Pourquoi Varify n'a pas la certification ISO 27001 - et pourquoi ce n'est pas un problème
Table des matières
Objectif de l'article
Ce document fournit à l'équipe Varify un argumentaire clair et factuel lorsque des clients ou des prospects demandent pourquoi Varify n'a pas de certification ISO 27001 (ou équivalent). Il explique les raisons architecturales pour lesquelles une telle certification serait disproportionnée, décrit les mesures de sécurité que Varify met effectivement en œuvre et fournit des éléments de texte prêts à l'emploi pour les entretiens de vente, de prospection et d'achat.
La réponse courte
Varify ne stocke et ne traite pas de données personnelles. La norme ISO 27001 est conçue pour gérer les risques liés aux actifs informationnels, en particulier les données sensibles ou personnelles. Comme Varify renonce délibérément à conserver de telles données dans son architecture, les risques auxquels s'adresse ISO 27001 ne s'appliquent pas à Varify. Au lieu de cela, Varify utilise des mesures proportionnées, conformes au RGPD et des principes de confidentialité par conception qui correspondent au profil de risque réel.
Comment l'architecture de Varify élimine les risques liés aux données
Varify sépare la livraison de l'expérience de la mesure des résultats. Cette décision architecturale centrale détermine l'ensemble de la position des données de Varify.
Ce que fait Varify
- Fournit un snippet JavaScript léger (11,5 Ko) qui applique des modifications visuelles ou basées sur le code à un site web
- Attribue des variantes d'expérience aux visiteurs via localStorage/sessionStorage (pas via des cookies)
- Envoie des signaux de participation à l'expérience à l'outil d'analyse propre du client (GA4, BigQuery, PostHog, Matomo, etc.)
Ce que Varify ne fait PAS
- Ne recueille pas, ne stocke pas et ne traite pas de données personnelles (PII)
- Ne place pas de cookies et n'utilise pas d'identifiants persistants
- Ne crée pas de profil d'utilisateur et ne suit pas les personnes au fil des sessions
- N'exploite pas sa propre base de données d'analyse ou un entrepôt de données
- Ne reçoit pas, ne stocke pas et n'a pas accès aux données de conversion, aux données de vente ou aux enregistrements des clients.
Tout le tracking, la mesure et le stockage des données se font exclusivement dans l'environnement d'analyse du client. Varify ne voit, ne touche ni ne stocke ces données à aucun moment.
Pourquoi ISO 27001 est disproportionné pour Varify
ISO 27001 est un cadre pour l'établissement, la mise en œuvre et le maintien d'un système de gestion de la sécurité de l'information (SGSI). Elle s'adresse aux organisations qui stockent, traitent ou transmettent des informations sensibles - notamment des données à caractère personnel, des données financières, des données relatives à la santé ou à la propriété intellectuelle.
Les contrôles clés de la norme ISO 27001 s'adressent à des risques tels que :
- Accès non autorisé aux données stockées
- Pannes et pertes de données
- Pipelines de traitement des données non sécurisés
- Contrôles d'accès insuffisants aux systèmes sensibles
- Réponse insuffisante aux incidents liés aux données
Ces risques supposent que le fournisseur conserve des données à protéger. Si l'architecture d'un fournisseur est conçue de manière à ce qu'aucune donnée personnelle ne soit stockée ou traitée, le modèle de menace que la norme ISO 27001 sécurise est fondamentalement réduit.
Ce n'est pas un argument pour ne pas avoir de mesures de sécurité du tout - mais pour prendre des mesures proportionnelles au risque réel. Le RGPD lui-même consacre ce principe à l'article 32, qui exige des mesures de sécurité „proportionnelles au risque”.
Ce que Varify a réellement
Varify maintient des mesures de sécurité et de conformité adaptées à son rôle d'outil de livraison côté client sans stockage de données personnelles.
Conformité au RGPD dès la conception
- Architecture sans cookie - pas de cookie-consent spécifiquement requis pour Varify
- Aucune donnée personnelle n'est enregistrée par Varify
- Pas d'identifiants personnels pour les participants à l'expérience
- Privacy-by-Design et Privacy-by-Default comme principes d'architecture
Contrat de traitement des commandes (CAT)
- CGU complet conformément à l'art. 28 RGPD, obligatoire pour tous les clients
- Mesures techniques et organisationnelles (MTO) documentées en annexe au CUU
- Liste des sous-traitants avec notification préalable en cas de modification
- Procédure définie pour soutenir les droits des personnes concernées
- Droits de contrôle accordés au responsable
Sécurité de l'infrastructure (contrôles hérités)
L'infrastructure de Varify fonctionne avec des fournisseurs qui possèdent eux-mêmes des certifications étendues :
| Fournisseur | Rouleau | Certifications |
|---|---|---|
| AWS (Francfort, eu-central-1) | Hébergement, calcul, stockage | ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, C5, PCI DSS |
| Cloudflare | CDN, protection contre les DDoS, Edge Delivery | ISO 27001, SOC 2 Type II, PCI DSS |
Tous les traitements de données ont lieu au sein de l'UE (Francfort). Pour l'exploitation principale, aucune donnée n'est transférée en dehors de l'Espace économique européen.
