Skip to main content

ANNEXE COMPLÉMENTAIRE RELATIVE AU SERVICE DE SIGNATURE ÉLECTRONIQUE AVANCÉE UE DOCUSIGN

Si votre utilisation du Service inclut l'utilisation de la Vérification d’Identité par Docusign, les dispositions de l'article 8 de la présente Annexe complémentaire sont applicables.  

Date de mise à jour de l'Annexe complémentaire: 21 février 2022. Sauf définition contraire dans la présente Annexe complémentaire relative au  Service de Signature électronique avancée UE Docusign (ci-après l’« Annexe complémentaire») , les termes commençant par une majuscule ont la signification qui leur est attribuée dans le Contrat.

1. DEFINITIONS

« Politique d’Archivage » désigne l’ensemble des règles juridiques, fonctionnelles, opérationnelles, techniques et de sécurité que le Client doit établir, mettre en œuvre et respecter pour la gestion de l’identification du ou des Signataire(s) et du Certificat de Réalisation. 

« Certificat(s) » désigne le Certificat généré par Docusign France via le Service destiné à un Signataire, et utilisé par ce dernier pour signer électroniquement un eDocument qui lui est adressé via le Service par un Utilisateur Autorisé. Chaque Certificat contient certaines informations, telle que l'identité du Signataire qui inclut son nom et/ou son nom d’emprunt, la clé publique du Signataire, la durée de validité du Certificat, l'identité de l’AE et la signature de l’AC émettrice des Certificats.

« Autorité de Certification » (ou « AC ») désigne Docusign France, l'autorité qui génère des Certificats et gère la durée de validité du Certificat sur demande de l’Autorité d’Enregistrement, en application des règles et pratiques définies dans sa ou ses Politique(s) de Certification et la Déclaration des Pratiques de Certification y afférente. L'entité signataire pour Docusign décrite à l'article 12 (Entité signataire, droit applicable et attribution de compétence) du Contrat-Cadre agit en tant qu'agent pour Docusign France, en tant qu'AC en vertu des présentes.

« Certificat de Réalisation » (ou « CDR ») désigne le fichier de Transaction créé en utilisant le Service.

« Politique(s) de Certification » désigne l’ensemble de règles publiées par l’AC et qui décrit les caractéristiques générales des Certificats qu’elle délivre et les rôles de l’AC, de l’AE, des Signataires et les utilisateurs de Certificats. La Politique de Certification applicable à la Signature Avancée UE est désignée sous la référence 1.3.6.1.4.1.22234.2.14.3.33 et elle est disponible via le lien suivant :  https://www.docusign.fr/societe/politiques-de-certifications

« Vérification par le Client » désigne la configuration pour l'identification du Signataire définie par le Client et qui a) s’écarte des paramètres établis par le Service IDV ou les fournisseurs d’identité ou b) valide l’identité du Signataire lorsque le Service IDV ou le fournisseur d’identité a rejeté l’identification du Signataire. 

« Autorité d’Enregistrement Déléguée » (ou « AED ») désigne toute entité expressément désignée par l’AE pour effectuer tout ou partie des tâches de l’AE dans le respect de la Politique d’Enregistrement applicable.

« Documentation » désigne la documentation commerciale, fonctionnelle et technique qui se rapporte au Service et qui est fournie au Client par Docusign , y compris les Politiques de Certification de Docusign France applicables La Documentation peut être sur support papier, sur un support de stockage magnétique ou tout autre support utilisé par Docusign. La Documentation fournie par Docusign peut être remise en anglais et/ou en français.

« Docusign France » signifie Docusign France SAS, une Société Affiliée à Docusign Inc.

« Vérification d’Identité par Docusign » (ou le « Service IDV ») désigne le Service Docusign qui fournit des services de vérification d’identité aux parties qui signent des eDocuments en utilisant le Service de Signature Docusign. Le Service IDV permet au Client de vérifier l’identité d’un Signataire avant que le Signataire signe un eDocument envoyé par le Client via le Service de Signature Docusign. 

« Signature Docusign » désigne le Service Docusign de signature électronique à la demande qui fournit des services d’affichage en ligne, de remise de document scellé, d’accusé de réception, de signature électronique et de stockage pour les eDocuments via Internet. 

« Règlement 910/2014 » ou « eIDAS » désigne le Règlement européen No. 910/2014.

« Fournisseur d’Identité » ou « FID » désigne le service tiers autorisé à confirmer l’identité d’un Signataire en utilisant ses propres mécanismes de vérification d'identité du Signataire dans le cadre du Service IDV. 

