Référentiel tiers

Lorsque vous créez un nouveau tiers, il est ajouté au référentiel tiers. Il peut dès lors être lié aux différents traitements réalisés par votre entité.

Table des matières

Généralités

Un tiers est un acteur autorisé à recevoir des données, le plus souvent externe à votre structure.

Ajouter un tiers au référentiel vous permet :

  • d’attacher facilement le tiers à un ou plusieurs traitements ;

  • d’assurer la conformité avec l'Article 30 des traitements liés à des tiers en dehors de l’Union Européenne ;

  • d’attacher des documents au tiers ;

  • de se préparer aux audits éventuels ;

  • de centraliser toutes les informations du tiers en un seul endroit facilement accessible.

Il vous est possible d’ajouter des tiers au référentiel dans les écrans de création d’un traitement. Cependant, il est plus simple et plus efficace de constituer un référentiel tiers suffisamment complet avant de commencer à créer vos traitements.

Pour ajouter un tiers au référentiel tiers, vous avez deux possibilités :

  • Ajouter les tiers un par un ;
  • Importer les tiers en masse.

    La permission Administrer les tiers est nécessaire pour pouvoir effectuer les actions décrites dans cet article.

    Conformité avec l’Article 30

    Le seul champ obligatoire pour ajouter un tiers au référentiel est son nom. Cependant, lorsqu'un traitement est lié à un tiers situé en dehors de l’Union Européenne, pour être conforme à l’Article 30 du RGPD, le pays doit être indiqué dans la fiche tiers. Assurez-vous de sélectionner le pays en question. Ce champ est décrit dans la suite de cet article.

    Comment ajouter un tiers au référentiel

    Pour ajouter un tiers il y a quatre onglets à compléter :

    • Information

    • Contenu

    • Mesures techniques, organisationnelles et juridiques

    • Documents

    Pour ajouter un tiers au référentiel :

    1. Dans la barre latérale, cliquez sur Référentiels > Tiers.

    2. Cliquez sur le bouton Ajouter un tiers.

    3. Dans la boîte de dialogue Nouveau tiers, complétez les champs.

    CHAMPS

    DESCRIPTION

    Nom (obligatoire)

    Saisissez le nom du tiers (c’est le seul champ obligatoire pour créer un tiers dans le logiciel RGPD).

    Référence interne

    La référence utilisée par votre entité pour désigner le tiers (permet au moteur de recherche de retrouver un traitement lié).

    Adresse

    Saisissez l’adresse du tiers.

    Pays

    Lorsque le tiers est situé en dehors de l’Union Européenne, pensez à bien sélectionner le pays. Si les données d’un traitement sont envoyées à un tiers qui se trouve dans un pays non-membre de l’UE, le nom du pays est obligatoire afin d’être en conformité avec l’Article 30.

    Relation contractuelle

    Sélectionnez l’option qui correspond le mieux à la relation contractuelle établie avec le tiers. Si les options proposées ne correspondent pas à cette relation, cliquez dans le champ Autre, saisissez un autre type de relation en texte libre, et cliquez sur le bouton “+”.

     

    4. Cliquez sur Sauvegarder. La fiche du tiers s'ouvre et vous permet de mettre le nom du tiers à jour, ou de supprimer complètement le tiers.

    Une fois que le tiers a été ajouté au référentiel, il n’y a plus de bouton de sauvegarde. Vos saisies sont sauvegardées automatiquement.

     

    5. Cliquez sur l’onglet Information et compléter les champs qui sont encore vides.

    CHAMPS

    DESCRIPTION

    Forme juridique

    La forme juridique du tiers : SA, SARL, etc.

    Code d’incorporation

    Le code d’incorporation : SIRET, DUNS, etc.

    Activité

    L’activité du tiers.

    Adresse de la maison-mère

    Si le tiers est une filiale, cliquez sur le bouton Modifier et saisissez l’adresse de la maison-mère.

    Commentaire(s)

    Toutes informations utiles complémentaires.

    Contact

    Le nom et les coordonnées du contact chez le tiers.

    Traitements attachés

    Pour attacher le tiers à un traitement :

    1. Cliquez sur le bouton Attacher un traitement. Une boîte de dialogue s’ouvre.

    2. Sélectionnez Responsable de traitement ou Sous-traitant.

    3. Cliquez sur le champ Filtrer par domaine si vous souhaitez filtrer les traitements.

    4. Cliquez sur le champ Attacher un traitement et sélectionnez un traitement dans le menu déroulant.

    5. Cliquez sur le bouton Attacher.

    6. Répétez les étapes 1-5 pour attacher le tiers à d’autres traitements.

    Rappel : lorsqu’un tiers est situé en dehors de l’UE et qu’il est attaché à un traitement, le champ du pays DOIT être rempli afin que le traitement soit conforme à l’Article 30.

