L’éditeur de solutions de signature électronique de documents et autorité de confiance est quasiment prêt pour la conformité avec le RGPD. Pour y parvenir, l’entreprise a mis en place un plan d’action dans le temps.
YouSign est une jeune entreprise qui vient juste de fêter ses cinq ans. Antoine Louiset, son fondateur et CTO, a eu l’idée de simplifier la signature électronique pour tous types de documents notamment les contrats. Les utilisateurs peuvent signer les documents à partir d’une tablette ou d’un smartphone. Pour ce faire, YouSign a développé deux produits : une application web où les entreprises peuvent s’inscrire et préparer les documents à signer pour des personnes à l’extérieur de l’entreprise et une API qui permet d’interfacer l’application avec des logiciels tiers comme un module de paiement de type Signer pour payer. De ce fait, YouSign manipule nombre de données personnelles.
Une analyse des risques poussée
L’entreprise a débuté son projet lors du dernier trimestre de l’année dernière. Là encore l’entreprise avait dans son effectif un CIL (Correspondant informatique et liberté). Il devrait là aussi devenir le DPO de l’entreprise. Antoine Louiset ajoute : « Avec lui, on a tout mis sur la table et nous avons mis en place une feuille de route qui couvre toute l’année 2018. »
La première action a été de dresser une cartographie des risques associés avec le RGPD et les risques associés aux données sensibles et le renforcement des mesures de sécurité. « Nous avons revu les données que nous avions à gérer pour chaque traitement. Dans certains cas nous avons regardé aussi les données conservées pour assurer un maximum de sécurité. »
La conformité dès la conception
Antoine Louiset explique : « Nous essayons de prévoir les risques dès la conception de l’application. Nous avons remis certains points sur la table et ajusté certains process. » Ces opérations se sont accompagnées de formations en interne pour les salariés sur la protection des données. Antoine Louiset pense d’ailleurs que c’est un point positif de sensibiliser l’ensemble des entreprises à la question. Tout a été fait en interne avec les conseils d’un avocat et du CIL.
Les négociations avec les sous-traitants lui ont semblé le point le plus difficile de la démarche. Si avec les gros fournisseurs la question a été assez vite réglée avec peu de possibilité d’évolution des contrats et une assurance le plus souvent des efforts réalisés pour être conforme, cela n’a pas été toujours le cas avec des fournisseurs plus petits. « Nous avons été amenés à changer plusieurs fournisseurs et nous avons favorisé alors des fournisseurs français ». ❍
Article extrait du dossier «RGPD, 1ers retours d'expérience» paru dans L'Informaticien n°167.
