Logiciel fournisseurs · 1 outil, 4 registres réglementaires

Vos sous-traitants déposent un document. Vos 4 registres se remplissent tout seuls.

Aujourd'hui, votre conformité sous-traitants ressemble à ça : les fournisseurs envoient leurs ISO 27001 et SOC 2 par email, quelqu'un les ouvre un par un, copie les informations dans 4 tableurs distincts (RGPD article 30, CSSF 22/806, Register of Information DORA, fournisseurs NIS 2), oublie les relances, et redécouvre tout 11 mois plus tard quand l'audit approche. Third Party Register renverse la logique : le fournisseur dépose son ISO 27001 sur un portail dédié, l'IA lit, identifie le type, extrait les champs, et vos 4 registres se remplissent en direct devant vos yeux. Le DPO et le CISO ne font plus le travail courant, ils valident les décisions à enjeu.

Configurer mon devis → Nous contacter
Fonctionnalités principales

Ce que fait le logiciel, concrètement.

Le sous-traitant dépose, votre registre se remplit en direct

Chaque fournisseur a son espace privé sur la plateforme, avec la liste des pièces que vous attendez de lui. Il dépose son ISO 27001 : l'IA identifie l'organisme certificateur, le numéro, les dates, le périmètre, et remplit la fiche fournisseur sous ses yeux. Il dépose son SOC 2 Type II : la période couverte, le scope, les exceptions sont extraites. Il dépose son DPA : les clauses article 28 sont vérifiées contre votre modèle interne. Fini les copier-coller manuels.

4 registres réglementaires depuis une seule source

Toutes les autorités vous demandent les mêmes informations sur vos fournisseurs, mais dans 4 formats différents. RGPD article 30 pour la CNPD, registre d'externalisation CSSF 22/806 pour la CSSF, Register of Information DORA au format ITS des autorités européennes, fournisseurs NIS 2 pour l'ILR. Avec Third Party Register, vous saisissez l'information une fois, vous générez chaque registre en deux clics dans le format attendu. Plus de tableurs parallèles qui se désynchronisent.

Le score de risque se recalcule tout seul

Pour chaque fournisseur, un score de 0 à 100 qui agrège 7 dimensions : protection des données, cybersécurité, continuité, concentration, géopolitique, financier, contractuel. Surtout, il se recalcule à chaque événement : une certification qui expire, un incident notifié par le fournisseur, une mention adverse media qui sort, une décision européenne au titre de NIS 2 article 22, une mise à jour de la liste CTPP de DORA. La surveillance continue exigée par la loi devient réalité, pas un audit annuel qui passe à côté.

Plus jamais une certification expirée que vous découvrez 3 mois après

Quand un sous-traitant dépose une ISO 27001, l'outil enregistre la date d'expiration et programme automatiquement une relance 90 jours avant. Si pas de renouvellement, escalade à J-60 (email au fournisseur), J-30 (copie au DPO), J-15 (notification CISO), J-0 (ajustement du score, ouverture d'un événement de non-conformité), J+30 (proposition automatique de plan de mitigation). Vous ne pouvez plus oublier un renouvellement.

Notification préalable CSSF préparée en deux clics

Vous envisagez d'externaliser une fonction critique ou importante ? La CSSF veut être prévenue 3 mois à l'avance, avec un dossier précis (services rendus, localisation, scoring, plan de sortie). L'outil construit ce dossier à partir des données déjà saisies, vous le relisez, vous signez électroniquement, vous envoyez. Idem pour les notifications d'incident impliquant un sous-traitant (CNPD 72h RGPD, ILR 24h NIS 2, CSSF DORA).

Tableau de bord adapté à chaque rôle

Le DPO voit ses obligations RGPD : DPA en attente, AIPD à compléter, sous-traitants hors UE avec leurs garanties. Le CISO voit la cybersécurité : certifications, incidents, vulnérabilités. Le responsable conformité voit CSSF et DORA. La direction voit les agrégats : top 10 des fournisseurs risqués, concentration (alerte si plus de X% des fonctions critiques chez un seul prestataire), localisations géographiques des données, décisions à prendre. Chacun voit ce qui le concerne.

Plus de 90 % du travail courant automatisé

Objectif chiffré du produit : plus de 90 % du travail récurrent de gestion des sous-traitants exécuté sans intervention humaine. Collecte des documents, lecture, classement, alimentation des registres, relances, recalcul de score : automatisé. Le DPO et le CISO interviennent sur les 10 % à enjeu : valider un onboarding critique, approuver un DPA non standard, décider d'une rupture quand le score dépasse 60, signer une notification CSSF.

Auditeur en mode lecture seule, export horodaté signé

Quand la CSSF, la CNPD, l'ILR ou votre commissaire aux comptes débarque : vous lui donnez un accès lecture seule à la plateforme. Il consulte vos fournisseurs, vos scores, vos décisions, vos preuves. S'il veut emporter un dossier, vous lui générez un export PDF horodaté avec signature cryptographique. Aucune préparation de 3 semaines pour l'audit, aucun stress.

