5 points à retenir pour la signature électronique de documents contenant des données sensibles

Signing sensitive date digitally

À l’ère du numérique, de nombreuses entreprises abandonnent la signature papier au profit de la signature  électronique, afin de profiter de ses nombreux avantages et de sa plus grande facilité d’utilisation. Mais dans les organisations qui traitent des catégories particulières de données (personnelles par exemple), cela soulève des questions concernant la sécurité des données personnelles traitées durant le processus de signature numérique. Si vous travaillez dans le secteur des assurances, de la banque, de l’administration publique ou de la médecine, par exemple, vous êtes probablement amené à traiter quotidiennement des données sensibles. Afin de protéger l’identité du signataire et le contenu des documents, la signature de ces derniers doit pouvoir se faire en toute sécurité et dans le respect de la législation applicable.

Cet article de blog met l’accent sur les principaux points à retenir lors du choix d’une solution de signature numérique destinée à signer des documents contenant des données sensibles.

 

Exemples

La génération automatique de polices d’assurance, la signature numérique de prêts hypothécaires ou la prise en charge numérique des patients dans les hôpitaux sont autant de situations illustrant parfaitement la manière dont les organisations digitalisent leurs processus papier. Mais toutes ces situations constituent également des exemples de traitement de catégories particulières de données à caractère personnel.

Qu’entendons-nous exactement par l’expression « catégories particulières de données à caractère personnel » ? Pour répondre à cette question, examinons de plus près le Règlement Général sur la Protection des Données (RGPD) et certaines des catégories de données personnelles dont il faut tenir compte :

  Données biométriques (en cas d’utilisation de méthodes de signature biométrique)
  Données relatives à la santé (secteur médical, secteur financier, RH)
  Données génétiques (secteur médical, assurance vie)
  Appartenance à un syndicat (relations humaines)
  Opinions politiques (politique, secteur public)
  Données relatives à la vie sexuelle ou l’orientation sexuelle d’une personne physique (secteurs financier et médical)

Ces catégories de données à caractère personnel sont considérées comme « particulières » et leur traitement requiert une attention supplémentaire : il s’agit d’une obligation légale.

Outre le RGPD, qui est un règlement européen, plusieurs États nationaux ont adopté une législation spécifique relative au traitement des catégories particulières de données à caractère personnel. C’est également le cas de la Belgique et de la France. En tant que responsable du traitement des données, vous devez veiller à traiter ce type de données conformément aux lois de protection des données applicables.

 

Les 5 points à retenir :

Point 1 : identification du signataire

La première chose qui devrait retenir votre attention, c’est l’identité de la personne ou des personnes ayant accès aux documents à signer. Pour vous assurer que cet accès n’est accordé qu’à la personne à laquelle vous vous adressez réellement, nous vous recommandons d’identifier le signataire concerné. Dans un environnement en ligne, cette identification peut se faire de plusieurs manières sécurisées. Il est possible, par exemple, d’utiliser une carte d’identité nationale ou un système d’identité national, ou encore toute autre source offrant des services d’identification (comme itsme®).

Veuillez noter que l’identification du signataire avant de lui accorder l’accès au document n’est pas la même chose que l’utilisation de la carte beID ou du système itsme® à des fins de signature.

 

Point 2 : boutons d’option d’adhésion, gestion du consentement et fenêtres contextuelles de politique de confidentialité

Comme plusieurs types de catégories particulières de données à caractère personnel peuvent, selon la législation applicable, être traités après le consentement explicite de la personne concernée, vous devez veiller à obtenir les adhésions nécessaires le cas échéant (article 9.2 (a) RGPD). Certaines solutions de signature numérique offrent des outils de gestion des options de consentement. Ces fonctionnalités vous donnent, en tant que responsable du traitement des données, la possibilité d’obtenir le consentement nécessaire du signataire lorsque cela s’impose.

Vous devrez également faire preuve de transparence dans vos activités de traitement et informer la personne concernée de manière appropriée. Il existe de nombreuses méthodes pour cela, mais choisir une solution offrant la possibilité de présenter votre politique de confidentialité avant de signer un document peut certainement vous aider.

 

Point 3 : périodes de conservation des données

Les périodes de conservation (c’est-à-dire la durée pendant laquelle vous conservez des données à caractère personnel) constituent également un sujet brûlant lorsqu’il s’agit de traiter des catégories particulières de données à caractère personnel. Lors de la signature de documents par voie électronique, il est donc important de tenir compte de la durée de conservation des documents que vous signez et de l’endroit où ils sont archivés par la suite.

Bien entendu, le choix d’une solution « cloud » ou « sur site » aura un impact majeur sur les mesures à prendre. Les solutions cloud permettent de conserver les documents signés dans le cloud ou offrent des intégrations d’API permettant de connecter le logiciel de signature électronique à votre système de gestion de documents ou à d’autres logiciels. Du point de vue de la protection des données, nous pensons que la deuxième option (intégration d’API) est la plus intéressante, car elle vous offre la possibilité de conserver les documents signés dans vos propres systèmes une fois le processus de signature terminé. Assurez-vous cependant que l’intégration d’API a été configurée de telle sorte que les documents signés sont automatiquement supprimés des serveurs de votre fournisseur dès que la signature est effectuée.

