Skip to main content

ANNEXE COMPLÉMENTAIRE RELATIVE À LA VÉRIFICATION D’IDENTITÉ À DISTANCE POUR LA SIGNATURE ÉLECTRONIQUE QUALIFIÉE (ID CHECK REMOTE FOR QES)

Date de mise à jour de la présente Annexe complémentaire: 29 août 2022. Sauf définition contraire dans la présente Annexe complémentaire relative à la Vérification d'identité à distance pour la Signature Électronique Qualifiée (« Annexe complémentaire » ou « Annexe »), les termes commençant par une majuscule ont le sens qui leur est donné dans le Contrat. 

1. DEFINITIONS

« Certificat(s) » désigne le Certificat généré par l’AC via le Service pour un Signataire, qui atteste du lien unique entre l’Identité du Signataire et une clé publique. La clé publique est associée de manière unique avec une Clé Privée gérée par Docusign. Dans ce cadre, le terme « Certificat » désigne le certificat qualifié de signature électronique tel que défini à l'Article 3-15 du Règlement (UE) No. 910/2014 « eIDAS », généré par Docusign au profit d’un Signataire.  

« Autorité de Certification » (ou « AC ») est Docusign France, l’autorité qui génère les Certificats et gère le cycle de vie du Certificat (émission, renouvellement, révocation) à la demande de l’Autorité d’Enregistrement, conformément aux règles et pratiques définies dans sa (ses) Politique(s) de Certification.

« Politique(s) de Certification » (ou « PC ») désigne l’ensemble de règles publiées par l’AC. Une Politique de Certification décrit les caractéristiques générales des Certificats ainsi que les obligations et les responsabilités de l’AC, de l’AE, des Signataires, des demandeurs de Certificat ou tout autre composant de l'Infrastructure à Clé Publique intervenant dans la gestion du cycle de vie du Certificat. La (les) Politique(s) de Certification de Docusign et ses/leurs modifications subséquentes, pourront être consultées sur le site de Docusign (https://www.docusign.fr/societe/certification-policies ) et font partie intégrante de la présente Annexe. Pour les besoins de la présente Annexe, l’OID (Object Identifier) applicable est équivalent à 1.3.6.1.4.1.22234.2.14.3.31 suivant le moment de l'émission.

« Liste des Certificats Révoqués » (ou « LCR ») désigne la liste des Certificats invalides qui ont été révoqués avant leur date d'expiration. Les LCR sont émises périodiquement et sont signées numériquement par l'AC qui a émis les Certificats de la liste. L'adresse URL permettant d'accéder à la LCR est contenue dans le Certificat.

« Documentation » inclut les Politiques de Certification pour les besoins de la présente Annexe.

« Docusign France » (ou « DSF ») désigne Docusign France SAS, filiale intégralement détenue par Docusign, Inc.

« eIDAS » désigne le Règlement (UE) No. 910/2014. 

« Clé Privée » désigne une clé mathématique associée à la clé publique, qui est secrète, uniquement contenue au sein d’un module certifié de création de Signature Qualifiée à distance, et activée à distance par le Signataire pour signer les eDocuments. Dans le cadre du Service, les Clés Privées sont générées uniquement aux fins d’une Transaction unique et sont effacées après la réalisation de la Transaction considérée.

« Signature Qualifiée » (ou « SEQ » ou « QES ») désigne la signature électronique qualifiée telle que définie à l'Article 3-12 du Règlement eIDAS.

« Autorité d’Enregistrement » (ou « AE ») désigne un tiers autorisé par Docusign France pour enregistrer les demandes de délivrance, de renouvellement et de révocation de Certificats. L’AE collecte des copies électroniques des documents d'identité du Signataire, vérifie le nom du Signataire et enregistre la preuve de l’identité du Signataire. L’AE communique avec Docusign et a intégré son service à la eSignature Docusign pour interagir avec le Signataire.

« ID Check Remote pour QES » désigne le service de Docusign de Vérification d’Identité à Distance pour la SEQ qui fournit : (i) des signatures électroniques qualifiées au sens du Règlement eIDAS ; (ii) une interface AE permettant au Signataire d'interagir avec l'AE en direct via vidéo sur Internet ; et (iii) des services de stockage de preuve. Les Signataires accèdent au Service via la eSignature Docusign.

« ID Verification pour QES » désigne le service de Docusign de Vérification d'Identité à Distance pour la SEQ qui permet de fournir : (i) des signatures électroniques qualifiées au sens du Règlement eIDAS ; (ii) une interface AE permettant au Signataire de télécharger les documents de Vérification d’Identité requis ; et (iii) des services de stockage de preuve. Les Signataires accèdent au Service via la eSignature Docusign.

« Service » signifie ID Check Remote pour QES et/ou ID Verification pour QES.

« Signataire(s) » désigne toute personne physique signant des eDocuments en utilisant le Service. 

« Identité du Signataire » désigne l’ensemble de données à caractère personnel (incluant le nom, l’adresse électronique, le numéro de téléphone portable et la copie d'un document officiel d'identité) utilisées pour identifier un Signataire.

« Transaction(s) » désigne l’exécution du processus de signature, défini par un ensemble de eDocuments soumis à signature électronique par un ou plusieurs Signataire(s) via la eSignature Docusign.  

« Prestataire de Service de Confiance » (ou « PSC » ou « TSP ») désigne une entité qui a été autorisée par l’ANSSI à offrir des services de SEQ. DSF est autorisée par l'Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) française à fournir le service de SEQ.

