DPA HOLCO ↔ Cabinet

Le cabinet agit comme responsable de traitement pour ses dossiers, ses clients et ses collaborateurs. HOLCO INVEST agit comme sous-traitant lorsqu'il opère PennyPilot pour le compte du cabinet : hébergement du compte, conservation chiffrée du token Pennylane, routage des requêtes en lecture seule et journalisation technique limitée.

PennyPilot permet au cabinet d'interroger ses données Pennylane depuis ChatGPT, Claude ou Le Chat via une architecture remote MCP. Le service est limité à la consultation et à l'analyse : HOLCO ne crée, ne modifie, ne valide et ne supprime aucune écriture, facture, tiers ou dossier Pennylane.

Les données concernées peuvent inclure des données comptables consultées en transit depuis Pennylane, des données d'identification des collaborateurs, les secrets techniques nécessaires au service et des métadonnées d'usage. Les données comptables ne sont pas conservées durablement par HOLCO ; les logs techniques excluent le contenu des prompts et les données métier.

Le DPA prévoit notamment le chiffrement TLS des échanges, le chiffrement AES-256-GCM du token Pennylane au repos, le hachage irréversible des clés, une garde applicative en lecture seule, un contrôle d'accès nominatif et des secrets révocables. Les sauvegardes et journaux sont limités aux besoins de sécurité, de preuve et de maintenance.

Le document liste les sous-traitants pouvant intervenir selon le canal retenu : Pennylane pour la source comptable, l'hébergeur de l'infrastructure HOLCO, les fournisseurs LLM choisis ou activés pour le cabinet, et les prestataires d'email transactionnel. Les options de cantonnement UE, notamment via Mistral AI, peuvent être discutées avec le cabinet.

Les données comptables sources restent chez Pennylane et sont consultées en lecture. Les prompts transmis aux fournisseurs IA doivent être minimisés et dépourvus de secrets. Lorsque des transferts hors Union européenne sont nécessaires, ils sont encadrés par les mécanismes prévus au DPA, notamment DPF ou clauses contractuelles types selon le prestataire concerné.

Les données comptables ne sont pas stockées durablement par HOLCO. Les logs techniques sont conservés pour une durée limitée, les comptes et secrets sont révocables, et la suppression ou restitution des données est organisée à la fin du contrat ou sur demande conforme du cabinet.

La validation dans ce parcours confirme la relecture du DPA par le référent du cabinet et l'accord pour l'utiliser comme base de sous-traitance RGPD pendant le pilote. Cette validation est rattachée au cabinet : les collaborateurs autorisés peuvent ensuite utiliser PennyPilot sans devoir valider le DPA à chaque appel API Pennylane. La version finale peut être complétée avec les informations juridiques du cabinet, le périmètre exact des accès, les fonctions activées et les choix de fournisseurs IA avant signature.