Bêta publique d’eSignature pour Google Docs et Drive
(workspaceupdates.googleblog.com)- La fonctionnalité de demande et collecte de signatures électroniques de Google Docs, en test alpha depuis juin 2022, est étendue en bêta publique aux abonnés Workspace Individual
- Workspace Individual peut l’utiliser sans demande préalable, tandis que certaines éditions Google Workspace peuvent participer à la bêta sur inscription
- Il est possible de demander des signatures dans un document, de consulter les demandes en attente et les contrats finalisés, ce qui simplifie le traitement des contrats et formulaires de consentement autour de Google Docs
- Dans Google Drive, il est possible de signer sans changer d’application ni d’onglet, et une nouvelle copie du contrat est créée pour chaque demande, ce qui permet de réutiliser le même document comme modèle
- Fin 2023, des fonctionnalités de piste d’audit, de signataires multiples, de demandes à des utilisateurs non-Gmail et de lancement de la signature électronique depuis des PDF stockés dans Drive doivent être ajoutées
Périmètre de la bêta et calendrier de lancement
- La fonctionnalité eSignature de Google Docs est disponible en bêta publique pour les abonnés Workspace Individual
- La fonctionnalité peut être utilisée sans procédure d’inscription supplémentaire
- Déploiement progressif à partir du 8 août 2023, sur une période pouvant aller jusqu’à 15 jours
- Certains clients Google Workspace peuvent participer à la bêta via une demande séparée
- Après inscription, ils seront ajoutés à la liste d’autorisation au cours des prochaines semaines
- Les éditions éligibles à la bêta sont Google Workspace Business Standard, Business Plus, Enterprise Starter, Enterprise Standard, Enterprise Plus, Enterprise Essentials, Enterprise Essentials Plus et Education Plus
- Les personnes concernées sont les administrateurs et les utilisateurs finaux
Un flux de signature électronique géré dans Docs et Drive
- eSignature vise à réduire les démarches nécessaires aux entrepreneurs individuels et aux petites entreprises pour gérer les contrats, accords clients et autres documents juridiquement contraignants
- Intégrée nativement à Google Docs, elle permet de demander et d’ajouter des signatures directement dans des contrats officiels
- Le flux principal est le suivant :
- Demander rapidement des signatures, vérifier l’état des signatures en attente et retrouver les contrats finalisés
- Signer des contrats officiels dans Google Drive sans changer d’application ni d’onglet
- Créer une nouvelle copie du contrat pour chaque demande, afin d’utiliser le document comme modèle et de lancer plusieurs demandes de signature électronique
Fonctionnalités prévues pour fin 2023
- Piste d’audit : un rapport de piste d’audit sera automatiquement inclus dans tous les contrats finalisés
- Signataires multiples : il sera possible de demander la signature de deux utilisateurs ou plus
- Demandes à des utilisateurs non-Gmail : il sera aussi possible de demander une eSignature à des personnes qui n’utilisent pas Gmail
- Prise en charge des PDF : il sera possible de lancer une eSignature depuis des fichiers PDF stockés dans Drive
Fonctionnalités Gmail incluses avec la bêta sur inscription
- Certaines éditions Google Workspace peuvent demander à participer au test bêta via le formulaire d’inscription
- Cette bêta inclut aussi l’accès aux nouveaux modèles d’e-mails personnalisés de Gmail
- Elle prend en charge la personnalisation des modèles existants
- Les mises en page personnalisées peuvent être réutilisées dans plusieurs campagnes e-mail
- Il est possible de créer directement de nouvelles mises en page
- Après l’inscription à la bêta, eSignature et les nouvelles fonctionnalités Gmail seront visibles sous quelques semaines
1 commentaires
Avis de Hacker News
C’est une bonne idée, et je suis content de voir enfin un mouvement pour améliorer Google Docs.
Cela dit, rien qu’à lire l’article de blog, on voit malheureusement à quel point Google exécute maladroitement ses produits, même au stade bêta.
J’ai déjà créé un produit similaire par le passé, et les signatures électroniques sont plus simples qu’on ne l’imagine si l’on respecte quelques points : vérification de l’identité, accessibilité du document signé final, ne pas masquer l’intégralité du document à signer, piste d’audit permettant à toutes les parties de vérifier la validité de la signature, distinction des types de contrats qui ne sont pas valables par signature électronique, et consentement aux transactions électroniques.
Les fausses signatures manuscrites, la signature cryptographique du document et un chiffrement allant au-delà de la conformité générale ne sont pas indispensables ; je les vois surtout comme des fonctions d’expérience utilisateur ou de marketing.
Or ce que Google propose semble, d’après les captures d’écran, se limiter à une fausse signature manuscrite, et le fait qu’actuellement il faille être utilisateur de Gmail pour demander une signature électronique est presque rédhibitoire.