« Clé Privée » désigne une clé mathématique secrète et unique, contenue de manière sécurisée à l’intérieur d'une ressource cryptographique matérielle et activée à distance par le Signataire pour signer des eDocuments. Dans le cadre du Service, les Clés Privées sont générées à la seule fin d'une Transaction unique et sont effacées après l’accomplissement d’une telle Transaction.

« Autorité d’Enregistrement » (ou « AE ») désigne l’entité entretenant des relations contractuelles avec l’AC pour enregistrer des demandes de délivrance de Certificats, et valider ou rejeter ces Certificats. L’AE applique les procédures d’identification et d’authentification du Signataire conformément aux règles et pratiques définies dans la Politique d’Enregistrement.  Pour les besoins des présentes, l’AE est le Client.

« Politique d’Enregistrement » désigne les procédures et règles définies et mises en œuvre par l’Autorité d’Enregistrement pour identifier et authentifier les Signataires, vérifier et sauvegarder les pièces justificatives de l’enregistrement des Signataires et enregistrer les demandes de délivrance des Certificats des Signataires.

« Service » désigne le service de Signature Electronique Avancée UE Docusign qui est fourni au Client par Docusign France en tant que prestataire de service de confiance pour offrir aux Signataires un service de signature électronique de eDocuments via le Service de Signature Docusign.

« Signataire(s) » désigne toute personne physique qui, après avoir donné son consentement en application du protocole de consentement, signe le(s) ou les eDocument(s) qui lui est/sont présenté(s).

« Identité du Signataire » désigne les données (en ce compris les données à caractère personnel identifiant un Signataire qui sont recueillies par le Client via le Service ou via le Service IDV (ou ces deux services ensemble) dans le but de confirmer l’identité du Signataire. Ces données peuvent inclure une pièce d'identité délivrée par un gouvernement (par exemple, un passeport) ou une pièce d'identité délivrée au Signataire par une banque ou une autorité nationale (par exemple, une pièce d'identité électronique), ou un certificat détenu par le Signataire (par exemple, une carte d'identité nationale).

« Transaction(s) » désigne l’exécution d'un processus de signature, défini par un ensemble de eDocuments soumis à la signature électronique d’un ou plusieurs Signataires.

2. SIGNATURE ELECTRONIQUE AVANCEE UE.

2.1 Les parties reconnaissent et conviennent de ce que : 

(a) Docusign France est un « prestataire de services de confiance » fournissant des Certificats dans le cadre du Service ; et 

(b) lorsque le Client conclut un contrat avec Docusign pour la fourniture d'un Certificat dans le cadre du Service et des services de certification associés, Docusign est autorisée à agir en tant qu'agent au nom et pour le compte de Docusign France, pour conclure un contrat avec le Client, alors que Docusign France demeure l'entité assurant la livraison effective de tout Certificat dans le cadre du Service ; et 

(c) l'utilisation du Certificat dans le cadre du Service s'effectue sous réserve de ce que le Client respecte les conditions de la présente Annexe complémentaire.

2.2 Pendant la Durée du Contrat et sous réserve des conditions du Contrat, le Client aura le droit d’envoyer à des Signataires des eDocuments devant être signés avec le Service via l’application de Signature Docusign.  Le droit d’utiliser le Service est limité aux Utilisateurs Autorisés et il est interdit au Client de revendre ou fournir, selon d'autres modalités, le Service ou offrir une assistance dans le cadre d’une fourniture du Service :

(a) au bénéfice d'autrui ; ou

(b) dans le cadre d'un service que le Client offre à des tiers ; ou 

(c) à titre de sous-licence ou de services de bureautique.       

2.3 Politiques de Certification. Le Client reconnaît avoir été informé, ou être pleinement informé par les présentes, des éléments suivants par Docusign :

(a) Le Service est fondé sur les Politiques de Certification applicables de Docusign France ;

(b) Les Politiques de Certification constituent des engagements essentiels de Docusign France et de ses Autorités d’Enregistrement déléguées envers tout tiers qui utilise le Service ;

(c) Les Politiques de Certification ont été ou seront mises à la disposition du Client avant la Date de Début du Service précisé dans le Bon de Commande et peuvent être consultées sur le site Internet de Docusign, https://www.docusign.fr/societe/certification-policies, et

(d) Les engagements essentiels qui découlent des Politiques de Certification sont applicables tant au Client qu’à Docusign France dans le contexte de l'utilisation du Service.

