# SOC 2 et RGPD : les questions à poser à un fournisseur de proxys résidentiels


Les questions qu’il convient de poser à un fournisseur de proxys résidentiels s’articulent autour d’un thème central : l’origine du réseau. Les certifications indiquent qu’un fournisseur gère efficacement ses contrôles, et elles ont leur importance, mais le point le plus utile à comprendre est la manière dont les adresses IP ont été obtenues, car c’est sur cette base que repose tout le reste. Ce sont là des questions légitimes à poser à tout partenaire spécialisé dans les données Web, y compris Massive. Ce guide vous présente ces questions dans l’ordre où il convient de les poser, vous explique comment reconnaître une réponse pertinente et, lorsque cela s’avère utile, vous indique comment Massive y répond, afin que vous puissiez distinguer un proxy résidentiel véritablement conforme au RGPD de celui qui se contente d’utiliser ce terme à titre de simple formule. Un réseau réputé répondra à chacune de ces questions de manière précise.

Si vous êtes chargé de choisir un fournisseur de données Web ou d’expliquer ce choix à une équipe de sécurité, ce guide s’adresse à vous. Il part du principe que vous savez pourquoi votre organisation collecte des données Web publiques et met l’accent sur les mesures de diligence nécessaires pour garantir la fiabilité de cette collecte et faciliter sa défense.

## Points clés à retenir

- **L’origine des adresses IP est la première question à se poser, et non la dernière.** Les certifications confirment qu’un fournisseur applique ses contrôles ; la réponse concernant l’origine des adresses IP vous indique comment celles-ci ont été obtenues. Demandez comment les appareils accèdent au réseau avant d’examiner le moindre label de conformité.
- **La norme SOC 2 comporte un périmètre et un type, et les deux sont importants.** Un rapport SOC 2 de type II teste les contrôles sur une période donnée ; un rapport de type I correspond à un instantané sur une seule journée. Demandez de quel type il s’agit, sur quelle période il porte et quels sont les critères des cinq services de confiance couverts.
- **La conformité au RGPD implique une base légale et un accord de traitement des données (DPA) que vous pouvez signer.** Pour un réseau proxy, l’élément essentiel est que la participation des appareils respecte la norme de consentement et que vous puissiez obtenir un accord de traitement des données comprenant une liste nominative des sous-traitants.
- **La piste d’audit est la preuve de la transparence.** Un fournisseur capable de retracer une demande jusqu’à une source ayant donné son consentement peut démontrer la validité de son travail. Il s’agit de la même [chaîne de traçabilité](https://www.joinmassive.com/blog/rendering-web-through-consent) qu’un réseau « opt-in » est conçu pour fournir.
- **Un partenaire solide accueille favorablement ces questions.** Une bonne diligence raisonnable est collaborative, et non conflictuelle. L’objectif est de confirmer une base solide, et un réseau reposant sur une telle base répondra en toute clarté.

## Pourquoi l’origine des appareils mérite une réponse concrète

Un fournisseur de proxys résidentiels occupe une place importante dans votre infrastructure : votre trafic transite par des appareils qu’il fournit ; la manière dont ces appareils ont rejoint le réseau fait donc partie de vos propres fondements. C’est pourquoi il est légitime et utile de comprendre l’origine de ces appareils, et non pas de considérer cela comme une simple formalité.

Tous les réseaux résidentiels ne reposent pas sur le consentement, et c’est précisément pour cette raison que la question de l’origine mérite une réponse concrète plutôt qu’un simple adjectif. La bonne nouvelle, c’est qu’un réseau fondé sur le consentement simplifie les choses : il peut préciser le mécanisme par lequel ses adresses IP ont donné leur consentement, indiquer les certifications couvrant chaque maillon de la chaîne et décrire la piste d’audit qui relie une requête à un appareil ayant donné son consentement. Poser les questions ci-dessous vous permet simplement de vérifier que ce fondement est bien en place, et c’est le genre de diligence qu’un partenaire solide attend et apprécie.

## Les questions à poser, dans l’ordre

Traitez ces quatre groupes dans l’ordre. Le groupe « Origine » vient délibérément en premier, car il constitue le fondement sur lequel repose le reste.

### Groupe 1 : Approvisionnement et consentement

C’est le groupe le plus important et celui par lequel il convient de commencer.

- **Comment les adresses IP accèdent-elles à votre réseau ?** Vous devez disposer d’un mécanisme spécifique, d’un SDK rendu public, et les utilisateurs doivent donner leur consentement en échange d’une contrepartie.
- **Qu’a reçu le propriétaire de l’appareil en échange, et lui a-t-on expliqué ce à quoi il consentait ?** Un consentement valide au sens de [l’article 4, paragraphe 11, du RGPD](https://gdpr-info.eu/art-4-gdpr/) est librement donné, spécifique, éclairé et sans ambiguïté. C’est un véritable échange de valeur qui le rend authentique.
- **Un utilisateur peut-il retirer son consentement, et que se passe-t-il lorsqu’il le fait ?** L’article 7, paragraphe 3, du RGPD rend le retrait aussi simple que l’octroi du consentement. Une réponse claire témoigne d’un modèle sain.
- **Pouvez-vous remonter jusqu’à l’appareil source ayant donné son consentement à partir d’une requête spécifique ?** Il s’agit là de la question relative à la piste d’audit, et une réponse affirmative accompagnée d’une explication constitue le signal le plus fort qu’un fournisseur puisse donner.

