Gorgias SOC 2 et sécurité : ce que ça couvre, et ce que ça ne couvre pas (2026)

Alicia Kirana Utomo
Écrit par

Alicia Kirana Utomo

Katelin Teen
Relu par

Katelin Teen

Dernière modification June 14, 2026

Vérifié par un expert
Illustration principale du guide sur le SOC 2 et la sécurité de Gorgias

En bref

Oui, Gorgias est conforme à SOC 2, et de la bonne manière : SOC 2 Type II, audité de façon indépendante et renouvelé chaque année depuis 2022, avec le dernier rapport daté du 12/31/2025. Vous pouvez demander le rapport via le Gorgias Trust Center, propulsé par Vanta.

SOC 2 Type II est la seule certification propre que Gorgias détient réellement. Le RGPD et le CCPA sont gérés contractuellement via son accord de traitement des données ; HIPAA et un BAA sont disponibles sur demande. L'ISO 27001 appartient à son hébergeur cloud (Google Cloud), pas à Gorgias lui-même, et il n'y a pas de certification PCI car les données de carte sont transmises à Stripe plutôt que stockées.

Ce que la plupart des acheteurs manquent : un badge SOC 2 prouve que les contrôles d'un fournisseur ont été audités, mais ne dit rien sur le fait que votre fournisseur d'IA s'entraîne ou non sur vos données, sur la façon dont vos données sont isolées, ou sur ce que votre agent d'IA peut faire. Pour une pile de support e-commerce qui alimente en 2026 une IA avec des données de commande en direct, ces questions comptent autant que le certificat, et ce sont celles que nous placerions en tête d'une revue de sécurité.

Ce que SOC 2 signifie vraiment (et ce que ça ne signifie pas)

SOC 2 est un cadre d'audit géré par l'American Institute of CPAs. Un auditeur indépendant évalue un fournisseur de logiciels par rapport à un ensemble de contrôles appelés Trust Services Criteria, puis délivre un rapport. Ce n'est pas une licence gouvernementale ni un simple tampon réussite/échec, c'est un rapport détaillé que l'acheteur doit lire.

La chose la plus utile à connaître est la différence entre les deux types de rapport, car les fournisseurs la brouillent constamment :

  • SOC 2 Type I confirme que les contrôles étaient conçus correctement un jour donné. C'est une photographie instantanée.
  • SOC 2 Type II confirme que ces contrôles ont réellement fonctionné efficacement sur une période de 6 à 12 mois. C'est un historique éprouvé.

Type II est celui qui compte vraiment, et c'est celui que détient Gorgias. Un rapport Type I peut s'obtenir en un après-midi de paperasse ; un Type II signifie qu'un auditeur a observé le fonctionnement des contrôles pendant presque une année entière.

Comparaison entre SOC 2 Type I et Type II, avec les cinq Trust Services Criteria
Comparaison entre SOC 2 Type I et Type II, avec les cinq Trust Services Criteria

Il existe cinq Trust Services Criteria qu'un auditeur peut couvrir : Security, Availability, Processing Integrity, Confidentiality et Privacy. Seul Security (les « Common Criteria ») est obligatoire, les quatre autres sont inclus à la discrétion du fournisseur, ce qui est une raison de lire le rapport réel plutôt que de se fier au logo. Si vous voulez d'abord approfondir la plateforme elle-même, notre avis sur Gorgias couvre ce que le produit fait au quotidien.

Gorgias est-il conforme à SOC 2 ? Oui, Type II

Gorgias détient SOC 2 Type II et le renouvelle chaque année. Son Trust Center indique que le dernier renouvellement a été accordé le 11/30/2024 et qu'il s'agit de sa quatrième année consécutive, et liste un rapport téléchargeable intitulé « Gorgias SOC 2 Type II Report 12.31.2025.pdf ». Gorgias a annoncé la certification pour la première fois après un audit indépendant de six mois, avec des renouvellements en continu depuis 2022. (La date du 11/30/2024 correspond au moment où le renouvellement le plus récent a été accordé ; le nom du fichier du rapport reflète simplement la période d'audit couverte, jusqu'au 12/31/2025.) Pour en savoir plus sur l'entreprise derrière le badge, consultez notre article sur qui possède Gorgias.

