Pennylane et RGPD : guide de conformité 2026
Pennylane est-il conforme au RGPD ? Analyse du statut de sous-traitant, de l'hébergement, des données financières et de la facturation électronique.
Pennylane équipe aujourd’hui plus de 800 000 entreprises et 6 000 cabinets d’expertise comptable, et la licorne française vient de lever 175 millions d’euros en janvier 2026 pour accélérer sur l’intelligence artificielle. Si vous tenez votre comptabilité ou pilotez votre trésorerie sur Pennylane, vous confiez à un tiers certaines des données les plus sensibles de votre entreprise : coordonnées bancaires, bulletins de paie, numéros de sécurité sociale, données fiscales. La question de la conformité au RGPD n’est donc pas théorique.
Contrairement aux outils SaaS américains comme Slack ou Notion, Pennylane présente un profil rassurant à première vue : éditeur français, données hébergées en Europe, certification de sécurité. Mais « éditeur français » ne signifie pas « conformité clé en main », et l’analyse mérite d’être conduite avec rigueur. Voici ce qu’il faut comprendre — et ce qu’il faut faire.
Pour une vue d’ensemble de la conformité des outils SaaS, consultez notre guide RGPD par outil.
Qualification juridique : Pennylane comme sous-traitant
Le statut de sous-traitant au sens de l’article 28
Pennylane agit en qualité de sous-traitant au sens de l’article 28 du RGPD. C’est votre organisation qui détermine les finalités du traitement (tenir la comptabilité, émettre les factures, gérer la paie, suivre la trésorerie) et les moyens essentiels (quels clients, quels salariés, quelles écritures). Pennylane fournit la plateforme et traite ces données selon vos instructions. Vous restez responsable de traitement au sens de l’article 4(7).
Cette qualification est nette : Pennylane est une plateforme exclusivement cloud, sans version installée localement. Dès lors qu’une entreprise saisit ou importe des données dans Pennylane, l’éditeur les héberge et les traite — la qualification de sous-traitant s’applique sans ambiguïté, à la différence de logiciels comme Sage qui conservent des versions on-premise.
Le cas particulier du cabinet d’expertise comptable
La spécificité de Pennylane tient à son modèle : la plateforme est utilisée à la fois par les entreprises en direct et par les cabinets d’expertise comptable qui tiennent la comptabilité de leurs clients. Cette configuration crée une chaîne de responsabilités qu’il faut clarifier.
Lorsqu’un cabinet utilise Pennylane pour traiter la comptabilité de ses clients, le cabinet est lui-même sous-traitant de l’entreprise cliente (ou responsable conjoint selon l’analyse retenue de sa mission), et Pennylane devient alors sous-traitant ultérieur. Il en résulte une cascade contractuelle : l’entreprise cliente doit encadrer la relation avec son cabinet par un contrat conforme à l’article 28, et le cabinet doit lui-même répercuter ces obligations sur Pennylane. J’ai vu trop de cabinets négliger ce maillon intermédiaire : la lettre de mission ne suffit pas, il faut des clauses de protection des données. C’est un point que je détaille dans le guide RGPD des experts-comptables.
Les catégories de données traitées
Pennylane centralise des données particulièrement sensibles sur le plan financier et social :
- Données financières : coordonnées bancaires (IBAN), relevés bancaires synchronisés, échéances de paiement, données de trésorerie.
- Données de paie et RH : bulletins de salaire, numéro de sécurité sociale (NIR), coordonnées des salariés, le cas échéant via les intégrations avec les outils de paie.
- Données clients et fournisseurs : identité, coordonnées, historique de facturation, encours.
Attention à une confusion fréquente : les données financières et bancaires ne sont pas des « données sensibles » au sens de l’article 9 du RGPD (qui vise la santé, les opinions, l’origine, etc.). Elles n’en exigent pas moins une vigilance maximale en matière de sécurité. En revanche, le NIR (numéro de sécurité sociale), présent dans les données de paie, relève d’un régime spécifique encadré par la loi Informatique et Libertés et son décret d’application : son traitement n’est autorisé que pour des finalités limitativement énumérées, dont la paie et la gestion sociale font partie.
Hébergement et transferts hors UE
Des données hébergées en Europe… sur une infrastructure américaine
Pennylane indique héberger les données de ses clients en Europe, sur l’infrastructure d’Amazon Web Services (région Irlande), avec chiffrement en transit et au repos. C’est une bonne nouvelle pour la localisation : tant que les données restent dans l’Espace économique européen, il n’y a pas de transfert hors UE au sens du chapitre V du RGPD.