2.4 Services de Certification. Docusign France, en sa qualité d’Autorité de Certification, est responsable du bon fonctionnement des éléments composant le Service et de la conformité de son dispositif de gestion des Certificats et de ses procédures aux stipulations énoncées dans la ou les Politique(s) de Certification applicable(s). Docusign France s’engage à gérer les aspects techniques du cycle de vie des Certificats des Signataires jusqu'à l’expiration de leur période de validité pour répondre aux besoins relatifs à l’utilisation du Service, conformément aux conditions définies dans les Politiques de Certification applicables. Les caractéristiques des Certificats des Signataires ainsi que les conditions qui s'appliquent à la gestion des cycles de vie de ces Certificats sont définies dans la ou les Politique(s) de Certification applicable(s).

3. RESPONSABILITÉS DU CLIENT.

3.1 Le Client reconnaît expressément que Docusign France (ou Docusign Inc.) lui a remis toutes les informations nécessaires pour évaluer si le Service répond à ses besoins et prendre toutes les précautions nécessaires pour l’implémentation et le fonctionnement de celui-ci.

3.2 Le Client qui est désigné par le Contrat en qualité d’Autorité d’Enregistrement, accepte par les présentes les devoirs et responsabilités afférents à ce statut. En cette qualité, le Client met en œuvre les procédures pour :

(a) identifier et authentifier les Signataires, conformément à l'article 26 du Règlement eIDAS; 

(b) valider l'exactitude des informations figurant dans les demandes avant de soumettre les demandes de Certificat des Signataires à l’AC via le Service ; et 

(c) protéger toutes les données d’identité et d’authentification remises par le Signataire au cours de ce processus. Le Client élaborera une Politique d'Enregistrement qui détaillera au minimum les responsabilités et les procédures de l'AE énoncées dans la présente Annexe complémentaire, y compris, de manière non limitative, ses exigences d'identification et d'authentification en vertu de l’article 26 du Règlement eIDAS, d'une manière raisonnablement conçue pour respecter les obligations stipulées aux présentes. 

3.3 En sa qualité d’AE, le Client s’engage à :

(a) se conformer à sa Politique d'Enregistrement et remettre à Docusign France, Docusign ou tout organisme d’audit agréé, nommé par Docusign, une preuve écrite permettant de vérifier la conformité de l’AE aux procédures de sa Politique d’Enregistrement et de communiquer les informations demandées à Docusign ;

(b) avertir Docusign dans les 24 heures suivant toute faille de de sécurité ou perte d’intégrité qui a un impact significatif sur les données personnelles qui y sont conservées ;

(c) demander l'approbation de Docusign pour désigner des AED ;

(d) conclure avec les AED un contrat écrit exécutoire où sont définies leurs obligations et responsabilités conformément à la Politique d’Enregistrement applicable ;

(e) prendre les mesures techniques et organisationnelles appropriées pour gérer les risques associés à ses systèmes et réseaux informatiques ; et

(f) sauvegarder et archiver de manière sécurisée toutes les pièces justificatives étayant l’identification, l'authentification et l’enregistrement des Signataires et le Certificat de Réalisation pendant au moins cinq (5) ans et, en cas de demande de la part d’un organisme public auprès de Docusign ou dans le cadre d’un audit interne de Docusign, mettre cette documentation à la disposition de Docusign ;

3.4 Le Client peut accéder au Service par le biais d'une connexion à distance sécurisée.  PAR CONSÉQUENT, SEUL LE CLIENT EST RESPONSABLE DE TOUTES LES CONSÉQUENCES DÉCOULANT D’UNE UTILISATION NON AUTORISÉE PAR UN TIERS DE SES SECRETS DE CONNEXION DONNANT ACCÈS AU SERVICE, NONOBSTANT LES MOYENS VIA LESQUELS ILS ONT ÉTÉ OBTENUS AUPRÈS DU CLIENT.

3.5 L’enregistrement des Signataires pour la délivrance des Certificats du Signataire relève de la responsabilité exclusive du Client en sa qualité d’Autorité d’Enregistrement. Le Client est responsable de l’exactitude et de l’exhaustivité des informations envoyées à Docusign pour la délivrance des Certificats du Signataire. Docusign ne vérifie aucune donnée d'identité du Signataire et Docusign (y compris Docusign France) rejette toute responsabilité concernant l’exactitude des données d'identité des Signataires qui sont communiquées par le Client et figurent dans les Certificats des Signataires.

