Référentiels
      Revenir à l'accueil
      1. Centre d'aide
      2. Data Legal Drive RGPD
      3. Référentiels

      Référentiel logiciels

      Lorsque vous créez un nouveau logiciel, il est ajouté au référentiel logiciels. Il peut dès lors être lié aux différents traitements réalisés par votre entité.

      Table des matières

      Généralités

      Ajouter un logiciel au référentiel vous permet :

      • d’attacher facilement le logiciel à un ou plusieurs traitements ;

      • d’assurer la conformité avec l'Article 30 du RGPD des traitements qui seront liés au logiciel ;

      • d’attacher des personnes, des actions ou des documents au logiciel ;

      • de se préparer aux audits éventuels ;

      • de se poser les bonnes questions pour savoir si le logiciel en question est bien en adéquation avec un traitement donné.

      Il vous est possible d’ajouter des logiciels au référentiel dans les écrans de création d’un traitement. Cependant, il est plus simple et plus efficace de constituer un référentiel logiciels suffisamment complet avant de commencer à créer vos traitements.

      Pour ajouter un logiciel au référentiel logiciels, vous avez deux possibilités :

      • Ajouter les logiciels un par un ;

      • Importer les logiciels en masse.

      La permission Administrer les logiciels est nécessaire pour pouvoir effectuer les actions décrites dans cet article.

      Conformité avec l’Article 30

      Le seul champ obligatoire pour ajouter un logiciel au référentiel est son nom. Cependant, pour être conforme à l’Article 30 du RGPD, chaque logiciel lié à un traitement doit avoir AU MOINS 1 MESURE DE SECURITE. Nous vous conseillons donc de commencer par remplir l’onglet Sécurité. Vous pourrez remplir les autres onglets ensuite, ou ultérieurement.

      Comment ajouter un logiciel au référentiel

      Pour ajouter un logiciel il y a cinq onglets à compléter :

      • Identification

      • Contenu

      • Confidentialité

      • Sécurité

      • Lien

      Pour ajouter un logiciel au référentiel :

      1. Dans la barre latérale, cliquez sur Référentiels > Logiciels.

      2. Cliquez sur le bouton Ajouter un logiciel.

      3. Dans la boîte de dialogue Nouveau logiciel, complétez les champs.

      CHAMPS

      DESCRIPTION

      Nom (obligatoire)

      Saisissez le nom utilisé dans l’entité pour désigner le logiciel. Vous pouvez utiliser la désignation commerciale (c’est le seul champ obligatoire pour créer un logiciel dans le logiciel RGPD).

      Référence interne

      La référence utilisée par votre entité pour désigner le logiciel (permet au moteur de recherche de retrouver un traitement lié).

      Type

      Cliquez sur Ajouter une valeur et saisissez le type de logiciel, p. ex. gestion de la relation client, Saas, tableur, etc.

      Désignation commerciale

      Le nom utilisé par l'éditeur pour désigner le logiciel.

      Editeur

      Le nom de l'éditeur (permet au moteur de recherche de retrouver un traitement lié).

       

      4. Cliquez sur Sauvegarder. Le logiciel est ajouté au référentiel et sa fiche détaillée s'ouvre. Vous pouvez alors mettre à jour les informations et compléter les autres champs.

      Une fois que le logiciel a été ajouté au référentiel, il n’y a plus de bouton de sauvegarde. Vos saisies sont sauvegardées automatiquement (sauf pour les éléments se trouvant dans l’onglet Lien).

       

      5. Cliquez sur l’onglet Sécurité afin de sélectionner les mesures de sécurité propre au logiciel.

      Il faut choisir au moins 1 mesure de sécurité afin que les traitements qui seront éventuellement liés à ce logiciel soient en conformité avec l’Article 30 du RGPD. C’est pour cette raison que nous commençons avec cet onglet !

       

      CHAMPS

      DESCRIPTION

      Ajouter une valeur

      Pour ajouter une mesure de sécurité, cliquez sur un des boutons Ajouter une valeur, puis sélectionnez une option à partir du menu déroulant, ou saisissez votre propre mesure de sécurité.

       

      Vous pouvez ajouter plusieurs mesures de sécurité, mais un seul est obligatoire pour qu’un traitement soit en conformité avec l’Article 30.

      Possibilité de consulter les journaux d'application

      Le logiciel propose-t-il des journaux qui sont accessibles par les administrateurs ou autres utilisateurs qualifiés ?

