Présentation de la gouvernance/rétention des données
Par défaut, Adobe Acrobat Sign conserve de manière sécurisée tous les documents client sur le service tant que le compte est actif.
Les informations transactionnelles sont conservées dans le système jusqu’à ce que le client prenne des mesures pour supprimer explicitement les accords.
- Le service Acrobat Sign est conforme à plusieurs normes du secteur pour la sécurité et la disponibilité des données : PCI DSS 3.0, HIPAA, SOC 2 Type II et ISO 27001.
Lors de l’expiration ou de la résiliation de la licence Acrobat Sign d’un client, Adobe n’est pas tenu de conserver les accords, rapports d’audit ou autres données du client.
Toutefois, si Adobe conserve ces données, elles seront supprimées conformément à toute politique de conservation définie lorsque le client disposait d’une licence Acrobat Sign active.
Pour les clients qui préfèrent conserver leurs enregistrements d’accord sur leur propre système et qui souhaitent supprimer les documents d’origine des systèmes Acrobat Sign, une « politique de conservation » peut être définie pour déterminer la durée pendant laquelle Acrobat Sign doit conserver la transaction, après quoi l’accord (et éventuellement les données d’audit/personnelles qui l’accompagnent) est supprimé d’Acrobat Sign.
Les règles de rétention sont définies par un administrateur dans le compte dans la section Gouvernance des données du menu d’administration.
- Les administrateurs de groupe n’ont pas autorité pour créer ou désactiver des règles de rétention.
- Les paramètres dans le compte sont transmis à tous les groupes du compte comme valeurs par défaut.
- Les groupes doivent être configurés individuellement si leurs paramètres doivent être différents des paramètres dans le compte.
- Les paramètres dans le groupe remplaceront les paramètres dans le compte.
Documents/fichiers/pièces jointes par rapport aux accords et aux transactions
- Les documents/fichiers/pièces jointes sont tous des fichiers individuels chargés sur le système Acrobat Sign. Les éléments de base de l’accord.
- Les accords sont des objets orientés client créés par Acrobat Sign à partir des fichiers chargés et que les destinataires remplissent et/ou signent. « Accord » est le terme utilisé pour définir l’objet pendant le processus d’obtention des signatures et la génération du PDF final.
- Les transactions englobent l’accord et l’ensemble de la journalisation et de la documentation associées, générées pour/par l’accord (par exemple : rapports d’audit, résultats d’authentification, pages .csv de données de champs).
Règle et ID de règle
Le terme Règle (dans le contexte du présent article) décrit un processus prescrit. Dans le cas présent, il s’agit du processus qui régit lorsqu’un accord est supprimé du système Acrobat Sign. C’est un terme générique utilisé pour parler de l’idée d’appliquer une condition variable (quand supprimer un accord) à un autre objet (les accords dans ce cas).
Le terme ID de règle est utilisé pour décrire une règle configurée spécifique. Lorsqu’une règle est créée, un numéro d’ID unique est attribué (ID de règle) pour la différencier de toutes les autres règles. L’ID de règle configuré est l’objet littéral associé à l’accord.
État final d’un accord
Les règles de rétention sont déclenchées lorsqu’un accord atteint un « état final ».
L’état final est atteint lorsque les destinataires ne peuvent prendre aucune autre action pour achever l’accord. Il existe trois états finaux :
- Finalisé : lorsque l’accord termine avec succès tous les processus avec tous les destinataires.
- Abandonné : un accord abandonné a été stoppé volontairement. Cette action peut provenir de l’une des sources suivantes :
- Annulé par l’expéditeur
- Refusé par le destinataire
- Échec en raison d’une erreur d’authentification du destinataire
- Échec en raison d’une erreur système
- Expiré : accords qui atteignent leur date d’expiration en raison d’une inaction dans le délai défini.
Fonctionnement
Lorsqu’un accord atteint un état final :
- Acrobat Sign vérifie les règles de rétention au niveau du groupe de l’utilisateur qui a créé l’accord (groupe actuel dont fait partie l’utilisateur lorsque l’accord devient final).
- Si aucune règle au niveau du groupe n’est actuellement appliquée, la règle au niveau du compte est utilisée.
- Si la règle au niveau du compte est également indéfinie, aucune règle de rétention n’existe et l’accord n’acquiert pas de date de suppression.
- Les accords qui n’acquièrent pas de date de suppression lorsqu’ils deviennent finaux peuvent toujours être supprimés via les outils du RGPD.
Si une règle de rétention est appliquée à l’accord :
- L’accord doit être supprimé en fonction des paramètres de règle.
- L’ID de règle de la règle appliquée est associé à la transaction, ce qui garantit que la règle correcte soit respectée lors de la suppression.
