Cette affirmation est facile à vérifier, et c’est justement la raison pour laquelle nous posons la question. La conformité au RGPD pour un réseau de proxy implique une base légale au titre de l’article 6, un consentement à la participation des appareils conforme à la norme de l’article 4, paragraphe 11, un accord de traitement des données pouvant être signé, ainsi que la divulgation des sous-traitants. Un fournisseur capable de présenter un accord de traitement des données (DPA) et d’indiquer sa base légale est conforme d’une manière que vous pouvez vérifier ; un fournisseur crédible disposera d’ailleurs de ces documents.
SOC 2 et RGPD : les questions à poser à un fournisseur de proxys résidentiels
Les questions qu’il convient de poser à un fournisseur de proxys résidentiels tournent toutes autour d’un même sujet : l’origine du réseau. Les certifications indiquent qu’un fournisseur gère correctement ses contrôles, et elles ont leur importance, mais ce qu’il est le plus utile de comprendre, c’est comment les adresses IP ont été obtenues, car c’est sur cette base que repose tout le reste. Ce sont là des questions légitimes à poser à tout partenaire spécialisé dans les données Web, y compris Massive. Ce guide vous présente ces questions dans l’ordre où il convient de les poser, vous explique comment reconnaître une réponse convaincante et, lorsque cela s’avère utile, vous indique comment Massive y répond, afin que vous puissiez distinguer un proxy résidentiel véritablement conforme au RGPD de celui qui se contente de prononcer ces mots. Un réseau réputé répondra à chacune d’entre elles de manière précise.
Si vous êtes chargé de choisir un fournisseur de données Web ou d'expliquer ce choix à une équipe de sécurité, cet article s'adresse à vous. Il part du principe que vous savez pourquoi votre organisation collecte des données Web publiques et met l'accent sur les mesures de diligence nécessaires pour garantir la fiabilité de cette collecte et faciliter sa défense.
Points clés à retenir
- L'approvisionnement est la première question à se poser, et non la dernière. Les certifications attestent qu'un fournisseur met en œuvre ses mesures de contrôle ; la solution de gestion des sources d'approvisionnement vous indique comment les adresses IP ont été autorisées. Renseignez-vous sur la manière dont les appareils accèdent au réseau avant d'examiner le moindre badge.
- La norme SOC 2 comporte un champ d'application et un type, et ces deux éléments sont importants. Un rapport SOC 2 de type II évalue les contrôles sur une période donnée ; un rapport de type I correspond à un instantané pris sur une seule journée. Demandez de quel type il s'agit, sur quelle période il porte et lesquels des cinq critères de services de confiance il couvre.
- La conformité au RGPD implique une base légale et un accord de traitement des données que vous pouvez signer. Dans le cas d'un réseau de serveurs proxy, l'élément essentiel est que la participation des appareils respecte les critères de consentement et que vous puissiez conclure un accord de traitement des données comprenant une liste nominative des sous-traitants.
- La piste d'audit est la preuve de la transparence. Un fournisseur capable de retracer l'origine d'une demande jusqu'à une source ayant donné son consentement peut démontrer la validité de son travail. C'est la même chose chaîne de traçabilité Un réseau fonctionnant sur le principe de l'adhésion volontaire est mis en place pour offrir.
- Un partenaire solide se réjouit de ces questions. Une bonne diligence repose sur la collaboration, et non sur la confrontation. L'objectif est de s'assurer que les fondements sont solides, et un réseau fondé sur ce principe vous apportera une réponse claire.
Pourquoi la question de l'approvisionnement mérite une véritable réponse
Un fournisseur de proxys résidentiels occupe une place importante dans votre infrastructure : votre trafic transite par des appareils fournis par ce fournisseur ; par conséquent, la manière dont ces appareils ont été intégrés au réseau fait partie intégrante de vos propres fondements. C'est pourquoi il est important de bien comprendre le processus d'approvisionnement, qui n'est pas une simple formalité.
Tous les réseaux résidentiels ne reposent pas sur le consentement, et c’est précisément pour cette raison que la question de l’origine mérite une véritable réponse plutôt qu’un simple adjectif. La bonne nouvelle, c’est qu’un réseau fondé sur le consentement facilite grandement les choses : il peut préciser le mécanisme par lequel ses adresses IP ont donné leur consentement, indiquer les certifications qui couvrent chaque maillon de la chaîne et décrire la piste d’audit qui relie une requête à un appareil ayant donné son consentement. Poser les questions ci-dessous vous permet simplement de vous assurer que ces fondements sont bien en place, et c’est le genre de diligence qu’un partenaire solide attend et apprécie.