4. RESPONSABILITÉS DE DOCUSIGN.

4.1 Prestataire de Service de Confiance. Docusign doit s’assurer de ce que : 

(a) que ses centres de données et ceux de ses Sociétés Affiliées sont sécurisés et fiables conformément aux normes de l’industrie et utilisent des équipements très performants sur le plan de la fiabilité, de la sécurité et de la confidentialité ; et 

(b) que les signatures électroniques créées avec le Service, sous réserve du respect par le Client de ses responsabilités au titre du Contrat, respectent la définition de la Signature Électronique Avancée énoncée à l’Article 26 du Règlement eIDAS. 

5. CONTROLE.

5.1 En sa capacité d’AC, Docusign a le devoir de contrôler le Client dans son rôle d’AE pour s’assurer de ce qu’il respecte la Politique d’Enregistrement applicable aux Certificats du Signataire. Pour ce contrôle, l’AC pourra effectuer ou charger un contrôleur désigné d’un commun accord, d’effectuer un contrôle de conformité annuel dans les locaux du Client. Suivant le choix du contrôleur, le contrôle pourra couvrir les domaines suivants :

(a) toute obligation visée aux articles 3.2 ou 3.3 ;

(b) le contenu et la disponibilité du contrat entre le Client et des entités de sous-traitance éventuelles participant à l’exécution des obligations du Client ;

(c) la gestion des eDocuments présentés et remis au Signataire dans le cadre du processus de signature ;

(d) si et seulement si l’AE a désigné une ou plusieurs Autorité(s) d’Enregistrement Déléguée(s) en vertu de l’article 3.3 ci-dessus :

(i) surveiller les AED conformément à la Politique d’Enregistrement définie par l’AE et au contrat entre l’AE et chaque AED ; 

(ii) les exigences devant être respectées par les AED en ce qui concerne l'authentification et l’Identité du Signataire et la transmission sécurisée des données d’Identité du Signataire au Client par les AED ;

5.2 Si le contrôle révèle un incident majeur de non-conformité (tel que la preuve de ce qu'un Certificat a été ou a pu être émis à un Signataire qui n’a pas été correctement identifié), le Client corrigera ses procédures (dès que possible raisonnablement et, en tout état de cause, au plus tard dans le délai fixé par Docusign France.  Si la correction n’est pas apportée dans les délais indiqués par Docusign France, Docusign France (ou Docusign agissant en tant que son agent et conformément à ses instructions) pourra interrompre les services inclus dans le fonctionnement du Service jusqu’à ce que le Client soit conforme. Le Client ne pourra alors pas introduire de réclamation pour manquement contractuel de la part de Docusign France (ou de la part de Docusign agissant en qualité d'agent de Docusign France) ou de demande d'indemnisation en vertu du Contrat, de quelque nature que ce soit, en raison de cette interruption. Le Client reconnaît et accepte que Docusign France a le droit de suspendre la fourniture des services au titre du Contrat si le Client, de l'avis de Docusign France, ne respecte pas ses obligations en qualité d’AE, ladite suspension pouvant être maintenue jusqu’à ce que Docusign France, agissant de bonne foi, estime que les défauts de conformité ont été corrigés.

5.3 Si l’AE et/ou une ou plusieurs AED est/sont suspectées (s) ne pas respecter le Contrat ou si un organisme de certification ou une autorité publique en fait la demande expresse, Docusign France se réserve aussi le droit, moyennant un préavis d'une durée raisonnable, de procéder à un contrôle des locaux de l’AE et des AED concernées à tout moment, pour vérifier si le Contrat et/ou les Politiques de Certification applicable(s) est/sont respecté(es) ou non.

6. RÉSILIATION/ EXPIRATION

Au terme ou en cas de résiliation de la présente Annexe complémentaire, pour quelque motif que ce soit, le Client devra se conformer aux conditions de l’article 3.3 (f).

7. RÉCLAMATIONS DE TIERS. 

En sus des obligations relatives aux réclamations de tiers stipulées dans le Contrat, le Client indemnisera Docusign et les Parties Indemnisées et les défendra contre toute Réclamation dans la mesure où cette Réclamation naitrait directement ou indirectement : de l’inexécution par le Client de l’une quelconque des obligations dont il est redevable en sa qualité d’Autorité d’Enregistrement et qui sont stipulées dans la présente Annexe complémentaire et la Politique de Certification applicable.

