Le non-respect des normes de sécurité de l’information est un risque qu’aucune entreprise ne veut prendre. Chez Dropbox Sign, nous mesurons les conséquences graves pouvant découler du non-respect de la conformité, c’est pourquoi nous avons mis en place avec diligence des processus visant à assurer la conformité de notre service avec les normes qui peuvent régir votre activité.
Veuillez nous contacter par e‑mail à l’adresse compliance‑reports@dropbox.com pour accéder à nos audits et évaluations. Vous pouvez également consulter notre livre blanc sur la sécurité de l’information.
Dropbox Sign adhère aux réglementations, aux normes et aux cadres suivants :
Rapports SOC
Les rapports SOC (Service Organization Controls) sont des cadres établis par l’American Institute of Certified Public Accountants (AICPA) pour rendre compte des contrôles internes mis en œuvre au sein d’une organisation. Dropbox Sign a fait valider ses systèmes, ses applications, son personnel et ses processus par le biais d’un audit réalisé par un tiers indépendant, Ernst & Young LLP.
SOC 3 pour la sécurité, la disponibilité et la confidentialité
Le rapport d’attestation SOC 3 couvre les critères de confiance pour la sécurité, la disponibilité et la confidentialité (TSP, section 100). Ce rapport Dropbox Sign généraliste est un résumé analytique du rapport SOC 2 qui inclut l’opinion de l’auditeur tiers indépendant concernant l’efficacité de nos dispositifs de contrôle, tant en termes de conception que de fonctionnement. Consultez l’audit SOC 3 de Dropbox Sign.
SOC 2 pour la sécurité, la disponibilité et la confidentialité
Le rapport SOC 2 atteste de manière détaillée l’efficacité de nos dispositifs de contrôle auprès de nos clients et couvre les critères des services de confiance pour la sécurité, la disponibilité et la confidentialité (TSP, section 100). Le rapport SOC 2 comporte une description détaillée des processus de Dropbox Sign, ainsi que de la centaine de dispositifs de contrôle que nous avons mis en place pour protéger vos fichiers. Outre l’avis de notre auditeur tiers indépendant sur l’efficacité de nos dispositifs de contrôle, tant du point de vue de la conception que du fonctionnement, ce rapport intègre également les procédures de test de cet auditeur et les résultats pour chaque contrôle. L’examen SOC 2 est disponible sur demande auprès de notre équipe commerciale. Il suffit d’envoyer un e‑mail à l’adresse compliance‑reports@dropbox.com.
ISO 27001 (gestion de la sécurité de l’information)
La norme ISO 27001 est la norme relative aux systèmes de gestion de la sécurité de l’information (SGSI) la plus reconnue sur le plan international. Elle reprend également les bonnes pratiques de sécurité détaillées dans la norme ISO 27002. Pour mériter votre confiance, nous gérons et améliorons constamment nos contrôles physiques, techniques et juridiques chez Dropbox Sign. Notre auditeur, Schellman Compliance LLC, est accrédité ISO 27001 par l’ANSI-ASQ National Accreditation Board (ANAB).
Consultez le certificat ISO 27001 de Dropbox Sign, Dropbox Fax et Dropbox Forms.
ISO 27018 (confidentialité et protection des données dans le cloud)
ISO 27018 est une norme internationale relative à la confidentialité et à la protection des données. Elle s’applique aux fournisseurs de services cloud comme Dropbox Sign qui gèrent des informations personnelles pour le compte de leurs clients. Elle sert de référence à nos clients pour répondre aux questions ou aux exigences contractuelles et réglementaires générales. Notre adhésion à la norme ISO 27018 est validée dans le cadre de notre certification ISO 27001.
Consultez le certificat ISO 27018 de Dropbox Sign, Dropbox Fax et Dropbox Forms.
Loi HIPAA de 1996
Dropbox Sign respecte la loi HIPAA (Health Insurance Portability and Accountability Act) et la loi HITECH (Health Information Technology for Economic and Clinical Health Act).
