
En bref
Oui, Gorgias est conforme à SOC 2, et de la bonne manière : SOC 2 Type II, audité de façon indépendante et renouvelé chaque année depuis 2022, avec le dernier rapport daté du 12/31/2025. Vous pouvez demander le rapport via le Gorgias Trust Center, propulsé par Vanta.
SOC 2 Type II est la seule certification propre que Gorgias détient réellement. Le RGPD et le CCPA sont gérés contractuellement via son accord de traitement des données ; HIPAA et un BAA sont disponibles sur demande. L'ISO 27001 appartient à son hébergeur cloud (Google Cloud), pas à Gorgias lui-même, et il n'y a pas de certification PCI car les données de carte sont transmises à Stripe plutôt que stockées.
Ce que la plupart des acheteurs manquent : un badge SOC 2 prouve que les contrôles d'un fournisseur ont été audités, mais ne dit rien sur le fait que votre fournisseur d'IA s'entraîne ou non sur vos données, sur la façon dont vos données sont isolées, ou sur ce que votre agent d'IA peut faire. Pour une pile de support e-commerce qui alimente en 2026 une IA avec des données de commande en direct, ces questions comptent autant que le certificat, et ce sont celles que nous placerions en tête d'une revue de sécurité.
Ce que SOC 2 signifie vraiment (et ce que ça ne signifie pas)
SOC 2 est un cadre d'audit géré par l'American Institute of CPAs. Un auditeur indépendant évalue un fournisseur de logiciels par rapport à un ensemble de contrôles appelés Trust Services Criteria, puis délivre un rapport. Ce n'est pas une licence gouvernementale ni un simple tampon réussite/échec, c'est un rapport détaillé que l'acheteur doit lire.
La chose la plus utile à connaître est la différence entre les deux types de rapport, car les fournisseurs la brouillent constamment :
- SOC 2 Type I confirme que les contrôles étaient conçus correctement un jour donné. C'est une photographie instantanée.
- SOC 2 Type II confirme que ces contrôles ont réellement fonctionné efficacement sur une période de 6 à 12 mois. C'est un historique éprouvé.
Type II est celui qui compte vraiment, et c'est celui que détient Gorgias. Un rapport Type I peut s'obtenir en un après-midi de paperasse ; un Type II signifie qu'un auditeur a observé le fonctionnement des contrôles pendant presque une année entière.

Il existe cinq Trust Services Criteria qu'un auditeur peut couvrir : Security, Availability, Processing Integrity, Confidentiality et Privacy. Seul Security (les « Common Criteria ») est obligatoire, les quatre autres sont inclus à la discrétion du fournisseur, ce qui est une raison de lire le rapport réel plutôt que de se fier au logo. Si vous voulez d'abord approfondir la plateforme elle-même, notre avis sur Gorgias couvre ce que le produit fait au quotidien.
Gorgias est-il conforme à SOC 2 ? Oui, Type II
Gorgias détient SOC 2 Type II et le renouvelle chaque année. Son Trust Center indique que le dernier renouvellement a été accordé le 11/30/2024 et qu'il s'agit de sa quatrième année consécutive, et liste un rapport téléchargeable intitulé « Gorgias SOC 2 Type II Report 12.31.2025.pdf ». Gorgias a annoncé la certification pour la première fois après un audit indépendant de six mois, avec des renouvellements en continu depuis 2022. (La date du 11/30/2024 correspond au moment où le renouvellement le plus récent a été accordé ; le nom du fichier du rapport reflète simplement la période d'audit couverte, jusqu'au 12/31/2025.) Pour en savoir plus sur l'entreprise derrière le badge, consultez notre article sur qui possède Gorgias.
Le Trust Center fonctionne sur Vanta, ce qui signifie que les contrôles derrière le badge sont surveillés en continu plutôt que vérifiés une fois par an puis oubliés. C'est bon signe : c'est la différence entre un fournisseur qui traite la conformité comme un système vivant et un fournisseur qui la traite comme un exercice annuel. La même logique s'applique à tout agent de support par IA que vous évaluez : une surveillance continue vaut mieux qu'un PDF périmé.
