Certifications de sécurité des salles de données : Ce que les équipes financières de l'UE recherchent
Published on 22 avril 2026
Les certifications de sécurité des salles de données sont des attestations formelles de tiers qui confirment que les contrôles de sécurité d'un fournisseur ont été testés et vérifiés de manière indépendante. Pour les équipes financières de l'UE évaluant les fournisseurs de salles de données virtuelles, des certifications telles que l'ISO 27001 et le SOC 2 Type II constituent le minimum requis, aux côtés des exigences spécifiques au RGPD concernant la résidence des données et les capacités de traçabilité. Ce guide explique ce que signifie chaque certification et quelle combinaison une équipe financière sérieuse de l'UE devrait exiger.
Pourquoi les certifications comptent plus que les affirmations marketing
Tout fournisseur peut décrire sa plateforme comme "sécurisée de niveau bancaire" ou "prête pour les entreprises". Les certifications sont différentes : ce sont des engagements audités de manière indépendante qui peuvent être vérifiés, renouvelés et retirés. Lorsque vous demandez à un fournisseur son certificat ISO 27001, vous pouvez vérifier l'organisme de certification, le champ d'application et la date d'expiration. Lorsque vous demandez un rapport SOC 2 Type II, vous pouvez lire les conclusions de l'auditeur.
Pour les équipes financières de l'UE, cela compte pour deux raisons. Premièrement, vos propres obligations réglementaires en vertu de l'article 28 du RGPD vous obligent à utiliser des sous-traitants qui fournissent des garanties suffisantes de mesures de sécurité techniques et organisationnelles appropriées. Les certifications sont la preuve que ces garanties sont réelles. Deuxièmement, vos clients et contreparties demandent de plus en plus la même preuve de votre part. Choisir un fournisseur de salle de données certifié simplifie vos propres réponses au questionnaire de sécurité.
Les certifications qui comptent
ISO 27001. Il s'agit de la norme internationale pour les systèmes de gestion de la sécurité de l'information (SGSI). Un fournisseur détenant la certification ISO 27001 a fait auditer ses politiques, procédures et contrôles de sécurité de manière indépendante par rapport aux exigences de la norme. Le champ d'application de la certification est important : confirmez que les opérations de la salle de données sont incluses dans le champ d'application, et non seulement l'informatique d'entreprise.
SOC 2 Type II. Développés par l'American Institute of CPAs, les rapports SOC 2 évaluent les contrôles de sécurité, de disponibilité, d'intégrité de traitement, de confidentialité et de protection des données sur une période définie (généralement de six à douze mois). Un rapport de Type II est plus précieux qu'un Type I car il couvre l'efficacité opérationnelle dans le temps, et pas seulement la conception à un moment donné. De nombreuses équipes financières de l'UE exigent désormais le SOC 2 Type II comme standard.
Documentation de conformité au RGPD. Ce n'est pas une certification au sens technique, mais un ensemble de documents qui comprend : un accord de traitement des données (DPA) signé, un registre des sous-traitants, une confirmation de résidence des données et une politique de confidentialité conforme aux principes du RGPD. Les fournisseurs réputés publient ces documents publiquement ou les partagent sur demande.
Cyber Essentials / Cyber Essentials Plus (Royaume-Uni). Pour les équipes ayant des opérations ou des clients au Royaume-Uni, Cyber Essentials fournit une base soutenue par le gouvernement. Cyber Essentials Plus implique une vérification technique pratique et a plus de poids.
Contrôles techniques que les certifications confirment
Au-delà des certifications elles-mêmes, les équipes financières de l'UE devraient vérifier que des contrôles techniques spécifiques sont actifs.
| Contrôle | Ce qu'il faut rechercher |
|---|---|
| Chiffrement au repos | AES-256 minimum |
| Chiffrement en transit | TLS 1.2 ou TLS 1.3 |
| Contrôle d'accès | Permissions basées sur les rôles, support MFA |
| Journalisation des audits | Résistant à la falsification, exportable, avec horodatages |
| Résidence des données | Serveurs de l'UE ou de l'EEE confirmés par écrit |
| Gestion des vulnérabilités | Tests de pénétration réguliers, politique de correction |
| Réponse aux incidents | Plan documenté avec SLA de notification |
| Continuité des activités | Objectifs de temps de récupération déclarés et testés |
Un fournisseur qui ne peut pas répondre à ces questions de manière spécifique, ou qui ne propose que des assurances vagues, est peu susceptible de détenir les certifications qu'il prétend.
Questions à poser à un fournisseur de salle de données avant de signer
- Quelles certifications détenez-vous, quel est le champ d'application de chacune et quand expirent-elles ?
- Pouvez-vous fournir une copie de votre rapport SOC 2 Type II le plus récent sous NDA ?
- Où, physiquement, nos documents sont-ils stockés ?