Ces lois visent à encourager le développement rapide de la technologie dans le secteur des soins de santé, tout en établissant des protections pour la sécurité et la confidentialité des informations sur la santé. Les organisations telles que les hôpitaux, les cabinets médicaux et les cabinets dentaires, ainsi que les personnes qui interagissent avec des informations de santé protégées, peuvent être soumises aux lois HIPAA/HITECH. Cela peut également s’étendre aux entreprises qui travaillent avec ces organisations et qui entrent en contact avec des informations de santé protégées en leur nom.
Dropbox Sign met à disposition un rapport relatif à la règle de sécurité HIPAA et aux exigences de notification de violation HITECH. Les clients souhaitant demander ces documents peuvent contacter notre équipe commerciale en envoyant un e‑mail à l’adresse compliance‑reports@dropbox.com.
Loi des États‑Unis sur les signatures électroniques de 2000
La loi sur les signatures électroniques dans le commerce mondial et national (Electronic Signatures in Global and National Commerce Act) est une loi fédérale qui prévoit une règle générale de validité pour les enregistrements et les signatures électroniques dans les transactions. La loi des États‑Unis sur les signatures électroniques exige, entre autres, la démonstration d’une intention de signer, certains consentements du consommateur et la conservation des dossiers.
Uniform Electronic Transactions Act (UETA) de 1999
Adoptée en 1999 par la Conférence nationale des commissions sur les lois uniformes des États, la loi uniforme sur les transactions électroniques autorise l’utilisation de transactions de communication électronique en donnant aux signatures électroniques le même poids juridique qu’une signature manuscrite au stylo sur papier. La loi UETA a été adoptée par tous les États à l’exception de New York.
Cadre de protection des données UE–États‑Unis, extension britannique du cadre de protection des données UE–États‑Unis et cadre de protection des données Suisse–États‑Unis
Dropbox Sign respecte le cadre de protection des données UE–États‑Unis, l’extension britannique du cadre de protection des données UE–États‑Unis et le cadre de protection des données Suisse–États‑Unis, tels qu’ils sont définis par le ministère du commerce des États‑Unis, en ce qui concerne la collecte, l’utilisation et la conservation des données à caractère personnel transférées de l’Union européenne, de l’Espace économique européen et de la Suisse vers les États‑Unis.
Pour en savoir plus sur les cadres de protection des données, cliquez ici.
eIDAS et Dropbox Sign
Dropbox Sign est une solution de signature électronique conforme au règlement eIDAS et une option viable pour les entreprises qui souhaitent faire signer des documents en ligne à des signataires dans tous les États membres de l’UE.
Le règlement eIDAS (910/2014) permet l’utilisation de moyens d’identification électronique et de services de confiance par les citoyens, les entreprises et les administrations publiques pour accéder de façon sécurisée aux services en ligne et exécuter des transactions électroniques dans toute l’Union européenne (UE). Il a remplacé la directive 1999/93/CE sur les signatures électroniques, une directive de l’Union européenne sur l’utilisation des signatures électroniques dans les contrats électroniques au sein de l’UE, et il est entré en vigueur le 1er juillet 2016.
Le règlement eIDAS définit le cadre juridique des signatures électroniques dans l’UE. Il établit un cadre juridique permettant aux personnes, aux entreprises (notamment les petites et moyennes entreprises) et aux administrations publiques d’accéder de façon sécurisée aux services et d’effectuer des transactions numériques dans tous les États membres de l’UE. Il définit notamment trois niveaux de signature électronique : la signature électronique simple (SES), la signature électronique avancée (AES) et la signature électronique qualifiée (QES). Dropbox Sign prend en charge les signatures électroniques SES et QES.
Signature électronique simple
Une signature électronique simple (SES) est un ensemble de « données sous forme électronique qui sont attachées ou logiquement associées à d’autres données sous forme électronique et qui sont utilisées par le signataire pour signer ». En conséquence, de nombreux outils électroniques, notamment les mots de passe, les codes PIN et les signatures numérisées, peuvent constituer une SES.