La piste d’audit ne serait ajoutée qu’à la fin de l’année, ce qui est suspect : cela pourrait vouloir dire qu’il est aujourd’hui difficile de vérifier si le document a réellement été signé. Stocker une piste d’audit en base de données et l’ajouter en pages de journal à la fin du PDF est une implémentation assez triviale.
Rien qu’en regardant les articles de ce blog sur les deux dernières années, on voit qu’il y a eu pas mal d’améliorations fonctionnelles ajoutées à Docs.
Elles n’étaient peut-être pas importantes pour vous, ou réservées aux clients payants plutôt qu’à l’offre gratuite, ou vous n’y avez tout simplement pas prêté attention, mais les fonctionnalités ont continué d’arriver.
Ce n’est pas un problème propre à Google : dans beaucoup de logiciels, je trouve curieux de voir des gens conclure qu’un projet est mort sans même consulter l’historique des changements.
Si ce n’est pas une refonte complète de l’expérience utilisateur, les développeurs ne voient pas les efforts consacrés aux vraies fonctionnalités ; et à l’inverse, quand il y a une refonte majeure, ils se plaignent que ce n’est que de la poudre aux yeux.
Pour qu’une signature soit reconnue, elle doit satisfaire à l’un de trois niveaux de confiance : une signature électronique de base qui appose une marque d’identification sur le fichier, une signature électronique avancée utilisant de la cryptographie conforme aux spécifications réglementaires et répondant à des exigences de rattachement à l’identité, ou une signature électronique qualifiée créée par un prestataire de services de confiance qualifié.
Pour des transactions simples, selon la juridiction, presque n’importe quelle signature électronique peut suffire, mais pour être totalement blindé, il faut une signature électronique qualifiée.
Pour être utile en Europe, Google doit respecter les exigences réglementaires et indiquer le niveau de confiance.
Elle a bien plus de chances de répondre aux questions que de simples captures d’écran.
D’après l’aide, l’expéditeur comme le signataire semblent pouvoir vérifier qu’un contrat a été signé : il faut ouvrir le PDF depuis Drive ou via le lien de notification par e-mail, puis cliquer sur View details en haut à droite pour voir les détails de la signature électronique.
Je me demande si vous dites que la seule implémentation valable d’un journal d’audit consiste à l’attacher au PDF du contrat.
Google peut certes envoyer un e-mail contenant un lien, mais rien qu’à la description, ce n’est pas une fonctionnalité qui peut se résumer à un e-mail et un lien. Il est indiqué que le contrat final signé est « enregistré dans Drive », ce qui n’a pas de sens pour une adresse e-mail quelconque non associée à Google Drive.
Les exigences viennent de l’interprétation de l’UETA et de l’ESIGN Act, et iText propose de bonnes explications ainsi qu’une excellente bibliothèque utilisable pour ce type de projet.
DocuSign explique aussi très bien les signatures électroniques/UETA, l’ESRA est la principale organisation sur ce sujet, et si vous avez besoin d’un avis juridique, DLA Piper fait figure de référence dans le secteur.
Une fois qu’on a compris, ce domaine est assez simple.
Sur un vieux NUC, la différence se sent nettement.
On dirait que la rigidité du management intermédiaire se relâche un peu.
Ici, nous utilisons DocuSign, et le temps passé à exporter puis importer dans un sens et dans l’autre entre Google et DocuSign est agaçant.
Si Google arrive sur ce terrain, personnellement je m’en réjouis.
Il n’y avait aucun moyen de suivre une hiérarchie précise, et le système de commentaires et de relecture me semblait aussi maladroit.
Si je n’y étais pas contraint par mon entreprise, je préférerais ne pas utiliser la suite Google.
Il existe de meilleures façons de suivre les consentements et les contrats.
Ce n’est pas encore un DocuSign killer, et ça aura du mal à le devenir tant que Google n’aura pas une vraie stratégie pour les entreprises.
DocuSign est profondément intégré aux workflows tiers des grandes organisations.
C’est là que se trouve le gros de l’argent, et c’est ce qui permet de bâtir une activité très collante.
Dans les grandes entreprises, obtenir l’approbation de l’IT et acheter un nouveau service IT est difficile ; utiliser une fonction intégrée à un logiciel déjà en place est donc presque toujours avantageux.
Les entreprises n’ont pas qu’un seul compte, et comme l’adoption de services est compliquée, il arrive souvent que chaque équipe rachète le même logiciel ; le fait que beaucoup d’entreprises utilisent déjà DocuSign perd donc un peu de sa portée.
La croissance de Slack s’est en grande partie faite de cette manière[^1]. On commence avec un compte gratuit, on invite les équipes proches, le paiement pour une petite équipe reste sous le seuil de dépense approuvé automatiquement, puis une fois que les coûts et les utilisateurs se sont accumulés et que la valeur est démontrée, on demande à l’IT un déploiement à l’échelle de l’entreprise.
La manière dont les individus utilisent ce « shadow IT » est un bon chemin pour faire croître l’usage. Même si DocuSign est déjà présent, cette fonction de Docs semble bien placée pour grandir de cette façon.