- Quels sous-traitants utilisez-vous, et sont-ils également certifiés ?
- Comment nous informerez-vous en cas d'incident de sécurité affectant nos données ?
- Proposez-vous un accord de traitement des données conforme à l'article 28 du RGPD ?
Un fournisseur qui peut répondre à ces six questions rapidement et avec documentation est dans une catégorie différente de celui qui détourne ou fournit des documents marketing en réponse aux questions de conformité.
Comment SendNow répond à ces exigences
SendNow fournit un chiffrement AES-256 au repos et TLS 1.3 en transit, une infrastructure hébergée dans l'UE, un journal d'audit complet pour chaque événement d'accès aux documents, et un accord de traitement des données conforme au RGPD. La page de sécurité sur sendnow.live/security détaille les contrôles en place pour les équipes effectuant une diligence raisonnable.
Pour le cadre complet de conformité, consultez notre Guide complet sur le partage de documents RGPD. Pour des détails techniques sur le chiffrement, lisez Chiffrement AES-256 pour le partage de documents expliqué, et pour les exigences de traçabilité, consultez Comment maintenir une traçabilité conforme au RGPD.
Évaluez la posture de sécurité de SendNow pour votre équipe. Visitez sendnow.live pour consulter la documentation de sécurité et demander un accord de traitement des données.
Questions Fréquemment Posées
Q : La certification ISO 27001 est-elle requise pour une salle de données conforme au RGPD ? R : L'ISO 27001 n'est pas une exigence légale en vertu du RGPD, mais c'est une preuve solide des "mesures techniques et organisationnelles appropriées" requises par l'article 32. De nombreuses équipes financières de l'UE la considèrent comme un minimum pratique lors de la sélection des fournisseurs.
Q : Quelle est la différence entre SOC 2 Type I et SOC 2 Type II ? R : Le Type I évalue si les contrôles de sécurité d'un fournisseur sont correctement conçus à un moment donné. Le Type II évalue si ces contrôles ont effectivement fonctionné efficacement sur une période de six à douze mois. Pour des relations à long terme avec les fournisseurs, le Type II est l'assurance la plus significative.
Q : Un fournisseur de salle de données plus petit sans ISO 27001 peut-il être conforme au RGPD ? R : Oui, en principe. L'article 32 du RGPD exige des mesures appropriées, pas des certifications spécifiques. Cependant, sans attestation indépendante de tiers, vous portez le fardeau de vérifier vous-même les contrôles du fournisseur, ce qui prend du temps et peut ne pas satisfaire vos propres clients ou auditeurs.
Q : Le statut de conformité d'un fournisseur au RGPD expire-t-il ? R : La conformité au RGPD est une obligation continue, pas un statut ponctuel. Le DPA d'un fournisseur, sa politique de confidentialité et sa liste de sous-traitants doivent tous être maintenus et mis à jour à mesure que leurs activités de traitement changent. Passez-les en revue chaque année ou chaque fois que le fournisseur vous informe d'un changement matériel.
Q : Que signifie la résidence des données en pratique pour une salle de données cloud ? R : La résidence des données signifie que vos documents sont stockés sur des serveurs physiquement situés dans une géographie définie, généralement l'UE ou l'EEE. Les services cloud ont souvent une infrastructure distribuée à travers plusieurs régions. Confirmez par écrit, idéalement dans le DPA, que vos données ne seront pas traitées en dehors de l'EEE sans votre consentement préalable.
Q : À quelle fréquence un fournisseur de salle de données doit-il être re-certifié ? R : La certification ISO 27001 implique un cycle de trois ans avec des audits de surveillance annuels. Les rapports SOC 2 sont généralement émis annuellement. Demandez à votre fournisseur son rapport le plus récent et confirmez qu'il n'y a eu aucun changement matériel dans le champ d'application ou les contrôles depuis le dernier audit.
Q : Les certifications sont-elles une diligence raisonnable suffisante, ou devrions-nous effectuer notre propre examen de sécurité ? R : Les certifications sont un bon point de départ mais ne remplacent pas votre propre évaluation des risques. Au minimum, examinez le champ d'application de la certification, lisez le résumé du rapport SOC 2 et confirmez la position de résidence des données par écrit. Les cas d'utilisation à forte valeur ou de haute sensibilité peuvent nécessiter un examen technique plus détaillé.
Q : Que devrions-nous faire si la certification d'un fournisseur expire ? R : Traitez cela comme un changement matériel dans le profil de risque de votre fournisseur. Demandez une explication sur les raisons pour lesquelles la certification n'a pas été renouvelée et un calendrier pour le rétablissement. En fonction de votre tolérance au risque, vous devrez peut-être suspendre l'utilisation de la plateforme ou informer votre DPD.
Ready to share documents smarter?
Start tracking who reads your documents, page by page. Free trial, no credit card required.
Get Started for Free →