Les questions à poser, dans l'ordre
Traitez ces quatre groupes dans l'ordre. Le groupe « approvisionnement » vient délibérément en premier, car il constitue la base sur laquelle repose le reste.
Groupe 1 : Approvisionnement et consentement
C'est le groupe qui compte le plus et celui par lequel il convient de commencer.
- Comment les adresses IP pénètrent-elles dans votre réseau ? Vous souhaitez un mécanisme spécifique, un SDK accessible à tous, et que les utilisateurs acceptent expressément de participer à un échange de valeur.
- Qu'est-ce que le propriétaire de l'appareil a reçu en échange, et lui a-t-on expliqué ce à quoi il s'engageait ? Consentement valable en vertu de Article 4, paragraphe 11, du RGPD est donné librement, précis, éclairé et sans ambiguïté. C'est un véritable échange de valeur qui lui confère son authenticité.
- Un utilisateur peut-il se désinscrire, et que se passe-t-il dans ce cas ? L'article 7, paragraphe 3, du RGPD rend le retrait du consentement aussi simple que son octroi. Une réponse claire témoigne d'un modèle efficace.
- Pouvez-vous remonter jusqu'à l'appareil d'origine ayant donné son consentement à partir d'une requête spécifique ? C'est la question relative à la piste d'audit, et une réponse affirmative accompagnée d'une explication constitue le signal le plus fort qu'un fournisseur puisse envoyer.
Groupe 2 : Les certifications et ce qu'elles couvrent
Voici maintenant les badges, avec le contexte qui leur donne tout leur sens.
- Êtes-vous certifié SOC 2 ? S'agit-il d'une certification de type I ou de type II ? Les tests de type II permettent de vérifier si les contrôles ont fonctionné efficacement sur une certaine période, conformément à la Critères de l'AICPA relatifs aux services fiduciaires (Sécurité, disponibilité, intégrité du traitement, confidentialité, protection de la vie privée). Demandez le rapport dans le cadre d'un accord de confidentialité (NDA) et vérifiez la période et les critères concernés.
- Disposez-vous d'une certification portant spécifiquement sur l'inscription de l'application ? AppEsteem certifie la conformité des applications aux exigences relatives au consentement éclairé autonome, à la divulgation des composants intégrés et à la désinstallation complète. Pour un réseau issu d'un SDK, cela constitue une preuve directe du moment où le consentement a été donné.
- Êtes-vous certifié ISO/IEC 27001 ? Sa mesure de contrôle A.5.19 relative aux relations avec les fournisseurs est pertinente, et cette certification témoigne de la mise en place d'un programme de sécurité bien géré.
Groupe 3 : Traitement des données et aspects juridiques
Les formalités administratives qui facilitent l'adoption.
- Allez-vous signer un accord de sous-traitance, et quelle est votre base juridique au titre de l'article 6 du RGPD ? Vous souhaitez un accord de traitement des données (DPA), et le fournisseur devrait être en mesure d'indiquer la base juridique sur laquelle repose ce traitement.
- Qui sont vos sous-traitants, et comment sommes-nous informés des changements ? L'article 28 du RGPD traite des garanties offertes par les sous-traitants et de la divulgation des sous-traitants secondaires. Une liste nominative constitue la meilleure solution.
- Quels sont vos engagements en matière de conservation des données et de notification des violations de données ? Vous souhaitez disposer de périodes de conservation bien définies et d'un calendrier de notification qui vous permette de vous organiser en conséquence.
Groupe 4 : Opérations et soutien
Les questions qui intéresseront une équipe de sécurité après la signature.
- Quel est votre processus d'intervention en cas d'incident, et comment peut-on joindre un interlocuteur lors d'un tel incident ? Pour un acheteur professionnel, un canal d'assistance direct est préférable à une file d'attente de tickets.
- Comment assurez-vous le bon fonctionnement et la surveillance de votre réseau ? Un fournisseur qui assure activement la maintenance de son parc veille à la solidité des fondements sur lesquels vous comptez.
À quoi ressemble une réponse convaincante : comment Massive répond à chacune d'entre elles
Le but de ces questions est d’obtenir des précisions. Pour illustrer cela, voici comment un réseau solide y répond, en prenant le nôtre comme exemple concret. Considérez cela comme le schéma d’une bonne réponse, et non comme un script à reproduire mot pour mot.
