SOC 2 — Trust Service Criteria (AICPA)
Audit indépendant américain (AICPA) sur 5 Trust Service Criteria : sécurité, disponibilité, intégrité du traitement, confidentialité, vie privée.
Définition
SOC 2 (Service Organization Control 2) est un référentiel d'audit publié par l'AICPA (American Institute of Certified Public Accountants) — l'ordre des experts-comptables américains. Il définit cinq Trust Service Criteria (TSC) sur lesquels une organisation de services peut faire l'objet d'un audit indépendant : sécurité, disponibilité, intégrité du traitement, confidentialité, vie privée.
À la différence d'ISO 27001 (qui certifie un système de management), SOC 2 est un rapport d'audit délivré par un cabinet comptable certifié (PCAOB, AICPA membre). Deux variantes existent :
- SOC 2 Type I — audit ponctuel à une date donnée. "Le système est correctement conçu à la date X."
- SOC 2 Type II — audit sur une période de 6 à 12 mois. "Le système a fonctionné comme conçu pendant la période." C'est la variante la plus rigoureuse et celle que les acheteurs exigent généralement.
Le rapport SOC 2 lui-même n'est pas public — il est partagé sous NDA avec les clients qui en font la demande. Les acteurs communiquent généralement sur leur obtention du rapport, pas sur son contenu.
Pourquoi (ou pourquoi pas) c'est important pour un hébergeur HDS
SOC 2 est non concerné par défaut pour un acteur santé français qui ne sert pas le marché US. C'est un référentiel américain conçu pour les SaaS US, où il a une valeur commerciale forte mais limitée aux relations US/EU.
Pour un hébergeur HDS français, SOC 2 devient pertinent uniquement dans deux cas :
- Vente aux filiales françaises de groupes US (ex. Pfizer France, Johnson & Johnson France) — leur direction conformité US demandera typiquement un SOC 2 Type II.
- Vente à des éditeurs SaaS santé US installés en France — qui doivent eux-mêmes maintenir leur conformité SOC 2 et exigent le même cadre de leurs sous-traitants.
Pour la grande majorité des hébergeurs HDS qui servent le marché français pur (CHU, EHPAD, mutuelles, éditeurs santé européens), SOC 2 n'apporte rien que n'apporte déjà ISO 27001 + HDS. Le coût n'est pas justifié sauf intention commerciale explicite US.
Comment ce critère est attribué dans le comparateur
- ✓ Vérifié — mention SOC 2 Type II ou Type I publiée sur le site officiel avec date du dernier audit ; OU communiqué de presse vérifiable.
- ◆ Revendiqué — mention sans précision Type ou date.
- ○ Non concerné — acteur français pur servant le marché santé européen sans présence commerciale US documentée — c'est le statut par défaut pour la majorité.
- — Non documenté — acteur dont l'orientation commerciale est ambiguë.
Important méthodologique : l'absence de SOC 2 chez un acteur français servant le marché européen n'est pas une faiblesse. C'est une absence d'investissement dans un référentiel non requis pour son marché. Notre statut "Non concerné" reflète cette réalité.
Pour quel profil c'est critique
| Profil | Niveau d'exigence |
|---|---|
| Hébergeur servant filiales françaises de groupes US santé | Important |
| Hébergeur servant éditeurs SaaS US installés en France | Important |
| Hébergeur santé français pur (marché EU) | Non concerné |
Sources officielles
- AICPA — SOC 2 reporting overview.
- Trust Service Criteria — aicpa.org/research/standards.
Limites
SOC 2 est un audit comptable, pas un audit cyber au sens strict. Il ne remplace ni ISO 27001 (qui certifie le management cyber), ni les certifications produit-spécifiques (ISO 27017, ISO 27018). C'est un référentiel utile mais limité à son cadre nord-américain d'origine.
Hébergeurs satisfaisant ce critère
◐ Revendiqué sur source publique (8)
Lecture des trois états. ✓ Vérifié = source publique citée (page officielle, registre ANS / ANSSI / Pappers / RIPE / PeeringDB). ◐ Revendiqué = mention publique partielle, sans verbatim ferme à la date de cet audit. ◔ Démarche en cours = engagement public daté. L'absence de mention n'implique pas l'absence du service — voir notre méthodologie d'équité.