IAMSHIBAAccueil › Ressources › Comparatif RGPD logiciels comptables
Comparatif logiciels cabinet comptable : RGPD et souveraineté
Cette page propose une méthodologie de comparaison sur le seul angle RGPD et souveraineté, sans entrer dans le détail fonctionnel. L'objectif : que vous puissiez interroger chaque éditeur avec les bonnes questions.
La méthode : 6 questions, à poser à chaque éditeur
- Hébergement — pays, fournisseur cloud, région.
- Sous-traitants — liste exhaustive et nominative dans le DPA. Refuser les formules vagues type "et tout autre sous-traitant utile".
- Éditeur — entité juridique (européenne ou filiale de groupe non-UE).
- LLM / IA — usage d'un modèle de langage externe ? Lequel ? Que reçoit-il ?
- Signature électronique — native ou via DocuSign / Adobe Sign ?
- Certifications — ISO 27001, HDS, SecNumCloud le cas échéant.
Vue synthétique — méthodologie d'évaluation
Plutôt que de classer les produits, voici les questions à poser pour chacun. Les réponses dépendent du DPA en vigueur au moment de votre évaluation.
| Critère | Ce qu'il faut chercher |
|---|---|
| Localisation des données | UE (France de préférence). Demander le pays et le fournisseur d'hébergement (OVH, Scaleway, AWS Europe, Azure Europe, GCP Europe). |
| Sous-traitants hors UE | Liste précise dans le DPA. Vigilance sur les sous-traitants typiques : e-mail transactionnel (SendGrid, Mailgun), support (Intercom, Zendesk), analytics (Mixpanel, Amplitude), paiement (Stripe), LLM (OpenAI, Anthropic). |
| Statut de l'éditeur | Société européenne contrôlée par capitaux européens, ou filiale d'un groupe extra-UE ? Le contrôle capitalistique influence indirectement le risque (Cloud Act n'est pas franchissable par un changement de drapeau). |
| LLM externe | Demander : "envoyez-vous des données client à OpenAI, Anthropic, Google ou Mistral ?" Si oui, dans quel cadre, avec quel filtrage ? Un éditeur qui répond "non, notre IA est interne / rules-based" simplifie radicalement le RGPD. |
| Signature électronique | Native intégrée (UE), ou via DocuSign / Adobe Sign (US) ? La seconde option ajoute un transfert hors UE et un dossier de preuve hébergé chez un tiers. |
| Certifications | ISO 27001 (socle attendu), HDS (utile pour le sérieux global), SecNumCloud ANSSI (rare, fort signal souveraineté). |
Acteurs principaux du marché : repères publics
Pennylane
Éditeur français (Pennylane SA). Hébergement principal en UE. Comme tout SaaS moderne, sa chaîne de sous-traitants est large : demander le DPA actuel pour vérifier le périmètre exact (e-mail, support, analytics, IA). Pennylane couvre la production comptable, la collaboration avec les clients et certaines fonctions de gestion. Très bon socle métier ; la souveraineté effective dépend de la chaîne de sous-traitants documentée à la date de signature.
Sage
Groupe britannique, gamme produits étendue (Sage 100, Sage Business Cloud Accounting, etc.). Le RGPD dépend du produit choisi et de son infrastructure : certains modules historiques sont on-premise (RGPD géré par le cabinet), d'autres sont SaaS adossés à AWS ou Azure. Demander la fiche RGPD du produit retenu.
Cegid
Société d'origine française, détenue depuis 2016 par des fonds non-européens (Silver Lake, puis KKR). La structure capitalistique ne change pas en soi le RGPD du produit : l'analyse doit se faire au niveau de l'offre concrète (Cegid Loop, Cegid Quadra, etc.) et de son DPA. Cegid couvre la production comptable et la paie, avec des modules métiers étendus.
IAMSHIBA
Éditeur français. Positionné spécifiquement sur les fonctions de conformité du cabinet (lettre de mission, dossier permanent, KYC/LAB-FT, RGPD, attestations, inspections OEC) plutôt que sur la production comptable pure. Engagement explicite : zéro sous-traitant hors UE, hébergement en France, signature native, shibot rules-based sans aucun LLM externe. Le DPA est court et opposable, sans clause d'extension à des sous-traitants futurs non listés.
Comment combiner les outils intelligemment
La plupart des cabinets font tourner plusieurs logiciels en parallèle : un pour la production comptable, un pour la paie, un pour la collaboration client, un pour la conformité. Le bon réflexe RGPD :
- Cartographier les outils en place et leurs sous-traitants effectifs
- Identifier où sont les transferts hors UE et lesquels peuvent être éliminés
- Privilégier des outils "petits sous-traitants nets" pour les fonctions sensibles (LM, KYC, conformité)
- Conserver la production comptable sur les acteurs majeurs si leur DPA est acceptable
Voir aussi
- Logiciel souverain : 6 critères d'évaluation
- RGPD pour expert-comptable : checklist 2026
- Signature électronique de la lettre de mission
Échanger sur votre stack actuelle
15 minutes pour passer en revue vos outils sous l'angle RGPD et identifier les angles d'amélioration.
Demander une démo