Titre

Signatures électroniques (DocuSign)

Description

Ce rapport examine les conséquences sur la vie privée de l’utilisation par la Société des ponts fédéraux limitée (SPFL) de DocuSign pour les signatures électroniques sur des documents tels que les contrats, les factures, les protocoles d’accord et les lettres d’offre.

Pourquoi une évaluation des facteurs relatifs à la vie privée a-t-elle été réalisée?

Cet outil remplace une fonction Adobe moins sécurisée et vise à améliorer la validité, l’autorité et la traçabilité des documents. La SPFL cherche à réduire les risques de fraude grâce à des signatures certifiées et traçables et à des flux de travail efficaces.

Les informations personnelles concernées se rapportent principalement aux documents de ressources humaines, bien que l’évaluation couvre tous les types de documents standard. Comme l’exigent les politiques fédérales en matière de protection de la vie privée et le Secrétariat du Conseil du Trésor, la SPFL a réalisé cette évaluation des facteurs relatifs à la vie privée (EFVP) afin de garantir la conformité et d’améliorer la sécurité des données.

Information supplémentaires

Au cours de l’évaluation, deux risques liés à la protection de la vie privée ont été identifiés :

  • Spécifier et identifier les contrôles spécifiques de la durée de conservation.
  • Valider les garanties technologiques pour l’application proposée.

Pour atténuer ce risque, les mesures suivantes ont été mises en œuvre :

  • DocuSign n’étant pas le principal outil de gestion des informations, il est recommandé à la SPFL de créer et de mettre en œuvre un processus garantissant que tous les documents signés dans DocuSign sont téléchargés et sauvegardés dans un outil d’entreprise accepté tel que GCDocs et Dayforce. Les documents signés relatifs aux ressources humaines seront supprimés de la signature électronique dès leur achèvement, tandis que les autres documents signés seront supprimés dans les six mois, ce qui réduira le risque d’exposition.
  • La protection des informations personnelles étant une priorité pour la SFPL, les données collectées au repos dans l’application DocuSign doivent être correctement sécurisées. Il est recommandé à la SPFL de fournir la preuve que DocuSign offre des garanties technologiques adéquates.

Banques d’information personnelle apparentées

Voici les banques d’informations personnelles concernées par cette EIVP :

  • RH – Dotation SPFL PSE 902;
  • Dossiers de contrat SPFL PPU 015;
  • Dossiers des finances SPFL PPU 020; et,
  • Contrats de services professionnels SPFL PSU 912.

Pour plus d’informations sur cette évaluation de l’impact sur la vie privée

Rémi Paquette

Responsable de la protection de la vie privée de la SPFL

rpaquette@pontsfederaux.ca (613) 366-5074 x120