Gorgias Trust Center affichant son statut SOC 2 Type II et ses badges de conformité, tel que vu sur Gorgias

Le Trust Center fonctionne sur Vanta, ce qui signifie que les contrôles derrière le badge sont surveillés en continu plutôt que vérifiés une fois par an puis oubliés. C'est bon signe : c'est la différence entre un fournisseur qui traite la conformité comme un système vivant et un fournisseur qui la traite comme un exercice annuel. La même logique s'applique à tout agent de support par IA que vous évaluez : une surveillance continue vaut mieux qu'un PDF périmé.

Comment obtenir le rapport SOC 2 de Gorgias

Le rapport lui-même se trouve derrière une courte demande, ce qui est normal, les rapports SOC 2 contiennent suffisamment de détails internes pour que les fournisseurs les publient rarement ouvertement. Voici la marche à suivre :

  1. Ouvrez le Gorgias Trust Center et trouvez le document verrouillé « SOC 2 Type II Report ».
  2. Soumettez un formulaire « Request Access » (la page sécurité redirige la même demande via le portail Vanta). Vous pouvez aussi écrire à security@gorgias.com.
  3. Si vous êtes déjà sur un plan payant, il existe un raccourci. La section 8 du DPA de Gorgias permet à un client d'accepter un rapport SOC 2 Type II à jour au lieu de mener son propre audit sur site, à condition qu'il date de moins de 12 mois et qu'il n'y ait eu aucun changement significatif des contrôles.

Ce troisième point est plus précieux qu'il ne paraît. Pour une petite équipe e-commerce, un rapport SOC 2 Type II fourni par le vendeur constitue souvent toute la revue de sécurité, on le lit au lieu de commander la sienne. Le même Trust Center verrouille aussi un rapport de test d'intrusion, un plan de réponse aux incidents et une politique de cryptographie si votre équipe achats veut le dossier complet.

Le tableau complet de conformité de Gorgias

C'est ici que le marketing et la réalité divergent un peu. De nombreuses affirmations du type « Gorgias est de niveau entreprise » circulent, il vaut donc la peine de préciser exactement quelles certifications appartiennent réellement à Gorgias et lesquelles reviennent à un autre acteur de la pile technique.

RéférentielStatut chez GorgiasCe qu'il y a réellement derrière
SOC 2 Type II✅ Détenu, renouvelé chaque année (4ᵉ année)Certification propre ; rapport daté du 12/31/2025, via le Trust Center
SOC 2 Type IDépasséGorgias détient le Type II, plus solide ; aucun Type I autonome mis en avant
RGPD✅ ConformeDPA public avec clauses contractuelles types UE/UK/Suisse
CCPA / vie privée US✅ ConformeBadge « CCPA Compliant » sur le Trust Center ; inscrit dans le DPA
HIPAA + BAA⚠️ Disponible sur demandeProposé, mais le rapport et le BAA sont verrouillés derrière une demande d'accès
ISO 27001❌ Pas propre à GorgiasAppartient à Google Cloud, son hébergeur, pas à Gorgias
PCI DSS❌ Non détenuLes données de carte ne sont pas stockées ; les paiements sont délégués à Stripe

Le résumé honnête, donc : SOC 2 Type II est la certification que Gorgias détient et fait auditer ; le RGPD, le CCPA et HIPAA sont gérés de façon contractuelle et opérationnelle plutôt que comme des certificats distincts ; et l'ISO 27001 ainsi que la PCI DSS n'appartiennent pas à Gorgias. Rien de tout cela n'est un reproche, c'est une posture normale et solide pour un helpdesk e-commerce. Cela signifie simplement que vous devriez citer le rapport SOC 2 Type II, pas un badge ISO 27001, lorsque vous rédigez votre revue de fournisseur. (Si le coût de tout cela est votre véritable question, notre guide des prix de Gorgias et le décryptage des limites de tickets de Gorgias couvrent le modèle de facturation.)

