Confidentialité

Politique de protection des données personnelles.

Signlift traite des données personnelles conformément au Règlement Général sur la Protection des Données (UE 2016/679) et à la loi française Informatique et Libertés. Cette politique s'applique à tous les traitements effectués via signlift.eu, qu'ils concernent les clients ou les signataires.

Dernière mise à jour · 19 juin 2026

Signlift est une plateforme de signature électronique exploitée par Capsens SAS, société française immatriculée au Registre du Commerce et des Sociétés de Paris sous le numéro SIRET 798 709 044 00010.

Notre siège social est situé au 81 rue Saint-Lazare, 75009 Paris. Capsens est responsable du traitement de vos données personnelles conformément au Règlement (UE) 2016/679 (RGPD) et à la loi française relative à l'informatique et aux libertés (CNIL).

Capsens SAS et le Client (l'organisation utilisant Signlift) sont responsables conjoints du traitement des données personnelles au sens du Règlement (UE) 2016/679 (RGPD). Les responsabilités sont partagées comme suit :

  • Le Client est responsable de : vérifier que les demandes de signature sont légales et conformes à la réglementation applicable, obtenir le consentement ou une base légale pour chaque signataire, respecter les droits des personnes dont il traite les données, et documenter sa base légale.
  • Capsens est responsable de : assurer la sécurité technique de la plateforme, garantir la conservation sécurisée des données, respecter les droits RGPD des personnes, et mettre en place les mesures techniques et organisationnelles appropriées.

Conformément à l'article 26 du RGPD, cette répartition des responsabilités fait l'objet d'un accord de responsabilité conjointe entre Capsens et le Client, dont la présente politique reflète l'essence. Sa version complète est disponible sur demande à dpo@capsens.eu.

Signlift fournit un service de signature électronique simple au sens du Règlement (UE) n°910/2014 (eIDAS), article 26. Ce niveau de signature garantit l'authenticité et l'intégrité du document signé. Une signature électronique simple via Signlift comprend :

  • L'authentification du signataire par un code à usage unique (OTP) envoyé par e-mail ou SMS. Ce code garantit que seule la personne ayant accès à cette adresse e-mail ou ce numéro de téléphone peut signer.
  • Un enregistrement immuable de tous les événements liés à la signature, appelé audit trail. Cet audit trail constitue la preuve légale que vous avez signé le document et à quel moment.
  • La conservation légale de cet audit trail pendant 10 ans, conformément aux obligations de conservation des preuves en droit français.
  • Une déclaration d'identité du signataire, horodatée et versionnée, ainsi que le scellement du document signé au format PAdES (cachet cryptographique), garantissant son intégrité et sa non-répudiation.

Cet audit trail constitue la preuve légale complète de votre signature. Il satisfait aux exigences de l'article 26(b) du Règlement eIDAS, qui prévoit que la signature doit « permettre d'identifier le signataire ».

Capsens a nommé un Responsable de la Protection des Données (DPO) pour superviser le respect du RGPD. Toutes vos questions, demandes et réclamations relatives au traitement de vos données personnelles doivent être adressées au DPO.

  • E-mail : dpo@capsens.eu
  • Adresse postale : 81 rue Saint-Lazare, 75009 Paris, France
  • Délai de réponse : 30 jours calendaires maximum à compter de la réception. Pour une demande complexe, nous vous informerons de tout délai supplémentaire.

5.1 Données des signataires

  • Votre adresse e-mail, utilisée pour vous envoyer la demande de signature et le code OTP.
  • Votre numéro de téléphone (si applicable), pour l'envoi d'un code OTP par SMS à titre de sécurité supplémentaire.
  • L'horodatage exact de votre signature (date et heure précises).
  • Votre adresse IP de connexion.
  • Des informations sur votre navigateur et système d'exploitation, pour la compatibilité et la sécurité du service.
  • Un historique complet de vos actions (audit trail) : envoi de la demande, consultation du document, réception du code OTP, validation du code, finalisation de la signature.

Vous et l'émetteur de la demande de signature avez le droit d'accéder à l'intégralité de ces données sur simple demande au DPO à dpo@capsens.eu, en précisant la référence de la demande de signature concernée.

5.2 Audit trail (journal immuable de signature)

L'audit trail est un enregistrement immuable et complet de tous les événements liés à votre signature. Il enregistre notamment : l'envoi de la demande, la consultation du document, l'envoi du code OTP, chaque tentative de validation (y compris échouées), la validation réussie, la signature finalisée, ainsi que l'horodatage, l'adresse IP, le navigateur et le statut final.