      Cette question ne compte pas comme une mesure de sécurité au sens de l’Article 30 !

      Gestion des droits d’accès

      Le logiciel permet-il de gérer les droits d’accès des utilisateurs ?

      Cette question ne compte pas comme une mesure de sécurité au sens de l’Article 30 !

      Commentaire

      Ajoutez toutes informations utiles complémentaires.

       

      6. Cliquez sur l’onglet Identification et complétez les champs qui n’ont pas été remplis lors de la création du logiciel.

      CHAMPS

      DESCRIPTION

      Date de mise en production

      Date de mise en production du logiciel dans l’entité.

      Date de mise à jour

      Date de la dernière mise à jour.

      Intégrateur

      Nom de l’entreprise qui a réalisé l’intégration, la configuration ou le paramétrage du logiciel dans l’entité.

      Version

      Numéro de version du logiciel.

      Type d’hébergement

      Si le logiciel est hébergé par votre entité, sélectionnez le type d’hébergement à partir du menu déroulant, ou saisissez un autre type d’hébergement.

      Prestataire d’hébergement

      Si le logiciel est hébergé par un prestataire, saisissez le nom de l’entreprise.

      Contact

      Nom et coordonnées du responsable du logiciel dans l’entité.

      Pays d’hébergement de la donnée

      Sélectionnez le pays où les données sont hébergées en utilisant le menu déroulant.

      Comment

      Vous pouvez saisir des informations complémentaires.

       

      7. Cliquez sur l’onglet Contenu et complétez les champs.

      CHAMPS

      DESCRIPTION

      Données sensibles identifiées

      Cliquez sur Ajouter une valeur, puis sélectionnez une catégorie à partir du menu déroulant, ou saisissez votre propre catégorie. Vous pouvez sélectionner ou ajouter plusieurs catégories.

      Données intermédiaires identifiées

      Cliquez sur Ajouter une valeur, puis sélectionnez une catégorie à partir du menu déroulant, ou saisissez votre propre catégorie. Vous pouvez sélectionner ou ajouter plusieurs catégories.

      Possibilité de supprimer les données personnelles

      Le logiciel permet-il de supprimer les données personnelles ?

      Méthodes d'effacement

      Si vous avez répondu Oui à la question précédente, sélectionnez la ou les méthode(s) d'effacement dans la liste déroulante.

      Disponibilité de pistes d'audit

      Le logiciel génère-t-il un journal des évènements applicatifs (connexion d'un utilisateur, validation d'une opération, etc.) permettant la traçabilité des actions au sein de l'application ? Si Oui, spécifiez les types d'évènements dans le champ en dessous.

      Souplesse de personnalisation (champs, contrôle)

      Le logiciel est-il personnalisable par un utilisateur non-informaticien (par exemple, au niveau des champs, ou pour réaliser des contrôles) ?

      Synchronisation avec des données de référence

      Le logiciel est-il mis à jour automatiquement avec des données de référence ?

      Exemple : API vers société.com

      Intégration ou interopérabilité avec un outil de campagne

      Le logiciel est-il connecté ou intégré dans un outil de marketing, de mailing, etc. ?

      Exemple : HubSpot avec Sendinblue.

      Avez-vous des zones de commentaires libres dans le logiciel ?

      Le logiciel contient-il des champs de texte libre afin de pouvoir saisir des commentaires ?

      Y a-t-il un audit prévu pour garantir la conformité des données saisies ?

      Si vous avez répondu Oui à la question précédente, un audit externe est-il prévu ? Si Oui, ajoutez le ou les document(s) correspondant(s).

      Information à propos des zones de libres commentaires

      Ce champ vous permet d'ajouter des informations supplémentaires concernant les zones de commentaires libres.

       

      8. Cliquez sur l’onglet Confidentialité et complétez les champs.

      CHAMPS

      DESCRIPTION

      Page web de gestion des données personnelles ou des tiers

      Le logiciel propose-t-il une interface permettant l'édition des données personnelles par un utilisateur ou un administrateur ?

      Transparence dans la suppression des données

      Le logiciel documente-t-il de manière claire sa capacité de supprimer les données : délais de mise en œuvre, rétention en sauvegarde, anonymisation, etc. ?

      Possibilité d'extraire les données personnelles

      Le logiciel permet-il d'obtenir un extrait des données personnelles traitées ?