Au-delà du badge : comment Gorgias traite vos données

Un certificat est un résumé. La substance, c'est ce que le fournisseur fait de vos données quand personne n'audite, et le livre blanc sécurité 2025 de Gorgias ainsi que son DPA sont raisonnablement précis à ce sujet.

Page sécurité de Gorgias détaillant le chiffrement, l'hébergement et les contrôles d'accès, telle que vue sur Gorgias

Chiffrement. Gorgias envoie les données « exclusivement via des connexions chiffrées HTTPS TLS », et toutes les données sur ses serveurs sont chiffrées au repos avec des clés gérées dans le service de gestion des clés de Google Cloud. Une petite mise en garde pour les plus rigoureux : les pages de Gorgias elles-mêmes parlent de « chiffré au repos » sans nommer un chiffrement spécifique comme AES-256, donc si votre équipe sécurité a besoin de ce détail par écrit, demandez-le directement.

Hébergement et résidence des données. Gorgias fonctionne sur Google Cloud Platform, pas AWS, ce qui est l'hypothèse de départ de beaucoup d'acheteurs. Les sauvegardes chiffrées sont conservées sur plusieurs régions Google Cloud, et la liste des sous-traitants montre que Google Cloud couvre les États-Unis, l'UE et l'Australie. Ce que Gorgias ne promet pas publiquement, c'est une option de résidence strictement en UE pour un seul client, donc si la résidence des données est une exigence absolue pour vous, faites-le confirmer par écrit avant de signer.

Où vos données voyagent réellement. C'est la partie qu'un badge SOC 2 seul ne vous montre pas. Les données de support de vos clients ne restent pas seulement dans Gorgias, elles circulent vers une liste de sous-traitants nommés, et c'est exactement ce que SOC 2 est censé encadrer.

Où voyagent les données de support Gorgias : du message de l'acheteur vers le helpdesk Gorgias sur Google Cloud, puis vers les sous-traitants OpenAI, Stripe et Twilio
Où voyagent les données de support Gorgias : du message de l'acheteur vers le helpdesk Gorgias sur Google Cloud, puis vers les sous-traitants OpenAI, Stripe et Twilio

La liste des sous-traitants (mise à jour pour la dernière fois le 30 mars 2026) inclut OpenAI pour les fonctions d'IA, Stripe pour les paiements, Twilio pour le SMS et la voix, ainsi que Cloudflare, Datadog et d'autres. Pour la plupart d'entre eux, les données résident aux États-Unis, ce qui explique le mécanisme de transfert UE prévu dans le DPA. Chose utile, la section 5 du DPA vous accorde un préavis de 15 jours pour tout nouveau sous-traitant et une fenêtre de 10 jours pour vous y opposer sur des motifs de protection des données.

Notification de violation et suppression. Deux chiffres à connaître. En cas de violation de sécurité, Gorgias s'engage à vous prévenir dans un délai fixe :

"[We] notify Customer of a Security Breach without undue delay, and in any event within 72 hours after becoming aware of it."

Cette ligne provient de la section 6 du DPA de Gorgias. Et à la sortie, la section 9 engage Gorgias à restituer et supprimer vos données personnelles dans les 90 jours suivant la fin du contrat, bien que des copies de sauvegarde puissent persister pendant une durée raisonnable avant de disparaître. Si vous voulez le guide pratique pour demander une suppression, nous avons rédigé un guide séparé sur le RGPD et la suppression des données chez Gorgias.

Tests. Gorgias réalise des tests d'intrusion en boîte grise annuels et publie une page de statut publique pour les incidents. Une incohérence que nous signalons honnêtement : le livre blanc 2025 décrit un programme privé de chasse aux bugs actif, tandis que la page sécurité en direct indique que le programme de chasse aux bugs est « actuellement en pause ». Mineur, mais le genre de détail qu'un examinateur attentif remarque. Pour ce que ça vaut, nous n'avons trouvé aucune trace publique d'une véritable violation de données chez Gorgias.

Contrôles d'accès : SSO, SAML et 2FA

Les certificats de conformité couvrent le back-end. Au quotidien, le contrôle de sécurité que votre équipe touche, c'est la connexion, et là, Gorgias est plus généreux que la plupart des helpdesks au niveau d'entrée.