Cet audit trail est physiquement immuable : une fois créé, il ne peut jamais être altéré, supprimé ou falsifié, même par les administrateurs techniques de Capsens. Il est conservé pendant 10 ans conformément à l'obligation légale française de conservation des preuves.

5.3 Données techniques

  • Les logs serveur, qui enregistrent les traces d'exécution de la plateforme et permettent la détection d'anomalies, d'erreurs et d'activités frauduleuses.
  • Les logs d'infrastructure AWS (CloudTrail), qui enregistrent les actions effectuées sur l'infrastructure cloud, pour assurer la sécurité et tracer les accès aux données.

5.4 Cookies

Signlift n'utilise pas de cookies de tracking ou d'analyse comportementale (comme Google Analytics). Nous ne vous profilons pas et ne partageons pas vos données avec des tiers à des fins publicitaires. La plateforme peut utiliser des cookies de session, essentiels au fonctionnement du service, qui disparaissent à la fermeture de votre navigateur.

  • Exécution du contrat (art. 6(1)(b) RGPD) : traitement nécessaire pour exécuter le service de signature (envoi de la demande, vérification d'identité via OTP, signature).
  • Obligation légale (art. 6(1)(c) RGPD) : la loi française exige la conservation des preuves pendant 10 ans. L'audit trail constitue cette preuve et doit être conservé légalement.
  • Intérêt légitime (art. 6(1)(f) RGPD) : les logs serveur et les données de monitoring sont traités pour assurer la sécurité de la plateforme, détecter les fraudes et améliorer le service.

Vos données ne sont conservées que le temps strictement nécessaire aux finalités pour lesquelles elles ont été collectées :

  • Documents signés et métadonnées 10 ans (Obligation légale française de conservation des preuves)
  • Audit trail complet 10 ans (Obligation légale française de conservation des preuves)
  • Logs OTP (tentatives, codes) 90 jours (Détection et prévention des fraudes)
  • Logs serveur 5 ans (Monitoring de sécurité, débogage)
  • CloudTrail AWS Plusieurs années (Audit de sécurité de l'infrastructure)

À l'expiration de ces délais, vos données sont supprimées de manière sécurisée et irrévocable. Aucune sauvegarde n'est conservée au-delà de ces périodes.

8.1 Équipes internes de Capsens

L'accès est strictement limité au personnel ayant une nécessité fonctionnelle : support technique, équipe de développement et de sécurité, direction et responsables sécurité. Chaque employé est lié par un accord de confidentialité (NDA).

8.2 Sous-traitants

Capsens recourt à des prestataires externes pour certaines fonctions techniques. Ces sous-traitants n'accèdent à vos données que selon les instructions de Capsens et sont liés par des accords de traitement de données (article 28 du RGPD).

  • Amazon Web Services (AWS) : Hébergement, stockage des documents et de l'audit trail, chiffrement (KMS). Localisation : Irlande (eu-west-1) — Union européenne.
  • Brevo : Envoi des e-mails transactionnels (demandes de signature, OTP par e-mail). Localisation : France — Union européenne.
  • SMS Mode : Envoi des OTP par SMS (fournisseur principal). Localisation : France — Union européenne.
  • Twilio : Envoi des OTP par SMS (fournisseur de secours). Localisation : États-Unis — transfert encadré (CCT / Data Privacy Framework).
  • Datadog : Archivage et supervision des logs. Localisation : Allemagne — Union européenne.
  • AppSignal : Supervision applicative et suivi des erreurs. Localisation : Pays-Bas — Union européenne.
  • Stripe : Paiement des abonnements et facturation des signatures via l'API. Localisation : États-Unis — transfert encadré (CCT / Data Privacy Framework).

La grande majorité de vos données est hébergée et traitée exclusivement dans l'Union européenne. Deux sous-traitants établis aux États-Unis sont utilisés pour des finalités limitées : Stripe (paiement des abonnements et facturation des signatures via l'API) et Twilio (envoi d'OTP par SMS, en secours du fournisseur européen SMS Mode). Ces transferts sont encadrés par des garanties appropriées au sens des articles 44 et suivants du RGPD (clauses contractuelles types et/ou Data Privacy Framework UE–États-Unis).

Le RGPD vous confère plusieurs droits sur vos données personnelles :

  • Droit d'accès (art. 15) : recevoir une copie complète de vos données, y compris l'audit trail de vos signatures.
  • Droit de rectification (art. 16) : corriger une donnée inexacte (e-mail, téléphone). Les données de signature et l'audit trail restent immuables par conception eIDAS.
  • Droit à l'effacement (art. 17) : limité — les données de signature et l'audit trail doivent être conservés 10 ans conformément à la loi française. La suppression intervient automatiquement à l'issue de ce délai.
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et courant (JSON).
  • Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime (logs, monitoring), sous réserve des nécessités légales ou contractuelles.

