Solidariteit met Oekraïne. Service gratis aangeboden aan Oekraïense bedrijven zolang de oorlog duurt. Gratis toegang aanvragen
Verticale réglementée · Experts-comptables

Gestionnaire secrets expert-comptable et RGPD.
Le secret professionnel OEC, garanti par construction.

Le secret professionnel de l'expert-comptable est inscrit à l'article 22 de l'ordonnance n° 45-2138 du 19 septembre 1945 et précisé à l'article 5 du code de déontologie de la profession. Sa violation engage la responsabilité pénale du professionnel au titre de l'article 226-13 du Code pénal. Aegirex fournit un coffre-fort B2B souverain où l'éditeur ne peut techniquement pas lire les identifiants DGFiP, Net-Entreprises, Cegid, Sage, EBP ou ISACOMPTA stockés. Chiffrement OpenPGP.js v6 côté client, audit chain HMAC-SHA-256 opposable, hébergement France et code AGPLv3 auditable.

Créer mon coffre · gratuit à vie Échanger sur mon cabinet
Ordonnance 1945 · art. 22 Code déonto EC · art. 5 Article 226-13 Code pénal RGPD natif Hébergement France
01 / Cadre légal applicable

Le cabinet d'expertise comptable manipule au quotidien des données fiscales, sociales et bancaires couvertes par un secret professionnel d'ordre public. Le choix d'un coffre-fort de secrets ne relève pas du confort logiciel : il engage la responsabilité ordinale et pénale du professionnel inscrit au tableau de l'Ordre.

Texte fondateur

Article 22 de l'ordonnance n° 45-2138

L'ordonnance du 19 septembre 1945 portant institution de l'Ordre des experts-comptables fixe à son article 22 le principe : « Les experts-comptables et les salariés mentionnés à l'article 83 ter et à l'article 83 quater sont tenus au secret professionnel dans les conditions prévues à l'article 226-13 du code pénal. » Ce secret est général et absolu, sauf dérogations légales limitativement énumérées (Tracfin, contrôle fiscal, réquisition judiciaire régulière).

Doctrine ordinale

Article 5 du code de déontologie OEC

Le code de déontologie des professionnels de l'expertise comptable, annexé au décret n° 2012-432 du 30 mars 2012, précise à son article 5 que les professionnels sont tenus au secret professionnel et au devoir de discrétion. La violation expose à des sanctions disciplinaires devant la Chambre régionale de discipline et le Conseil supérieur de l'Ordre, en sus des poursuites pénales. Le cabinet est responsable de la conformité de ses outils techniques à cette obligation.

Sanction pénale

Article 226-13 du Code pénal

« La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d'amende. » Le manquement engage donc une responsabilité pénale personnelle de l'expert-comptable. Un outil exposant techniquement un identifiant DGFiP ou un mot de passe Cegid d'un client suffirait à caractériser la divulgation.

RGPD : le cabinet est responsable de traitement

Au-delà du secret professionnel, le cabinet d'expertise comptable est responsable du traitement au sens du règlement (UE) 2016/679 (RGPD) pour les données qu'il manipule sur ses propres clients (TPE, PME, associations). Les articles 5, 25 et 32 imposent une sécurité appropriée, une minimisation des accès et une protection by design. La désignation d'un DPO n'est obligatoire que dans les hypothèses de l'article 37 (traitement à grande échelle, suivi régulier et systématique), mais la grande majorité des cabinets de plus de quelques associés y a recours par prudence. La conjonction du secret professionnel OEC et du RGPD rend particulièrement inopportun le recours à un éditeur soumis à une juridiction extraterritoriale : l'article 48 du RGPD prohibe la transmission de données vers un État tiers en réponse à une décision administrative ou judiciaire non couverte par un accord international.

02 / Les risques concrets

Trois scénarios qui engagent la responsabilité du cabinet.

Les incidents de sécurité touchant les cabinets d'expertise comptable sont rarement médiatisés mais bien documentés par les assureurs RC professionnelle et par les retours d'incident OEC. Trois scénarios concentrent l'essentiel du sinistre, et tous ont une racine commune : la mauvaise gestion des identifiants d'accès aux dossiers clients et aux plateformes officielles.

