Partagez sur :

LinkedIn

La sécurité et la confidentialité s’immiscent de plus en plus dans la règlementation.

Les règlementations qui impactent l’usage de la signature électronique ne manquent pas ! Jalon essentiel de la transformation numérique des organisations, cette technologie fait l’objet de nombreuses normes et législations que les éditeurs respectent à des niveaux différents :

  • Règlement général pour la protection des données (RGPD) ;
  • Règlement eIDAS ;
  • Loi pour une République numérique ;
  • Projets de lois européennes relatives au Digital Services Act (DSA) et au Digital Market Act (DMA).

Pour assurer la sécurité des données et leur confidentialité, Lex Persona ne laisse rien au hasard ! Le but étant de permettre à ses utilisateurs de signer sans risque.

 

Un éditeur de signature électronique qui n’est pas soumis au Cloud Act

Outre-Atlantique, c’est le Cloud Act qui fait foi en matière de gestion des données.

Il stipule notamment que les fournisseurs de services établis sur le territoire américain doivent fournir les data de tous leurs clients. Sur simple demande des instances de la justice américaine. Une mesure qui soulève, bien sûr, de nombreuses problématiques liées à la protection de la vie privée. De nombreux éditeurs de signature électronique y sont soumis.

Basée en France, Lex Persona ne dépend pas, de fait, du Cloud Act. L’entreprise va même plus loin, puisqu’elle ne travaille qu’avec des fournisseurs non soumis à cette législation, privilégiant des acteurs français. Dans cette même logique, Lex Persona est propriétaire de sa propre infrastructure informatique qu’elle exploite dans des datacenters situés en France.

 

Points de vigilance autour du RGPD

Un éditeur est considéré comme un sous-traitant par le RGPD. Il n’est donc pas responsable du traitement des données personnelles des utilisateurs de ses solutions.

Cette obligation incombe donc aux clients de l’éditeur, qui ont recours à ses outils pour faire signer des documents.

Cependant, le fournisseur de signature électronique est obligé de conserver des données personnelles et données d’enregistrement permettant de vérifier l’identité d’un signataire (date de naissance, copie de pièce d’identité, etc.) pour une durée de 7 ans. Passé ce délai, ces informations sont supprimées ou anonymisées à la demande du client. Dans tous les cas, la durée de conservation et la nature des données archivées sont établies dès le début de la prestation avec le client. De même, la finalité du traitement réservé aux données doit systématiquement être précisée dans les Conditions générales d’utilisation de l’éditeur.

Lex Persona est très vigilante quant au respect du RGPD. En précisant notamment les droits et devoirs respectifs de l’éditeur, de ses clients et de ses utilisateurs. Que ce soit à travers ses contrats de service ou bien ses Conditions Générales d’Utilisation.

 

Les certifications, clef de voûte de la conformité et de la pérennité de vos signatures

Au-delà de répondre aux exigences règlementaires en vigueur, les dispositions entreprises par Lex Persona peuvent respecter les critères de différentes certifications et labels afin de garantir la fiabilité et la pérennité des signatures, des fichiers de preuves et des journaux produits. Ces certifications démontrent le bon respect des exigences de sécurité requises par certaines normes.

Parmi les certifications possibles, on retrouve la norme ISO 27001 (Management de la sécurité de l’information). Ainsi que la certification HDS (Hébergeur de Données de Santé).

Lex Persona est ainsi régulièrement auditée, notamment pour son service d’horodatage qualifié eIDAS. Par ailleurs, elle offre la possibilité aux utilisateurs de signer avec des certificats générés « à la volée » par une Infrastructure de Clés Publiques, certifiée conforme à la norme ETSI EN 319 411 utilisée pour la signature électronique. Elle est également labellisée 2D-Doc par la FNTC. À ce jour, l’API de signature électronique en ligne Lex Persona est la seule à être certifiée CSPN par l’ANSSI.

 

Intégrer une démarche « security by design »

À ces certifications peuvent s’ajouter d’autres initiatives pour garantir la sécurité et la maîtrise totale des processus liés à la signature électronique.

La mise en place d’une architecture hybride mêlant un composant installé chez le client et une partie en SaaS chez l’éditeur, est, par exemple, un bon moyen de répondre aux organisations ayant des besoins de confidentialité très élevés (ministères, secteur de la défense, etc.).

Grâce à ce procédé hybride, Lex Persona n’entre jamais en contact avec les documents signés, seuls les signataires en prennent connaissance.

Le recours à des cartes à puce est, par ailleurs, parfaitement adapté aux acteurs du secteur public. Ils disposent dès lors de certificats qualifiés eIDAS de signatures accessibles directement sur support physique. Grâce à l’utilisation de ces certificats, l’identité du signataire est garantie.

Lorsque ces certificats qualifiés sont fournis sur un QSCD alors la solution, à l’instar des autres applications de l’éditeur, permet de réaliser des signatures qualifiées eIDAS.