Vai al contenuto principale
Toutes les ressources
Conformité de l'IA · · 9 min de lecture

Le fournisseur IA que vous vous apprêtez à adopter est-il fiable ? SOC 2, ISO 42001 et ce qu'il faut demander avant de signer

Presque chaque outil IA qu'une PME adopte est un SaaS tiers, souvent américain, et la réponse qui vous arrive au « peut-on vous faire confiance ? » est toujours la même : « nous sommes certifiés SOC 2 Type II ». Mais la SOC 2 n'est pas une loi, c'est une attestation AICPA d'hygiène de sécurité — et sur l'IA elle ne dit presque rien. Ce que signifient vraiment Type I et Type II, les cinq questions à poser au fournisseur avant de signer (le scope nomme-t-il les fonctions IA ou seulement « la Plateforme » ? le fournisseur du modèle est-il un sous-traitant déclaré ? vos données alimentent-elles l'entraînement ?), les trois choses que la SOC 2 ne vous dira jamais (biais, explicabilité, hallucinations), pourquoi le standard spécifique à l'IA à demander est plutôt l'ISO/IEC 42001, et pourquoi en Italie la SOC 2 ne remplace rien du RGPD ni de l'AI Act — elle ne compte que comme une pièce de l'AIPD.

Quand une PME adopte l'IA, elle ne construit presque jamais le modèle : elle adopte un outil — un copilote pour les ventes, une plateforme d'agents pour le support, un générateur de contenus. Et cet outil, dans la grande majorité des cas, est un SaaS tiers, souvent américain. Avant de signer, la bonne question à se poser est unique : « puis-je faire confiance à ce fournisseur ? ». La réponse qui vous arrivera, presque toujours, est la même : « nous sommes certifiés SOC 2 Type II ». Cela sonne rassurant. Mais est-ce que cela clôt vraiment la question ?

La réponse honnête est non — pas à elle seule. La SOC 2 dit quelque chose d'utile, mais elle dit bien moins que ce que le mot « certifiés » laisse entendre, et sur tout ce qui concerne spécifiquement l'IA elle ne dit presque rien. Cela vaut la peine de le comprendre avant de confier à un fournisseur un morceau de votre processus — et vos données.

Ce qu'est vraiment la SOC 2 (et ce qu'elle n'est pas)

Premier malentendu à dissiper : la SOC 2 n'est pas une loi. C'est une attestation délivrée par un auditeur indépendant selon un référentiel de l'AICPA (l'ordre des experts-comptables américains), qui mesure les contrôles d'un fournisseur au regard de cinq Trust Services Criteria : la sécurité (toujours dans le périmètre), la disponibilité, l'intégrité du traitement, la confidentialité et la protection de la vie privée. C'est un bon signal d'hygiène de sécurité, pas un label de conformité européenne.

Deuxième point, celui qui sépare un vrai signal d'un signal de façade : la SOC 2 existe en deux types, et la différence fait tout.

  • Type I — atteste que les contrôles existent à un instant donné. C'est une photographie : le jour de l'audit, ils étaient là. À elle seule, c'est un signal faible.
  • Type II — atteste que ces contrôles ont réellement fonctionné sur une fenêtre de six à douze mois. C'est le film, pas la photo : c'est le seul des deux qui dit quelque chose de significatif sur la façon dont le fournisseur travaille dans la durée.
Si un fournisseur vous dit « nous avons la SOC 2 » sans préciser, la première question est : Type I ou Type II ?. Un Type I brandi comme une garantie est, souvent, un raccourci marketing. Exigez le Type II — et le rapport, pas seulement l'attestation.

Les questions à poser avant de signer

Un rapport SOC 2, on ne « l'a » pas ou ne « l'a » pas : on le lit. Et la partie qui compte pour vous — l'IA — est presque toujours cachée dans les détails du scope. Avant de signer, voici les portes que le fournisseur doit franchir, et non le mot « certifiés » :

Ce qu'il faut demander au fournisseur IA avant de signer

Le fournisseur SaaS entre en évaluation Un outil IA tiers — copilote, plateforme d'agents, générateur de contenus — sur le point d'entrer dans votre processus et de toucher vos données.

  1. Type I ou Type II ? Validé

    Le rapport atteste-t-il que les contrôles ont fonctionné dans la durée, et pas seulement qu'ils existaient le jour de l'audit ?

    Seul le Type II est un signal réel. Demandez le rapport, pas la simple déclaration.

  2. Le scope nomme-t-il l'IA ? Validé

    La description du système cite-t-elle les fonctions IA/agent, ou parle-t-elle seulement, de façon générique, de « la Plateforme » ?