2. SIGNATURE QUALIFIEE UE

2.1 Généralités. Les Parties reconnaissent et conviennent que : (a) Docusign France est un PSC aux fins de fournir le Service ; (b) lorsque le Client passe un contrat avec Docusign pour la fourniture du Service et des services de certification associés, Docusign est autorisé à agir en tant qu'agent pour et au nom de Docusign France aux fins de contracter avec le Client tandis que Docusign France est l'entité fournissant le Service de Signature Électronique Qualifiée et les Certificats ; et (c) l'utilisation du Service est subordonnée à l’engagement par le Client de respecter les conditions de la présente Annexe.

2.2 Droit d'utilisation. Pendant la Durée du Contrat et sous réserve des conditions stipulées aux présentes, le Client aura le droit limité d'envoyer des eDocuments à des Signataires pour signature à l'aide du Service via la eSignature Docusign. Le droit d'utiliser le Service est limité aux Signataires autorisés du Client. Le Client et ses agents ne peuvent pas revendre, ou autrement fournir ou aider à fournir le Service : (a) au profit d'une autre partie; (b) dans le cadre d'un service que le Client propose à des tiers; ou (c) dans le cadre d’une sous-licence ou d’un service externalisé.

2.3 Politiques de Certification. Le Client reconnait et accepte que : (a) Docusign France est un PSC et que le Service est basé sur les Politiques de Certification de Docusign France applicables ; (b) les Politiques de Certification constituent des engagements essentiels de Docusign France, incluant (le cas échéant) le Client, à l’égard de tout tiers utilisant le Service ; et (c) les Politiques de Certification sont ou seront mises à la disposition du Client avant la Date de Début de Commande du Service et sont accessibles sur le site de Docusign, https://www.docusign.fr/societe/certification-policies.

3. OBLIGATIONS DU CLIENT

3.1 Généralités. Le Client reconnaît avoir reçu de la part de Docusign toutes les informations nécessaires afin d'évaluer si le Service répond à ses besoins et pour prendre toutes les précautions nécessaires pour la mise en œuvre et le fonctionnement du Service.

3.2 Interface de l'Autorité d'Enregistrement. Le Client reconnaît que l'interface de l'AE (notamment sa fonctionnalité vidéo) est soumise à certaines limites techniques et/ou prérequis notamment, sans s'y limiter, les langues utilisées, les exigences de système et de connectivité minimum pour utiliser les services de l'AE et les documents d'identification supportés par le système de l'AE. Le Client reconnaît que l'interface de l'AE constitue un Service Tiers tel que défini et régi par le Contrat.

4. OBLIGATIONS DE DOCUSIGN 

4.1 Prestataire de Service de Confiance. Docusign doit mettre en œuvre tous les efforts commercialement raisonnables pour : (a) s'assurer que ses centres de données, ses technologies de l'information ainsi que ceux de ses Sociétés Affiliées sont sécurisés et dignes de confiance; (b) vérifier que l'AE respecte les exigences ETSI 319 411-2 en matière de preuve d'identité au sein du service de l'AE: et (c) s'assurer que les signatures électroniques créées avec le Service, sous réserve que le Client se conforme à ses obligations en vertu de la présente Annexe, seront conformes à la définition de la SEQ énoncée à l'Article 3-12 du Règlement eIDAS.

4.2 Services de Certification. Docusign France, en sa qualité d'AC, est responsable du bon fonctionnement des composantes du Service et de la conformité de son système et de ses procédures de gestion des Certificats avec les dispositions de la/les Politique(s) de Certification applicable(s). Docusign France gère techniquement le cycle de vie des Certificats tout au long de leur période de validité conformément aux conditions définies dans les Politiques de Certification applicables.

5. REVOCATION

5.1 Généralités. En qualité d’AC, Docusign France permet à un Signataire de signaler des erreurs dans l’Identité du Signataire par le biais d’une demande de révocation. Si Docusign reçoit une demande authentifiée de révocation de la part de l'AE dans les neuf (9) jours suivants l’émission d’un Certificat, Docusign devra ajouter le Certificat du Signataire à la Liste des Certificats Révoqués tenue à jour et publiée par l'AC.

5.2 Révocation après signature. Une révocation enregistrée après la réalisation d'une SEQ n'invalide pas cette SEQ. L'AE doit élaborer et respecter des procédures pour répondre aux demandes de révocation d’un Signataire qu'elle a identifiées. Ainsi, l'AE doit : (a) définir et mettre en œuvre des procédures afin de recevoir les demandes de révocation des Signataires et d'authentifier ces demandes de révocation ; et (b) transmettre les demandes de révocation authentifiées à Docusign France dans les dix-huit (18) heures suivant la réception de ses demandes de révocation conformément aux Politiques de Certification applicables.

6. ACCORD SUR LES PREUVES 

6.1 Registres informatisés. Sauf réglementation contraire, les documents informatisés stockés dans les systèmes d'information de Docusign et de ses Sociétés Affiliées utilisant des mesures de sécurité raisonnables sont acceptés comme preuve des échanges et des accords entre les Parties.

6.2 Modes de Preuve. Docusign peut utiliser, y compris à des fins de preuve ou d'établissement d'une facture, tout document, dossier, enregistrement, rapport de suivi ou statistique sur tout support, y compris un support électronique qui a été directement ou indirectement créé, reçu ou conservé par Docusign dans une base de données.