Scénario 1

Exfiltration des données client

Un poste compromis chez un collaborateur (phishing ciblé sur la période fiscale, faux mail DGFiP) permet l'extraction d'un classeur de mots de passe partagé sur le serveur de fichiers du cabinet. Les identifiants des espaces professionnels DGFiP, Net-Entreprises, ACOSS et des logiciels Cegid, Sage, EBP, ISACOMPTA filent vers un acteur tiers. La compromission peut rester invisible plusieurs semaines. Conséquences : violation du secret professionnel, notification CNIL sous 72 heures (article 33 RGPD), notification individuelle des clients affectés (article 34), responsabilité civile professionnelle activée.

Scénario 2

Requête CLOUD Act sur un SaaS américain

Un éditeur de gestionnaire de mots de passe soumis au Clarifying Lawful Overseas Use of Data Act reçoit une National Security Letter visant un dossier d'expertise sensible (groupe étranger, contentieux fiscal international, due diligence transactionnelle). L'éditeur, techniquement en clair côté serveur, peut être contraint de livrer les secrets sans en informer le cabinet ni les clients concernés. Le secret professionnel OEC est violé à l'insu du cabinet, en dehors de toute décision d'un juge français et hors champ de l'article 48 du RGPD.

Scénario 3

Rançongiciel sur poste collaborateur

Un rançongiciel chiffre les fichiers du cabinet à la veille d'une échéance déclarative (TVA mensuelle, DSN, liasse fiscale). Le coffre de mots de passe « maison » (tableur protégé, KeePass local non sauvegardé hors site) est perdu avec le reste. Le cabinet ne peut plus se reconnecter à EDI-TVA, à Net-Entreprises ni aux logiciels métier pendant plusieurs jours. Conséquences : déclarations en souffrance, pénalités de retard pour les clients, responsabilité du cabinet engagée au titre de sa lettre de mission.

03 / La réponse Aegirex

Six briques techniques opposables.

Plutôt qu'une promesse commerciale, six garanties techniques vérifiables : chacune peut être contrôlée par votre prestataire IT, votre DPO ou un auditeur PASSI mandaté avant tout déploiement, sans NDA et sans dépendance à la bonne foi de l'éditeur.

Zero-knowledge OpenPGP.js v6

Chiffrement côté navigateur avec dérivation Argon2id (RFC 9106, 5 passes, 256 MiB, parallelism 4) du mot de passe maître. Clés X25519 pour le chiffrement, Ed25519 pour la signature, AES-256-GCM en SEIPDv2 pour la confidentialité symétrique. Les clés privées ne quittent jamais le poste de l'expert-comptable.

Audit chain HMAC-SHA-256

Chaque accès, partage, révocation est scellé et chaîné cryptographiquement (RFC 2104). Une falsification rétroactive de l'historique est détectable par une commande CLI publique de contrôle de la chaîne d'audit. Convention de preuve activable pour un contrôle confraternel ou une mission de Commissariat aux Comptes.

Hébergement Paris · bunker anti-atomique

Trois zones de disponibilité en région parisienne, opérateur français, juridiction française exclusive. Aucun sous-traitant soumis au Cloud Act dans le chemin de données. DPA standardisé inclus dès le plan Business, sous droit français.

Code AGPLv3 intégralement auditable

Le code source complet est publié sur GitHub, y compris les fonctionnalités payantes (RBAC, SCIM, audit chain HMAC). Auto-hébergement possible chez un opérateur HDS ou SecNumCloud à coût licence nul, sans télémétrie sortante obligatoire.

Multi-organisation à compte-pivot

Un même collaborateur peut appartenir à plusieurs organisations sans mélanger les secrets : une organisation par cabinet, par bureau, ou par dossier client sensible (groupe coté, contentieux fiscal, mission de Commissariat aux Comptes). Cloisonnement strict, facturation portée par l'organisation.