Comment obtenir le rapport SOC 2 de Gorgias
Le rapport lui-même se trouve derrière une courte demande, ce qui est normal, les rapports SOC 2 contiennent suffisamment de détails internes pour que les fournisseurs les publient rarement ouvertement. Voici la marche à suivre :
- Ouvrez le Gorgias Trust Center et trouvez le document verrouillé « SOC 2 Type II Report ».
- Soumettez un formulaire « Request Access » (la page sécurité redirige la même demande via le portail Vanta). Vous pouvez aussi écrire à security@gorgias.com.
- Si vous êtes déjà sur un plan payant, il existe un raccourci. La section 8 du DPA de Gorgias permet à un client d'accepter un rapport SOC 2 Type II à jour au lieu de mener son propre audit sur site, à condition qu'il date de moins de 12 mois et qu'il n'y ait eu aucun changement significatif des contrôles.
Ce troisième point est plus précieux qu'il ne paraît. Pour une petite équipe e-commerce, un rapport SOC 2 Type II fourni par le vendeur constitue souvent toute la revue de sécurité, on le lit au lieu de commander la sienne. Le même Trust Center verrouille aussi un rapport de test d'intrusion, un plan de réponse aux incidents et une politique de cryptographie si votre équipe achats veut le dossier complet.
Le tableau complet de conformité de Gorgias
C'est ici que le marketing et la réalité divergent un peu. De nombreuses affirmations du type « Gorgias est de niveau entreprise » circulent, il vaut donc la peine de préciser exactement quelles certifications appartiennent réellement à Gorgias et lesquelles reviennent à un autre acteur de la pile technique.
| Référentiel | Statut chez Gorgias | Ce qu'il y a réellement derrière |
|---|---|---|
| SOC 2 Type II | ✅ Détenu, renouvelé chaque année (4ᵉ année) | Certification propre ; rapport daté du 12/31/2025, via le Trust Center |
| SOC 2 Type I | Dépassé | Gorgias détient le Type II, plus solide ; aucun Type I autonome mis en avant |
| RGPD | ✅ Conforme | DPA public avec clauses contractuelles types UE/UK/Suisse |
| CCPA / vie privée US | ✅ Conforme | Badge « CCPA Compliant » sur le Trust Center ; inscrit dans le DPA |
| HIPAA + BAA | ⚠️ Disponible sur demande | Proposé, mais le rapport et le BAA sont verrouillés derrière une demande d'accès |
| ISO 27001 | ❌ Pas propre à Gorgias | Appartient à Google Cloud, son hébergeur, pas à Gorgias |
| PCI DSS | ❌ Non détenu | Les données de carte ne sont pas stockées ; les paiements sont délégués à Stripe |
Le résumé honnête, donc : SOC 2 Type II est la certification que Gorgias détient et fait auditer ; le RGPD, le CCPA et HIPAA sont gérés de façon contractuelle et opérationnelle plutôt que comme des certificats distincts ; et l'ISO 27001 ainsi que la PCI DSS n'appartiennent pas à Gorgias. Rien de tout cela n'est un reproche, c'est une posture normale et solide pour un helpdesk e-commerce. Cela signifie simplement que vous devriez citer le rapport SOC 2 Type II, pas un badge ISO 27001, lorsque vous rédigez votre revue de fournisseur. (Si le coût de tout cela est votre véritable question, notre guide des prix de Gorgias et le décryptage des limites de tickets de Gorgias couvrent le modèle de facturation.)
Au-delà du badge : comment Gorgias traite vos données
Un certificat est un résumé. La substance, c'est ce que le fournisseur fait de vos données quand personne n'audite, et le livre blanc sécurité 2025 de Gorgias ainsi que son DPA sont raisonnablement précis à ce sujet.
Chiffrement. Gorgias envoie les données « exclusivement via des connexions chiffrées HTTPS TLS », et toutes les données sur ses serveurs sont chiffrées au repos avec des clés gérées dans le service de gestion des clés de Google Cloud. Une petite mise en garde pour les plus rigoureux : les pages de Gorgias elles-mêmes parlent de « chiffré au repos » sans nommer un chiffrement spécifique comme AES-256, donc si votre équipe sécurité a besoin de ce détail par écrit, demandez-le directement.
