Par défaut, Adobe Sign conserve de manière sécurisée tous les documents client sur le service tant que le compte est actif.
Les informations transactionnelles sont conservées dans le système jusqu’à ce que le client prenne des mesures pour supprimer explicitement les accords.
- Le service Adobe Sign est conforme à plusieurs normes du secteur pour la sécurité et la disponibilité des données : PCI DSS 3.0, HIPAA, Type II SOC 2 et ISO 27001.
Remarque :
Adobe se réserve le droit de détruire les enregistrements de transaction provenant de comptes qui ont mis fin à leur service Adobe Sign.
Les comptes abandonnés ont 30 jours pour supprimer leur contenu avant qu’il ne soit supprimé.
Pour les clients qui préfèrent conserver leurs enregistrements d’accord sur leur propre système et qui souhaitent supprimer les documents d’origine des systèmes Adobe Sign, une « stratégie de rétention » peut être définie pour déterminer la durée pendant laquelle Adobe Sign doit conserver la transaction, après quoi l’accord (et éventuellement les données d’audit/personnelles qui l’accompagnent) sera supprimé d’Adobe Sign.
Les règles de rétention sont définies par un administrateur dans le compte dans la section Gouvernance des données du menu d’administration.
- Les administrateurs de groupe n’ont pas autorité pour créer ou désactiver des règles de rétention.
- Les paramètres dans le compte sont transmis à tous les groupes du compte comme valeurs par défaut.
- Les groupes doivent être configurés individuellement si leurs paramètres doivent être différents des paramètres dans le compte.
- Les paramètres dans le groupe remplaceront les paramètres dans le compte.

Lorsqu’un accord atteint un état final :
- Adobe Sign vérifie les règles de rétention au niveau du groupe de l’utilisateur qui a créé l’accord (groupe actuel dans lequel se trouve l’utilisateur lorsque l’accord devient final).
- Si aucune règle au niveau du groupe n’est actuellement appliquée, la règle au niveau du compte est utilisée.
- Si la règle au niveau du compte est également indéfinie, aucune règle de rétention n’existe et l’accord n’acquiert pas de date de suppression.
- Les accords qui n’acquièrent pas de date de suppression lorsqu’ils deviennent finaux peuvent toujours être supprimés via les outils du RGPD.
Si une règle de rétention est appliquée à l’accord :
- L’accord doit être supprimé en fonction des paramètres de règle.
- L’ID de règle de la règle appliquée est associé à la transaction, ce qui garantit que la règle correcte soit respectée lors de la suppression.
L’accord final attend le délai de suppression indiqué.
- Le nombre de jours avant la suppression est une valeur littérale.
- Par exemple : si 14 jours sont définis, l’action de suppression est déclenchée exactement 14 jours (à la seconde) après que l’accord est devenu final.
Lorsque le moment de la suppression arrive, Adobe Sign vérifie l’ID de règle pour déterminer si la règle est désactivée ou non.
- Si la règle est désactivée, aucune action n’est effectuée.
- Si la règle n’a pas été désactivée, l’accord est supprimé.
- Si l’option de suppression du rapport d’audit et des informations personnelles (PII) est activée, ce même processus s’applique en fonction de l’intervalle de temps défini pour ces documents.
- Les comptes utilisant la méthode d’authentification par pièce d’identité officielle suppriment le rapport d’identité des signataires (s’il est collecté) des informations personnelles.
- Si l’option de suppression du rapport d’audit et des informations personnelles (PII) est activée, ce même processus s’applique en fonction de l’intervalle de temps défini pour ces documents.
Configurez d’abord la rétention au niveau du compte (le cas échéant).
Tous les groupes se voient automatiquement appliquer les paramètres au niveau du compte. Si vous souhaitez appliquer une stratégie à tous les groupes, voici comment procéder :
- Accédez à Compte > Paramètres du compte > Gouvernance des données.
- Cliquez sur l’icône Plus.