### Groupe 2 : Les certifications et ce qu’elles couvrent

Passons maintenant aux labels, avec le champ d’application qui leur donne tout leur sens.

- **Êtes-vous certifié SOC 2, et s’agit-il d’une certification de type I ou de type II ?** La certification de type II vérifie si les contrôles ont fonctionné efficacement sur une période donnée, conformément aux [critères des services de confiance de l’AICPA](https://www.aicpa-cima.com/resources/download/2017-trust-services-criteria-with-revised-points-of-focus-2022) (sécurité, disponibilité, intégrité du traitement, confidentialité, respect de la vie privée). Demandez le rapport sous accord de confidentialité (NDA) et vérifiez la période couverte ainsi que les critères pris en compte.
- **Disposez-vous d’une certification couvrant l’inscription de l’application elle-même ?** [AppEsteem](https://customer.appesteem.com/Home/AppCertReqs) certifie les applications au regard des exigences relatives au consentement éclairé autonome, à la divulgation des composants intégrés et à la désinstallation propre. Pour un réseau issu d’un SDK, il s’agit d’une preuve directe du moment où le consentement est donné.
- **Êtes-vous certifié ISO/IEC 27001 ?** Son contrôle A.5.19 relatif aux relations avec les fournisseurs est pertinent, et cette certification témoigne de la mise en place d’un programme de sécurité géré.

### Groupe 3 : Traitement des données et aspects juridiques

Les documents administratifs qui facilitent la mise en place de la relation.

- **Allez-vous signer un accord de traitement des données, et quelle est votre base légale au titre de l’article 6 du RGPD ?** Vous souhaitez un accord de traitement des données (ATD), et le fournisseur doit être en mesure de préciser sa base légale pour l’approvisionnement.
- **Qui sont vos sous-traitants, et comment serez-vous informé des changements ?** L’article 28 du RGPD traite des garanties des sous-traitants et de la divulgation des sous-traitants. Une liste nominative constitue la meilleure réponse.
- **Quels sont vos engagements en matière de conservation des données et de notification des violations ?** Vous souhaitez des durées de conservation bien définies et un délai de notification vous permettant de planifier vos actions en conséquence.

### Groupe 4 : Opérationnel et assistance

Les questions qui préoccuperont une équipe de sécurité après la signature.

- **Quel est votre processus de réponse aux incidents, et comment pouvons-nous joindre un interlocuteur humain en cas d’incident ?** Pour un acheteur d’entreprise, un canal d’assistance direct est préférable à une file d’attente de tickets.
- **Comment assurez-vous la bonne santé et la surveillance de votre réseau ?** Un fournisseur qui entretient activement son infrastructure veille sur les fondements sur lesquels vous comptez.

## À quoi ressemble une réponse convaincante : comment Massive y répond

L’objectif de ces questions est d’obtenir des détails concrets. Pour illustrer cela, voici comment un réseau performant y répond, en prenant le nôtre comme exemple concret. Considérez cela comme le modèle d’une bonne réponse, et non comme un script à reproduire mot pour mot.

| Ce que vous avez demandé | Une réponse solide et précise | Comment Massive y répond |
|----------------|---------------------------|---------------------|
| Comment les propriétaires de propriété intellectuelle (PI) donnent-ils leur accord ? | Cite un SDK divulgué et un véritable échange de valeur | Chaque propriétaire de PI a donné son accord via le SDK Massive, où les utilisateurs ont échangé leur bande passante inutilisée contre un avantage premium dans l’application |
| Est-il possible de remonter jusqu’à la source ayant donné son consentement ? | Oui, décrit la piste d’audit | Piste d’audit complète, de la source à la requête |
| SOC 2 ? | Type II, précise la période et les critères, partage les informations sous accord de confidentialité | Audité SOC 2 Type I (Sécurité), décembre 2025 ; rapport disponible sous accord de confidentialité via le Trust Center |
| Retrait du consentement ? | Un processus concret, aussi simple que l’adhésion | Participation révocable, conforme à l’article 7, paragraphe 3, du RGPD |
| Sous-traitants et accord de traitement des données (DPA) ? | Liste nominative, accord de traitement des données prêt à être signé | Conforme au RGPD, accord de traitement des données disponible |
| Certification d’inscription ? | AppEsteem ou équivalent | Certifié AppEsteem ; exemples d’écrans de consentement disponibles sous accord de confidentialité |
| Couverture et présence ? | Appareils réels, zones géographiques nommées | Appareils grand public réels dans plus de 195 pays |

Le critère à retenir est la précision : un fournisseur sérieux répond en fournissant des mécanismes et des documents. C’est précisément ce qui accélère la vérification, car les réponses sont toutes prêtes.