RBAC 6 rôles et partage chiffré E2E

Six rôles natifs (owner, admin, manager, member, viewer, guest). Le partage d'un accès DGFiP ou d'un mot de passe Cegid avec un collaborateur en mission se fait par re-chiffrement vers sa clé OpenPGP, sans passage par e-mail en clair ni messagerie instantanée.

04 / Flux métier couverts

Pensé pour les plateformes officielles et logiciels EC.

Le quotidien d'un expert-comptable est rythmé par les connexions à une dizaine de plateformes et logiciels métier. Chacun de ces accès est un secret au sens de l'article 226-13 du Code pénal : identifiant client, mot de passe, certificat, jeton API ou clé EDI.

DGFiP · EDI-TVA · impots.gouv.fr

Stockage et partage chiffré des accès à l'espace professionnel DGFiP, des certificats EDI-TVA, des identifiants du portail impots.gouv.fr, ainsi que des accès au télérèglement et au mandat de prélèvement SEPA interentreprises (B2B).

Net-Entreprises · DSN · ACOSS

Identifiants net-entreprises.fr par client, comptes ACOSS / URSSAF, identifiants DSN mensuelle, accès aux portails MSA et caisses de retraite complémentaire. Partage ciblé au collaborateur en charge du dossier social uniquement.

Cegid · Sage · EBP · ISACOMPTA

Identifiants applicatifs des logiciels de production (Cegid Loop, Cegid Quadra, Sage Production Comptable, EBP Compta, ISACOMPTA Connect), accès VPN aux serveurs métier, jetons API des connecteurs bancaires (Powens, Bridge, Linxo).

Registres CCI · INPI · BODACC

Accès aux registres officiels (Registre du Commerce et des Sociétés, INPI Data, BODACC, Guichet unique des formalités d'entreprises), abonnements d'extrait Kbis dématérialisé, accès aux mandataires inscrits au Tableau et identifiants des correspondants CCI régionaux.

05 / Cas d'usage concret

Un cabinet de 8 collaborateurs · 120 dossiers.

Profil : cabinet d'expertise comptable de proximité, deux associés inscrits au Tableau de l'Ordre, quatre collaborateurs comptables, deux assistantes. Cent vingt dossiers clients actifs (TPE artisans, professions libérales, SCI familiales, deux PME industrielles).

Avant Aegirex

  • Classeur Excel chiffré sur le serveur de fichiers du cabinet, partagé en clair sur le réseau interne
  • Identifiants DGFiP et Net-Entreprises de 120 clients dupliqués dans plusieurs fichiers
  • Mot de passe maître transmis verbalement aux nouveaux collaborateurs ou figurant sur un post-it
  • Aucune traçabilité : impossible de répondre à un client qui demande qui a consulté son dossier fiscal
  • Lors du départ d'un collaborateur, rotation manuelle partielle (oubli systématique de certains accès EBP ou Cegid)
  • Risque sur l'article 226-13 CP non maîtrisé techniquement, seulement déclaré contractuellement

Avec Aegirex (plan Team à 4 €/siège/mois)

  • Coût annuel total : 384 €/an pour 8 sièges, sans engagement de durée
  • Une organisation par bureau ; pour les dossiers sensibles (groupe coté, contentieux fiscal), une organisation dédiée à accès restreint
  • Identifiants DGFiP, EDI-TVA, Net-Entreprises, Cegid, Sage, EBP, ISACOMPTA stockés en chiffré bout en bout
  • Audit chain HMAC consultable à tout moment : qui a consulté quel mot de passe, quand, depuis quelle adresse IP
  • Révocation immédiate d'un collaborateur en un clic, journalisée et opposable à un contrôle confraternel
  • SSO SAML 2.0 vers l'annuaire interne (Microsoft, Google, IdP de votre choix), inclus dès le plan gratuit
  • Article 226-13 CP garanti par construction : l'éditeur ne peut techniquement pas lire les secrets

Profil type. Pour un cabinet de cette taille, le déploiement Cloud : inscription, configuration SSO et import des premiers coffres clients en moins d'une demi-journée. La courbe d'apprentissage des collaborateurs est de l'ordre de deux à trois jours. L'auto-hébergement AGPLv3 reste toujours possible si la sensibilité interne penche pour une infrastructure dédiée ou pour un hébergeur HDS (utile aux cabinets traitant des structures sanitaires : cliniques, maisons de santé, pharmacies).