    Les fonctions IA sont souvent exclues du périmètre : le rapport couvre l'authentification et l'infrastructure, pas le modèle ni ses flux de données.

  3. Qui est le fournisseur du modèle ? Validé

    Le fournisseur LLM tiers que l'outil appelle (OpenAI, Anthropic et consorts) est-il listé comme subservice organization ?

    Demandez la liste des sous-traitants : c'est là qu'aboutissent, dans les faits, vos données et vos prompts.

  4. Que deviennent mes données ? Validé

    Les données que vous transmettez à l'outil servent-elles à entraîner ou à affiner le modèle ? Et si oui, sont-elles anonymisées ou pseudonymisées ?

    C'est une réponse contractuelle, pas seulement une question de périmètre d'audit. Mettez-la noir sur blanc.

  5. Qui contrôle les mises à jour du modèle ? Validé

    Le contrôle de change management s'étend-il au réentraînement et aux changements de version du modèle, ou couvre-t-il seulement les déploiements d'infrastructure ?

    Un modèle qui change de comportement après une mise à jour silencieuse est un risque que l'hygiène d'infrastructure n'intercepte pas.

Fournisseur documentable dans votre AIPD Une fois les portes franchies, la SOC 2 devient ce qu'elle est vraiment : une pièce de l'évaluation du risque-fournisseur, pas un laissez-passer.

Les cinq questions qui transforment un « nous sommes certifiés SOC 2 » en une véritable diligence. Source : référentiel AICPA des Trust Services Criteria et pratiques de lecture des rapports SOC 2 appliquées aux systèmes IA (secureframe.com, schellman.com).

Les trois choses que la SOC 2 ne vous dira jamais

Ici se trouve la limite qu'aucune quantité de « Type II » ne comble. La SOC 2 est née pour la sécurité et la fiabilité de l'infrastructure : serveurs, accès, continuité. Elle n'a pas été pensée pour l'IA, et de fait en juillet 2026 l'AICPA n'a publié aucun critère SOC 2 spécifique à l'intelligence artificielle : les auditeurs appliquent les critères génériques de 2017 en usant du jugement habituel de sécurité informatique (Schellman). Traduit : aussi irréprochable que soit le rapport, il y a des choses sur l'IA qu'il ne vous dira jamais.

  • Le biais du modèle — si les réponses discriminent, la SOC 2 ne le mesure pas.
  • L'explicabilité — pourquoi le modèle a décidé ainsi, cela reste hors du périmètre.
  • Le risque d'hallucination et l'intégrité informationnelle — qu'un modèle invente avec aplomb n'est pas un contrôle qu'un audit de sécurité intercepte.
« SOC 2 Type II compliant » n'est ni une preuve de sécurité de l'IA ni une preuve de maturité de gouvernance : cela relève d'un tout autre terrain. Confondre les deux est l'erreur la plus coûteuse de cette phase — parce qu'elle vous fait vous sentir couvert précisément là où vous ne l'êtes pas.

Le bon standard à demander est un autre : ISO/IEC 42001

Si la question est « ce fournisseur gouverne-t-il l'IA de façon mature ? », le standard à nommer n'est pas la SOC 2, mais la ISO/IEC 42001:2023, publiée en décembre 2023 : le premier standard certifiable pour un système de gestion de l'IA. Là où la SOC 2 regarde l'infrastructure, l'ISO 42001 regarde l'IA en tant que telle — politique de l'IA et responsabilité incombant à la direction, un inventaire des systèmes IA avec classification du risque, des analyses d'impact, la gouvernance des données d'entraînement, des contrôles sur tout le cycle de vie du modèle, la gestion du biais et des non-conformités.

La bonne façon de les tenir ensemble est de les penser comme deux couches distinctes, non comme des alternatives (BARR Advisory) : la SOC 2 est le plancher de la sécurité, l'ISO 42001 est l'étage de la gouvernance de l'IA au-dessus. La meilleure pratique est de les avoir toutes les deux ; si un fournisseur ne vous montre que la SOC 2 et parle d'« IA responsable », la question suivante est naturelle : et sur l'ISO 42001, où en êtes-vous ?.

Attention aux raccourcis : la « SOC for AI »

Il circule sur le web l'idée d'une « SOC for AI », un prétendu référentiel spécifique à l'IA. Cela vaut la peine de le savoir pour ne pas y tomber : elle ne semble pas publiée par l'AICPA — sa page officielle sur les services SOC ne la liste pas, et les sources qui en parlent renvoient à des contenus sans auteur et sans lien vers une source primaire. Traitez-la comme une rumeur non confirmée, non comme une exigence à imposer ni à mettre en avant. Dans ce domaine, où les règles sont encore en train de se former, la prudence consiste à demander les standards qui existent vraiment — pas ceux dont le nom est le plus rassurant.