L’accord final attend le délai de suppression indiqué :
- Le nombre de jours avant la suppression est une valeur littérale.
- Par exemple : si 14 jours sont définis, l’action de suppression est déclenchée exactement 14 jours (à la seconde) après que l’accord est devenu final.
Lorsque le moment de la suppression arrive, Acrobat Sign vérifie l’ID de règle pour déterminer si la règle est désactivée ou non :
- Si la règle est désactivée, aucune action n’est effectuée.
- Si la règle n’a pas été désactivée, l’accord est supprimé.
- Si l’option de suppression du rapport d’audit et des informations personnelles (PII) est activée, ce même processus s’applique en fonction de l’intervalle de temps défini pour ces documents.
- Les comptes utilisant la méthode d’authentification par pièce d’identité officielle suppriment le rapport d’identité des signataires (s’il est collecté) des informations personnelles.
- Si l’option de suppression du rapport d’audit et des informations personnelles (PII) est activée, ce même processus s’applique en fonction de l’intervalle de temps défini pour ces documents.
Configuration
Configuration des règles de rétention au niveau du compte
Configurez d’abord la rétention au niveau du compte (le cas échéant).
Tous les groupes se voient automatiquement appliquer les paramètres au niveau du compte. Si vous souhaitez appliquer une stratégie à tous les groupes, voici comment procéder :
- Accédez à Compte > Paramètres du compte > Gouvernance des données.
- Cliquez sur l’icône Plus.
La fenêtre Créer une règle de rétention :
- Permet de définir le nombre de jours pendant lesquels un accord doit être conservé après avoir atteint un état final
- Le minimum est de 1 jour.
- Le maximum est égal à 5 475 jours (15 ans).
- Permet d’éventuellement définir une période de rétention pour le journal d’audit de l’accord et les informations personnelles associées des parties impliquées dans l’accord.
- L’audit et les informations personnelles doivent être conservées au moins aussi longtemps que l’accord et éventuellement plus longtemps.
- Si cette option n’est pas activée, l’enregistrement d’audit et les informations personnelles sont conservés jusqu’à ce qu’ils soient supprimés par une autre méthode (par exemple : suppression via le RGPD).
La première règle (en haut de la pile, sans Date de fin) est la règle actuellement appliquée. Une seule règle peut être appliquée à un groupe à la fois.
Lorsqu’une nouvelle règle est créée :
- La nouvelle règle devient la règle applicable.
- La nouvelle règle est insérée en haut de la liste avec comme Date de début la date de création de la règle, et aucune Date de fin.
- Si une règle existante est déjà activement appliquée lors de la création de la nouvelle règle :
- La règle existante précédente cesse d’être appliquée aux nouveaux accords finaux.
- La règle existante précédente descend dans la liste, juste en dessous de la nouvelle règle en vigueur.
- La règle précédente adopte automatiquement une valeur Date de fin alignée sur la valeur Date de début de la nouvelle règle en vigueur.
Configuration des règles de rétention au niveau du groupe
En configurant les règles de rétention au niveau du groupe, vous remplacez les règles héritées du niveau compte pour les utilisateurs actuellement dans le groupe.
Si un utilisateur est déplacé entre des groupes avec des accords en cours, les règles de rétention du nouveau groupe s’appliquent aux accords qui atteignent un état final dans ce groupe.
Les accords finaux auxquels une règle de rétention a été appliquée avant de déplacer l’utilisateur créateur vers un nouveau groupe respecteront la date de suppression de la règle appliquée, à condition que la règle ne soit pas désactivée avant l’action de suppression.
Compte tenu de ce qui précède, la configuration de règles de rétention au niveau du groupe peut varier de deux manières seulement :
Pour accéder à l’onglet de gouvernance des données d’un groupe :
- Accédez à Compte > Groupes.
- Cliquez sur le groupe que vous souhaitez modifier.
- Sélectionnez Paramètres de groupe.
- Sélectionnez l’option Gouvernance des données dans le rail de gauche.
- Remarque : si aucune règle de rétention au niveau du groupe n’est appliquée, il est clairement indiqué que les règles au niveau du compte sont suivies.
- Créez de nouvelles règles en cliquant sur l’icône Plus (tout comme dans l’interface au niveau du compte).
Une fois les règles créées dans des groupes, vous pouvez accéder à ces règles de rétention au niveau du groupe à partir de l’onglet Gouvernance des données au niveau du compte :
- Accédez à Compte > Paramètres du compte > Gouvernance des données.
- Cliquez sur l’onglet Groupes avec règles de rétention.
- Cliquez sur le nom du groupe que vous souhaitez modifier.
- Sélectionnez Afficher les règles de rétention du groupe ; la page Gouvernance des données au niveau du groupe s’ouvre.