8. VÉRIFICATION D'IDENTITÉ PAR DOCUSIGN

Le présent article définit les obligations incombant aux parties lorsque le service Signature Electronique Avancée UE Docusign est utilisé avec la Vérification d'Identité par Docusign. Quand ils sont utilisés ensemble, les dispositions de cette annexe (telle que modifiée ci-dessous) et les termes qui régissent le service de Vérification d'Identité par Docusign (tel qu’énoncés dans l’Annexe relative au  Service de eSignature Docusign) s'appliqueront. 

8.1 Sauf dans les cas de Vérification par le Client, l'article 1 est modifié par la suppression des définitions de la « Politique d'Archivage » et l’« Autorité d'Enregistrement Déléguée ».

8.2 L'article 1 est modifié par la suppression de la définition existante de « l'Autorité d’Enregistrement » et est remplacée par la définition suivante : 

« Autorité d’Enregistrement » (ou « AE ») désigne l’entité entretenant des relations contractuelles avec l’AC pour enregistrer des demandes de délivrance de Certificats, et qui valide ou rejette ces requêtes.  Pour les besoins du présent Contrat l’AE est Docusign, sauf en cas de Vérification par le Client car dans ce cas l’AE est le Client.

8.3 L'article 1 est modifié par l'ajout de toutes les définitions contenues dans l’Annexe Vérification ID au sein de l’Annexe de Service relative au Service de eSignature Docusign.  

8.4 L'article 2.4 est supprimé et remplacé comme suit :

2.4 Services de Certification. Sauf en cas de Vérification par le Client, Docusign France, en sa qualité d’AC, et Docusign en sa qualité d'AE, sont responsables du bon fonctionnement des éléments composant le Service, de la conformité de leur dispositif de gestion des Certificats et de leur système de gestion de l'Identité Signataire aux stipulations énoncées dans la ou les Politique(s) de Certification applicable(s). Docusign France et Docusign s’engagent à gérer les aspects techniques du cycle de vie des Certificats des Signataires et l'Identité Signataire correspondante jusqu'à l’expiration de leur période de validité pour répondre aux besoins relatifs à l’utilisation du Service, conformément aux conditions définies dans la ou les Politiques de Certification applicable(s). Les caractéristiques des Certificats des Signataires ainsi que les conditions qui s'appliquent à la gestion des cycles de vie de ces Certificats sont définies dans la ou les Politique(s) de Certification applicable(s).

8.5 Sauf dans les cas de Vérification par le Client, l'article 3.2 est supprimé intégralement et les autres sous-articles de l'article 3 sont renumérotés en conséquence, y compris toute référence correspondante. 

8.6 Sauf dans les cas de Vérification par le Client, l'article 3.3 est supprimé et remplacé comme suit :

3.3 Dans le cadre de l'utilisation du Service, le Client doit conserver et archiver le CDR dans de bonnes conditions de sécurité pendant au moins cinq (5) ans.

8.7 Sauf dans les cas de Vérification par le Client, l'article 3.5 est supprimé et remplacé comme suit : 

3.5 Le Client est seul responsable de la collecte des adresses électroniques du Signataire pour contacter le Signataire avec le Service de Signature Docusign.  

Le Client engage donc sa responsabilité pour l’exactitude et l’exhaustivité des informations envoyées à Docusign. Docusign ne vérifie pas les adresses électroniques des Signataires, et Docusign, ainsi que Docusign France, déclinent toute responsabilité concernant l'exactitude de l'Identité du Signataire fournie par le Client dans l'application Signature Docusign.

8.8 L'article 4 est modifié comme suit :

4.2 Preuve de Vérification d'Identité. En sa qualité d'AC, Docusign France a l'obligation de conserver les données qui soutiennent l'émission du Certificat pour un Signataire, y compris la preuve de la Vérification d’Identité. Sauf en cas de Vérification par le Client ou si le Client efface ces données dans le Service auquel cas le Client devra se conformer aux dispositions de l’article 3.3 (f), Docusign doit conserver les informations suivantes pendant cinq (5) ans après qu'il a été procédé à la Vérification d’Identité :

(a) adresse électronique du Signataire ; 

(b) nom complet du Signataire, tel que fourni par le Client ; 

(c) nom du FID ; 

(d) Pays de délivrance de la pièce d'identité ;

(e) Date de vérification de la pièce d’identité ; 

(f) Adresse IP du Signataire au moment de la transaction ; 

(g) Certificat de Réalisation.

8.9 Sauf en cas de Vérification par le Client, l'article 5 est intégralement supprimé.