Papermark est conforme à la norme SOC 2 Type II. L'audit couvre les critères des services de confiance de l'AICPA (sécurité, disponibilité, confidentialité) sur l'ensemble de notre salle de données virtuelle, notre plateforme de partage de documents et d'analyse. Pour une vue complète de la sécurité et de la conformité (chiffrement, régions d'hébergement, certifications, sous-traitants), consultez la page sécurité de Papermark.
Ce guide explique ce que signifie SOC 2 Type II, ce que couvre notre audit et pourquoi cela est important pour les équipes achats qui évaluent Papermark pour les fusions-acquisitions, les levées de fonds et les flux de travail réglementés.
SOC 2 (System and Organization Controls 2) est une procédure d'audit rigoureuse développée par l'American Institute of Certified Public Accountants (AICPA). Elle évalue la manière dont les organisations de services traitent les données clients selon cinq critères de services de confiance : la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la protection de la vie privée. Les rapports de Type II évaluent l'efficacité opérationnelle des contrôles sur une période d'audit de 6 à 12 mois, et non uniquement leur conception à un instant donné.
SOC 2 est l'attestation de sécurité et de contrôles dominante pour les SaaS B2B en Amérique du Nord et devient de plus en plus attendue en Europe et en Asie-Pacifique. Pour les salles de données virtuelles gérant des opérations de fusions-acquisitions, de levées de fonds et d'audits réglementaires, SOC 2 Type II constitue une exigence de base en matière d'approvisionnement, et non un facteur de différenciation.
Les audits SOC 2 sont définis autour de cinq critères de services de confiance de l'AICPA. Chaque audit SOC 2 inclut la Sécurité (les critères communs) ; des critères supplémentaires sont ajoutés en fonction du périmètre de l'organisation de services.
Sécurité. Protection contre l'accès non autorisé, la divulgation, l'altération et les dommages. Couvre les contrôles d'accès, le chiffrement, la sécurité réseau, la réponse aux incidents et la gestion des changements. Requis dans chaque audit SOC 2.
Disponibilité. Disponibilité du système pour l'exploitation et l'utilisation selon les engagements ou accords convenus. Couvre le temps de disponibilité, la résilience, la reprise après sinistre et la planification des capacités.
Intégrité du traitement. Le traitement du système est complet, valide, précis, opportun et autorisé. Pertinent pour les systèmes effectuant des calculs ou un traitement automatisé (moins central pour une VDR).
Confidentialité. Les informations désignées comme confidentielles sont protégées. Couvre la classification des données, les contrôles d'accès, la conservation et l'élimination sécurisée.
Protection de la vie privée. Les informations personnelles sont collectées, utilisées, conservées, divulguées et éliminées conformément aux principes de confidentialité généralement acceptés (GAPP) de l'AICPA. Recoupe le RGPD mais constitue un cadre distinct.
L'audit SOC 2 Type II de Papermark couvre la Sécurité (Critères communs obligatoires) ainsi que la Disponibilité et la Confidentialité. La Confidentialité des données personnelles est traitée via des contrôles conformes au RGPD documentés séparément dans notre présentation de la conformité RGPD.
La SOC 2 Type II est l'attestation de conformité la plus couramment demandée lors des évaluations de fournisseurs de VDR. Quatre flux de travail spécifiques en dépendent.
Achats dans les secteurs réglementés. Les banques, les établissements de santé, les compagnies d'assurance et les organisations liées au secteur public exigent généralement la SOC 2 Type II comme référence minimale avant de collaborer avec un fournisseur cloud. Sans cette certification, le fournisseur ne passe pas le filtre des achats.
Diligence raisonnable des fournisseurs en entreprise. Les grandes entreprises menant des processus de gestion des risques fournisseurs demandent systématiquement le rapport SOC 2 Type II (sous NDA) dans le cadre de l'intégration. Il s'agit d'une pratique standard d'hygiène des achats, et non d'une exigence exceptionnelle.
Salles de données pour fusions-acquisitions et levées de fonds. Les investisseurs institutionnels et les acquéreurs stratégiques demandent de plus en plus quelles attestations de conformité détient le fournisseur de VDR de leur cible. La SOC 2 Type II est la réponse qui clôt la discussion.