Sécurité au niveau des applications
- Cryptage TLS pour toutes les données en transit (HTTPS forcé)
- Contrôle d'accès basé sur les rôles au sein de la plateforme Varify
- Des pratiques de développement logiciel sûres
- Surveillance régulière des dépendances et des points faibles
- Procédure de réponse aux incidents documentée dans le CUU
Statut de conformité
- Conforme au RGPD (traitement des données de l'UE, pas de stockage PII, CUU avec TOM)
- Compatible avec le CCPA
- Compatible avec les environnements réglementés par la HIPAA (pas de traitement PHI)
- Conforme à la loi suisse révisée sur la protection des données (hébergement conforme aux normes européennes)
L'argument de la proportionnalité
Le principe de proportionnalité est central à la fois dans le RGPD (article 32) et dans la norme ISO 27001 elle-même (la sélection des contrôles de l'annexe A est basée sur les risques). Exiger l'ISO 27001 d'un fournisseur qui ne conserve pas de données à caractère personnel crée un déséquilibre de conformité :
- La certification couvrirait des risques qui n'existent pas. La valeur de la norme ISO 27001 réside dans la protection des valeurs informationnelles. S'il n'y a pas de valeurs de données personnelles, la certification s'adresse à un modèle de menace vide.
- Les données sont détenues par l'outil d'analyse du client. L'instance GA4, BigQuery ou Matomo du client - et non Varify - est le système qui stocke les résultats des expériences et les données des utilisateurs. Les évaluations de sécurité devraient se concentrer sur ces systèmes.
- ISO 27001 ne garantit pas la sécurité. La certification confirme l'existence d'un système de gestion, et non l'absence de vulnérabilités. Un fournisseur disposant de la norme ISO 27001 peut néanmoins être victime de violations de données. Un fournisseur qui n'en a pas peut néanmoins avoir des mesures de sécurité solides et adéquates.
- Les mesures proportionnées sont plus honnêtes. Plutôt que de viser une certification qui consisterait en grande partie en des contrôles „non applicables”, Varify investit dans des mesures qui sont réellement pertinentes pour son architecture : infrastructure de livraison sécurisée, hébergement UE, contrats de sous-traitance conformes au RGPD et gestion transparente des sous-traitants.
Comparaison : où ISO 27001 est utile et où il ne l'est pas
| Scénario | ISO 27001 approprié ? | Pourquoi |
|---|---|---|
| Fournisseurs de CRM avec stockage des données clients | Oui | Stocke et traite les DPI à grande échelle |
| Fournisseur de stockage en nuage | Oui | Conserve les documents et les fichiers sensibles |
| Prestataire de services de paiement | Oui | Traite les données financières |
| Plate-forme d'analyse avec son propre entrepôt de données | Oui | Enregistre les données comportementales, potentiellement PII |
| Outil de test A/B côté client sans stockage de données | Disproportionné | Pas de PII stocké, pas d'entrepôt de données, rôle de livraison uniquement |
Questions fréquentes (FAQ)
Q : Est-ce que Varify visera ISO 27001 à l'avenir ? R : Nous évaluons régulièrement notre plan de certification. Si notre architecture devait évoluer vers le stockage de données à caractère personnel, la certification deviendrait une priorité. Pour notre architecture actuelle, nous nous concentrons sur les mesures qui correspondent à notre profil de risque réel.
Q : Pouvez-vous remplir notre questionnaire de sécurité sans la norme ISO 27001 ? R : Oui. Nous répondons régulièrement à des évaluations de sécurité des fournisseurs et pouvons fournir des informations détaillées sur notre infrastructure, le traitement des données et la mise en conformité. De nombreuses questions liées à la norme ISO 27001 reçoivent une réponse du type „non applicable - aucune donnée personnelle stockée” ou sont couvertes par une référence aux certifications de nos fournisseurs d'infrastructure.
Q : Qu'en est-il de SOC 2 ? R : Le même argument de proportionnalité s'applique. Les audits SOC 2 Type II sont conçus pour les fournisseurs de services qui stockent et traitent les données des clients. Nos fournisseurs d'infrastructure (AWS, Cloudflare) possèdent des certifications SOC 2. Pour les propres opérations de Varify - qui ne stockent pas de données clients - SOC 2 auditerait un environnement de données qui n'existe pas.
Q : Notre politique interne exige la norme ISO 27001 de tous les fournisseurs, sans exception. R : Nous comprenons cela. Dans la pratique, de nombreuses organisations appliquent des exceptions basées sur les risques pour les fournisseurs qui ne stockent pas de données personnelles. Nous vous recommandons de discuter avec votre équipe de sécurité de l'information pour savoir si l'architecture de Varify (pas de stockage de données, hébergement dans l'UE, fournisseurs d'infrastructure certifiés, CGU complet avec TOMs) se qualifie pour une telle exception. Nous nous ferons un plaisir de soutenir cette discussion en vous fournissant de la documentation et en vous proposant un "walkthrough" technique.
Dernière mise à jour : avril 2026 Responsable : Varify Software GmbH