Mais « hébergé en Europe sur AWS » mérite une nuance que je rappelle systématiquement en conseil. AWS est une entreprise de droit américain, soumise à des législations extraterritoriales comme le CLOUD Act. L’hébergement physique en Irlande ne neutralise pas totalement ce risque juridique, même s’il le réduit fortement. Pour les données les plus sensibles, c’est l’argument qui justifie de regarder du côté des solutions qualifiées SecNumCloud — un débat que nous développons dans notre analyse du cloud AWS et Azure face au RGPD. Pennylane, à ce jour, ne revendique pas cette qualification.
La chaîne de sous-traitance, point de vigilance n°1
Comme tout SaaS moderne, Pennylane s’appuie sur une chaîne de sous-traitants ultérieurs : hébergement, envoi d’e-mails, support, outils d’analyse, briques d’intelligence artificielle. L’article 28(2) et (4) impose à Pennylane de vous informer de cette chaîne et de répercuter contractuellement ses obligations. Pennylane publie la liste de ses sous-traitants sur son site et précise recourir, pour les transferts éventuels hors EEE, aux clauses contractuelles types complétées de mesures additionnelles.
En pratique, le réflexe à adopter est simple : demandez l’accord de traitement des données (DPA) en vigueur et examinez la liste des sous-traitants, en particulier ceux situés hors UE (support, analytics, IA). C’est exactement le travail de cartographie que Legiscope automatise pour vos outils SaaS, mais vous pouvez aussi le mener manuellement à partir des documents publiés par l’éditeur.
Sécurité : une responsabilité partagée
Pennylane met en avant une certification ISO 27001, un chiffrement des données en transit et au repos, et des audits réguliers par des tiers indépendants. Ce socle correspond aux attentes de l’article 32 du RGPD en matière de mesures techniques et organisationnelles appropriées.
Mais la sécurité d’un SaaS est toujours partagée. Pennylane sécurise l’infrastructure ; il vous revient de sécuriser les accès. Concrètement, votre part du travail comprend :
- La gestion des comptes utilisateurs : un compte par personne, suppression immédiate des accès lors des départs, principe du moindre privilège (un commercial n’a pas besoin de voir les bulletins de paie).
- L’authentification forte : activer la double authentification (MFA), proscrire les mots de passe partagés. La CNIL a précisé ses attentes dans sa délibération n° 2022-100 du 21 juillet 2022 relative aux mots de passe.
- La traçabilité : exploiter les journaux d’accès pour détecter les consultations anormales, notamment sur les données de paie.
- L’encadrement interne : une charte informatique opposable aux salariés ayant accès aux données financières.
En cas de faille affectant Pennylane, l’éditeur doit vous notifier sans délai en tant que sous-traitant ; il vous appartient ensuite, en tant que responsable de traitement, d’apprécier l’obligation de notification à la CNIL sous 72 heures prévue par l’article 33. C’est un point à régler en amont dans le DPA. Pour aller plus loin, consultez notre guide sur la gestion des violations de données.
Facturation électronique : l’angle 2026 à ne pas manquer
C’est l’élément qui distingue Pennylane des autres outils comptables en cette année 2026. Pennylane est immatriculée comme Plateforme Agréée (PA, l’ancienne appellation « Plateforme de Dématérialisation Partenaire » ou PDP) par l’administration fiscale, à titre définitif depuis décembre 2025, et a participé au projet pilote de la réforme.
La réforme de la facturation électronique entre en vigueur par étapes : à compter du 1er septembre 2026, toutes les entreprises devront être en mesure de recevoir des factures électroniques, et les grandes entreprises et ETI devront les émettre via une plateforme agréée (l’obligation d’émission étant étendue aux PME et TPE au 1er septembre 2027).
Du point de vue du RGPD, cela ajoute une finalité de traitement nouvelle : Pennylane, en tant que PA, transmet des données de facturation à l’administration fiscale (e-invoicing) et certaines données de transaction au titre du e-reporting. Deux conséquences pratiques :
- Information des personnes : vos mentions d’information au titre de l’article 13 doivent intégrer cette transmission à la DGFiP et, le cas échéant, le rôle de la plateforme agréée.
- Registre des traitements : la facturation électronique constitue un traitement à inscrire à votre registre des activités de traitement, au titre de l’article 30. Vous pouvez partir de notre modèle de registre au format Excel.
Pour le volet métier de la réforme, notre guide sur la facturation électronique pour les TPE complète utilement cette analyse RGPD.
