accords antérieurs ou contemporains entre les Parties ayant le même objet, y compris toute version antérieure d’accord sur la protection des Données Personnelles qui aurait été signée entre l’Utilisateur/Abonné et Yousign.

13. CONTACT 

En cas de questions sur les Traitements confiés dans le cadre du présent Accord, l’Utilisateur/l’Abonné peut contacter Yousign en utilisant le formulaire de contact prévu à cet effet sur le Site de Yousign, ou en contactant le Service Support.

Yousign SAS, situé en France, est l'établissement principal de Yousign au sens de l'article 4 du RGPD. L'autorité cheffe de file pour les Traitements transfrontaliers au sens de l'article 56 du RGPD pour Yousign est la CNIL.

14. LOI APPLICABLE 

L’Accord est régi et interprété conformément au droit français.

Annexe 1 - Liste des Traitements de Données Personnelles

Dans le cadre de la fourniture des Services de Signature électronique, Yousign effectue pour le compte de l’Abonné/Utilisateur, les Traitements suivants en qualité de Sous traitant.

Traitement n°1 \- Gestion des comptes Client / Utilisateur

  1. Opérations du traitement. Les Services Yousign impliquent la collecte, l’enregistrement, l’organisation, le stockage, l’organisation, la mise à jour, la reproduction, la mise à disposition, la consultation, l'utilisation, le transfert, l’anonymisation et l’effacement des Données personnelles confiées dans le cadre de ce traitement.
  2. Finalité(s) du traitement.
    1. Gestion des contacts pour effectuer des demandes de signature
    2. Gestion des workspaces
    3. Gestion des labels
    4. Gestion des profils utilisateurs (rôle et droit d'accès)
    5. Gestion des dashboards de suivi
  3. Base légale du traitement. Il appartient au Responsable de traitement de déterminer la base légale avant toute opération de Traitement.
  4. Catégorie(s) de personnes concernées.
    1. Abonnés et Utilisateurs
    2. Personnes identifiées dans les contacts.
  5. Catégorie(s) de Données Personnelles.
    1. Données d’identification: nom, prénom, photo (facultatif)
    2. Données de contact: Email / adresse postale /localisation (ville/pays) numéro de téléphone
    3. Vie professionnelle: titre professionnel, société, langage utilisé
    4. Données de connexion: ID utilisateur
  6. Destinataires des données. Les Sous-traitants ultérieurs agréés sont listés ici
  7. Durée de conservation. Les données sont conservées pendant toute la durée de la relation contractuelle.

Traitement n°2 \- Gestion des Documents et des demandes de signature

  1. Opérations du traitement. Les Services Yousign impliquent la collecte, l’enregistrement, l’organisation, le stockage, la mise à jour, la reproduction, la mise à disposition, la consultation, l'utilisation, le transfert, l’anonymisation et l’effacement des Données personnelles confiées dans le cadre de ce traitement.
  2. Finalité(s) du traitement.
    1. Structuration des Documents à signer : Génération et usage de template / gestion des “Forms” / téléchargement des documents en PDF sur la Plateforme
    2. Création des demandes de signature et invitation à signer (+ relance)
    3. Gestion du suivi des demandes de signature (reminder / expiration/ information de la disponibilité des documents signés)
    4. Gestion des versions intermédiaires (Document partiellement signé)
    5. Gestion des documents signés (Téléchargement / consultation / Stockage / archivage)
    6. Gestion des communications pour la récupération des Documents/Dossier de preuve
  3. Base légale du traitement. Il appartient au Responsable de traitement de déterminer la base légale avant toute opération de Traitement.
  4. Catégorie(s) de personnes concernées.
    1. Abonnés et Utilisateurs
    2. Signataires
    3. Créateurs et personnes qui donnent les informations à compléter dans les “Forms”
    4. Validateurs / follower
  5. Catégorie(s) de données personnelles.
    1. Données d’identification: statut civil, nom, prénom
    2. Données de contact: Email / adresse postale / numéro de téléphone
    3. Vie professionnelle: titre professionnel, société
    4. Données de connexion: nom du Document / metadata du Document
  6. Destinataires des données. Les Sous-traitants ultérieurs agréés sont listés ici
  7. Durée de conservation. Les données sont conservées pendant toute la durée de la relation contractuelle.