Lors de la configuration des règles au niveau du groupe, une option supplémentaire pour Conserver tous les accords pour ce groupe est disponible.
Cette option permet à un groupe de remplacer une règle de rétention au niveau du compte et de conserver indéfiniment tous les accords (pour les utilisateurs du groupe).
État de la règle de rétention
Activé : règles qui sont toujours valides pour les accords qui ont atteint un état final lors de l’application de la règle.
- La règle actuellement appliquée se trouve toujours en haut de la liste et ne contient aucune Date de fin.
Désactivé : les règles désactivées ne sont plus appliquées. Si un accord a atteint un état final en vertu d’une règle désactivée, il ne sera pas supprimé le jour de suppression cible.
- Les règles désactivées sont grisées.
- Les règles désactivées ne peuvent pas être réactivées.
Expiré : les règles expirées ne comportent aucun accord final en attente de suppression.
- Par exemple : si vous disposez d’une règle de 14 jours dont la date de fin est le 10 mars, la règle expirera à la fin du 24 mars, car tous les accords couverts par la règle auront déjà été supprimés.
Hérité : les clients qui avaient une stratégie de rétention régie par le paramètre hérité verront cette stratégie reflétée comme une règle de rétention héritée.
- Les accords qu’il était déjà prévu de supprimer selon la règle héritée (avant que les nouvelles règles ne soient mises en place) respecteront la date de suppression de la règle héritée.
Filtrage des règles par état
La liste des règles de rétention peut être filtrée en cliquant sur l’icône « hamburger » dans le coin supérieur droit du tableau.
Cet ensemble d’options vous permet de filtrer les éléments suivants :
- Toutes les règles : valeur par défaut
- Uniquement les règles activées
- Uniquement les règles désactivées
- Uniquement les règles expirées
Vous avez également la possibilité de renvoyer 15, 30 ou 50 enregistrements par page.
Désactivation d’une règle
La désactivation d’une règle ne peut pas être annulée.
Si vous désactivez une règle, tous les accords encore soumis à la règle ne disposent plus de date de suppression à tenir.
Ces accords devront ensuite être supprimés à l’aide des outils du RGPD.
Pour désactiver une règle :
- Sélectionnez la règle.
- Cliquez sur le lien Désactiver.
Groupes supprimés
La rétention est basée sur des paramètres au niveau du groupe (définis explicitement ou hérités des paramètres au niveau du compte).
Le futur audit des règles de rétention qui ont été appliquées exige qu’un historique des règles soit conservé.
Pour cette raison, l’ID de groupe n’est pas entièrement supprimé. En revanche, les paramètres nécessaires sont conservés et peuvent être révisés/modifiés via l’accès de l’administrateur de compte aux groupes.
Les groupes supprimés peuvent être affichés sur la page Groupes en cliquant sur l’icône « hamburger » et en sélectionnant Afficher uniquement les groupes supprimés.
Cliquez sur le groupe à modifier, puis cliquez sur le lien Paramètres de groupe.
- Les règles peuvent être créées et désactivées de la même manière que lorsque le groupe était actif.
Action de suppression basée sur l’API
Il est également possible d’activer la rétention à la demande, grâce à laquelle les administrateurs client ont la possibilité d’utiliser l’API Acrobat Sign pour supprimer individuellement des documents.
- L’appel API utilisé est : DELETE /agreements/{agreementId}/documents.
Contactez l’équipe d’assistance pour activer cette option.
Points à retenir
- Seule une règle peut être appliquée lorsque les accords atteignent un état final.
- Plusieurs règles peuvent être activées, car une règle reste activée tant qu’il existe des accords ayant une date de suppression cible (selon la portée de la règle).
- Les règles désactivées ne peuvent pas être réactivées. La désactivation est irréversible.
- Les règles de rétention sont appliquées lorsqu’un accord atteint un état final, non lors de la création de l’accord.
- La règle de rétention appliquée est basée sur le groupe dans lequel se trouve l’utilisateur créateur au moment où l’accord atteint un état final.
- Il n’est pas possible de modifier les règles de rétention appliquées à un accord après qu’il a atteint un état final en termes de temps d’attente.
- Vous pouvez désactiver une règle pour empêcher la suppression de l’accord, mais cela empêcherait la suppression de tous les accords qui ont adopté la règle et qui n’ont pas encore été supprimés.
- Vous pouvez déterminer quelle règle s’applique à un accord en vérifiant le rapport d’audit de l’accord et en comparant la date à laquelle il a été achevé aux plages de dates de vos différentes règles de rétention.
- La durée de 5 475 jours correspond à la période de rétention maximale que vous pouvez déterminer.
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?