Partagez sur :

LinkedIn

La sécurité s’immisce de plus en plus dans la règlementation.

Les règlementations qui impactent l’usage de la signature électronique ne manquent pas ! Jalon essentiel de la transformation numérique des organisations, cette technologie fait l’objet de nombreuses normes et législations que les éditeurs respectent à des niveaux différents :

Pour assurer la sécurité des données et leur confidentialité, Lex Persona ne laisse rien au hasard ! Le but étant de permettre à ses utilisateurs de signer sans risque.

 

Un éditeur de signature électronique qui n’est pas soumis au Cloud Act

Outre-Atlantique, c’est le Cloud Act qui fait foi en matière de gestion des données.

Il stipule notamment que les fournisseurs de services établis sur le territoire américain doivent fournir les data de tous leurs clients. Sur simple demande des instances de la justice américaine. Une mesure qui soulève, bien sûr, de nombreuses problématiques liées à la protection de la vie privée. De nombreux éditeurs de signature électronique y sont soumis.

Basée en France, Lex Persona ne dépend pas, de fait, du Cloud Act. L’entreprise va même plus loin, puisqu’elle ne travaille qu’avec des fournisseurs non soumis à cette législation, privilégiant des acteurs français.

Cette approche s’inscrit dans une volonté affirmée de souveraineté numérique, un enjeu crucial pour Lex Persona. En maîtrisant ses données et celles de ses clients, l’entreprise garantit une protection optimale et renforce la confiance accordée par ses utilisateurs.

Dans cette même logique, Lex Persona est propriétaire de sa propre infrastructure informatique qu’elle exploite dans des datacenters situés en France. Cette indépendance technologique permet à Lex Persona d’assurer une sécurité renforcée et un contrôle total sur ses opérations, tout en respectant les enjeux de souveraineté numérique.

 

Points de vigilance autour du RGPD

Un éditeur est considéré comme un sous-traitant par le RGPD et n’est donc pas responsable du traitement des données personnelles des utilisateurs de ses solutions.

Cette obligation revient aux clients de l’éditeur, qui ont recours à ses outils pour faire signer des documents. Cependant, le fournisseur de signature électronique doit respecter certaines obligations découlant de sa relation contractuelle avec ses clients, du RGPD, ainsi que d’autres exigences légales. Par exemple, il doit conserver les données personnelles nécessaires à la vérification de l’identité d’un signataire (telles que la date de naissance et les informations de la pièce d’identité) pendant une durée de 7 ans, conformément à la norme ETSI EN 319 411-1.

Lex Persona attache une grande importance au respect du RGPD, et les responsabilités ainsi que les obligations de chaque partie sont clairement exposées dans les contrats et les Conditions Générales d’Utilisation de la plateforme de signature électronique de Lex Persona.

Dès le début de la collaboration, les durées de conservation, les finalités des traitements et la nature des données sont définies avec le client.

 

 

Les certifications, clef de voûte de la conformité et de la pérennité de vos signatures

Au-delà de répondre aux exigences règlementaires en vigueur, les dispositions entreprises par Lex Persona peuvent respecter les critères de différentes certifications et qualifications afin de garantir la fiabilité et la pérennité des signatures, des fichiers de preuves et des journaux produits. Ces certifications démontrent le bon respect des exigences de sécurité requises par certaines normes.

Parmi les certifications possibles, on retrouve la norme ISO 27001 (Management de la sécurité de l’information). Ainsi que la certification HDS (Hébergeur de Données de Santé).

Lex Persona fait l’objet d’audits réguliers, notamment pour son service d’horodatage qualifié eIDAS en conformité avec la norme ETSI EN 319 421. Par ailleurs, elle offre la possibilité aux utilisateurs de signer avec des certificats générés « à la volée » par une Infrastructure de Clés Publiques, certifiée conforme à la norme ETSI EN 319 411-1 LCP utilisée pour la signature électronique avancée et à la norme ETSI EN 319 411-2 QCP-n-qscd pour la délivrance de certificats qualifiés de signature électronique pour la signature électronique qualifiée.

 

Intégrer une démarche « security by design »

À ces certifications peuvent s’ajouter d’autres initiatives pour garantir la sécurité et la maîtrise totale des processus liés à la signature électronique.

La mise en place d’une architecture hybride mêlant un composant installé chez le client et une partie en SaaS chez l’éditeur, est, par exemple, un bon moyen de répondre aux organisations ayant des besoins de confidentialité très élevés (ministères, secteur de la défense, du nucléaire, etc.). Grâce à ce procédé hybride, Lex Persona n’entre jamais en contact avec les documents signés, seuls les signataires en prennent connaissance.

Également, l’utilisation de signatures qualifiées, réalisées en local à l’aide de certificats qualifiés sur support cryptographique ou bien réalisées à distance à l’aide de certificats qualifiés délivrés à la volée est, par ailleurs, parfaitement adaptée aux acteurs des secteurs privé et public qui disposent alors du plus haut niveau de sécurité juridique et technique.

 

Cet article est extrait de notre livre blanc « La signature électronique et son intégration : les clés pour réussir »

👉  Télécharger le livre blanc.