Signature électronique avancée
Une signature électronique avancée (AES) est une signature électronique qui est :
- uniquement liée au signataire et est capable de l’identifier ;
- créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ;
- connectée au document de manière à ce que toute modification ultérieure des données soit détectable.
Signature électronique qualifiée
Une signature électronique qualifiée (QES) est une forme plus stricte d’AES et le seul type de signature électronique qui soit juridiquement équivalent aux signatures manuscrites. Une QES possède un certificat numérique qualifié qui a été créé par un dispositif de création de signature qualifié (QSCD). Ce dispositif doit être délivré par un prestataire de service de confiance de l’UE qualifié figurant sur la liste de confiance de l’Union européenne.
Clause de non-responsabilité : ces informations sont fournies à titre informatif uniquement. Elles visent à aider les entreprises à comprendre le cadre juridique régissant la valeur juridique des signatures électroniques. Elles ne constituent pas un conseil juridique et ne doivent en aucun cas remplacer un conseil juridique d’un professionnel. Consultez un avocat agréé pour obtenir un conseil juridique ou bénéficier d’une représentation juridique.
Règlement général sur la protection des données (RGPD) de l’UE et Dropbox Sign
Le Règlement général sur la protection des données 2016/679, ou RGPD, est un règlement de l’Union européenne qui a marqué un changement significatif par rapport au cadre existant relatif au traitement des données personnelles des individus au sein de l’UE. Le RGPD a introduit une série d’exigences (nouvelles ou améliorées) qui s’appliquent aux entreprises qui, comme Dropbox Sign, traitent des données personnelles. Dropbox Sign adhère au RGPD afin que les clients puissent utiliser Dropbox Sign pour faciliter leur mise en conformité avec le RGPD. Pour en savoir plus, consultez cet article sur la conformité de Dropbox Sign avec le RGPD.
Notre engagement envers vous et la protection de vos données
Nous nous engageons à protéger vos données personnelles. En tant que client Dropbox Sign, votre organisation agit en tant que responsable du traitement de toutes les données personnelles fournies à Dropbox dans le cadre de votre utilisation des services Dropbox Sign. Dropbox agit en tant que sous-traitant de données, et traite les données pour le compte de votre organisation lorsque vous utilisez les services Dropbox Sign. Notre Politique de confidentialité décrit nos engagements envers les utilisateurs en matière de confidentialité et explique comment nous collectons, utilisons et traitons vos données personnelles lorsque vous utilisez nos services. De plus, nos Conditions d’utilisation incluent un certain nombre d’engagements relatifs au traitement des données et à leur transfert en dehors des frontières nationales.
Formation et sensibilisation à la confidentialité
Tous les employés de Dropbox sont tenus de suivre une formation à la sécurité et à la confidentialité lors de leur embauche, puis chaque année. De plus, les employés reçoivent des informations de sensibilisation à la sécurité et à la confidentialité par le biais d’e-mails, de conférences et de présentations, ainsi que de ressources disponibles sur notre intranet.
Mappage de données et analyse d’impact relative à la confidentialité
Pour vérifier que nos pratiques en matière de confidentialité sont appropriées, Dropbox tient un registre des activités de traitement pour les services Sign. Nous avons également réalisé une analyse d’impact relative à la protection des données (AIPD) afin d’évaluer la manière dont nous collectons, traitons et stockons les données personnelles, et de déterminer les incidences potentielles sur la confidentialité.
Politiques de sécurité des informations
Dropbox dispose de politiques de sécurité des informations et de protection des données établissant à quel moment et sous quelles conditions les employés et contractuels peuvent accéder à vos données. Ces politiques sont basées sur les bonnes pratiques et les normes internationales, et sont révisées tous les ans pour tenir compte des pratiques commerciales actuelles et des changements dans les lois/réglementations. Des modifications ponctuelles peuvent également être apportées à ces politiques si nécessaire. Ces politiques sont fournies aux nouveaux employés, et les changements sont communiqués aux employés via l’intranet de l’entreprise.
