Evolution des traitements Sous-traitants
Cette nouvelle mise à jour amène une révision en profondeur des traitements effectués par les Sous-traitants. Elle constitue une première étape majeure dont le but est de s’aligner avec l’Article 30.2 du RGPD, qui prescrit que tout Sous-traitant doit tenir un registre de toutes les catégories d'activités de traitement effectuées pour le compte de son Responsable de Traitement.
Concrètement, dans la version précédente, les champs de saisie disponibles dans les traitements réalisés par des Sous-traitants (ST) représentaient une version restreinte de ceux disponibles pour les Responsables de traitement (RT). Avec cette mise à jour, les champs dans les deux traitements sont quasiment identiques. La seule différence majeure concerne les données qui sont obligatoires pour atteindre la conformité avec l’Article 30.
En résumé, un ST a les mêmes obligations de conformité Article 30 qu’un RT, sauf que pour les ST :
-
la rubrique Destinataires n’est pas obligatoire
-
la rubrique Analyses d’impact n’est pas obligatoire
Quelles implications pour vous ?
Puisqu’un traitement ST nécessite plus d’informations qu’avant pour être conforme à l’Article 30, vos traitements ST qui étaient conformes avant cette mise à jour risquent de ne plus l'être.
Pour mettre à jour vos traitements ST afin d'être en conformité avec l’Article 30, vous pouvez consulter l’article Créer un traitement conforme à l'Article 30, qui décrit les tout derniers changements.
Il est à noter qu’en mode Étendu, les informations nécessaires pour une complétude de 100% sont désormais identiques pour les traitements RT et ST. Pour en savoir plus, consulter l’article Compléter un traitement en mode Étendu.
Ne perdez pas vos données !
Dans la version précédente du logiciel RGPD, dans la rubrique Mesures de sécurité pour Sous-traitants, la page consistait en deux listes de mesures de sécurité, internes et externes, qui n'étaient pas associées à un bâtiment, à un logiciel ou à un matériel en particulier.
Désormais, cette page reprend les mêmes champs que dans les traitements RT, c’est-à-dire que les mesures de sécurités doivent toujours être associées à un bâtiment, un logiciel ou un matériel.
Dans le cas où vous avez des traitements ST avec des mesures de sécurité sélectionnées, pour éviter la perte de ces données, vous les retrouverez dans la nouvelle page, sous un onglet nommé Données récupérées. C’est à vous de redistribuer chaque mesure de sécurité aux bâtiments, logiciels ou matériels concernés dans les onglets Contrôle d’accès au bâtiment et Matériels et logiciels.
L’onglet “Données récupérées” est éphémère. LES INFORMATIONS QU’IL CONTIENT SERONT EFFACÉES DÉFINITIVEMENT A LA FIN DE L’ANNÉE. Si vous voulez garder ces informations, pensez à les redistribuer vers les autres onglets avant que l’année ne se termine !
ASTUCE : Si vous ne pensez pas pouvoir redistribuer les données à temps, faites des captures d’écran !
Identique, quasiment
Nous l’avons dit, les champs dans les traitements RT et ST sont quasiment identiques. Mais donc, c’est quoi la petite différence ? Elle se trouve dans les qualifications des tiers. En effet, les menus déroulants diffèrent légèrement pour prendre en compte les rôles spécifiques des tiers par rapport au RT ou au ST.
Autres nouveautés
Titres des pages RT/ST
En haut de la page du traitement, à côté du titre, il est indiqué si le traitement est effectué par un Responsable ou par un Sous-traitant.
Barre de recherche des traitements
-
La barre de recherche qui existait déjà en haut de chaque page de traitement a été ajoutée en haut de la page générale des traitements.
-
Les recherches couvrent à la fois les noms des traitements et les noms des domaines.
-
Ces barres de recherche sont désormais insensibles à la casse et aux accents.