Méthode de notation
Note de conformité, marqueur d’exposition au CLOUD Act et signal d’actionnariat — ce que signifie chaque valeur et comment nous l’attribuons.
Dernière mise à jour le 2026-05-18
Chaque fiche sur EU Vetted porte trois signaux éditoriaux indépendants : une note de conformité, un marqueur d'exposition au CLOUD Act et un signal d'actionnariat. Ils répondent à des questions d'acheteur différentes, et un lecteur ne devrait pas les agréger en un chiffre unique. Cette page explique chaque valeur et la manière dont nous l'attribuons.
Note de conformité (1–5)
Lecture éditoriale du degré de préparation conformité/vie privée d'un éditeur, à partir des quatre sources listées dans Charte éditoriale → Comment nous vérifions : DPA publiée, liste des sous-traitants, déclaration de région d'hébergement, extrait d'immatriculation de l'entreprise.
| Note | Sens |
|---|---|
| 5 / 5 | Immatriculé dans l'UE, aucune donnée client au repos sur cloud d'éditeur US, DPA et sous-traitants publics, CCT en place pour tout transfert hors UE, aucune exposition au CLOUD Act sur les données produit client. Des sous-traitants US accessoires (e-mail système, error tracking, facturation) qui ne touchent pas aux données produit client n'empêchent pas un 5/5. |
| 4 / 5 | Immatriculé et hébergé dans l'UE, mais utilise Cloudflare ou un à deux sous-traitants US avec CCT ; exposition mineure au CLOUD Act notée. |
| 3 / 5 | Immatriculé dans l'UE, hébergement principal dans l'UE, mais ≥3 sous-traitants US OU exposition au CLOUD Act significative OU aucune DPA publiquement accessible (voir Accessibilité de la DPA ci-dessous). |
| 2 / 5 | Bureau UE mais société mère US ou infrastructure majoritairement US. Exposition au CLOUD Act notable. Listé uniquement en l'absence d'une meilleure option dans la catégorie. |
| 1 / 5 | Pas réellement européen ; signalé comme « revendication UE discutable ». Listé à titre d'avertissement seulement. |
La note est éditoriale, non certifiée. Elle reflète la lecture de la rédaction à une date donnée, exclusivement à partir des déclarations publiques. La date « Dernière vérification » sur chaque fiche est celle de cette lecture. Nous re-vérifions au minimum chaque trimestre.
Accessibilité de la DPA. Une DPA publiquement accessible — qu'un acheteur potentiel peut consulter sans se connecter ni contacter le service commercial — est requise pour un 5/5. Si une DPA existe mais n'est accessible que dans un compte client, la note est plafonnée à 4/5 ; si elle n'est disponible que sur demande, ou pas publiée du tout, elle est plafonnée à 3/5. Ce critère ne s'applique pas aux logiciels auto-hébergés ou locaux, où l'éditeur ne traite jamais les données du client, ni aux éditeurs qui ne sont véritablement pas des sous-traitants, ni aux produits disposant d'une certification SecNumCloud, EUCS ou BSI C5 — un audit indépendant qui couvre déjà la gouvernance du sous-traitant — ces fiches sont notées sur les critères restants.
Marqueur d'exposition au CLOUD Act
Le CLOUD Act américain (Clarifying Lawful Overseas Use of Data Act, 2018) donne aux autorités américaines le mécanisme juridique pour contraindre les entreprises immatriculées aux États-Unis à fournir les données qu'elles contrôlent, indépendamment du lieu physique de stockage. L'arrêt Schrems II (CJUE, 2020) et le précédent Microsoft Ireland v US indiquent clairement que la région du data-center ne suffit pas à protéger contre cela si la société exploitante est sous contrôle US.
Le marqueur est indépendant de la note de conformité car, dans un secteur régulé (défense, données de santé publique, certains services financiers), un acheteur peut traiter l'exposition au CLOUD Act comme un veto absolu, quel que soit le reste du dispositif.
| Marqueur | Définition |
|---|---|
| none | Exploitant immatriculé dans l'UE, pas de société mère US, pas de sous-traitant US significatif. |
| minor | Un sous-traitant US transitoire (Cloudflare pour la DDoS, Mapbox pour les cartes, error tracking) mais les données client au repos restent exclusivement UE. |
| material | Société mère US, OU au moins un sous-traitant cœur traitant des données client au repos est un hyperscaler sous propriété US (AWS région UE, Google Cloud, Azure, Stripe US, Twilio US, etc.). La région UE d'un cloud sous propriété US ne modifie pas le marqueur — la juridiction de la maison mère, oui. |
| direct | Le SaaS exploitant est lui-même immatriculé aux États-Unis. Soumis par défaut aux demandes extraterritoriales américaines. |
Signal d'actionnariat
Où se situe le contrôle ultime de la société exploitante. Distinct de la note de conformité, qui porte sur la manière dont l'éditeur traite les données plutôt que sur l'identité de ses propriétaires.
| Signal | Définition |
|---|---|
| eu-owned | Immatriculé dans l'UE, contrôle UE, pas de participation US significative au cap-table. |
| eu-hq-us-funded | Siège UE mais contrôle par VC ou PE américains. Élément de cap-table cité dans les notes de vérification. |
| us-owned | Siège aux États-Unis ou société mère US. Listé seulement lorsqu'il s'agit véritablement de la principale option d'une catégorie et que les alternatives sont faibles. |
| other | Suisse, Royaume-Uni post-Brexit, Israël, Norvège ou autre juridiction européenne hors UE. Le pays précis est indiqué sur la fiche. |
Référentiels de conformité référencés
Lorsqu'un éditeur revendique publiquement l'un des référentiels suivants, nous le faisons apparaître sur la fiche. Nous ne fabriquons pas de certifications : si l'éditeur ne revendique pas publiquement un certificat, nous ne le listons pas.
- EUCS — European Cybersecurity Certification Scheme for Cloud Services (ENISA)
- C5 — Cloud Computing Compliance Criteria Catalogue (BSI, Allemagne)
- SecNumCloud — qualification nationale française des services cloud (ANSSI)
- ISO/IEC 27001, 27017, 27018 — management de la sécurité de l'information, contrôles de sécurité cloud, protection des données personnelles dans le cloud
- SOC 2 — référentiel US ; affiché pour exhaustivité, mais ne satisfait pas à lui seul d'exigence UE spécifique
Pour les éditeurs multi-paliers (par exemple lorsque SecNumCloud ne s'applique qu'au produit Bare Metal et non au Public Cloud), nous indiquons quel palier de produit est couvert par le certificat. Une revendication globale « ISO 27001 » sans ventilation par palier est affichée sans amplification.
Ce que ce n'est pas
Aucun des trois signaux ne remplace les preuves de conformité propres à l'éditeur. Avant de contracter, un acheteur doit obtenir la DPA, la liste à jour des sous-traitants et les certificats pertinents directement auprès de l'éditeur, et vérifier qu'ils correspondent à l'état public à la date de « Dernière vérification » de la fiche.