    Il est aussi possible d’attacher un tiers à partir d’un traitement. Pour en savoir plus, voir Créer un traitement conforme à l'Article 30.

     

    6. Cliquez sur l’onglet Contenu et sélectionnez les données traitées par le tiers.

    CHAMPS

    DESCRIPTION

    Données sensibles identifiées

    Sélectionnez les catégories de données sensibles qui seront traitées par le tiers.

    Données intermédiaires identifiées

    Sélectionnez les catégories de données intermédiaires qui seront traitées par le tiers. Pour ajouter une nouvelle catégorie, cliquez dans le champ Autre, saisissez une nouvelle catégorie, et cliquez sur le bouton “+”.

     

    7. Cliquez sur l’onglet Mesures techniques, organisationnelles et juridiques.

    CHAMPS

    DESCRIPTION

    Le tiers a-t-il nommé un DPO ?

    Si vous laissez l’option par défaut “A vérifier” pour une des ces 3 questions, vous pouvez créer une action (dans Pilotage > Action) afin de suivre la progression du ou des vérifications.

    S’il s’agit d’un sous-traitant, le tiers offre-t-il des garanties techniques et organisationnelles conformes au RGPD ?

    Le contrat avec le tiers encadre-t-il la protection des données de façon conforme au RGPD ?

    Quelles mesures ont été prises aux fins de corriger cette absence de conformité ?

    Si vous avez répondu “Non” à la dernière question (contrat), vous pouvez décrire les mesures prises dans ce champ.

     

    8. Cliquez sur l’onglet Documents. Puis cliquez sur le lien Ajouter un document. Vous avez alors trois possibilités :

    • attacher un document au tiers à partir de l’ensemble des documents présents dans Accountability ;

    • ajouter un nouveau document (dans ce cas, le document est ajouté automatiquement à Accountability) ;

    • ajouter un lien externe.

    9. Complétez les champs dans la barre latérale à droite qui sont encore non-renseignés.

    CHAMPS

    DESCRIPTION

    Appartenance au même groupe

    Est-ce que votre entité et le tiers appartiennent au même groupe ?

    Périmètre d’activité

    Quel est le périmètre d’activité du tiers ?

    Nombre d’employés

    Combien y a-t-il d’employés dans l’entreprise du tiers ?

    Estimation du volume de données traitées

    Vous pouvez estimer le volume de données traitées en nombre de fichiers, en volume de mégabytes ou gigabytes traités, en nombre de personnes dont les données sont traitées, etc.

     

    10. Attribuez des notes de conformité au tiers. Ces notes doivent se baser sur votre propre évaluation du tiers. Faites glisser les curseurs pour définir la note. Vous pourrez mettre la note à jour si de nouveaux éléments le justifient.

    NOTES

    ÉLÉMENTS POUR ÉVALUER LA NOTE

    Vous pouvez évaluer le tiers à partir des réponses données dans l’onglet Mesures techniques, organisationnelles et juridiques.

    Conformité des services

    Exemple :

    • Est-ce que le tiers offre des garanties techniques et organisationnelles suffisantes ?

    Conformité des relations contractuelles

    Exemples :

    • Est-ce que le contrat avec le tiers encadre la protection des données ?

    • Si oui, est-ce de façon conforme au RGPD ?

    Importer des tiers en masse

    Vous pouvez utiliser l’import en masse pour créer un nouveau référentiel de tiers. Vous pouvez aussi l’utiliser pour mettre à jour un référentiel existant.

    Comment créer un référentiel de tiers avec l’import en masse

    Cette fonctionnalité vous permet d’importer les informations pour un ensemble de tiers.

    Le principe est simple : 1) Vous téléchargez le modèle Excel à disposition dans le logiciel RGPD ; 2) Vous listez vos tiers suivant ce modèle ; 3) Vous importez le fichier, créant ainsi votre référentiel.

    Vous pouvez créer un fichier d’import complet en remplissant toutes les informations tiers à votre disposition. Vous pouvez aussi compléter les champs manquants plus tard dans les divers onglets de chaque tiers.

    Pour une explication des différents champs, voir Comment ajouter un tiers au référentiel plus haut.

