# SOC 2 — Trust Service Criteria (AICPA)

> Catégorie : **Certifications normatives** · Slug : `soc-2` · Source canonique : <https://www.hebergeurs-de-donnees-de-sante.fr/criteres/soc-2/>

**Définition courte** : Audit indépendant américain (AICPA) sur 5 Trust Service Criteria : sécurité, disponibilité, intégrité du traitement, confidentialité, vie privée.

## Statistiques sur les 404 hébergeurs HDS

- ✓ Vérifiés sur source publique : **0**
- ◆ Revendiqués sur source publique : **8**

## Définition

**SOC 2** (*Service Organization Control 2*) est un référentiel d'audit publié par l'**AICPA** (*American Institute of Certified Public Accountants*) — l'ordre des experts-comptables américains. Il définit cinq **Trust Service Criteria** (*TSC*) sur lesquels une organisation de services peut faire l'objet d'un audit indépendant&nbsp;: sécurité, disponibilité, intégrité du traitement, confidentialité, vie privée.

À la différence d'ISO 27001 (qui certifie un système de management), SOC 2 est un **rapport d'audit** délivré par un cabinet comptable certifié (PCAOB, AICPA membre). Deux variantes existent&nbsp;:

- **SOC 2 Type I** — audit ponctuel à une date donnée. "Le système est correctement conçu à la date X."
- **SOC 2 Type II** — audit sur une période de 6 à 12 mois. "Le système a fonctionné comme conçu pendant la période." C'est la variante la plus rigoureuse et celle que les acheteurs exigent généralement.

Le rapport SOC 2 lui-même n'est **pas public** — il est partagé sous NDA avec les clients qui en font la demande. Les acteurs communiquent généralement sur leur **obtention** du rapport, pas sur son contenu.

## Pourquoi (ou pourquoi pas) c'est important pour un hébergeur HDS

SOC 2 est **non concerné par défaut** pour un acteur santé français qui ne sert pas le marché US. C'est un référentiel américain conçu pour les SaaS US, où il a une valeur commerciale forte mais limitée aux relations US/EU.

Pour un hébergeur HDS français, SOC 2 devient pertinent uniquement dans deux cas&nbsp;:

1. **Vente aux filiales françaises de groupes US** (ex. Pfizer France, Johnson & Johnson France) — leur direction conformité US demandera typiquement un SOC 2 Type II.
2. **Vente à des éditeurs SaaS santé US installés en France** — qui doivent eux-mêmes maintenir leur conformité SOC 2 et exigent le même cadre de leurs sous-traitants.

Pour la grande majorité des hébergeurs HDS qui servent le marché français pur (CHU, EHPAD, mutuelles, éditeurs santé européens), **SOC 2 n'apporte rien que n'apporte déjà ISO 27001 + HDS**. Le coût n'est pas justifié sauf intention commerciale explicite US.

## Comment ce critère est attribué dans le comparateur

- **✓ Vérifié** — mention SOC 2 Type II ou Type I publiée sur le site officiel avec date du dernier audit ; OU communiqué de presse vérifiable.
- **◆ Revendiqué** — mention sans précision Type ou date.
- **○ Non concerné** — acteur français pur servant le marché santé européen sans présence commerciale US documentée — c'est le statut par défaut pour la majorité.
- **— Non documenté** — acteur dont l'orientation commerciale est ambiguë.

**Important méthodologique**&nbsp;: l'absence de SOC 2 chez un acteur français servant le marché européen n'est **pas** une faiblesse. C'est une absence d'investissement dans un référentiel non requis pour son marché. Notre statut "Non concerné" reflète cette réalité.

## Pour quel profil c'est critique

| Profil | Niveau d'exigence |
|---|---|
| Hébergeur servant filiales françaises de groupes US santé | **Important** |
| Hébergeur servant éditeurs SaaS US installés en France | **Important** |
| Hébergeur santé français pur (marché EU) | **Non concerné** |

## Sources officielles

- **AICPA** — [SOC 2 reporting overview](https://www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2).
- **Trust Service Criteria** — [aicpa.org/research/standards](https://www.aicpa-cima.com/resources/landing/system-and-organization-controls-soc-suite-of-services).

## Limites

SOC 2 est un audit **comptable**, pas un audit cyber au sens strict. Il ne remplace ni ISO 27001 (qui certifie le management cyber), ni les certifications produit-spécifiques (ISO 27017, ISO 27018). C'est un référentiel utile mais limité à son cadre nord-américain d'origine.

## Hébergeurs satisfaisant ce critère

### ◆ Revendiqué sur source publique (8)

- [AIRON TELEMATICA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/airon-telematica/)
- [CISCO SYSTEMS, INC](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/cisco-systems-inc/)
- [HEXANET](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/hexanet/)
- [MARIGOLD EUROPE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/marigold-europe/)
- [OUTSCALE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/outscale/)
- [SELLIGENT France](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/selligent-france/)
- [SIGMA-RH SOLUTIONS, SIGMA-RH France](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/sigma-rh-solutions-sigma-rh-france/)
- [XANO, INC](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/xano-inc/)

## Méthodologie et limites

- ✓ **Vérifié** = source publique citée (registre officiel, verbatim site acteur).
- ◆ **Revendiqué** = mention déclarative non vérifiée indépendamment.
- ◐ **En cours** = démarche datée publiquement.
- — **Non documenté** = information non trouvée. **N'implique pas l'absence du service**.
- Méthodologie complète : <https://www.hebergeurs-de-donnees-de-sante.fr/verification/>
- Équité Guardis vs concurrents : <https://www.hebergeurs-de-donnees-de-sante.fr/equite-methodologique/>

---

_Comparateur édité par Hasgard SARL. Publication éditoriale indépendante. Licence CC BY-SA 4.0._
_Variante Markdown brut : ajoutez `.md` à l'URL de n'importe quelle page._