Transfert de données
Pour le transfert de données provenant de l’Union européenne, de l’Espace économique européen, du Royaume-Uni et de la Suisse, Dropbox s’appuie sur plusieurs mécanismes juridiques, y compris les contrats conclus avec ses clients et ses sociétés affiliées, les clauses contractuelles types et les décisions d’adéquation de la Commission européenne de certains pays, le cas échéant.
Dropbox Sign respecte les cadres de protection des données UE–États‑Unis et Suisse–États‑Unis, ainsi que l’extension du cadre de protection des données UE–États‑Unis pour le Royaume‑Uni, tels qu’ils ont été établis par le ministère du commerce des États‑Unis pour ce qui concerne la collecte, l’utilisation et la conservation des données personnelles transférées depuis l’Union européenne, l’Espace économique européen et la Suisse vers les États‑Unis.
Réponse en cas d’incident
Nos procédures de réponse en cas d’incident ont été conçues et testées pour garantir que les événements de sécurité potentiels sont identifiés et signalés au personnel approprié pour résolution, que le personnel suit des protocoles définis pour résoudre les événements de sécurité, et que les étapes de résolution sont documentées et examinées régulièrement par l’équipe de sécurité. De plus, nos politiques et procédures incluent une notification de violation si et quand un incident de sécurité implique la perte ou l’utilisation non autorisée de données personnelles.
Examen des produits
Notre cycle de développement logiciel (« SDLC ») garantit que les modifications du système sont effectuées conformément aux exigences du RGPD, y compris selon les considérations relatives à la confidentialité dans les domaines suivants :
- Planification
- Documentation des modifications
- Développement de plans de test
- Test des modifications et documentation des résultats
- Révision et approbation de l’assurance qualité (« QA »)
- Examen et attestation par un tiers
- Examen et mise à jour périodiques
Examen des prestataires
Les prestataires qui traitent ou stockent des données personnelles font l’objet d’un examen dans le cadre du processus d’évaluation des risques tiers de Dropbox, afin de s’assurer qu’ils ont mis en place des contrôles de sécurité et de confidentialité appropriés pour protéger les données. Nous examinons chaque année les sous-traitants avec lesquels nous travaillons afin de nous assurer qu’ils respectent les exigences de sécurité et de confidentialité.
Protections contractuelles
Dropbox a mis en place de nouvelles clauses contractuelles types Sous-traitant-Sous-traitant entre Dropbox International Unlimited Company et Dropbox, Inc. pour couvrir le transfert des données personnelles de nos clients vers les États‑Unis. Nous avons mis à jour notre contrat de traitement des données pour refléter ce changement (https://assets.dropbox.com/documents/en/legal/hs-data-processing-agreement.pdf).
Le contrat de traitement des données fait déjà partie des conditions d’utilisation de Dropbox Sign.
Certifications
Chez Dropbox Sign, nous mesurons les conséquences graves pouvant découler du non-respect de la conformité, c’est pourquoi nous avons mis en place avec diligence des processus visant à assurer la conformité de notre service avec les normes qui régissent votre activité.
Pour plus d’informations sur les normes et certifications auxquelles Dropbox Sign est conforme et auxquelles il adhère, consultez notre page « Conformité ».
Sécurité des produits
Chiffrement
Par défaut, la communication avec nos services se fait via le protocole TLS (Transport Layer Security) qui est régulièrement mis à jour avec les dernières suites de chiffrement et configurations TLS. Nous chiffrons également l’ensemble des données client au repos au moyen de l’algorithme AES 256-T.
Suppression des données et accès aux données
Si vous souhaitez soumettre une demande d’accès aux données ou demander la suppression de vos données personnelles, veuillez nous envoyer un e‑mail à l’adresse privacy@dropbox.com. Pour plus d’informations, veuillez consulter la Politique de confidentialité de Dropbox Sign.
Conformité des cookies
Lorsque vous utilisez les services Dropbox Sign, vous pouvez sélectionner les cookies que vous autorisez Dropbox à utiliser en cliquant sur « Préférences concernant les cookies et CCPA » dans la section « Assistance » du pied de page de cette page.