DOCS · SÉCURITÉ & RGPD

Sécurité, secret professionnel & RGPD

Votre cabinet est tenu au secret professionnel (article 226-13 du Code pénal), au RGPD et désormais à l'AI Act (UE 2024/1689, application complète 2 août 2026). PennyPilot v1.0.0 respecte ces trois exigences par conception architecturale, sans rien vous demander de plus que ce qui est techniquement nécessaire.

1. Deux architectures, mêmes engagements RGPD

PennyPilot v1.0.0 propose deux modes d'usage :

  • Remote (recommandé, ChatGPT, Claude, Le Chat) : votre token Pennylane est stocké côté HOLCO, chiffré at-rest (AES-256-GCM, IV aléatoire 12 octets, tag d'authenticité). Le token n'est jamais transmis aux LLM (ChatGPT/Claude/Mistral). Il est révocable instantanément depuis votre espace cabinet.
  • Bundle local Claude Desktop (.mcpb, fallback avancé) : votre token Pennylane reste sur le poste du collaborateur en variable d'environnement Claude, HOLCO n'y a aucun accès. Mécanique strictement équivalente à un script Python lancé en local.

2. Votre clé d'accès HOLCO (pp_live_*)

Mode remote : la clé identifie votre cabinet auprès du serveur HOLCO. Elle est stockée hashée (SHA-256) dans la base PennyPilot irréversible et révocable depuis votre espace cabinet (bouton "Régénérer la clé"). En cas de rotation, l'ancienne clé est invalidée immédiatement.

3. Lecture seule, verrouillée au cœur du code (READ_ONLY_GUARD)

Les 42 outils PennyPilot interrogent Pennylane sans rien modifier, et c'est une garantie technique, pas une convention. Dans le client HTTP (lib/pennylane-client.js), un verrou refuse toute méthode autre que GET ou HEAD avant même qu'une requête soit émise. Aucune écriture n'est techniquement possible, indépendamment de ce que l'IA pourrait demander. Code public et vérifiable : github.com/holco-apps/pennypilot-mcp/blob/main/lib/pennylane-client.js.

En complément, chaque outil déclare ses annotations MCP standard (readOnlyHint, destructiveHint), Claude Desktop, Mistral Le Chat et ChatGPT Business peuvent ainsi indiquer à l'utilisateur, outil par outil, qu'aucune modification n'est possible.

PennyPilot reste lecture seule par conception. Il n'y a pas d'outils d'écriture sur la roadmap : pas de lettrage automatique, pas de génération de facture, pas de création d'écriture. Les prochaines évolutions portent sur la qualité d'analyse, les garde-fous anti-hallucination et le mode multi-dossier read-only.

5. Conformité AI Act art. 50-55 (Action Bridge + audit trail)

PennyPilot v1.0.0 introduit deux mécanismes spécifiquement alignés sur les obligations AI Act :

  • Audit trail systématique dans chaque réponse : faits Pennylane lus, calculs déterministes, hypothèses, limites, sources officielles citées. Aucune affirmation ne sort sans pouvoir être tracée (art. 12 traçabilité, art. 86 explicabilité).
  • Disclaimer [BROUILLON GÉNÉRÉ PAR IA, À VALIDER PAR L'EXPERT] sur les drafts client générés par l'Action Bridge (prepare_client_communication). PennyPilot n'envoie jamais, la validation humaine est obligatoire (art. 14 contrôle humain).
  • Outil diagnose_ai_transparency : génère à la demande un rapport AI Act sur n'importe quelle réponse (sources, raisonnement, traçabilité, checklist art. 50-55).
  • Outil generate_charte_ia_cabinet : génère la charte IA de votre cabinet, conforme art. 4 AI Literacy + CSOEC + art. 226-13 CP. Prête à signer.

6. Pas d'entraînement IA sur vos données

Les conversations transitent par l'API du LLM choisi (Anthropic Claude, OpenAI ChatGPT, Mistral Le Chat). Ces trois éditeurs disposent contractuellement de clauses "no training on API requests" pour les comptes Business/Enterprise. HOLCO ne fait aucun traitement en aval, nous ne voyons que les appels tools (route, statut, latence) dans nos logs techniques, jamais le contenu des conversations ni les données comptables.

7. Conformité RGPD

  • Le responsable de traitement reste votre cabinet, vous ne sous-traitez rien à HOLCO sur les données comptables.
  • Les contrats restent vôtres : cabinet ↔ Pennylane, cabinet ↔ Anthropic, cabinet ↔ clients. HOLCO fournit un logiciel, pas un service de traitement.
  • Compatible AI Act européen (UE 2024/1689) : les outils sont auditables, l'usage documenté, les sources citées dans chaque output.
  • HOLCO ne conserve que vos informations d'inscription au pilote (nom cabinet, contact, taille indicative). Conservation 24 mois max, suppression sur simple demande à alan@holco.co.

7. Sortir du pilote

À tout moment :

  • Désinstaller l'extension via Claude Desktop → Settings → MCP Extensions → PennyPilot → Remove.
  • Demander à HOLCO la suppression de vos informations d'inscription à alan@holco.co.
  • Révoquer le token API Pennylane côté Pennylane (Paramètres → Connectivité → Développeurs).

Pour aller plus loin : CGU pilote · registre public des licences.