Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Vanta est une plateforme américaine d'automatisation de la conformité qui aide les entreprises à préparer et maintenir SOC 2, ISO 27001, ISO 27701, HIPAA, PCI DSS, RGPD et plus de 30 autres référentiels. Elle se connecte à vos clouds, systèmes d'identité, dépôts de code et outils RH pour vérifier les contrôles en continu. Vanta traite l'annuaire des salariés, l'inventaire des systèmes, les résultats de vulnérabilité et la preuve d'acceptation des politiques, ce qui en fait un sous-traitant de conformité critique qui doit lui-même être conforme au RGPD.
Vanta est une plateforme d'automatisation de la conformité éditée par Vanta Inc. (San Francisco) conçue pour mener les SaaS aux audits SOC 2, ISO 27001 et autres. Elle se connecte à plus de 200 systèmes (AWS, GCP, Azure, Microsoft 365, Google Workspace, Okta, JumpCloud, GitHub, Jira, Slack et bien d'autres) via des intégrations lecture seule et vérifie en continu la mise en place des contrôles. Vanta gère également les politiques internes, les évaluations de risques fournisseurs, la formation des salariés et la collecte des preuves d'audit.
Vanta traite les attributs annuaire (nom, email pro, rôle, dates d'entrée/sortie, manager), l'inventaire des postes via MDM (laptops, OS, chiffrement, verrouillage écran), les enregistrements de formation, les preuves d'acceptation des politiques, des captures de revues d'accès, les métadonnées de configuration cloud (pas de données de production, uniquement configuration des ressources), les résultats de scan de vulnérabilité depuis les scanners connectés et les questionnaires fournisseurs. Les charges sensibles (données de production, données clients) sont hors scope mais peuvent fuir via les métadonnées si les scopes sont trop larges.
Vanta est sous-traitant de données personnelles de salariés au sens du RGPD. Le client (employeur) est responsable et doit signer le DPA Vanta, documenter le traitement dans son registre et informer les salariés. Vanta étant elle-même un outil de conformité, elle publie des rapports ISO 27001 et SOC 2 détaillés sur elle-même, ce qui facilite la due diligence du responsable. En revanche, l'ampleur des intégrations et la dimension supervision (formation, revues d'accès) imposent généralement une AIPD.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Les données salariés dans Vanta sont traitées au titre de l'art. 6(1)(b) (contrat de travail) et de l'art. 6(1)(f) (intérêt légitime sécurité/conformité), pas du consentement. En France et en Allemagne, le CSE/Betriebsrat doit être informé et consulté au titre de l'art. 88 RGPD et du droit du travail national lorsque Vanta active une supervision machine ou comportementale. Le consentement n''est pas requis pour le fonctionnement, mais une information préalable l''est.
Vanta est hébergé par défaut sur AWS us-west. Une région UE (AWS Ireland ou Frankfurt selon disponibilité) est sélectionnable pour les clients ayant des exigences strictes de résidence. Pour les déploiements US, les CCT s'appliquent et Vanta est certifié au Data Privacy Framework UE, États-Unis. Réalisez une AIT et documentez les mesures techniques et organisationnelles (chiffrement transit/repos, scopes d'intégration gérés par le client, tokens audit limités).
Signez le DPA Vanta, sélectionnez la région UE si possible, documentez Vanta dans votre registre, informez les salariés via la notice interne, restreignez chaque intégration au strict nécessaire (lecture seule, permissions minimales), imposez MFA et SSO en admin Vanta, menez une AIT pour les déploiements US, menez une AIPD à grande échelle, alignez la rétention des preuves de formation et de politiques aux exigences d'audit et examinez les changements de sous-traitants notifiés par Vanta.
Les sites web utilisant Vanta doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Vanta collecte un volume conséquent de données via plus de 200 intégrations : annuaire (nom, email, rôle, manager, date d'entrée, date de sortie), inventaire des postes (laptops, mobiles avec données MDM), métadonnées de dépôts (commits, contributeurs, protections de branche), captures de configuration cloud (AWS, GCP, Azure), résultats de scans de vulnérabilité, revues d'accès, preuves de formation et signatures de politiques. Points clés AIPD : (1) Vanta a un accès en lecture à de nombreux systèmes internes, ce qui en fait un sous-traitant privilégié ; (2) les enregistrements de formation et revues d'accès peuvent influencer les décisions RH ; (3) les tokens d'intégration donnent à Vanta un accès qui peut dépasser le strict besoin de preuves ; (4) certains auditeurs ont un accès lecture seule à votre workspace Vanta, créant des flux ultérieurs ; (5) les changements de sous-traitants (OpenAI pour les fonctions IA Vanta) introduisent un risque supplémentaire de transfert.