En Italie, la SOC 2 ne remplace rien

Un point que trop de présentations commerciales laissent dans le flou : en Italie et en Europe, la SOC 2 n'a pas force de loi. Ce n'est pas une exigence européenne et elle ne remplace rien de ce que vous demandent le RGPD et l'EU AI Act (Comp AI). Un fournisseur doté d'une excellente SOC 2 peut malgré tout ne pas suffire, si votre usage de cet outil exige une analyse d'impact relative à la protection des données.

Où compte-t-elle vraiment, alors ? Comme un intrant, parmi d'autres, à l'étape de l'évaluation du risque-fournisseur de votre AIPD : quand l'outil est un SaaS américain, la SOC 2 est une preuve utile sur la sécurité du traitement (dans la logique de l'article 32 du RGPD). Mais elle reste subordonnée à l'analyse RGPD et AI Act, elle ne la remplace pas. C'est exactement la place que nous lui donnons dans notre overlay de conformité : la diligence sur le fournisseur est une pièce du bloc de gouvernance qui accompagne chaque cas d'usage, jamais un substitut à l'analyse qui compte.

Quoi faire maintenant, en pratique

Nul besoin de devenir auditeur. Pour une PME qui choisit un outil IA, la diligence raisonnable est courte et concrète :

  • Exigez le Type II, et le rapport. Une attestation Type I brandie comme une garantie est un signal faible ; demandez le rapport Type II et lisez-le, ne vous arrêtez pas à la déclaration.
  • Vérifiez que le scope nomme l'IA. Si le périmètre ne parle que de « la Plateforme » et non des fonctions IA/agent, le rapport ne couvre pas précisément la partie qui vous intéresse.
  • Demandez la liste des sous-traitants et le sort de vos données. Quel fournisseur de modèle se trouve derrière, si vos données alimentent l'entraînement, et avec quelles garanties — le tout écrit dans le contrat.
  • Demandez l'ISO 42001, pas seulement la SOC 2. Si le fournisseur vend de l'« IA responsable », le standard qui le prouve, c'est celui-là — ou au moins une trajectoire vers lui.
  • Faites tout converger dans l'AIPD, où la SOC 2 vaut comme l'un des éléments de sécurité du traitement, non comme le verdict final.

Avant même d'évaluer un fournisseur en particulier, il vaut toutefois la peine de savoir quel processus vous voulez automatiser et avec quels contrôles autour : c'est de là que découle ce qu'il faut demander au fournisseur. Notre évaluation d'AI-readiness aide à mettre en ordre les bons processus et les contrôles à exiger ; si vous êtes justement en train de choisir entre faire en interne et acheter, l'article sur acheter ou construire cadre la décision en amont, et les contrôles qui rendent un cas d'usage défendable complètent le tableau en aval.

Nous avons transformé le premier pas en une évaluation en libre-service et gratuite : quelques questions et une indication sur par où commencer, avec quels contrôles — et quelles questions au fournisseur — autour du premier flux. Faites l'évaluation d'AI-readiness — puis, si cela a du sens, nous en parlons.

Cet article a une visée purement indicative et ne constitue ni un conseil juridique ni une évaluation de conformité. La SOC 2 est une attestation de l'AICPA (non une loi européenne) sur les Trust Services Criteria de 2017 ; la distinction Type I / Type II, l'absence — en juillet 2026 — de critères SOC 2 spécifiques à l'IA de la part de l'AICPA, et le rôle de l'ISO/IEC 42001:2023 comme standard certifiable de gestion de l'IA reflètent des sources sectorielles à jour à cette date et doivent être revérifiés sur le texte en vigueur. Pour les obligations concrètes de votre entreprise, référez-vous au RGPD, au texte de l'EU AI Act, aux indications du Garante et à un accompagnement juridique qualifié.

De la théorie à votre entreprise. Greffons l'IA.

Vous voulez comprendre par quel service il vaut mieux commencer dans votre entreprise ? L'évaluation gratuite vous donne une première réponse en deux minutes — puis, si cela a du sens, nous en parlons.

Nous utilisons des cookies

Nous utilisons des cookies et des technologies similaires pour améliorer votre expérience, analyser le trafic et personnaliser les contenus. Vous pouvez accepter tous les cookies ou personnaliser vos préférences.

Préférences des cookies

Cookies nécessaires Toujours actifs

Essentiels au fonctionnement du site. Ils ne peuvent pas être désactivés.

Ils nous aident à comprendre comment vous utilisez le site pour améliorer l'expérience.

Utilisés pour vous montrer des annonces pertinentes et mesurer les campagnes.

Ils permettent de personnaliser les contenus et les fonctionnalités.