[^1]: J’ai travaillé dans une équipe à qui l’on imposait MS Teams dans l’entreprise ; en attendant que l’espace Teams soit prêt et que les problèmes d’authentification soient réglés, je me suis inscrit sur Slack, j’ai invité tout le monde, et nous avons pu travailler pendant les 6 mois nécessaires avant d’obtenir un espace Teams fonctionnel.
Si le coût de migration est inférieur à la douleur de continuer à utiliser DocuSign, ils basculeront.
La plupart des gens privilégieront probablement leur charge de travail quotidienne plutôt que le meilleur choix pour les finances de l’entreprise.
Ils peuvent laisser filer quelques millions de dollars faciles pour éviter de fournir aux régulateurs un exemple où ils auraient utilisé leur domination d’Internet pour copier un produit existant et évincer une entreprise établie.
Je pense que c’est aussi la peur des régulateurs qui explique pourquoi les fonctionnalités Google sortent à moitié cuites puis meurent.
Même les réseaux de cartes bancaires ont abandonné les signatures.
Il sert non seulement pour les contrats envoyés hors de l’organisation, mais aussi comme système de gestion de toutes sortes de formulaires et de workflows internes.
Du point de vue de Google, cette implémentation relève probablement surtout de la conformité réglementaire plutôt que de la technique.
Comme les alternatives sont coûteuses, cela aidera beaucoup pour les petits contrats, mais il est peu probable que les grandes entreprises basculent immédiatement.
La grosse limitation actuelle est la possibilité de demander une signature électronique à des utilisateurs non Gmail.
J’espère que ce sera résolu plutôt tôt, en septembre-octobre, que tard, en novembre-décembre.
Je me demande si cette fonction vise le marché américain, ou aussi l’UE.
Je me demande aussi si elle relève de la signature électronique avancée (AdES) au sens du règlement eIDAS.
Sans signature appropriée ni vérification de l’utilisateur, il est difficile d’atteindre à elle seule le niveau AdES.
Si Google visait la signature électronique avancée, je m’attendrais à le voir apparaître dans l’EU Trusted List, ce qui n’est pas le cas actuellement.
À moins que Google n’exploite sa propre autorité de certification Google Trust Services, il me paraît peu probable que ce soit lancé comme une AdES compatible eIDAS.
Ce n’est pas considéré comme un prestataire de certification de confiance, et cela n’atteint pas non plus un niveau sûr d’authentification de l’utilisateur.
En Europe, c’est une sorte de fonctionnalité gadget, mais elle reste utile.
Par exemple, on peut s’en servir pour faire promettre à sa fille de « avoir de bonnes notes à l’école » en échange d’un cadeau de Noël supplémentaire, et donner à cela l’apparence d’un document officiel.
C’est plutôt faire semblant de signer.
Si c’est proposé dans l’UE, je ne serais pas surpris que cette exigence soit remplie.
Une bêta après 14 mois de tests, c’est vraiment trop lent.
Une entreprise partenaire qui participe au test peut prendre 3 mois pour l’examiner et décider de l’adopter, 3 mois pour migrer quelques workflows internes, puis 6 mois pour observer les changements de processus et les améliorations éventuelles.
L’important ici n’est pas de faire vite, mais de faire correctement.
Les logiciels d’entreprise sont l’exact opposé de « avancer vite et casser des choses ».
Google n’a pas le luxe d’offrir un prétexte à une offensive réglementaire à plusieurs milliards de dollars.
Google ou Microsoft auraient facilement pu créer un concurrent de DocuSign et tuer DocuSign comme Netscape ou WordPerfect.
Mais désormais, ils dominent respectivement Internet et les suites logicielles d’entreprise, donc leur objectif principal est de protéger et faire croître leurs vaches à lait.
Le reste me paraît surtout relever du marketing, ou de projets de concession destinés à retenir des dizaines de milliers d’informaticiens qui partiraient sinon chez des concurrents ou des startups.
Je me demande quelles seraient les fonctionnalités minimales pour implémenter directement une signature électronique juridiquement contraignante au titre de l’ESIGN Act.
Il me semble qu’il faut le consentement aux transactions électroniques, l’intention de signer, la possibilité de refuser la demande de signature, une indication ou déclaration visible dans le document électronique, un nom ou un marqueur unique attribuable au signataire, et une conservation des enregistrements permettant aux deux parties de les stocker, consulter et imprimer.
Il y a quelque temps, dans mon entreprise, j’ai dû implémenter l’intégration Okta de DocuSign, et c’était absurdement cher.
Si Google y arrive correctement, ce sera vraiment bienvenu.
DocuSign figure aussi sur le site SSO Tax : https://sso.tax/
Il existe aussi une alternative : https://github.com/docusealco/docuseal
J’aimerais que la signature électronique repose sur une authentification électronique forte comme eIDAS.