06 / Aller plus loin

Approfondir les fondations techniques.

Cinq pages connexes pour vérifier point par point les affirmations de cette landing avant tout déploiement en cabinet.

Verticales métiers

Vue d'ensemble des secteurs prioritaires : ESN sécurité, avocats, experts-comptables, santé, OIV.

Sécurité & cryptographie

Whitepaper public : OpenPGP.js v6, Argon2id, AES-256-GCM, HMAC-SHA-256. Algorithmes documentés, choix justifiés.

Confiance & transparence

Engagements vérifiables, posture en cas de réquisition, calendrier des certifications visées (SecNumCloud, ISO 27001).

Audit chain HMAC-SHA-256

Le détail technique de la chaîne d'audit vérifiable, opposable au contrôle qualité confraternel comme au juge.

Coffre-fort mots de passe avocat

La page sœur dédiée aux cabinets d'avocats : article 66-5 loi 71-1130, secret professionnel inaliénable, e-Barreau et Telerecours.

Tarifs et plans

Free jusqu'à 3 utilisateurs à vie, Team à 4 €/siège/mois, Business à 7 €/siège/mois, Enterprise négocié. Détail complet des inclusions.
07 / FAQ dédiée experts-comptables

Huit questions d'associés et de DSI de cabinet.

Si votre question manque, écrivez-nous : un échange technique de 30 minutes avec un référent Aegirex suffit généralement à cadrer un POC sur un dossier pilote.

Aegirex est-il conforme RGPD pour un cabinet d'expertise comptable ?

Oui. Aegirex applique la protection des données par construction (article 25 RGPD) et une sécurité appropriée (article 32) via un chiffrement zero-knowledge OpenPGP.js v6 côté navigateur. L'éditeur ne peut techniquement pas lire les secrets stockés, ce qui aligne le coffre sur le principe de minimisation (article 5) attendu d'un sous-traitant traitant de la donnée fiscale et sociale. Un DPA standardisé est fourni dès le plan Business, sous droit français exclusif. La désignation d'un DPO n'est pas imposée par l'usage du coffre, mais facilitée par la traçabilité d'audit chain.

Comment partager un accès DGFiP ou EDI-TVA à un collaborateur en mission ?

Le partage d'un identifiant DGFiP, d'un mot de passe espace professionnel impots.gouv.fr ou d'un accès EDI-TVA passe par un re-chiffrement OpenPGP vers la clé publique du collaborateur. Aucun envoi par e-mail en clair, aucun passage par un canal intermédiaire lisible (messagerie instantanée, SMS, post-it). La révocation est immédiate dès que la mission s'achève, et chaque ouverture du secret est journalisée dans l'audit chain HMAC-SHA-256. C'est la traduction technique de l'obligation de minimisation des accès posée par l'article 5 du code de déontologie OEC.

L'audit log est-il accessible pour le Commissariat aux Comptes ou un contrôle confraternel OEC ?

Oui. Chaque accès, partage et révocation est scellé par HMAC-SHA-256 chaînée et horodatée. L'export d'audit signé peut être produit lors d'un contrôle qualité confraternel mené par le Conseil régional de l'Ordre, lors d'une mission de Commissariat aux Comptes portant sur la sécurité du système d'information du cabinet, ou lors d'une procédure disciplinaire devant la Chambre régionale de discipline. Une commande CLI publique de contrôle de la chaîne d'audit permet la vérification indépendante par tout expert mandaté, sans dépendre de la bonne foi de l'éditeur.

Quel tarif pour un cabinet de 5 à 10 collaborateurs ?

