SOC 2, ISO 27001, DIFC : l'antisèche du consultant.

La soupe alphabet de la conformité

Chaque startup IA B2B finit par recevoir la question : « vous êtes SOC 2 ? ISO 27001 ? Vous gérez DIFC ? » La réponse honnête pour une boîte en année un est généralement « pas encore, et voilà ce qu'on fait ». Mais pour donner cette réponse de manière crédible, il faut savoir ce que chaque audit vérifie vraiment — pas ce que disent les pages marketing.

Voici l'antisèche qu'on donne aux founders. Ce n'est pas un substitut à un vrai auditeur. C'est le cadrage qu'il vous faut avant de claquer 40k€ sur un.

SOC 2 — le défaut américain

SOC 2 est un rapport d'attestation, pas une certification. Un auditeur (un cabinet CPA) examine vos contrôles contre les Trust Services Criteria de l'AICPA et écrit un rapport disant « oui, ils font ce qu'ils disent faire ». Deux saveurs :

• Type 1 — à un instant T. On a vérifié le 1er mars et les contrôles étaient en place. Pas cher, rapide, surtout inutile pour les acheteurs.
• Type 2 — sur une période (généralement 6–12 mois). On a observé ces contrôles tourner pendant 12 mois et ils ont tenu. C'est ce que les acheteurs entreprise veulent vraiment.

Ce que ça vérifie dans un système IA :

• Contrôles d'accès — qui peut toucher la donnée prod, MFA imposé, rituels d'offboarding
• Change management — review de pull request, traçabilité du deploy
• Réponse aux incidents — vous avez un runbook et vous le testez
• Vendor management — vos sous-traitants sont eux-mêmes attestés
• Protection de la donnée client — chiffrement au repos, en transit, gestion des clés

Ce que ça ne vérifie pas : comportement du modèle, sécurité des prompts, taux d'hallucination, lineage de la donnée d'entraînement. SOC 2 c'est comment vous opérez votre système, pas ce que le système fait.

ISO 27001 — le défaut européen/international

ISO 27001 est une certification — un tampon formel qui dit que vous avez implémenté un Information Security Management System (ISMS) selon le standard. Plus prescriptif que SOC 2 et l'audit est mené par un organisme de certification accrédité, pas un cabinet CPA.

Ce que ça vérifie en plus de SOC 2 :

• Une méthodologie d'évaluation des risques documentée que vous utilisez vraiment
• Une Statement of Applicability expliquant lesquels des 93 contrôles de l'Annexe A vous avez adoptés et pourquoi
• Des réunions de revue de direction — oui, avec compte-rendu
• Une boucle d'amélioration continue plus formelle

Pour les systèmes IA, la sœur d'ISO 27001 ISO 42001 (sortie en 2023) est celle qui adresse vraiment les risques spécifiques IA — gestion du risque modèle, gouvernance de la donnée d'entraînement, monitoring du biais. Si votre client demande « êtes-vous ISO certifiés pour l'IA », il veut probablement dire 42001, pas 27001.

DIFC — le régime de protection des données du Golfe

Le DIFC (Dubai International Financial Centre) a sa propre loi de protection des données — DIFC Law No. 5 of 2020 — modelée sur le RGPD mais avec ses quirks. Si vous traitez des données personnelles d'entités enregistrées au DIFC ou de leurs clients, vous tombez dessous.

Ce que ça vérifie vraiment :

• Base légale pour le traitement (consentement, contrat, intérêt légitime)
• Restrictions de transfert transfrontalier — et le DIFC a sa propre liste de juridictions « adéquates »
• Droits des personnes — accès, suppression, opposition
• Notification de violation — 72h au Commissioner, comme le RGPD
• Pour l'IA spécifiquement : disclosures de prise de décision automatisée (Article 21)

Le DIFC opère aussi sous le UAE Federal Decree Law No. 45 of 2021 plus large sur la donnée personnelle — donc les déploiements inter-Émirats doivent satisfaire les deux.

Ce qui est en fait du bruit

Des choses qu'on cite dans les checklists de conformité mais qui n'importent pas tant :

• Des politiques longues que personne ne lit. Les auditeurs préfèrent une politique de 5 pages qui est suivie à une de 50 pages qui est ignorée.
• Des outils achetés pour « être conforme » mais pas intégrés. Vanta et Drata sont utiles ; les acheter sans les connecter est pire que rien.
• Des « AI ethics statements » sans accroche opérationnelle. Si le statement ne mappe pas à un contrôle que quelqu'un peut auditer, ça ne compte pas.

L'ordre qu'on recommande

Pour une startup IA early-stage vendant à de l'entreprise :

1. Mois 1–3 : contrôles fondamentaux — MFA, politiques d'accès saines, défauts de chiffrement, runbook d'incident
2. Mois 3–6 : prendre SOC 2 Type 1 si vos acheteurs sont US-lourds, ISO 27001 si EU/MENA-lourds
3. Mois 6–18 : aller vers Type 2 / certification complète
4. Mois 12+ : ajouter ISO 42001 si la gouvernance IA-spécifique devient une demande acheteur

À retenir

La conformité n'est pas une chose. C'est trois ou quatre régimes qui se chevauchent, chacun vérifiant une tranche différente de votre opération. Sachez ce que chacun veut vraiment avant de vous engager sur l'audit — et souvenez-vous qu'une politique serrée de 5 pages qu'on vit bat une belle de 50 pages à chaque fois.