Durées de conservation et droits des personnes
Centraliser sa comptabilité ne dispense pas de piloter les durées de conservation imposées par l’article 5(1)(e). Les pièces comptables et les factures relèvent d’une obligation légale de conservation de 10 ans (article L123-22 du code de commerce), tandis que d’autres données suivent leurs propres règles (les bulletins de paie, par exemple, doivent être tenus à disposition du salarié de façon durable). Le réflexe à adopter : ne pas confondre obligation de conservation comptable et conservation des données personnelles annexes, et documenter ces durées dans le registre. Notre guide dédié aux durées de conservation détaille les principaux délais.
Côté droits des personnes, gardez en tête que les obligations comptables peuvent légitimement faire obstacle à certaines demandes : un client ne peut exiger l’effacement d’une facture que l’entreprise est tenue de conserver dix ans. En revanche, le droit d’accès reste pleinement applicable, et votre paramétrage de Pennylane doit vous permettre d’extraire les données d’une personne pour répondre dans le délai d’un mois.
Et l’intelligence artificielle ?
Pennylane investit massivement dans l’IA pour automatiser la saisie comptable, le rapprochement bancaire et l’assistance. Ces fonctionnalités traitent vos données. La question à poser systématiquement, et à vérifier dans le DPA : vos données servent-elles à entraîner des modèles d’IA, et si oui, dans quelles conditions et avec quelle possibilité d’opposition ? Tant que le traitement reste cantonné à la fourniture du service à votre profit (et non à l’entraînement de modèles réutilisés pour d’autres clients), il s’inscrit dans la logique du contrat de sous-traitance. Au-delà, une base légale propre et une information renforcée s’imposeraient. C’est un point de vigilance émergent sur lequel je recommande d’interroger directement l’éditeur.
Ce qu’il faut retenir
- Pennylane est un sous-traitant au sens de l’article 28 : votre entreprise (ou votre cabinet) reste responsable de traitement et doit signer un DPA conforme.
- Hébergement en Europe, mais sur AWS : pas de transfert hors UE pour le stockage, mais une vigilance à conserver sur la chaîne de sous-traitance et l’extraterritorialité du CLOUD Act.
- La sécurité est partagée : Pennylane chiffre et certifie (ISO 27001), mais la gestion des accès, le MFA et la traçabilité restent à votre charge (article 32).
- Facturation électronique 2026 : en tant que Plateforme Agréée, Pennylane transmet des données à la DGFiP — pensez à actualiser vos mentions d’information (article 13) et votre registre.
- Données financières ≠ données sensibles au sens de l’article 9, mais le NIR présent dans la paie obéit à un régime spécifique.
FAQ
Pennylane est-il conforme au RGPD ?
Pennylane fournit les garanties attendues d’un sous-traitant : DPA, hébergement européen, certification ISO 27001, chiffrement. Mais la conformité de votre traitement dépend aussi de vous : signature du contrat de sous-traitance, gestion des accès, information des personnes et tenue du registre. Aucun logiciel ne rend une entreprise « conforme » à lui seul.
Où sont hébergées les données de Pennylane ?
Pennylane indique héberger les données en Europe, sur l’infrastructure d’Amazon Web Services (région Irlande), avec chiffrement en transit et au repos. Les données restant dans l’EEE, il n’y a pas de transfert hors UE au sens du chapitre V, sous réserve de la chaîne de sous-traitants ultérieurs, qu’il convient de vérifier dans le DPA.
Pennylane est-il une plateforme agréée pour la facturation électronique ?
Oui. Pennylane est immatriculée comme Plateforme Agréée (PA, ex-PDP) par l’administration fiscale, à titre définitif depuis décembre 2025, et a participé au projet pilote de la réforme. À ce titre, elle transmet des données de facturation à la DGFiP, ce qui constitue un traitement à documenter au regard du RGPD.
Faut-il signer un contrat spécifique avec Pennylane au titre du RGPD ?
Oui. L’article 28 impose un acte juridique encadrant la sous-traitance (DPA). Pennylane le met à disposition. Si vous passez par un cabinet d’expertise comptable, vérifiez en outre que la relation avec le cabinet est elle aussi encadrée par des clauses de protection des données, car la chaîne de responsabilité ne doit comporter aucun maillon manquant.
Recevez nos analyses conformité chaque semaine. Décryptages RGPD, décisions CNIL, échéances réglementaires : abonnez-vous à notre newsletter pour garder une longueur d’avance.