Pour exercer ces droits, adressez votre demande au DPO à dpo@capsens.eu en précisant votre identité, l'objet de votre demande et, le cas échéant, la référence de signature. Réponse sous 30 jours calendaires maximum.

10.1 Mesures techniques

  • Chiffrement au repos (SSE-KMS) : vos données sont chiffrées avant stockage sur les serveurs AWS.
  • Chiffrement en transit (TLS 1.2+) : toutes les communications entre votre navigateur et nos serveurs sont chiffrées.
  • Immuabilité de l'audit trail : stockage via S3 Object Lock COMPLIANCE — aucune modification, suppression ou falsification n'est techniquement possible.
  • Monitoring continu : surveillance permanente pour détecter accès non autorisés, attaques et anomalies.

10.2 Mesures organisationnelles

  • Accord de confidentialité (NDA) signé par tous les employés.
  • Contrôle d'accès par rôle (RBAC) sur le principe du moindre privilège.
  • Logs d'accès à l'audit trail : chaque consultation est tracée.
  • Plan de réaction aux incidents : notification de la CNIL sous 72 h et des personnes concernées dans les meilleurs délais.

Pour le détail des mesures, consultez également la page Sécurité.

La quasi-totalité de vos données est traitée et stockée dans l'Union européenne. Seules deux opérations, limitées et encadrées, font intervenir des sous-traitants établis aux États-Unis :

  • Dans l'UE : documents et audit trail (AWS, Irlande), e-mails (Brevo, France), OTP par SMS principal (SMS Mode, France), archivage des logs (Datadog, Allemagne), supervision (AppSignal, Pays-Bas).
  • Aux États-Unis (transfert encadré) : paiement des abonnements et facturation des signatures via l'API (Stripe) ; envoi d'OTP par SMS en secours (Twilio).

Ces transferts hors UE sont encadrés par des garanties appropriées au sens des articles 44 et suivants du RGPD (clauses contractuelles types et/ou adhésion au Data Privacy Framework UE–États-Unis).

Signlift collabore avec les prestataires suivants, chacun lié par un accord de traitement (article 28 du RGPD) :

  • Amazon Web Services (AWS) — Hébergement, stockage des documents et de l'audit trail, chiffrement (KMS) (Irlande (eu-west-1) — Union européenne).
  • Brevo — Envoi des e-mails transactionnels (demandes de signature, OTP par e-mail) (France — Union européenne).
  • SMS Mode — Envoi des OTP par SMS (fournisseur principal) (France — Union européenne).
  • Twilio — Envoi des OTP par SMS (fournisseur de secours) (États-Unis — transfert encadré (CCT / Data Privacy Framework)).
  • Datadog — Archivage et supervision des logs (Allemagne — Union européenne).
  • AppSignal — Supervision applicative et suivi des erreurs (Pays-Bas — Union européenne).
  • Stripe — Paiement des abonnements et facturation des signatures via l'API (États-Unis — transfert encadré (CCT / Data Privacy Framework)).
  • Détection et analyse : enquête immédiate pour déterminer la nature et l'ampleur de l'incident.
  • Notification CNIL : si l'incident crée un risque pour vos droits et libertés, notification dans les 72 heures suivant la découverte.
  • Notification personnelle : en cas de risque élevé, vous êtes informé directement par e-mail.
  • Mesures correctives : isolation du problème, sécurisation des comptes, prévention d'une nouvelle occurrence.
  • Contacter le DPO : dpo@capsens.eu.
  • Saisir la CNIL : vous pouvez déposer une plainte auprès de la Commission Nationale de l'Informatique et des Libertés sur cnil.fr.
  • Recours judiciaire : devant les tribunaux compétents de Paris, pour violation du RGPD ou dommages causés par un traitement illégal.

En utilisant Signlift, y compris en créant un compte ou en signant un document, vous acceptez expressément cette politique de confidentialité. Une case à cocher explicite est demandée lors de l'inscription.

En continuant à utiliser Signlift après l'affichage d'une version mise à jour, vous acceptez implicitement la version actualisée. Si vous n'acceptez pas les nouvelles conditions, vous devez cesser d'utiliser le service.

Capsens peut mettre à jour cette politique à tout moment pour refléter les évolutions légales, réglementaires ou technologiques. Chaque nouvelle version est publiée sur signlift.eu avec sa date de mise à jour. En cas de changement significatif affectant vos droits ou la façon dont nous traitons vos données, Capsens vous en informe directement par e-mail.

Responsable de traitement : Capsens SAS · Responsable de la protection des données (DPO) : dpo@capsens.eu