La fenêtre Créer une règle de rétention :
- Permet de définir le nombre de jours pendant lesquels un accord doit être conservé après avoir atteint un état final
- Le minimum est de 1 jour.
- Le maximum est égal à 5 475 jours (15 ans).
- Permet d’éventuellement définir une période de rétention pour le journal d’audit de l’accord et les informations personnelles associées des parties impliquées dans l’accord.
- L’audit et les informations personnelles doivent être conservées au moins aussi longtemps que l’accord et éventuellement plus longtemps.
- Si cette option n’est pas activée, l’enregistrement d’audit et les informations personnelles sont conservés jusqu’à ce qu’ils soient supprimés par une autre méthode (par exemple : suppression via le RGPD).

La première règle (en haut de la pile, sans Date de fin) est la règle actuellement appliquée. Une seule règle peut être appliquée à un groupe à la fois.
Lorsqu’une nouvelle règle est créée :
- La nouvelle règle devient la règle applicable.
- La nouvelle règle est insérée en haut de la liste avec comme Date de début la date de création de la règle, et aucune Date de fin.
- Si une règle existante est déjà activement appliquée lors de la création de la nouvelle règle :
- La règle existante précédente cesse d’être appliquée aux nouveaux accords finaux.
- La règle existante précédente descend dans la liste, juste en dessous de la nouvelle règle en vigueur.
- La règle précédente adopte automatiquement une valeur Date de fin alignée sur la valeur Date de début de la nouvelle règle en vigueur.

En configurant les règles de rétention au niveau du groupe, vous remplacez les règles héritées du niveau compte pour les utilisateurs actuellement dans le groupe.
Si un utilisateur est déplacé entre des groupes avec des accords en cours, les règles de rétention du nouveau groupe s’appliquent aux accords qui atteignent un état final dans ce groupe.
Les accords finaux auxquels une règle de rétention a été appliquée avant de déplacer l’utilisateur créateur vers un nouveau groupe respecteront la date de suppression de la règle appliquée, à condition que la règle ne soit pas désactivée avant l’action de suppression.
Compte tenu de ce qui précède, la configuration de règles de rétention au niveau du groupe peut varier de deux manières seulement :
Pour accéder à l’onglet de gouvernance des données d’un groupe :
- Accédez à Compte > Groupes.
- Cliquez sur le groupe que vous souhaitez modifier.
- Sélectionnez Paramètres de groupe.

- Sélectionnez l’option Gouvernance des données dans le rail de gauche.
- Remarque : si aucune règle de rétention au niveau du groupe n’est appliquée, il est clairement indiqué que les règles au niveau du compte sont suivies.

- Créez de nouvelles règles en cliquant sur l’icône Plus (tout comme dans l’interface au niveau du compte).
Remarque :
Une fois les règles créées dans des groupes, vous pouvez accéder à ces règles de rétention au niveau du groupe à partir de l’onglet Gouvernance des données au niveau du compte :
- Accédez à Compte > Paramètres du compte > Gouvernance des données.
- Cliquez sur l’onglet Groupes avec règles de rétention.
- Cliquez sur le nom du groupe que vous souhaitez modifier.
- Sélectionnez Afficher les règles de rétention du groupe ; la page Gouvernance des données au niveau du groupe s’ouvre
.

Lors de la configuration des règles au niveau du groupe, une option supplémentaire pour Conserver tous les accords pour ce groupe est disponible.
Cette option permet à un groupe de remplacer une règle de rétention au niveau du compte et de conserver indéfiniment tous les accords (pour les utilisateurs du groupe).

Activé : règles qui sont toujours valides pour les accords qui ont atteint un état final lors de l’application de la règle.
- La règle actuellement appliquée se trouve toujours en haut de la liste et ne contient aucune Date de fin.
Désactivé : les règles désactivées ne sont plus appliquées. Si un accord a atteint un état final en vertu d’une règle désactivée, il ne sera pas supprimé le jour de suppression cible.
- Les règles désactivées sont grisées.
- Les règles désactivées ne peuvent pas être réactivées.
Expiré : les règles expirées ne comportent aucun accord final en attente de suppression.
- Par exemple : si vous disposez d’une règle de 14 jours dont la date de fin est le 10 mars, la règle expirera à la fin du 24 mars, car tous les accords couverts par la règle auront déjà été supprimés.
Hérité : les clients qui avaient une stratégie de rétention régie par le paramètre hérité verront cette stratégie reflétée comme une règle de rétention héritée.
- Les accords qu’il était déjà prévu de supprimer selon la règle héritée (avant que les nouvelles règles ne soient mises en place) respecteront la date de suppression de la règle héritée.