Exemple de texte de consentement
Vanta est utilisé par votre employeur pour automatiser la conformité et la supervision sécurité. Vanta traite vos informations de compte professionnel, l'inventaire de votre appareil et vos enregistrements de formation sécurité pour démontrer le respect de référentiels comme SOC 2 et ISO 27001. Les données peuvent être transférées vers les serveurs Vanta aux États-Unis (ou en région UE si votre employeur l'a choisi). Consultez la notice de confidentialité interne pour les détails.
Domaines tiers contactes
vanta.comapp.vanta.comapi.vanta.comcdn.vanta.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _vanta_session | Strictly Necessary | Session | Vanta admin application session cookie used to maintain authenticated state during a login. |
| csrf_token | Strictly Necessary | Session | Cross site request forgery protection token used to prevent unauthorised state changing requests. |
| _vanta_marketing | Marketing | 1 year | Used on the public marketing site at vanta.com (not on customer admin app) to attribute leads and track campaign performance. |
Vanta est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.
Vanta n'est pas un widget front sur les sites clients et ne dépose pas de cookies sur les visiteurs publics. L'application admin Vanta (app.vanta.com) dépose des cookies de session et CSRF sur ce domaine, mais uniquement pour les admins et salariés authentifiés, pas pour des visiteurs externes.
Non, le consentement n'est pas la base. Vanta traite les données des salariés au titre de l'art. 6(1)(b) (contrat de travail) et de l'art. 6(1)(f) (intérêt légitime sécurité/conformité). Les salariés doivent être informés via la notice interne ; une consultation du CSE peut être nécessaire selon la juridiction.
Pour l'identité collaborateurs et les preuves de conformité, l'exécution du contrat et l'intérêt légitime à la sécurité et la conformité réglementaire. Pour la consultation des logs par des auditeurs externes invités dans Vanta, une finalité supplémentaire doit être documentée et les salariés informés.
Oui par défaut. Vanta est hébergé sur AWS us-west par défaut. Une région UE est disponible pour les clients exigeant la résidence. Pour les déploiements US, les transferts s'appuient sur les CCT et le Data Privacy Framework UE, États-Unis pour lequel Vanta est certifié.
Une AIPD est recommandée lorsque Vanta se connecte à de nombreux systèmes et agrège des données salariés étendues, en particulier en secteur régulé. L'étendue des intégrations, la dimension supervision (formation, revues d'accès) et toute fonctionnalité IA renforcent le besoin d'AIPD au titre de l'art. 35 RGPD.
Signez le DPA Vanta, choisissez la région UE si possible, menez une AIT pour les déploiements US, documentez Vanta dans votre registre, informez les salariés via la notice interne, restreignez chaque intégration au strict nécessaire (lecture seule, permissions minimales), imposez MFA et SSO en admin Vanta, menez une AIPD, alignez la rétention des preuves au calendrier d'audit et examinez les changements de sous-traitants.
Les alternatives basées dans l'UE ou hybrides incluent Drata (US avec résidence UE disponible), Sprinto (avec options UE), Secureframe (US avec résidence UE), Tugboat Logic, et côté open source, l'écosystème Open Policy Agent avec collecte de preuves sur mesure. Pour une résidence UE pure, Drata EU ou l'automatisation interne sont les options les plus fortes.
Indiquez que Vanta Inc. est le sous-traitant pour l'automatisation de la conformité, listez les catégories de données traitées (attributs de compte, inventaire des postes, preuves de formation et politiques, captures de revues d'accès), la base légale (contrat, intérêt légitime), la durée de conservation (selon Vanta et votre calendrier d'audit), la région d'hébergement (US ou UE), le mécanisme de transfert (CCT, Data Privacy Framework) et la manière d'exercer les droits RGPD.