Le critère à prendre en compte est la précision : un fournisseur sérieux répond en fournissant des mécanismes et des documents. C’est précisément ce qui permet d’accélérer la vérification préalable, car les réponses sont déjà prêtes.
Un questionnaire destiné aux fournisseurs que vous pouvez réutiliser
N'hésitez pas à poser ces dix questions lors de votre prochain entretien d'évaluation avec un partenaire spécialisé dans les données Web. Elles sont tout à fait légitimes, que ce soit à l'égard de n'importe qui, y compris nous-mêmes :
- Décrivez précisément comment une adresse IP vient s'intégrer à votre réseau.
- Quels avantages le propriétaire d'un appareil retire-t-il de sa participation, et comment cette participation lui est-elle communiquée ?
- Comment un utilisateur peut-il se désinscrire, et quelles en sont les conséquences ?
- Pouvez-vous remonter jusqu'à un appareil source ayant donné son consentement à partir d'une requête sortante spécifique ? Décrivez la piste d'audit.
- Veuillez fournir votre rapport SOC 2. Précisez le type de rapport, la période couverte et les critères pris en compte.
- Quelle certification régit le consentement et l'information fournie lors de l'inscription d'une application ?
- Veuillez indiquer la base juridique prévue par le RGPD pour le recrutement et confirmer que vous signerez un accord de traitement des données (DPA).
- Veuillez énumérer vos sous-traitants et décrire votre procédure de notification des modifications.
- Veuillez préciser vos délais de conservation des données et vos délais de notification en cas de violation.
- Veuillez décrire votre processus d'intervention en cas d'incident ainsi que le canal d'assistance disponible lors d'un incident.
Un partenaire capable de répondre de manière précise aux dix questions est un partenaire que vous pouvez choisir en toute confiance. Le fondement de ce qui fait qu’un réseau de proxys résidentiels éthiques « D'origine éthique » vous présente le contexte qui sous-tend chaque question.
En résumé
Une bonne évaluation d’un fournisseur de services de proxy consiste en réalité à s’assurer de la solidité de ses fondements, et cela commence par une question : comment vos adresses IP ont-elles donné leur consentement ? Les certifications, les accords de traitement des données (DPA) et les questionnaires ont tous pour but d’étayer cette réponse, et un réseau digne de confiance dispose de ces éléments de preuve. Renseignez-vous sur le mécanisme, le champ d’application des certifications et la piste d’audit, et soyez attentif aux détails.
Les fournisseurs sur lesquels il vaut la peine de s'appuyer accueilleront favorablement ces questions, car un réseau constitué grâce à un consentement explicite, accompagné d’un audit SOC 2 de type I, conforme au RGPD, certifié AppEsteem et doté d’une piste d’audit complète de la source à la demande, est conçu pour y répondre. Pour en savoir plus sur le mécanisme qui sous-tend ce modèle, veuillez consulter Comment fonctionne concrètement un réseau de proxy « opt-in » ?, et vous pouvez voir comment un réseau rend compte de sa situation en matière de conformité à l'adresse Massive.
Foire aux questions
Le type I décrit les contrôles d'un prestataire à un moment donné ; le type II vérifie si ces contrôles ont fonctionné efficacement sur une période donnée, généralement de 3 à 12 mois. Le rapport de type II est celui qui revêt le plus d'importance dans le cadre d'un examen, car il reflète un fonctionnement durable. Demandez de quel type il s’agit, quelle est la période couverte par le rapport et lesquels des cinq critères des services de confiance sont concernés.
Recherchez la certification SOC 2 Type II pour les contrôles opérationnels, une conformité au RGPD assortie d’un accord de traitement des données (DPA) signable pour la base légale et le consentement, ainsi qu’une certification couvrant l’inscription des applications, telle que AppEsteem, pour le moment du consentement. La norme ISO/IEC 27001 constitue un atout supplémentaire de poids. L’ensemble de ces éléments est important, car chacun couvre un maillon différent : l’enregistrement, la base légale et les opérations. Ensemble, ils constituent un réseau solide.
Cela vous offre une transparence vérifiable. Un fournisseur capable de retracer une requête jusqu’à un appareil source ayant donné son consentement peut démontrer, plutôt que simplement affirmer, que son approvisionnement a donné son accord. C’est là la preuve concrète qui sous-tend toute déclaration d’origine, et c’est le genre de réponse qui simplifie grandement un audit de sécurité. Lorsqu’un fournisseur est en mesure de vous guider tout au long de cette chaîne, vous pouvez adopter le réseau en toute confiance.