Responsabilité post-incident. En cas d'incident de sécurité, disposer d'un rapport SOC 2 Type II à jour ainsi que d'un programme de surveillance continu réduit considérablement la responsabilité et l'exposition réglementaire par rapport à l'absence d'attestation.
Un rapport SOC 2 Type I évalue si les contrôles sont correctement conçus à un instant donné. Un rapport SOC 2 Type II évalue si les contrôles sont correctement conçus et fonctionnent efficacement sur une période d'audit définie (généralement 6 à 12 mois).
Le Type I est plus facile à obtenir mais constitue une attestation moins solide : il confirme l'existence des contrôles, mais pas leur fonctionnement fiable dans le temps. Le Type II est l'exigence standard du secteur pour les fournisseurs SaaS matures traitant des données clients sensibles. Papermark fait l'objet d'un audit annuel selon la norme SOC 2 Type II.
Les cadres de conformité ne sont pas interchangeables. Le tableau ci-dessous établit une correspondance entre les quatre cadres les plus courants pour l'acquisition de VDR.
| Cadre | Périmètre | Audit/Certification | Courant dans |
|---|---|---|---|
| SOC 2 Type II | Critères des Services de Confiance AICPA | Audit annuel, rapport sous NDA | Centré sur les États-Unis, SaaS B2B |
| ISO 27001 | Système de gestion de la sécurité de l'information | Certification formelle par un organisme accrédité | Entreprises européennes et internationales |
| RGPD | Protection des données personnelles UE | Conformité légale, DPA, liste des sous-traitants | Tout traitement de données de résidents de l'UE |
| HIPAA | PHI dans le secteur de la santé aux États-Unis | BAA, programme de conformité (pas de certification formelle) | Santé, biotechnologie, dispositifs médicaux |
De nombreux clients entreprise demandent plusieurs cadres. Papermark maintient la conformité SOC 2 Type II et RGPD en standard, prend en charge ISO 27001 via un déploiement auto-hébergé sur l'infrastructure du client, et propose la conformité HIPAA via l'auto-hébergement et un BAA signé dans les contrats entreprise.
La journalisation d'audit en mode ajout seul capture chaque consultation et téléchargement pour le critère de Confidentialité SOC 2 :
Le filigrane dynamique par session marque chaque page avec l'e-mail du lecteur, l'IP et l'horodatage :
Pour la liste actualisée des certifications, des régions d'hébergement, des normes de chiffrement et de la procédure de demande de NDA SOC 2, consultez la page sécurité de Papermark.
Le rapport SOC 2 Type II de Papermark est disponible pour les clients et prospects entreprise sous NDA mutuel. Pour demander le rapport :
Le rapport comprend l'opinion de l'auditeur indépendant, la description du système et de ses contrôles, les résultats des tests d'efficacité opérationnelle et l'assertion de la direction.
| Cadre réglementaire | Statut Papermark |
|---|---|
| SOC 2 Type II | ✔️ Audité annuellement |
| RGPD | ✔️ Conforme, DPA disponible |
| ISO 27001 | Via déploiement auto-hébergé sur l'infrastructure client |
| HIPAA | Via auto-hébergement + BAA signé (forfait entreprise) |
| CCPA | ✔️ Conforme |
| FDA 21 CFR Part 11 | Via déploiement auto-hébergé avec export des journaux d'audit |
| Chiffrement au repos | AES-256 |
| Chiffrement en transit | TLS 1.3 |
| MFA | ✔️ |
| Option auto-hébergée | ✔️ (open-source AGPL) |
La conformité RGPD de Papermark expliquée : DPA, sous-traitants, résidence des données, droits des personnes concernées et comment nous répondons aux exigences de protection des données de l'UE pour les flux de travail VDR.
Checklist complète des critères d'investissement pour évaluer les startups B2B SaaS IA. Couvre l'adéquation au marché, l'avantage concurrentiel IA, l'économie unitaire, la sécurité et la gouvernance responsable de l'IA.
Les 10 meilleures salles de données virtuelles pour l'audit de diligence en 2026, comparées sur la sécurité, la tarification, les fonctionnalités et l'adéquation aux transactions. Couvre Papermark, Datasite, Intralinks, iDeals et plus encore.
