Notre méthode
Les signaux factuels que nous publions (juridiction, vie privée et transparence) : ce que chacun signifie et comment nous le vérifions.
Dernière mise à jour le 2026-05-18
EU Vetted ne publie pas de note unique. Chaque fiche porte au contraire un ensemble fixe de signaux factuels, chacun étant marqué comme vérifié (✓), absent (✗) ou non évalué (—). Les marqueurs sont regroupés afin que le lecteur puisse pondérer lui-même les enjeux qui lui importent, plutôt que de se fier à un seul chiffre censé tout résumer.
Les groupes de signaux
Chaque produit est évalué sur le même ensemble de signaux, organisé en trois groupes.
Juridiction
- Hébergement UE / adéquation : les données client au repos sont hébergées dans l'UE ou dans une juridiction reconnue par une décision d'adéquation.
- Actionnariat UE : la société exploitante est immatriculée dans l'UE et sous contrôle UE, sans participation hors UE significative au cap-table.
- Aucune exposition au CLOUD Act : l'exploitant n'est pas immatriculé aux États-Unis, n'a pas de société mère US et ne dépend d'aucun sous-traitant cœur sous propriété US pour les données client au repos. Le CLOUD Act américain (2018) permet aux autorités américaines de contraindre les sociétés sous contrôle US à fournir des données, quel que soit leur lieu de stockage ; la région du data-center à elle seule ne supprime pas cette exposition.
Vie privée
- Chiffrement de bout en bout et propriétés de protection des données associées, marqués lorsqu'ils s'appliquent à la catégorie. Un signal qui ne s'applique pas à une catégorie (par exemple le chiffrement de bout en bout pour un produit d'analytique qui ne détient aucun contenu de message) est indiqué comme non évalué, et non comme un échec.
Transparence
- DPA publique : un contrat de sous-traitance qu'un acheteur potentiel peut consulter sans se connecter ni contacter le service commercial.
- Divulgation des sous-traitants : une liste publiquement accessible et à jour des sous-traitants de l'éditeur.
- Clients open source : des applications client dont le code source est publiquement consultable.
- Certification par un tiers : un audit indépendant tel que SecNumCloud (ANSSI), EUCS (ENISA), BSI C5 ou ISO/IEC 27001. Nous ne faisons apparaître un certificat que lorsque l'éditeur le revendique publiquement ; nous n'en fabriquons aucun.
Comment nous vérifions
Chaque signal est confronté aux déclarations publiques propres à l'éditeur. Nous lisons la DPA publiée, le document des sous-traitants, la déclaration de région d'hébergement, les certifications et les extraits d'immatriculation de l'entreprise. Chaque fiche porte un horodatage (la date « Dernière vérification ») et est revérifiée au minimum chaque trimestre. Nous n'acceptons jamais l'auto-déclaration : si une affirmation ne peut être confirmée à partir d'une source publique, le signal est marqué absent ou non évalué, et non vérifié.
Les marqueurs sont éditoriaux. Ils reflètent la lecture de sources publiques par la rédaction à la date indiquée, et ne constituent pas une certification que nous délivrons.
Pourquoi pas de chiffre unique
Nous publiions auparavant une note de conformité de 1 à 5. Nous l'avons abandonnée. Une note unique comprimait des enjeux indépendants (où les données sont hébergées, qui détient la société, si le droit américain peut atteindre les données, ce que l'éditeur divulgue) en un seul chiffre, et ne pouvait rester cohérente entre des produits et des catégories très différents. Des marqueurs factuels distincts permettent à chaque lecteur d'appliquer sa propre priorité : un acheteur dans un secteur régulé peut traiter toute exposition au CLOUD Act comme un veto absolu, tandis qu'un autre lecteur attache le plus d'importance à une DPA publique. Aucun de ces signaux ne remplace les preuves de conformité propres à l'éditeur ; avant de contracter, obtenez la DPA, la liste à jour des sous-traitants et les certificats pertinents directement auprès de l'éditeur.
Indépendance vis-à-vis de l'affiliation
Les signaux et l'ordre dans lequel les produits apparaissent ne sont jamais influencés par les relations d'affiliation. Certains liens du site sont des liens d'affiliation et nous pouvons percevoir une commission sans coût supplémentaire pour vous, mais cela n'a aucune incidence sur le fait qu'un signal soit marqué vérifié ni sur le classement d'une fiche. Le placement sponsorisé, lorsqu'il existe, est toujours étiqueté comme tel.