Si vous optez pour une installation sur site (ou un hébergement dédié), vous avez le contrôle exclusif des périodes de conservation de données applicables, ce qui peut s’avérer intéressant dans certaines situations professionnelles.

 

Point 4 :  Chiffrement des données

Le chiffrement  est l’une des mesures de sécurité préconisées par le RGPD (article 32) pour garantir la sécurité des données personnelles. Les informations que vous envoyez sont codées de telle manière que seules les parties autorisées peuvent y accéder. Pour veiller à ce que seules des personnes autorisées puissent accéder aux données durant tout le processus, il est essentiel que le cryptage soit appliqué aussi bien pendant le stockage des données que lors de leur transfert.

En choisissant une solution de signature numérique cryptée, vous garantissez la confidentialité du contenu des documents.

 

Point 5 : fournisseurs d’hébergement et services cloud

Si vous choisissez une solution cloud pour la signature numérique de vos documents, nous vous conseillons d’examiner de plus près le fournisseur qui vous offre ses services d’hébergement. Nous avons identifié deux raisons principales :

  1. Mesures de sécurité adéquates

Lors du traitement de catégories particulières de données à caractère personnel, les mesures techniques et organisationnelles que vous prenez doivent être adaptées aux activités de ce traitement. Cela signifie que le traitement de données sensibles peut nécessiter des mesures de sécurité supplémentaires (article 32 RGPD). Pour mettre de telles mesures en œuvre, vous devez bien sûr compter sur le fournisseur des logiciels avec lesquels vous travaillez, mais aussi sur le fournisseur d’hébergement que vous avez choisi. Assurez-vous que la solution cloud que vous utilisez est conforme (voire supérieure) aux normes du marché si vous traitez des catégories particulières de données personnelles dans des documents à signer et veillez, si nécessaire, à effectuer une évaluation d’impact sur la protection des données.

  1. Législation nationale

Plusieurs pays ont promulgué des lois spécifiques applicables au traitement des données personnelles relatives à la santé, par exemple. C’est le cas notamment de la France qui a pris des mesures réglementaires significatives en ce qui concerne le traitement des données de santé et oblige désormais les fournisseurs d’hébergement à obtenir la certification Hébergeurs de Données de Santé (HDS).

En résumé, vous devez tenir compte de plusieurs éléments lorsque vous signez numériquement des documents comprenant des catégories particulières de données personnelles. Vous voulez savoir comment Connective garantit des mesures de sécurité adéquates ? Poursuivez votre lecture !

 

Identification du signataire
Services d’identification
Identifiez le signataire avant d’accorder l’accès aux documents en intégrant notre Identity Hub à votre environnement eSignatures.
Protection des données dès la conception
Bouton d’adhésion
Intégrez des boutons d’adhésion à votre processus pour obtenir les consentements nécessaires.
Gestion du consentement
Configurez votre propre politique de gestion du consentement.
Politique de confidentialité
Incorporez vos politiques de confidentialité sur mesure dans le processus de signature.
Périodes de conservation
Intégration d’API
Configurez notre API en fonction de vos besoins pour vous assurer que les documents signés sont conservés en toute sécurité dans vos systèmes internes.
Suppression automatique
Installez une fonction de suppression automatique pour vous assurer que les documents ne sont plus conservés après avoir été signés.
Cryptage
Cryptage
Les documents (et les données incluses) sont cryptés durant le stockage et le transfert.
Fournisseurs d’hébergement et services cloud
Hébergement
Système hébergé sur Microsoft Azure, appliquant de nombreuses mesures techniques et organisationnelles (certification ISO 27001) pour garantir une sécurité adéquate. Pour tout complément d’information : Microsoft’s Trust Center.
Certification HDS
Microsoft Azure est certifié HDS.
Solution sur site
Installations sur site disponibles.

 

Mesures internes prises pour garantir le traitement sécurisé des données à caractère personnel

  Connective n’accorde l’accès qu’au « personnel autorisé » en appliquant le principe du « besoin de connaître » lorsqu’il s’agit des environnements de production de nos clients. Le personnel autorisé dispose d’un accès limité à des fins spécifiques (comme le support) et a bénéficié d’une formation approfondie en matière de protection des données et de la vie privée.
  En tant que Trust Service Provider, Connective bénéficie de la certification LSTI reconnue par l’ETSI.
  Connective tient un registre explicitement lié au traitement des données médicales et criminelles, comme l’exige la législation belge.
  Connective applique largement des mesures techniques et organisationnelles décrites dans sa Déclaration de mesures techniques et organisationnelles.

Tout ce qui précède nous permet de bien comprendre les projets impliquant des catégories particulières de données à caractère personnel nécessitant une plus grande attention. Tous les membres de notre équipe, y compris nos  Délégués à la Protection des Données (DPD), se tiennent à votre disposition pour discuter de la mise en œuvre de nos solutions dans le cadre de votre projet spécifique.

 

Vous avez des questions concernant la protection des données ? n’hésitez pas à contacter notre délégué à la protection des données.