Hébergement et résidence des données. Gorgias fonctionne sur Google Cloud Platform, pas AWS, ce qui est l'hypothèse de départ de beaucoup d'acheteurs. Les sauvegardes chiffrées sont conservées sur plusieurs régions Google Cloud, et la liste des sous-traitants montre que Google Cloud couvre les États-Unis, l'UE et l'Australie. Ce que Gorgias ne promet pas publiquement, c'est une option de résidence strictement en UE pour un seul client, donc si la résidence des données est une exigence absolue pour vous, faites-le confirmer par écrit avant de signer.
Où vos données voyagent réellement. C'est la partie qu'un badge SOC 2 seul ne vous montre pas. Les données de support de vos clients ne restent pas seulement dans Gorgias, elles circulent vers une liste de sous-traitants nommés, et c'est exactement ce que SOC 2 est censé encadrer.

La liste des sous-traitants (mise à jour pour la dernière fois le 30 mars 2026) inclut OpenAI pour les fonctions d'IA, Stripe pour les paiements, Twilio pour le SMS et la voix, ainsi que Cloudflare, Datadog et d'autres. Pour la plupart d'entre eux, les données résident aux États-Unis, ce qui explique le mécanisme de transfert UE prévu dans le DPA. Chose utile, la section 5 du DPA vous accorde un préavis de 15 jours pour tout nouveau sous-traitant et une fenêtre de 10 jours pour vous y opposer sur des motifs de protection des données.
Notification de violation et suppression. Deux chiffres à connaître. En cas de violation de sécurité, Gorgias s'engage à vous prévenir dans un délai fixe :
"[We] notify Customer of a Security Breach without undue delay, and in any event within 72 hours after becoming aware of it."
Cette ligne provient de la section 6 du DPA de Gorgias. Et à la sortie, la section 9 engage Gorgias à restituer et supprimer vos données personnelles dans les 90 jours suivant la fin du contrat, bien que des copies de sauvegarde puissent persister pendant une durée raisonnable avant de disparaître. Si vous voulez le guide pratique pour demander une suppression, nous avons rédigé un guide séparé sur le RGPD et la suppression des données chez Gorgias.
Tests. Gorgias réalise des tests d'intrusion en boîte grise annuels et publie une page de statut publique pour les incidents. Une incohérence que nous signalons honnêtement : le livre blanc 2025 décrit un programme privé de chasse aux bugs actif, tandis que la page sécurité en direct indique que le programme de chasse aux bugs est « actuellement en pause ». Mineur, mais le genre de détail qu'un examinateur attentif remarque. Pour ce que ça vaut, nous n'avons trouvé aucune trace publique d'une véritable violation de données chez Gorgias.
Contrôles d'accès : SSO, SAML et 2FA
Les certificats de conformité couvrent le back-end. Au quotidien, le contrôle de sécurité que votre équipe touche, c'est la connexion, et là, Gorgias est plus généreux que la plupart des helpdesks au niveau d'entrée.
| Contrôle | Disponibilité |
|---|---|
| SSO Google et Microsoft 365 | ✅ Tous les plans Helpdesk |
| SAML SSO personnalisé (Okta, JumpCloud) | Configuration « SSO personnalisé » séparée (palier non précisé publiquement) |
| Authentification à deux facteurs (2FA) | En libre-service ; les administrateurs peuvent l'imposer, avec un délai de grâce de 14 jours |
| Permissions basées sur les rôles | ✅ Disponible |
| Vérification par e-mail en secours | Déclenchée lors de nouveaux emplacements / IP inutilisées depuis 30 jours |
Ce qui se distingue, c'est que le SSO Google et Microsoft est disponible sur tous les plans Helpdesk, sans être réservé à un palier entreprise, ce qui est une bonne décision. Le SAML SSO personnalisé via des fournisseurs comme Okta fait l'objet d'une configuration séparée, et la documentation de Gorgias n'indique pas publiquement quel palier payant il requiert, donc demandez si le SAML est indispensable pour vous. Les administrateurs peuvent aussi rendre la 2FA obligatoire pour tout l'espace de travail avec un délai de grâce de mise en application de 14 jours, et configurer l'inscription automatique par domaine e-mail approuvé. Si vous administrez le compte, notre guide de connexion Gorgias couvre les bases de l'accès.