    CONFORMITE AVEC L’ARTICLE 30 : Concernant les tiers qui sont situés en dehors de l’UE, vérifiez que l’adresse inclut bien le Pays (voir l’onglet Information plus haut). Les traitements pour lesquels des données sont envoyées à des tiers hors UE doivent comporter cette information afin d’être conformes à l’Article 30.

     

    Pour créer un référentiel de tiers avec l’import en masse :pis 

    1. Dans la barre latérale, cliquez sur Référentiels Tiers. Puis sur l’icône “trois petits points”, et choisissez Importer.

    2 . Cliquez sur le lien modèle d’import pour télécharger le modèle d’import de tiers (fichier Excel).

    3. Ouvrez le modèle, complétez-le avec vos tiers, puis sauvegardez le.

    En cas de réponses multiples, séparez chaque réponse avec un point-virgule “;”

    4. Cliquez sur le bouton Choisir un fichier et sélectionnez le fichier.

    5. Cliquez sur le bouton Vérifier le contenu. Les résultats de la vérification s’affichent avec le nombre de lignes correctement importées (en vert) et le nombre d’erreurs (en rouge). Une explication est donnée pour chaque erreur.

    Pour les réponses invalides, vous pouvez cliquer sur l’icône “information” pour voir les réponses acceptées.

     

    L'icône bleue des “Ignorés” ne concerne que les ré-imports. Voir Comment mettre à jour un référentiel de tiers avec l’import en masse ci-après.

     

    7. S’il y a des erreurs dans les résultats, ouvrez le fichier Excel, corrigez-les et refaite les étapes 5 et 6. Si des erreurs persistent, répéter l’opération. Il n’est pas possible d’importer un fichier tant qu’il contient des erreurs.

    8. Cliquez sur le bouton Importer. The fichier est importé et les résultats de l’import s’affichent.

    Vous pouvez ajouter des documents à des tiers en utilisant l’onglet Documents. Pour attacher des tiers à des traitements, voir Créer un traitement conforme à l'Article 30.

    Comment mettre à jour un référentiel de tiers avec l’import en masse

    Pour mettre à jour un référentiel de tiers existant déjà dans le logiciel en utilisant l’import en masse, le principe est le suivant : 1) Téléchargez le référentiel actuel à partir du logiciel ; 2) Faites les modifications dans le fichier d’export Excel ; 3) Réimporter le fichier.

    Il n’est pas possible de mettre à jour un référentiel en modifiant un modèle de tiers existant et en l’important. Vous devez toujours télécharger le référentiel à partir du logiciel, puis modifiez ce fichier téléchargé.

     

    Pour mettre à jour un référentiel de tiers avec l’import en masse :

    1. Dans la barre latérale, cliquez sur Référentiels > Tiers.

    2. Cliquez sur l’icône “trois petits points” et sélectionnez Exporter.

    3. Ouvrez le fichier téléchargé, faites les modifications, and sauvegardez le fichier.

    Notez que le fichier téléchargé contient une nouvelle colonne libellée “Identifiant technique”. Cet identifiant sert à faire la correspondance entre les tiers dans le référentiel et les changements réimportés. Il ne faut pas modifier cette colonne.

    4. Cliquez sur le bouton Importer un référentiel. Une fenêtre s’ouvre.

    5. Cliquez sur le bouton Choisir un fichier et sélectionnez le fichier mis à jour.

    6. Cliquez sur le bouton Vérifier le contenu.

    7. S’il y a des erreurs dans les résultats, ouvrez le fichier Excel, corrigez-les et refaite les étapes 5 et 6. Si des erreurs persistent, répéter encore l’opération. Il n’est pas possible d’importer un fichier tant qu’il contient des erreurs.

     

    Les tiers ignorés

    Lorsqu’il n’y a plus d’erreurs d’import, il se peut qu’une liste de tiers “ignorés”, c’est-à-dire non-réimportés, s’affiche. Il peut y avoir deux raisons à cela :

    1. Le tiers est partagé par votre entité mère (ce cas concerne uniquement les filiales dont les entités mères ont mis en place une arborescence d'entités avec les administrateurs de Data Legal Drive). Puisqu’il ne vous est pas possible de modifier ces tiers, toute modification sera ignorée. Ces tiers sont listés à titre informative. Vous n’avez aucune action à effectuer.

    2. La colonne “Identifiant technique” du tiers a été modifiée. Il ne faut jamais modifier ces informations.

     

    8. Cliquez sur le bouton Importer. Le fichier est importé et les résultats de l’import s’affichent.