CONFIDENTIALITÉ · RGPD

Politique de confidentialité PennyPilot

Dernière mise à jour : 2026-06-02 · Applicable à la version remote v0.6.0 de PennyPilot et à l'ensemble des canaux IA compatibles (ChatGPT, Claude, Le Chat de Mistral).

PennyPilot est un connecteur MCP (Model Context Protocol) édité par HOLCO INVESTqui permet aux experts-comptables d'interroger leur instance Pennylane depuis une interface conversationnelle IA en lecture seule. Cette politique détaille les données traitées et les engagements pris vis-à-vis du RGPD et du secret professionnel comptable (art. 226-13 Code pénal).

1. Rôles et qualification RGPD

Le rôle de HOLCO INVEST (société civile, siège 64 rue du Mont Cenis, 75018 Paris) dépend de la donnée concernée :

  • Pour les données de gestion du service (compte cabinet, secrets d'accès, logs d'usage, §2.1 à 2.3), HOLCO INVEST agit en qualité de responsable du traitement.
  • Pour les données comptables lues dans vos dossiers Pennylane (§2.4), qui relèvent de vos clients, HOLCO INVEST agit en qualité de sous-traitant au sens de l'article 28 du RGPD : le cabinet est responsable du traitement et les fournisseurs d'IA sont des sous-traitants ultérieurs.

À ce titre, un accord de sous-traitance (DPA) conforme à l'article 28 est mis à votre disposition et peut être signé depuis votre espace cabinet. Contact RGPD/DPO : privacy@holco.co.

2. Données traitées

PennyPilot traite trois catégories de données :

2.1 Données du compte cabinet

  • Email professionnel du référent cabinet (identification, support, envoi de la clé d'accès).
  • Nom du cabinet et nom d'affichage du référent (personnalisation des livrables).
  • Paramètres cabinet : seuil de matérialité, ton des livrables, politique de sources autorisées (configuration applicative).

2.2 Secrets d'accès

  • Clé PennyPilot (pp_live_…) : seul un hash SHA-256 est stocké côté serveur. La clé en clair n'est affichée qu'une fois à la création.
  • Token Pennylane du dossier client connecté (Company API Token v2) : chiffré at-rest AES-256-GCM avec IV aléatoire 12 octets et tag d'authenticité. La clé maîtresse est stockée hors base, accessible uniquement par le service système. Le token n'est jamais transmis aux LLM.
  • Jetons OAuth émis pour les connecteurs ChatGPT / Claude / Le Chat : hash SHA-256 + date d'expiration. Révocables immédiatement depuis /compte/.

2.3 Logs d'usage

  • Pour chaque appel : route appelée, nom de l'outil, code statut HTTP, latence, horodatage, identifiant de compte. Aucun contenu de prompt, aucun résultat d'analyse, aucune donnée comptable individuelle n'est conservé dans les logs.
  • Quotas journaliers (compteurs anonymes) pour empêcher les abus et dimensionner la capacité du service.

2.4 Données Pennylane lues en passe

Les requêtes des outils PennyPilot (P&L, grand livre, impayés, etc.) lisent vos dossiers Pennylane à la volée. Les résultats transitent vers le LLM choisi puis sont oubliés côté HOLCO. Aucun cache, aucune copie persistante, aucune indexation des écritures, comptes, soldes ou tiers de vos dossiers n'est conservée côté HOLCO. Seul l'audit trail synthétique est inclus dans la réponse au LLM.

3. Finalités et bases légales

  • Exécution du contrat (art. 6.1.b RGPD) : fournir le service de connecteur MCP au cabinet souscripteur.
  • Intérêt légitime (art. 6.1.f RGPD) : prévention de la fraude (limitation de débit, détection d'usage anormal), qualité de service (métriques latence et erreurs).
  • Obligation légale (art. 6.1.c RGPD) : conservation des données comptables et factures pendant les durées exigées par le Code de commerce et le Code général des impôts (le cas échéant).

4. Sous-traitants et destinataires

PennyPilot s'appuie sur les sous-traitants ultérieurs suivants. Chacun est lié par contrat conforme à l'article 28 RGPD :

  • Anthropic, PBC (USA, Claude) : reçoit les prompts et les retours des outils lorsque vous utilisez Claude. Engagement zero data retention API disponible sur les offres business.
  • OpenAI LLC (USA, ChatGPT) : idem côté ChatGPT Custom GPT.
  • Mistral AI (France, UE, Le Chat) : reçoit les prompts et retours d'outils côté Le Chat. Hébergement et inférence en Union européenne.
  • Pennylane (France, UE) : source des données comptables que vous avez vous-même autorisée via votre token.
  • Resend (USA) : envoi des emails transactionnels (clé d'accès, notifications).
  • Hébergeur infrastructure HOLCO : serveurs de calcul de la couche PennyPilot, en Union européenne.

5. Transferts hors Union européenne

Les transferts vers les États-Unis sont encadrés comme suit : OpenAI et Resend sont certifiés au Data Privacy Framework UE-USA ; le transfert vers Anthropic, qui n'est pas certifié DPF, est encadré par les clauses contractuelles types (art. 46 RGPD) intégrées à son DPA. Le choix du canal IA reste au cabinet : Le Chat (Mistral) permet de rester strictement en UE.

6. Durée de conservation

  • Compte cabinet : pendant toute la durée d'utilisation, puis 3 ans après résiliation pour les besoins de preuve commerciale.
  • Logs d'usage : 13 mois glissants (rolling).
  • Secrets d'accès : effacés immédiatement à la révocation (manuelle depuis /compte/ ou via support).
  • Données Pennylane lues en passe : non conservées (cf. §2.4).
  • Sauvegardes : rotation 30 jours.

7. Sécurité

  • Chiffrement transport TLS 1.3 sur tous les endpoints publics.
  • Chiffrement at-rest AES-256-GCM des tokens Pennylane.
  • Hachage SHA-256 des clés PennyPilot et jetons OAuth.
  • Limitation de débit (rate limiting) et quotas par compte.
  • Outils strictement read-only côté Pennylane : aucun outil de la surface MCP ne modifie un dossier, une écriture, un compte ou un tiers.
  • Architecture détaillée : /docs/security.

8. Droits des personnes

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :

  • Droit d'accès, de rectification, d'effacement.
  • Droit à la limitation et à l'opposition au traitement.
  • Droit à la portabilité des données fournies (export JSON disponible sur demande à privacy@holco.co).
  • Droit d'introduire une réclamation auprès de la CNIL ( www.cnil.fr).
  • Droit de retirer votre consentement à tout moment.

Toute demande peut être envoyée à privacy@holco.co. Réponse sous 30 jours maximum.

9. Mineurs

PennyPilot est un service B2B réservé aux professionnels de l'expertise comptable. Aucune donnée concernant des mineurs n'est sciemment collectée.

10. Cookies

Les pages publiques de PennyPilot (apps.holco.co/mcp/pennylane/) n'utilisent aucun cookie de traçage ni outil d'analyse tiers. Les cookies techniques strictement nécessaires (session OAuth pendant l'autorisation d'un connecteur) sont exemptés de consentement préalable au titre de l'article 82 de la Loi Informatique et Libertés.

11. Modifications

Cette politique peut être mise à jour pour refléter des évolutions techniques ou réglementaires. La date de dernière mise à jour est affichée en haut de page. Les cabinets référents sont informés par email en cas de modification substantielle.

Voir aussi : Sécurité & RGPD, architecture · Conditions d'utilisation · Mon espace cabinet.