ContrôleDisponibilité
SSO Google et Microsoft 365✅ Tous les plans Helpdesk
SAML SSO personnalisé (Okta, JumpCloud)Configuration « SSO personnalisé » séparée (palier non précisé publiquement)
Authentification à deux facteurs (2FA)En libre-service ; les administrateurs peuvent l'imposer, avec un délai de grâce de 14 jours
Permissions basées sur les rôles✅ Disponible
Vérification par e-mail en secoursDéclenchée lors de nouveaux emplacements / IP inutilisées depuis 30 jours

Ce qui se distingue, c'est que le SSO Google et Microsoft est disponible sur tous les plans Helpdesk, sans être réservé à un palier entreprise, ce qui est une bonne décision. Le SAML SSO personnalisé via des fournisseurs comme Okta fait l'objet d'une configuration séparée, et la documentation de Gorgias n'indique pas publiquement quel palier payant il requiert, donc demandez si le SAML est indispensable pour vous. Les administrateurs peuvent aussi rendre la 2FA obligatoire pour tout l'espace de travail avec un délai de grâce de mise en application de 14 jours, et configurer l'inscription automatique par domaine e-mail approuvé. Si vous administrez le compte, notre guide de connexion Gorgias couvre les bases de l'accès.

SOC 2, c'est le minimum, pas toute l'histoire

Voici le recadrage que nous aimerions que tout fondateur e-commerce retienne. Un rapport SOC 2 Type II est nécessaire, et Gorgias en a un bon. Mais en 2026, votre outil de support ne fait plus que stocker des tickets, il fait tourner un agent de support IA Gorgias qui lit les données de commande Shopify, émet des remboursements et modifie des abonnements. Le badge audite les contrôles du fournisseur ; il ne répond pas à ce que fait son IA de vos données.

Ce qu'un badge SOC 2 confirme par rapport aux questions qu'il ne peut pas répondre sur un fournisseur de support par IA
Ce qu'un badge SOC 2 confirme par rapport aux questions qu'il ne peut pas répondre sur un fournisseur de support par IA

Trois questions sortent du cadre d'un rapport SOC 2 standard, et ce sont celles que nous poserions à tout fournisseur de support par IA, Gorgias inclus :

  • Le fournisseur (ou son sous-traitant IA) entraîne-t-il des modèles sur vos données ? Gorgias utilise OpenAI comme sous-traitant ; les conditions d'API d'OpenAI indiquent que les données professionnelles ne sont pas utilisées pour l'entraînement, mais vous devriez confirmer explicitement cette chaîne plutôt que de la supposer.
  • À quel point vos données sont-elles isolées des autres clients ? Le SaaS multi-tenant est normal, mais la rigueur de l'isolation varie et elle est rarement détaillée sur une page marketing.
  • Que peut réellement voir et faire l'agent d'IA ? Un agent capable d'émettre des remboursements et de lire l'historique de commande de chaque client représente une surface de sécurité plus large qu'un chatbot qui répond à des FAQ. Limiter le périmètre est une fonctionnalité de sécurité.

Ce ne sont pas des raisons d'éviter Gorgias, ce sont les standards que vous appliqueriez à tout helpdesk IA, et il vaut la peine de les intégrer à votre liste de contrôle fournisseur en plus du rapport SOC 2. Si vous comparez des options sur cet axe, notre comparatif des meilleurs logiciels de helpdesk IA pèse la gestion des données, pas seulement les fonctionnalités. Nous faisons de même dans notre guide sur la meilleure IA pour le support Shopify.

Essayer eesel

Si vous évaluez une couche de support par IA en gardant ces trois questions à l'esprit, c'est exactement l'angle pour lequel eesel est conçu. eesel exécute des agents d'IA autonomes au sein des helpdesks que vous utilisez déjà, et traite la gestion des données comme une fonctionnalité de premier plan : vos données ne sont jamais utilisées pour entraîner un quelconque modèle, chaque espace de travail est entièrement isolé de tout autre client, et vous contrôlez précisément ce que l'agent peut voir et faire via une configuration de simulation et de délimitation du périmètre avant qu'il ne touche un ticket en direct.