La liste des règles de rétention peut être filtrée en cliquant sur l’icône « hamburger » dans le coin supérieur droit du tableau.
Cet ensemble d’options vous permet de filtrer les éléments suivants :
- Toutes les règles : valeur par défaut
- Uniquement les règles activées
- Uniquement les règles désactivées
- Uniquement les règles expirées
Vous avez également la possibilité de renvoyer 15, 30 ou 50 enregistrements par page.

Attention :
La désactivation d’une règle ne peut pas être annulée.
Si vous désactivez une règle, tous les accords encore soumis à la règle ne disposent plus de date de suppression à tenir.
Ces accords devront ensuite être supprimés à l’aide des outils du RGPD.
Pour désactiver une règle :
- Sélectionnez la règle.
- Cliquez sur le lien Désactiver.

La rétention est basée sur des paramètres au niveau du groupe (définis explicitement ou hérités des paramètres au niveau du compte).
Le futur audit des règles de rétention qui ont été appliquées exige qu’un historique des règles soit conservé.
Pour cette raison, l’ID de groupe n’est pas entièrement supprimé. En revanche, les paramètres nécessaires sont conservés et peuvent être révisés/modifiés via l’accès de l’administrateur de compte aux groupes.
Les groupes supprimés peuvent être affichés sur la page Groupes en cliquant sur l’icône « hamburger » et en sélectionnant Afficher uniquement les groupes supprimés.

Cliquez sur le groupe à modifier, puis cliquez sur le lien Paramètres de groupe.
- Les règles peuvent être créées et désactivées de la même manière que lorsque le groupe était actif.

Il est également possible d’activer la rétention à la demande, grâce à laquelle les administrateurs client ont la possibilité d’utiliser l’API Adobe Sign pour supprimer individuellement des documents.
- L’appel API utilisé est : DELETE /agreements/{agreementId}/documents
.
Contactez votre responsable du succès client pour activer cette option.
- Seule une règle peut être appliquée lorsque les accords atteignent un état final.
- Plusieurs règles peuvent être activées, car une règle reste activée tant qu’il existe des accords ayant une date de suppression cible (selon la portée de la règle).
- Les règles désactivées ne peuvent pas être réactivées. La désactivation est irréversible.
- Les règles de rétention sont appliquées lorsqu’un accord atteint un état final, non lors de la création de l’accord.
- La règle de rétention appliquée est basée sur le groupe dans lequel se trouve l’utilisateur créateur au moment où l’accord atteint un état final.
- Il n’est pas possible de modifier les règles de rétention appliquées à un accord après qu’il a atteint un état final en termes de temps d’attente.
- Vous pouvez désactiver une règle pour empêcher la suppression de l’accord, mais cela empêcherait la suppression de tous les accords qui ont adopté la règle et qui n’ont pas encore été supprimés.
- Vous pouvez déterminer quelle règle s’applique à un accord en vérifiant le rapport d’audit de l’accord et en comparant la date à laquelle il a été achevé aux plages de dates de vos différentes règles de rétention.
- La durée de 5 475 jours correspond à la période de rétention maximale que vous pouvez déterminer.
Remarque :
Conservation des documents pour les intégrations Workday :
L’intégration Workday est configurée pour ne pas envoyer de courrier électronique « Signé et classé » lorsqu’une transaction est terminée dans la mesure où les documents sont stockés dans le système Workday.
La mise en œuvre d’une stratégie de rétention modifie cette configuration de sorte que le message électronique « Signé et classé » sera envoyé avec le PDF signé en pièce jointe.