      Gestion du consentement

      Le logiciel possède-t-il une fonctionnalité permettant de gérer le consentement des personnes dont les données sont traitées par le logiciel ?

      Existence d'un portail ou d'un espace client

      Existe-t-il un portail ou un espace client avec des informations propre à chaque utilisateur ?

       

      9. Cliquez sur l’onglet Lien.

      ACTIONS

      DESCRIPTION

      Ajouter un traitement

      Si le logiciel est impliqué dans un ou plusieurs traitements :

      1. Cliquez sur le bouton Ajouter un traitement.

      2. Cliquez sur Filtrer par domaine si vous souhaitez filtrer les traitements.

      3. Cliquez sur le champ Attacher un traitement et sélectionnez un traitement dans le menu déroulant. Vous pouvez sélectionnez plusieurs traitements. Lorsque vous avez terminé, cliquez en dehors du menu pour le refermer.

      4. Cliquez sur le bouton Attacher.

      Rappel : si le logiciel sera lié à un traitement, celui-ci doit avoir au moins 1 mesure de sécurité afin que le traitement puisse être en conformité avec l’Article 30.

      Il est aussi possible d’attacher un logiciel à partir d’un traitement. Pour en savoir plus, voir Créer un traitement conforme à l'Article 30.

      Ajouter une personne

      Pour attacher un responsable au logiciel :

      1. Cliquez sur le bouton Ajouter une personne.

      2. Cliquez sur le champ Attacher une personne et sélectionnez une personne dans le menu déroulant. Vous pouvez sélectionnez plusieurs personnes. Lorsque vous avez terminé, cliquez en dehors du menu pour le refermer.

      3. Cliquez sur le bouton Confirmer.

      Ajouter une action

      Pour ajouter une action au logiciel :

      1. Cliquez sur le bouton Ajouter une action.

      2. Dans la boîte de dialogue Ajouter une action, complétez les champs.

      3. Cliquez sur le bouton Sauvegarder.

      Ajouter un document

      Cliquez sur ce lien pour ajouter un document. Vous avez alors trois possibilités :

      • attacher un document au logiciel à partir de l’ensemble des documents présents dans Accountability ;

      • ajouter un nouveau document (dans ce cas, le document est ajouté automatiquement à Accountability) ;

      • ajouter un lien externe.

       

      10. Vous retrouverez tous les éléments attachés au logiciel dans l’onglet Lien. Vous pouvez à tout moment détacher un élément en cliquant sur l’icône “délier”.

      11. Attribuez une note de Conformité et de Risque au logiciel. Ces notes doivent se baser sur votre propre évaluation du logiciel. Elles apparaîtront sur la page Analytics afin de vous donner une vue globale des notes de tous vos logiciels. Faites glisser les curseurs pour définir la note. Vous pourrez mettre la note à jour si de nouveaux éléments le justifient.

      NOTES

      ÉLÉMENTS POUR ÉVALUER LA NOTE

      Note de conformité

      Exemples :

      • La licence du logiciel est-elle à jour ?

      • Les flux de données hors EU sont-ils couverts par des contrats ?

      Note de risque

      Exemples :

      • Quelle est la sensibilité des données traitées ?

      • Quel est le niveau de sécurité du logiciel ?

      • Est-ce que des données personnelles sont envoyées aux Etats-Unis ?

      • Est-ce que des données personnelles sont hébergées aux Etats-Unis ?

      Importer des logiciels en masse

      Vous pouvez utiliser l’import en masse pour créer un nouveau référentiel de logiciels. Vous pouvez aussi l’utiliser pour mettre à jour un référentiel existant.

      Comment créer un référentiel de logiciels avec l’import en masse

      Cette fonctionnalité vous permet d’importer les informations pour un ensemble de logiciels.

      Le principe est simple : 1) Vous téléchargez le modèle Excel à disposition dans le logiciel RGPD ; 2) Vous listez vos logiciels suivant ce modèle ; 3) Vous importez le fichier, créant ainsi votre référentiel.

      Vous pouvez créer un fichier d’import complet en remplissant toutes les informations logiciels à votre disposition. Vous pouvez aussi compléter les champs manquants plus tard dans les divers onglets de chaque logiciel.

      Pour une explication des différents champs, voir Comment ajouter un logiciel au référentiel plus haut.