Le plan Team à 4 €/siège/mois (annuel) couvre la quasi-totalité des cabinets indépendants : RBAC à 6 rôles, partage chiffré bout en bout, audit chain HMAC-SHA-256, SSO SAML 2.0 et 2FA inclus. Pour un cabinet de 8 collaborateurs, le coût annuel s'établit autour de 384 €/an, sans engagement de durée. Le plan Free reste accessible à vie pour les indépendants et petites équipes (jusqu'à 3 utilisateurs). Au-delà de 50 sièges (cabinets multi-bureaux ou groupes inter-cabinets), le plan Business à 7 €/siège/mois ajoute SCIM 2.0, audit log 1 an et SLA 99,5 %. Détail complet sur la page tarifs.

Mes données restent-elles en France ?

Oui. L'hébergement est confiné à la région Paris sur trois zones de disponibilité, opérateur français. Aucun sous-traitant extra-UE n'intervient dans le chemin de données. ARDNTECH EI est une société de droit français, hors champ d'application du Cloud Act américain. Le DPA Business est régi par le droit français, tribunaux compétents en France. Cf. la page coffre-fort secrets France pour le détail de l'architecture souveraine.

Aegirex est-il auto-hébergeable chez un hébergeur HDS ou SecNumCloud ?

Oui. L'intégralité du code source est publiée sous licence AGPLv3 sur GitHub, fonctionnalités Team et Business comprises. Un cabinet peut déployer Aegirex chez un hébergeur certifié HDS (utile pour les cabinets traitant des clients du secteur sanitaire), chez un opérateur déjà qualifié SecNumCloud, ou sur sa propre infrastructure interne, sans verrouillage éditeur et sans télémétrie sortante obligatoire. Cette option est privilégiée par les cabinets ayant une activité d'expertise auprès de structures sanitaires, d'opérateurs essentiels NIS2 ou de sous-traitants défense.

Comment révoquer un collaborateur qui quitte le cabinet ?

La révocation d'un membre déclenche une réémission des clés de groupe pour les coffres concernés et journalise l'événement dans l'audit chain. Le collaborateur perd immédiatement l'accès en clair aux identifiants DGFiP, Net-Entreprises, Cegid, Sage, EBP et ISACOMPTA partagés. Les éventuelles copies locales sont à traiter par votre politique de poste de travail (rotation forcée recommandée pour les accès très critiques, fonctionnalité de rotation assistée prévue en V2). La traçabilité de la révocation est immédiatement disponible pour un contrôle ordinal ultérieur.

L'audit chain est-il opposable à un audit OEC ou à un contrôle qualité confraternel ?

Oui. La chaîne d'audit Aegirex repose sur HMAC-SHA-256 (RFC 2104). Chaque événement est lié au précédent par un sceau cryptographique ; toute falsification rétroactive casse la chaîne et est détectable par une commande CLI publique de contrôle de la chaîne d'audit. Lors d'un contrôle qualité confraternel ou d'une mission de Commissariat aux Comptes portant sur la sécurité du système d'information du cabinet, l'export signé constitue une preuve vérifiable indépendamment. La logique sous-jacente est détaillée sur la page audit chain HMAC-SHA-256.

08 / Démarrer

Le secret professionnel OEC,
garanti techniquement.

Créer le coffre d'un cabinet d'expertise comptable prend moins d'une demi-journée, dossier pilote inclus. Pas d'engagement, pas de carte bancaire pour le plan Free, pas de relance commerciale agressive sur le plan Team : juste un échange technique sur la pertinence de la solution pour la pratique réelle de votre cabinet.

Créer mon coffre · gratuit à vie Échanger sur mon cabinet
Secret professionnel OEC garanti par construction (ordonnance 1945, art. 22)
Article 226-13 CP couvert techniquement (1 an, 15 000 €)
RGPD natif : privacy by design, DPA français, hébergement Paris
DGFiP, Net-Entreprises, ACOSS, Cegid, Sage, EBP, ISACOMPTA chiffrés E2E
Code AGPLv3 auditable, auto-hébergement HDS ou SecNumCloud possible