salle virtuelleFR · 2026
Audit sécurité · Édition 2026

Papermark,
sous la loupe.

Examen éditorial point par point des informations publiques de www.papermark.com/fr. Ce que l'éditeur déclare, ce qui tient, ce qu'il convient de faire préciser avant contractualisation.

Auto-hébergeable en FranceÉtats-UnisUE
A
Note globale

Socle solide, transparence au-dessus de la moyenne — code public et auto-hébergement documenté.

Seule plateforme de l'annuaire à proposer un code source public et l'auto-hébergement — une transparence rarissime dans la catégorie.

01

Chiffrement & architecture

  • Chiffrement au reposConformeAES-256 au repos
  • Chiffrement en transitConformeTLS 1.2 en transit
02

Résidence des données

  • Région principaleConformeUE — hébergement UE ou multi-région.
  • Options régionalesVérifiéPlusieurs régions disponibles : UE, États-Unis, multi-région.
03

Accès & contrôle des lecteurs

  • Double authentificationConforme2FA disponible sur les offres standard.
  • SSO entreprise (SAML)ConformeSAML SSO pour intégration Okta / Microsoft Entra / Google Workspace.
  • Filigranes dynamiquesConformeFiligrane e-mail et nom du lecteur, dissuasion des fuites.
  • Journal d'auditConformeJournal exportable, tracé par utilisateur et par document.
  • Révocation & DRMConformeRévocation immédiate possible, y compris après téléchargement sur les fichiers compatibles.
04

Certifications & conformité

  • SOC 2 Type IIConformeAudit indépendant Trust Services Criteria étalé sur plusieurs mois — le niveau le plus exigeant.
  • RGPDVérifiéRèglement général sur la protection des données — cadre européen.
  • CCPAVérifiéDroits des résidents californiens respectés.
  • HIPAAVérifiéCouverture des données de santé américaines.
05

Transparence & disponibilité

  • Code source publicBonusDépôt public auditable par toute DSI — chaîne de dépendances traçable, builds reproductibles.
  • Auto-hébergementBonusDéploiement possible sur infrastructure propre — cloud souverain français compatible (OVHcloud, Scaleway, 3DS Outscale, etc.).
  • RGPDConformeConformité RGPD affichée publiquement, DPA disponible.
06

À faire préciser

  1. Date du dernier rapport d'attestation (SOC 2 Type II, ISO 27001, ou certification équivalente) — fenêtre active à confirmer par écrit.
  2. Contrat de sous-traitance (DPA) — vérifier la liste des sous-traitants, notamment e-mail et notifications.
  3. Région d'hébergement contractuelle — figer la région dans le contrat, surtout pour les éditeurs multi-régions.
  4. SLA et chemin d'escalade— temps de réponse en cas d'incident pendant une due diligence active.
  5. Auto-hébergement— étudier la distribution communautaire et les playbooks d'exploitation pour un déploiement sur cloud souverain français.
  6. Qualification SecNumCloud— non détenue, orienter vers Oodrive ou Docaposte si votre cahier des charges l'exige.
Avertissement

Cet audit est une synthèse éditoriale des informations publiques de l'éditeur. Il ne remplace ni une revue technique formelle, ni une analyse juridique. Pour un engagement contractuel, on se fondera sur les documents transmis directement par Papermark.

Autres audits

Oodrive

France (centres de données Oodrive) · 2000

Closd

France (OVHcloud · 2017

Docaposte

France (centres de données Docaposte) · 2005