SOC 2, c'est le minimum, pas toute l'histoire
Voici le recadrage que nous aimerions que tout fondateur e-commerce retienne. Un rapport SOC 2 Type II est nécessaire, et Gorgias en a un bon. Mais en 2026, votre outil de support ne fait plus que stocker des tickets, il fait tourner un agent de support IA Gorgias qui lit les données de commande Shopify, émet des remboursements et modifie des abonnements. Le badge audite les contrôles du fournisseur ; il ne répond pas à ce que fait son IA de vos données.

Trois questions sortent du cadre d'un rapport SOC 2 standard, et ce sont celles que nous poserions à tout fournisseur de support par IA, Gorgias inclus :
- Le fournisseur (ou son sous-traitant IA) entraîne-t-il des modèles sur vos données ? Gorgias utilise OpenAI comme sous-traitant ; les conditions d'API d'OpenAI indiquent que les données professionnelles ne sont pas utilisées pour l'entraînement, mais vous devriez confirmer explicitement cette chaîne plutôt que de la supposer.
- À quel point vos données sont-elles isolées des autres clients ? Le SaaS multi-tenant est normal, mais la rigueur de l'isolation varie et elle est rarement détaillée sur une page marketing.
- Que peut réellement voir et faire l'agent d'IA ? Un agent capable d'émettre des remboursements et de lire l'historique de commande de chaque client représente une surface de sécurité plus large qu'un chatbot qui répond à des FAQ. Limiter le périmètre est une fonctionnalité de sécurité.
Ce ne sont pas des raisons d'éviter Gorgias, ce sont les standards que vous appliqueriez à tout helpdesk IA, et il vaut la peine de les intégrer à votre liste de contrôle fournisseur en plus du rapport SOC 2. Si vous comparez des options sur cet axe, notre comparatif des meilleurs logiciels de helpdesk IA pèse la gestion des données, pas seulement les fonctionnalités. Nous faisons de même dans notre guide sur la meilleure IA pour le support Shopify.
Essayer eesel
Si vous évaluez une couche de support par IA en gardant ces trois questions à l'esprit, c'est exactement l'angle pour lequel eesel est conçu. eesel exécute des agents d'IA autonomes au sein des helpdesks que vous utilisez déjà, et traite la gestion des données comme une fonctionnalité de premier plan : vos données ne sont jamais utilisées pour entraîner un quelconque modèle, chaque espace de travail est entièrement isolé de tout autre client, et vous contrôlez précisément ce que l'agent peut voir et faire via une configuration de simulation et de délimitation du périmètre avant qu'il ne touche un ticket en direct.
Côté conformité, eesel est conforme au RGPD et au CCPA avec des DPA standards et personnalisés, honore les demandes de suppression dans un délai de 60 jours, et est en cours de certification SOC 2 Type II sous surveillance continue Vanta (le rapport complet sera disponible sous NDA à l'achèvement). Vous pouvez lire les détails sur la page sécurité d'eesel ou démarrer gratuitement et délimiter le périmètre d'un agent sur vos propres données d'abord. Pour le volet coût de la comparaison, notre décryptage des prix de Gorgias détaille ce que l'agent d'IA vous coûte réellement.
Questions fréquentes
Gorgias est-il conforme à SOC 2 ?
Gorgias est-il conforme au RGPD et à HIPAA ?
Où Gorgias stocke-t-il mes données ?
Un badge SOC 2 suffit-il pour faire confiance à un outil de support par IA ?

Article by
Alicia Kirana Utomo
Kira is a writer at eesel AI with a Computer Science background and over a year of hands-on experience evaluating AI-powered customer service tools. She focuses on breaking down how helpdesk platforms and AI agents actually work so that support teams can make better buying decisions.








Comment obtenir une copie du rapport SOC 2 de Gorgias ?