Page sécurité d'eesel affichant les badges de confiance RGPD, CCPA et Vanta, ainsi que son engagement à ne pas entraîner de modèles

Côté conformité, eesel est conforme au RGPD et au CCPA avec des DPA standards et personnalisés, honore les demandes de suppression dans un délai de 60 jours, et est en cours de certification SOC 2 Type II sous surveillance continue Vanta (le rapport complet sera disponible sous NDA à l'achèvement). Vous pouvez lire les détails sur la page sécurité d'eesel ou démarrer gratuitement et délimiter le périmètre d'un agent sur vos propres données d'abord. Pour le volet coût de la comparaison, notre décryptage des prix de Gorgias détaille ce que l'agent d'IA vous coûte réellement.

Questions fréquentes

Gorgias est-il conforme à SOC 2 ?
Oui. Gorgias détient SOC 2 Type II et le renouvelle chaque année depuis 2022, le rapport le plus récent étant daté du 12/31/2025. Type II est le plus solide des deux rapports SOC 2 car il vérifie si les contrôles ont réellement fonctionné sur une période de 6 à 12 mois, pas seulement s'ils étaient correctement conçus un jour donné.
Comment obtenir une copie du rapport SOC 2 de Gorgias ?
Rendez-vous sur le Gorgias Trust Center, propulsé par Vanta, et demandez l'accès au PDF verrouillé « SOC 2 Type II Report », ou écrivez à security@gorgias.com. Si vous êtes déjà client, le DPA de Gorgias vous permet d'accepter ce rapport à la place de mener votre propre audit.
Gorgias est-il conforme au RGPD et à HIPAA ?
Gorgias est conforme au RGPD et au CCPA, avec un accord de traitement des données public couvrant les transferts UE, Royaume-Uni et Suisse via des clauses contractuelles types. La conformité HIPAA et un accord d'association commerciale sont proposés, mais tous deux nécessitent une demande d'accès plutôt que d'être publiés ouvertement. Nous traitons le volet suppression des données dans notre guide sur la conformité RGPD de Gorgias.
Où Gorgias stocke-t-il mes données ?
Gorgias est hébergé sur Google Cloud Platform (et non sur AWS, malgré une hypothèse répandue), avec des données chiffrées en transit via TLS et chiffrées au repos grâce au service de gestion des clés de Google Cloud. Les sauvegardes sont conservées sur plusieurs régions Google Cloud. Les pages publiques de Gorgias ne garantissent pas d'option de résidence des données strictement en UE pour un compte donné, donc confirmez-le directement si la résidence des données est une exigence absolue pour vous.
Un badge SOC 2 suffit-il pour faire confiance à un outil de support par IA ?
Pas seul. Un rapport SOC 2 vous indique que les contrôles de sécurité d'un fournisseur ont été audités de manière indépendante, mais il ne vous dit pas si votre fournisseur d'IA entraîne ses modèles sur vos données, à quel point les données de chaque client sont isolées, ou ce que votre agent d'IA a le droit de voir et de faire. Ce sont des questions distinctes qu'il vaut la peine de poser à tout fournisseur d'agent de support par IA, et c'est exactement l'approche adoptée par eesel en matière de sécurité.

Share this article

Alicia Kirana Utomo

Article by

Alicia Kirana Utomo

Kira is a writer at eesel AI with a Computer Science background and over a year of hands-on experience evaluating AI-powered customer service tools. She focuses on breaking down how helpdesk platforms and AI agents actually work so that support teams can make better buying decisions.

Related Posts

All posts →
Illustration du widget de chat web Gorgias pour le chat en direct et le support IA sur Shopify
Guides

Widget de chat web Gorgias : le guide complet de l'installation, de l'IA et des coûts en 2026

Comment fonctionne le widget de chat web Gorgias, comment l'installer et le personnaliser sur Shopify, ce que son AI Agent peut et ne peut pas faire, et ce qu'il coûte réellement.

