Sécurité · Confidentialité · Conformité
La confiance, par conception.
HOLCO construit la couche de gouvernance qui permet d'utiliser l'IA sur des données sensibles sans en perdre le contrôle. Lecture seule par défaut, zéro rétention, traçabilité, hébergement en Union européenne. Voici notre cadre complet, et le lien vers la page sécurité de chaque produit.
Notre approche
L'IA sous contrôle, pas l'IA interdite
Beaucoup d'organisations en sont réduites à interdire l'IA faute de pouvoir la maîtriser. Notre conviction : on peut garder la productivité de l'IA tout en gardant la main. Tous nos produits suivent les mêmes principes de conception.
Lecture seule par défaut
Nos connecteurs lisent les systèmes sources sans pouvoir y écrire. Aucune modification non sollicitée n'est techniquement possible.
Zéro rétention
Les données métier sont lues en transit, le temps de répondre, puis oubliées. Nous ne constituons pas d'entrepôt de vos données.
Traçabilité nominative
Chaque usage de l'IA est rattaché à un utilisateur et à un contexte, pour un contrôle interne réel et un registre exportable.
Souveraineté
Infrastructure hébergée en Union européenne, et options de chaîne d'IA entièrement européenne quand c'est possible.
Gouvernance IA
Aligné avec le règlement européen sur l'IA
Le règlement (UE) 2024/1689 impose documentation, supervision et maîtrise des usages. Nous concevons nos produits pour vous aider à y répondre, plutôt que d'en faire un argument anxiogène.
- Usage documenté et registre exportable des interactions IA.
- Supervision humaine maintenue : l'IA reste non décisionnelle, l'expert garde l'arbitrage.
- Sources et limites visibles dans les réponses, pour une IA explicable.
- Pas d'entraînement de modèles sur vos données métier.
RGPD & DPA
Sous-traitant transparent, contrats clairs
Vous restez responsable de traitement. HOLCO opère la couche technique en tant que sous-traitant, dans un cadre documenté.
DPA article 28
Un accord de traitement conforme à l'article 28 RGPD est disponible sur demande à privacy@holco.co.
Registre & AIPD
Nous tenons un registre des traitements et une analyse d'impact (AIPD) pour les traitements à risque.
Vos droits
Accès, rectification, effacement, portabilité, traités dans les délais légaux.
Contrats séparés
Vos relations avec vos éditeurs métier, vos fournisseurs d'IA et vos clients restent distinctes.
Hébergement
Hébergée en Union européenne
Nos services sont hébergés en UE (Allemagne, Francfort). Aucune donnée métier n'est répliquée hors UE par HOLCO ; le seul flux possible hors UE est vers le fournisseur d'IA que vous choisissez, encadré contractuellement, avec une option de chaîne entièrement européenne (Mistral).
Chiffrement
Chiffré en transit et au repos
En transit
TLS 1.3 (suite AES-256). Le contenu métier ne circule jamais en clair.
Au repos
Les secrets sensibles (tokens, clés) sont chiffrés au repos côté HOLCO.
Contrôle d'accès
Accès restreints et tracés
- Accès aux consoles protégé par authentification et rôles.
- Principe du moindre privilège côté équipe HOLCO.
- Opérations et appels d'outils journalisés (qui, quoi, quand, sur quel contexte).
- Tokens clients scopés et révocables à tout moment.
Données
Minimisation et rétention
Nous journalisons le strict nécessaire à la gouvernance, jamais le contenu métier.
Ce que nous traitons
Données de compte (identité professionnelle) et télémétrie d'usage (outil appelé, statut, utilisateur, contexte, estimation de volume).
Ce que nous ne stockons pas
Le contenu métier de vos clients (écritures, factures, balances). Il est lu en transit, jamais conservé.
Sous-traitants & transferts
Qui intervient, et où
Hébergement (UE)
Centre de données en Allemagne (Francfort).
E-mails transactionnels
Prestataire d'envoi pour les notifications de service.
Éditeurs métier
Vos données restent chez votre éditeur ; nous lisons via votre propre accès.
Fournisseur d'IA (votre choix)
Claude et ChatGPT (États-Unis) sont encadrés par clauses contractuelles types ; Le Chat (Mistral) permet une chaîne européenne.
Disponibilité
Continuité & sauvegardes
- Sauvegardes régulières de la couche de gouvernance (jamais du contenu métier).
- Architecture conçue pour être reconstruite à partir des sauvegardes en cas d'incident.
- Dépendance minimale : sans stockage du contenu métier, la surface de risque est réduite.
Incidents
Réponse aux violations de données
Nous disposons d'une procédure documentée de gestion des incidents.
- Détection, qualification et journal des incidents.
- Notification à l'autorité de contrôle (CNIL) sous 72 h lorsque requis, et information des personnes concernées.
- Signalement de vulnérabilité bienvenu à privacy@holco.co.
Ingénierie
Développement et déploiement sécurisés
- Revue de code avant mise en production, contrôle de types et tests automatisés.
- Verrou de lecture seule au cœur du code de nos connecteurs.
- Déploiements maîtrisés avec sauvegarde et possibilité de retour arrière.
Feuille de route
Ce qui est en place, ce qui arrive
En place aujourd'hui
Lecture seule, zéro rétention, hébergement UE, chiffrement, traçabilité nominative, DPA art. 28, registre, AIPD et procédure d'incident.
Visé (non encore certifié)
Une démarche de certification ISO 27001 et ISO 27701 est à notre feuille de route. Aucune certification n'est revendiquée à ce jour ; nous l'indiquerons ici dès qu'elle sera engagée.
Sécurité par produit
Le détail, produit par produit
Chaque produit publie sa propre page sécurité avec son flux de données précis.
Autres produits
Les pages sécurité des prochains produits seront publiées ici au fil de leur ouverture.
BientôtContact
Une question, un DPA, une vulnérabilité ?
Écrivez-nous à privacy@holco.co. Nous répondons aux demandes de DPA, aux questions de conformité et aux signalements de sécurité. Voir aussi nos pages produit pour le détail technique.
Dernière mise à jour : 2026-06-04