       

      CONFORMITE AVEC L’ARTICLE 30 : Lorsque vous attachez un logiciel à un traitement, le logiciel doit avoir AU MOINS 1 MESURE DE SECURITE afin que le traitement puisse être conforme à l’Article 30 du RGPD (voir l’onglet Sécurité plus haut).

       

      Pour créer un référentiel de logiciels avec l’import en masse :

      1. Dans la barre latérale, cliquez sur Référentiels Logiciels.

      2. Cliquez sur l'icone "trois petits points" et sélectionnez Importer. Vous êtes redirigés sur la page d'import logiciels.

      3. Cliquez sur le lien modèle d’import pour télécharger le modèle d’import de logiciels (fichier Excel).

      4. Ouvrez le modèle, complétez-le avec vos logiciels, puis sauvegardez le.

      En cas de réponses multiples, séparez chaque réponse avec un point-virgule “;”

      5. Cliquez sur le bouton Choisir un fichier et sélectionnez le fichier.

      6. Cliquez sur le bouton Vérifier le contenu. Les résultats de la vérification s’affichent avec le nombre de lignes correctement importées (en vert) et le nombre d’erreurs (en rouge). Une explication est donnée pour chaque erreur.

      L'icône bleue des “Ignorés” ne concerne que les ré-imports. Voir “Comment mettre à jour un référentiel de logiciels avec l’import en masse” ci-après.

       

      7. S’il y a des erreurs dans les résultats, ouvrez le fichier Excel, corrigez-les et refaite les étapes 5 et 6. Si des erreurs persistent, répéter l’opération. Il n’est pas possible d’importer un fichier tant qu’il contient des erreurs.

      8. Cliquez sur le bouton Importer. Le fichier est importé et les résultats de l’import s’affichent.

      Pour ajouter des traitements, des personnes, des actions ou des documents à un logiciel en utilisant l’onglet Lien, voir ci-dessus.

      Comment mettre à jour un référentiel de logiciels avec l’import en masse

      Pour mettre à jour un référentiel de logiciels existant déjà dans le logiciel RGPD en utilisant l’import en masse, le principe est le suivant : 1) Téléchargez le référentiel actuel à partir du logiciel RGPD ; 2) Faites les modifications dans le fichier d’export Excel ; 3) Réimporter le fichier.

      Il n’est pas possible de mettre à jour un référentiel en modifiant un modèle de logiciel existant et en l’important. Vous devez toujours télécharger le référentiel à partir du logiciel RGPD, puis modifier le fichier téléchargé.

       

      Pour mettre à jour un référentiel de logiciels avec l’import en masse :

      1. Dans la barre latérale, cliquez sur Référentiels > Logiciels.

      2. Cliquez sur l’icône “trois petits points” et sélectionnez Exporter.

      3. Ouvrez le fichier téléchargé, faites les modifications, and sauvegardez le fichier.

      Notez que le fichier téléchargé contient une nouvelle colonne libellée “Identifiant technique”. Cet identifiant sert à faire la correspondance entre les logiciels dans le référentiel et les changements réimportés. Il ne faut pas modifier cette colonne.

       

      4. Cliquez sur le bouton Importer un référentiel. Une fenêtre s’ouvre.

      5. Cliquez sur le bouton Choisir un fichier et sélectionnez le fichier mis à jour.

      6. Cliquez sur le bouton Vérifier le contenu.

      7. S’il y a des erreurs dans les résultats, ouvrez le fichier Excel, corrigez-les et refaite les étapes 5 et 6. Si des erreurs persistent, répéter encore l’opération. Il n’est pas possible d’importer un fichier tant qu’il contient des erreurs.

       

      Les logiciels ignorés

      Lorsqu’il n’y a plus d’erreurs d’import, il se peut qu’une liste de logiciels “ignorés”, c’est-à-dire non-réimportés, s’affiche. Il peut y avoir deux raisons à cela :

      1. Le logiciel est partagé par votre entité mère (ce cas concerne uniquement les filiales dont les entités mères ont mis en place une arborescence d'entités avec les administrateurs de Data Legal Drive). Puisqu’il ne vous est pas possible de modifier ces logiciels, toute modification sera ignorée. Ces logiciels sont listés à titre informative. Vous n’avez aucune action à effectuer.

      2. La colonne “Identifiant technique” du logiciel a été modifiée. Il ne faut jamais modifier ces informations.

       

      8. Cliquez sur le bouton Importer. Le fichier est importé et les résultats de l’import s’affichent.