Riellvriany IndriawanRiellvriany IndriawanJun 15, 2026
Banniere illustree pour un panorama des tarifs Gorgias AI, aux couleurs corail de Gorgias
Guides

Tarifs Gorgias AI : guide complet des couts pour 2026

Un panorama complet 2026 des tarifs Gorgias AI : les plans bases sur les tickets, le module AI Agent a 0,90 $ par resolution, la double facturation cachee, et ce que vous payez vraiment.

Riellvriany IndriawanRiellvriany IndriawanJun 15, 2026
Gorgias pour Shopify : helpdesk e-commerce, chat en direct et agent de support IA
Guides

Gorgias pour Shopify : fonctionnalités, tarifs et agent IA, passés en revue (2026)

Comment Gorgias fonctionne pour les boutiques Shopify : l'intégration native des commandes, le chat en direct, l'automatisation par agent IA, les vrais tarifs avec un exemple chiffré, et là où il pèche.

Riellvriany IndriawanRiellvriany IndriawanJun 12, 2026
Bannière hero illustrée pour un comparatif des 7 meilleures alternatives à Gorgias en 2026
Guides

7 meilleures alternatives à Gorgias en 2026

Gorgias est conçu pour Shopify, mais son modèle de tarification basé sur les tickets devient difficile à justifier dès que vous grandissez. Nous avons testé 7 alternatives - des plus accessibles aux solutions entreprise - pour vous aider à trouver celle qui vous convient.

Alicia Kirana UtomoAlicia Kirana UtomoJun 14, 2026
Diagramme de workflow d'automatisation Gorgias Shopify avec les logos Gorgias et Shopify
Guides

Comment configurer l'automatisation Gorgias Shopify (guide complet pour 2026)

Gorgias propose quatre couches d'automatisation distinctes pour les boutiques Shopify. Voici comment chacune fonctionne, laquelle configurer en premier et où elles atteignent leurs limites.

Stevia PutriStevia PutriJun 2, 2026
Illustration d'une boutique Shopify avec la bulle de chat Gorgias dans un coin de l'écran
Guides

La bulle de chat Gorgias pour Shopify : guide complet d'installation et de personnalisation (2026)

Tout ce que les marchands Shopify doivent savoir sur la bulle de chat Gorgias - comment l'installer correctement, la personnaliser, résoudre les pannes et rendre l'IA vraiment utile.

Stevia PutriStevia PutriJun 2, 2026
Image de bannière pour Gorgias AI contre Tidio AI : Quelle plateforme de support client gagnera en 2026 ?
Guides

Gorgias AI contre Tidio AI : Quelle plateforme de support client gagnera en 2026 ?

Une comparaison détaillée de Gorgias AI et Tidio AI, couvrant les prix, les fonctionnalités d'IA et les cas d'utilisation pour vous aider à choisir la bonne plateforme de support client.

Stevia PutriStevia PutriMar 16, 2026
Qu'est-ce que Lakera ? Un aperçu de la plateforme de sécurité IA
Guides

Qu'est-ce que Lakera ? Le guide de la plateforme de sécurité AI (2026)

Vous envisagez d'utiliser Lakera pour sécuriser vos applications IA ? Dans ce guide, nous détaillons ses fonctionnalités clés, ses tarifs et ses cas d'utilisation concrets. Nous explorerons comment Lakera protège contre les menaces telles que l'injection de prompt et la fuite de données, et ce que la récente acquisition par Check Point signifie pour la plateforme. Découvrez si c'est la solution idéale pour votre pile de sécurité IA.

Kenneth PanganKenneth PanganOct 3, 2025
IA pour la surveillance de la conformité : Un guide pratique pour rester en avance en 2025
Guides

L'AI pour la surveillance de conformité : Un guide pratique 2026

Restez conforme grâce à une surveillance alimentée par l'IA qui suit automatiquement les réglementations, signale les risques potentiels et garantit que votre équipe respecte constamment les normes.

Stevia PutriStevia PutriAug 22, 2025

Prêt à recruter votre collègue IA ?

Configuration en quelques minutes. Pas de carte bancaire requise.

Commencer gratuitement