## Un questionnaire à l’intention des fournisseurs que vous pouvez réutiliser

Intégrez directement ces dix questions lors de votre prochain examen d’un partenaire spécialisé dans les données Web. Elles peuvent être posées en toute légitimité à n’importe qui, y compris à nous-mêmes :

1. Décrivez précisément comment une adresse IP est intégrée à votre réseau.
2. Que reçoit le propriétaire d’un appareil en échange de sa participation, et comment cette participation lui est-elle communiquée ?
3. Comment un utilisateur peut-il se désinscrire, et quel est l’effet de cette désinscription ?
4. Pouvez-vous remonter jusqu’à un appareil source ayant donné son consentement à partir d’une requête sortante spécifique ? Décrivez la piste d’audit.
5. Fournissez votre rapport SOC 2. Précisez le type, la période couverte et les critères pris en compte.
6. Quelle certification couvre le consentement et la communication d’informations lors de l’inscription de l’application ?
7. Indiquez votre base légale au titre du RGPD pour la collecte de données et confirmez que vous signerez un accord de traitement des données (DPA).
8. Énumérez vos sous-traitants et votre processus de notification des modifications.
9. Précisez vos délais de conservation des données et votre délai de notification en cas de violation.
10. Décrivez votre processus de réponse aux incidents et le canal d’assistance disponible en cas d’incident.

Un partenaire qui répond de manière précise à ces dix questions est un partenaire que vous pouvez adopter en toute confiance. Le principe fondamental qui définit ce qu’est un [réseau de proxys résidentiels éthiques](https://www.joinmassive.com/blog/ethically-sourced-web-access-network) issu d’une source éthique vous fournit le cadre de référence qui sous-tend chaque question.

## Foire aux questions

### Un proxy résidentiel est-il conforme au RGPD simplement parce que le fournisseur l’affirme ?

Cette affirmation est facile à vérifier, ce qui justifie la question. La conformité au RGPD d’un réseau de proxys implique une base légale au titre de l’article 6, un consentement à la participation des appareils conforme à la norme de l’article 4, paragraphe 11, un accord de traitement des données signable et la divulgation des sous-traitants. Un fournisseur capable de présenter un accord de traitement des données (DPA) et de préciser sa base légale est conforme d’une manière que vous pouvez vérifier ; un fournisseur crédible disposera de ces documents.

### Quelle est la différence entre les normes SOC 2 de type I et de type II pour un fournisseur de services de proxy ?

Le type I décrit les contrôles d’un fournisseur à un moment donné ; le type II vérifie si ces contrôles ont fonctionné efficacement sur une période donnée, généralement de 3 à 12 mois. Le Type II est le rapport qui a le plus de poids lors d’un examen, car il reflète un fonctionnement durable. Renseignez-vous sur le type concerné, la période couverte par le rapport et lesquels des cinq critères de services de confiance sont pris en compte.

### De quelles certifications un fournisseur de proxys résidentiels conforme doit-il disposer ?

Recherchez la certification SOC 2 de type II pour les contrôles opérationnels, une conformité au RGPD avec un accord de traitement des données (DPA) signable pour la base légale et le consentement, ainsi qu’une certification couvrant l’inscription des applications, telle que AppEsteem, pour le moment du consentement. La norme ISO/IEC 27001 constitue un atout supplémentaire de poids. L’ensemble de ces certifications est important, car chacune couvre un maillon différent : l’inscription, la base légale et les opérations. Ensemble, elles décrivent un réseau solidement ancré.

### En quoi la piste d’audit m’aide-t-elle en tant qu’acheteur ?

Elle vous offre une transparence vérifiable. Un fournisseur capable de remonter jusqu’à l’appareil source ayant donné son consentement peut démontrer, plutôt que simplement affirmer, que son offre a été acceptée. Il s’agit là de la preuve concrète qui sous-tend une déclaration d’approvisionnement, et c’est le type de réponse qui simplifie l’évaluation de la sécurité. Lorsqu’un fournisseur est en mesure de vous guider tout au long de cette chaîne, vous pouvez adopter le réseau en toute confiance.

## Conclusion

Une bonne évaluation d’un fournisseur de proxys consiste en réalité à confirmer la solidité de ses fondements, et cela commence par une question : comment vos adresses IP ont-elles donné leur consentement ? Les certifications, les accords de traitement des données (DPA) et les questionnaires existent tous pour étayer cette réponse par des preuves, et un réseau réputé dispose de ces preuves. Demandez des précisions sur le mécanisme, les certifications spécifiques et la piste d’audit, et soyez attentif aux détails.

Les fournisseurs sur lesquels il vaut la peine de s’appuyer accueilleront favorablement ces questions, car un réseau constitué à partir d’un « opt-in » transparent, doté d’un audit SOC 2 de type I, conforme au RGPD, certifié AppEsteem et disposant d’une piste d’audit complète de la source à la requête, est conçu pour y répondre. Pour comprendre le mécanisme qui sous-tend ce modèle, consultez [comment fonctionne concrètement un réseau de proxy « opt-in »](https://www.joinmassive.com/blog/rendering-web-through-consent), et vous pourrez voir comment un réseau documente sa posture de conformité chez [Massive](https://joinmassive.com).