Traitement n°3 \- La gestion de l’acte de signature

  1. Opérations du traitement. Les Services Yousign impliquent la collecte, l’enregistrement, l’organisation, le stockage, la mise à jour, la reproduction, la mise à disposition, la consultation, l'utilisation, le transfert, l’anonymisation et l’effacement des Données personnelles confiées dans le cadre de ce traitement.
  2. Finalité(s) du traitement.
    1. Annulation et mise en corbeille des demandes de signature
    2. Approbation / rejet par un destinataire
    3. Signature (scroll / Swipe to sign / apposition image)
    4. Gestion des “magic link”
  3. Base légale du traitement. Il appartient au Responsable de traitement de déterminer la base légale avant toute opération de Traitement.
  4. Catégorie(s) de personnes concernées.
    1. Abonnés et Utilisateurs.
    2. Créateur de la demande de signature
    3. signataires
    4. approbateur
  5. Catégorie(s) de données personnelles.
    1. Données d’identification: nom, prénom
    2. Données de contact: Email
    3. Vie professionnelle: titre professionnel, société
    4. Données de connexion: Legal log / adresse IP / ID des personnes concernées
  6. Destinataires des données. Les Sous-traitants ultérieurs agréés sont listés ici
  7. Durée de conservation. Les données sont conservées pendant toute la durée de la relation contractuelle.

Traitement n°4 \- La gestion du dossier de preuve

  1. Opérations du traitement. Les Services Yousign impliquent la collecte, l’enregistrement, l’organisation, le stockage, la reproduction, la mise à disposition, la consultation, l'utilisation, le transfert et l’effacement des Données personnelles confiées dans le cadre de ce traitement.
  2. Finalité(s) du traitement:
    1. Création du Dossier de preuve
    2. Archivage du Dossier de preuve
    3. Mise à disposition du Dossier de preuve
  3. Base légale du traitement. Il appartient au Responsable de traitement de déterminer la base légale avant toute opération de Traitement.
  4. Catégorie(s) de personnes concernées.
    1. Abonnés et Utilisateurs.
    2. Signataires
  5. Catégorie(s) de données personnelles.
    1. Données d’identification: nom, prénom, ID user, ID signataire
    2. Données de contact: Email, numéro de téléphone
    3. Vie professionnelle: titre professionnel, société, ID de société
    4. Données de connexion: adresse IP / ID des personnes concernées / log et data du Document / Id et metadata de la demande de signataire
    5. Données liées au certificat et au hash
    6. Données d’identité extraites des documents d’identité: Numéro d'identification, type de document, date d'expiration, MRZ, pays de délivrance, nom de naissance, nom de famille, prénoms, date de naissance, lieu de naissance, date de la carte d'identité, nationalité, statut de validité du document d’identité
  6. Destinataires des données. Les Sous-traitants ultérieurs agréés sont listés ici
  7. Durée de conservation. Les données sont conservées pendant toute la durée de la relation contractuelle.

Traitement n° 5 \- Gestion de l’API

  1. Opérations du traitement. Les Services Yousign impliquent la collecte, l’enregistrement, l’organisation, le stockage, la mise à jour, la reproduction, la mise à disposition, la consultation, l'utilisation, le transfert, l’anonymisation et l’effacement des Données personnelles confiées dans le cadre de ce traitement.
  2. Finalité(s) du traitement.
    1. Gestion de la sandbox
    2. Gestion de demozone
    3. Gestion de migration de version
    4. Gestion des demandes de réversibilité sortante des clients API
    5. API key generation
  3. Base légale du traitement. Il appartient au Responsable de traitement de déterminer la base légale avant toute opération de Traitement.
  4. Catégorie(s) de personnes concernées.
    1. Abonnés et Utilisateurs.
    2. Signataires
    3. Testeurs sur demozone
    4. Personnes concernées participant à l’acte de création et de validation de la demande de signature (approuver / follower / recipient…)
  5. Catégorie(s) de données personnelles
    1. Données d’identification: nom, prénom
    2. Données de contact: Email, numéro de téléphone, adresse postale
    3. Vie professionnelle: titre professionnel, société
    4. Données de connexion: ID token
  6. Destinataires des données. Les Sous-traitants ultérieurs agréés sont listés ici
  7. Durée de conservation. Les données sont conservées pendant toute la durée de la relation contractuelle.