Letsignit et le RGPD, pourquoi ?

Le Règlement général sur la protection des données (RGPD) est un règlement européen applicable depuis 2018 et renforce les droits et obligations pour le traitement des données personnelles.

 

Vous êtes concerné, car vous traitez nécessairement des données personnelles pour le fonctionnement de votre entreprise (clients, salariés, fournisseurs…)

 

En particulier, en utilisant LETSIGNIT, vous allez transférer les nom, prénom, adresse e-mail, de vos salariés sur la plateforme, vous allez obtenir des métadonnées sur les e-mails envoyés par les collaborateurs, des statistiques…

 

Ces données comportent des données personnelles et impliquent des obligations tant pour Letsignit que pour votre entreprise.

 

 

Quels sont les responsabilités et engagements de Letsignit concernant les données transmises sur la plateforme ?

 

Letsignit a la qualité de « sous-traitant » au sens du RGPD pour le traitement de vos données (de vos salariés, éventuellement les destinataires des e-mails envoyés) dans le cadre de l’utilisation de la solution, c’est-à-dire que Letsignit traite ces données uniquement pour vous fournir ses services et les fonctionnalités proposées (transfert, stockage…).

 

Les engagements de Letsignit, conformément au RGPD, figurent dans les conditions générales d’utilisation, notamment en annexe : confidentialité, sécurité, garanties …

 

Quelles sont vos obligations envers vos salariés ?

Vous avez la qualité de « responsable de traitement » au sens du RGPD pour le traitement de vos données (de clients, de salariés, etc.).

 

D’une manière générale, vous devez donc respecter les obligations du RGPD à ce titre. En particulier, avec l’utilisation de Letsignit, vous devez notamment :

 

  • Traiter les données de manière licite et transparente: en particulier, vous devez notamment informer les salariés de l’utilisation de la solution et du traitement de leurs données qui est fait avec la solution. Si nécessaire, vous devez également obtenir leur consentement.

 

Traiter les données pour des finalités déterminées, explicites et légitimes : par exemple, les données traitées avec Letsignit vous permettent de gérer les signatures des e-mails de vos collaborateurs, d’améliorer votre communication…

 

  • Traiter les données de manière proportionnée avec l’objectif poursuivi : ne traitez pas plus de données que nécessaire ! Letsignit a fait en sorte de collecter le minimum de données possibles par rapport aux fonctionnalités proposées.
  • Traiter des données exactes: pensez à mettre à jour votre base de données notamment en cas de changement de collaborateurs  ! Cette mise à jour peut être réalisée soit directement sur votre base de données quand celle-ci est synchronisée avec la solution, soit sur la solution en cas d’import manuel des données. L’application Letsignit permet à l’utilisateur de modifier les données.
  • Traiter les données pendant une durée limitée: ne conservez que des historiques anonymisés (statistiques) et supprimez les données de la solution au départ du salarié  !
  • Sécuriser les données: les engagements de Letsignit sont précisés dans les CGU. A vous de sécuriser vos données aussi en interne (habilitations, contrôles d’accès, anti-virus, …)

 

Nous vous conseillions de former plus particulièrement les utilisateurs « managers »  au respect des données personnelles qu’ils manipulent dans le cadre de l’utilisation de Letsignit.

Comment remplir votre registre de traitements ?

 

En qualité de responsable de traitement, vous devez (dans certains cas) tenir un registre de traitements conforme au RGPD. Ce registre décrit les traitements réalisés dans l’entreprise (type de données collectées, finalités, durée de conservation, …).

 

Concernant le traitement des données que vous faites quand vous utilisez Letsignit, voici quelques informations concernant les éléments que vous pouvez faire figurer dans votre registre concernant le traitement  :

 

Responsable de traitement
(et DPO si applicable)
Votre entreprise (mettre nom et coordonnées)
FinalitésGestion des signatures emails des collaborateurs de l’entreprise et des campagnes associées (ajout de la signature dans les e-mails, acheminement des e-mails, gestion de la base de données collaborateurs sur la plateforme Letsignit), obtenir des résultats statistiques agrégés et anonymes.
Catégories de personnes concernéesSalariés, collaborateurs
Catégories de données traitéesVia les Applications ou l’API ou la plateforme ou connecteur SMTP : données de la personne : nom, prénom, adresse électronique professionnelle, numéro professionnel et photo professionnelle, emails en transit (ou stockés si défaut de remise, maximum 24 heures)
Catégories de destinatairesLetsignit (sous-traitant)

A compléter avec les destinataires en interne et vos sous-traitants, fournisseurs (par exemple, service en charge de l’administration de la solution, hébergeur, service informatique, etc.)

 

Transferts en dehors de l’Union européenneLes données sont hébergées sur l’infrastructure Microsoft Azure en Union européenne. Microsoft est susceptible de transférer les données en dehors de l’Union européenne et s’engage à prévoir les mesurs appropriées conformément à l’article 46 du RGPD. A completer avec les transferts que vous series amenés à réaliser sous votre contrôle.
Délais prévus pour l’effacement des donnéesLetsignit anonymise et archive les données hébergées dans un délai de 90 après la fin du contrat (sauf demande écrite de les supprimer avant ce délai).

(Attention, à compléter avec la durée pendant laquelle vous conservez vous-même les données)

 

Description générale des mesures de sécuritéCf. SLA de Letsignit (hébergement sécurisé des données avec gestion des accès restreints). Ajoutez les mesures de sécurité techniques et organisationnelles que vous avez mis en place en interne.

 

(Attention, nous vous laissons vérifier que ces informations sont exactes par rapport à vos propres traitements !)

 

Surveillance des e-mails des salariés

Les finalités du traitement doivent être déterminées et légitimes. Letsignit est une solution permettant de gérer vos signatures mail et d’améliorer votre communication  et n’est pas un outil pour surveiller vos salariés.

 

Letsignit, pour respecter la vie privée des salariés, a limité les informations accessibles dans le cadre de la solution (les e-mails sont techniques accesibles (transit) mais ne sont pas stockés sauf en cas de non possibilité de remise) et a limité le nombre d’utilisateurs « managers » pouvant y accéder.

 

Si vous souhaitez mettre en place des outils de surveillance des messageries ou ordinateurs des salariés, vous devez notamment :

  • Les informer et saisir les institutions représentatives
  • Respecter la vie privée et le secret des correspondances des salariés

Ce document a une valeur informative et ne peut en aucun cas constituer une liste exhaustive des obligations incombant au responsable de traitement, ni une validation des traitements réalisés. Nous vous recommandons de valider en interne la conformité de votre entreprise au RGPD et autres règlementations applicables.