Cas d'usage

Pour qui, et dans quel contexte.

Banques, PSF support, PSF spécialisés : CSSF 22/806 + DORA Register of Information tenus en continu, notifications préalables CSSF tracées, dossier prêt pour inspection à tout moment.

Sociétés de gestion (UCITS, AIFM, ManCo), fonds (SIF, SICAV, SICAR, RAIF) : suivi de la chaîne TIC avec LEI, identification des fournisseurs CTPP désignés par les autorités européennes (DORA).

Compagnies d'assurance (CAA) : conformité lettre circulaire 15/3, archivage, registre RGPD spécifique au secteur.

Hôpitaux, opérateurs essentiels NIS 2 : évaluation continue de vos prestataires informatiques critiques, conformité article 21(2)(d) et (f).

DPO externes multi-clients : gestion centralisée de la chaîne de sous-traitance de tous vos clients dans une seule plateforme, données isolées entre eux.

Conformité réglementaire

Quatre cadres réglementaires, un seul outil.

  • RGPD article 28 (sous-traitant) et article 30 (registre des traitements) avec mention complète des destinataires et transferts hors UE.
  • Circulaire CSSF 22/806 modifiée par 25/883 : registre d'externalisation avec notification préalable des fonctions critiques.
  • Règlement DORA 2022/2554 article 28 et son Register of Information au format ITS des autorités européennes (15 sous-templates).
  • Directive NIS 2 article 21(2)(d) et (f) : sécurité et évaluation continue de la chaîne d'approvisionnement.
  • Orientations EBA sur l'externalisation transposées via la 22/806, attentes spécifiques sur le cloud computing.
  • Article 41 LSF : routage IA exclusivement on-premise pour les documents couverts par le secret bancaire.
Architecture · Hébergement

Stack technique et souveraineté des données.

Module intégré à la plateforme DPO Assistant : même socle technique, mêmes connecteurs, même moteur IA configurable. Connecteurs natifs vers les plateformes TPRM existantes (TrustCenter, Whistic, OneTrust, ServiceNow GRC) si vous y êtes déjà. API REST pour intégration avec votre SI. Hébergement Luxembourg, mode 100% on-premise possible pour les acteurs sous secret article 41 LSF.

FAQ

Questions fréquentes

Combien de fournisseurs peut-on gérer ?
L'outil est dimensionné pour plus de 1 000 fournisseurs par client institutionnel. Pour un grand groupe avec 5 000+ fournisseurs, scaling horizontal possible sans changement d'architecture.
Et si un fournisseur refuse d'utiliser votre portail ?
Trois canaux alternatifs : email dédié par fournisseur (DKIM/SPF vérifiés), connecteur API vers les plateformes TrustCenter / Whistic / OneTrust où il publie déjà ses documents, dépôt manuel par un opérateur interne. Mais en pratique, les fournisseurs critiques et importants acceptent vite le portail car ils ont les mêmes besoins d'auditabilité de leur côté.
Que fait l'IA exactement ?
Trois choses précises : classifier le type de document déposé (DPA, ISO 27001, SOC 2, plan de continuité, etc.) parmi un référentiel de 30 catégories ; extraire les champs structurés (organisme certificateur, numéros, dates, périmètre, RTO, RPO) ; proposer des actions (relance, escalade, plan de mitigation, recommandation de plan de sortie). Aucune décision à enjeu n'est prise par l'IA seule. Le DPO ou le CISO valide.
Quelle différence avec OneTrust, ServiceNow GRC, Whistic ?
Trois différences réelles. (1) Conçu pour Luxembourg + UE : registres CSSF 22/806, DORA RoI au format ITS, NIS 2 LU, secret article 41 LSF. (2) Lecture IA automatique des pièces avec remplissage en direct, là où les concurrents demandent une saisie manuelle ou semi-manuelle. (3) Souveraineté UE : hébergement Luxembourg, mode on-premise complet, routage IA on-premise pour le secret bancaire.
Délai de mise en œuvre ?
Version utilisable au quotidien (référentiel fournisseurs, portail, lecture auto, registre RGPD + CSSF 22/806) : 6 mois. Version complète avec DORA Register of Information complet et NIS 2 : 10 mois. POC sur une dizaine de vos fournisseurs réels en 4 semaines pour valider l'outil avant engagement.
Combien ça coûte ?
Tarification par tranches de fournisseurs gérés et de documents analysés par mois, plus la consommation IA. Pour un PSF avec 80 fournisseurs et 200 documents analysés par mois : 2 500 à 5 000 EUR/mois. Pour une grande banque avec 500+ fournisseurs et reporting DORA mensuel : 8 000 à 18 000 EUR/mois. Devis sous 24h.
À combiner avec

Nos services complémentaires.

Tester ce logiciel sur vos données réelles.

POC sans engagement long. Devis personnalisé sous 24 h ouvrées.

Configurer mon devis →