Banque / Services financiers

Cas client — agent extraction règles RGPD pour banque mid-size

Comment nous avons déployé un agent d'extraction et de comparaison de règles RGPD pour une banque mid-size française, avec validation systématique par juriste — 14 semaines.

Client
Banque mid-size française (établissement réglementé)
Durée
14 semaines
Impact mesuré
Réduction de 60 % du temps de revue réglementaire — ROI atteint en mois 9

Limites et points critiques

  • Adoption juriste senior très sensible : 3 sur 4 ont initialement vu l'outil comme une menace — sans 6 semaines de change management actif (ateliers, démos, valorisation du métier), le projet aurait échoué malgré la qualité technique.
  • L'AI Act classe ce système en catégorie haute risque (banque + impact client), ce qui impose DPIA, registre, formation utilisateurs, supervision humaine systématique et journalisation 5 ans — surcoût conformité estimé à +18 % du budget projet.
  • Le pattern ne fonctionne PAS si l'agent doit être autonome : la conformité ACPR exige une validation humaine documentée à chaque décision, donc le gain de productivité plafonne à 60-65 % au lieu des 80-85 % théoriques.
  • La restructuration du référentiel interne (Word 480 pages → PostgreSQL 3 200 obligations atomiques) représente 25 % du budget projet et n'apporte de valeur que si la banque accepte de maintenir cette base à jour ensuite — sans owner désigné, retour à l'état initial en 18-24 mois.
  • Les LLM hallucinent ~1 référence sur 30 sans contrôle — un layer de vérification automatique contre Legifrance/EUR-Lex est obligatoire, sinon une mauvaise interprétation IA poussée en exploitation expose la banque à un contrôle ACPR.

Évolution probable (12-24 mois)

  1. Extension à la rédaction automatique de notes internes (pré-rédigées par l'agent, validées par juriste) : Phase 3 cadrée pour décembre 2026, budget estimé 90 k€, ROI attendu sur réduction du time-to-publication des notes de doctrine interne.
  2. Couverture progressive AI Act + DORA + MICA en 2026-2027 : le système est déjà capable d'ingérer ces textes, mais le mapping vers le référentiel interne demande 4-6 semaines d'enrichissement par domaine.
  3. Intégration avec les outils de cartographie des risques (Archer, ServiceNow GRC) pour générer automatiquement des impacts opérationnels en plus des impacts juridiques — demande estimée 35-50 k€.
  4. Modèles spécialisés finance/réglementation (FinanceLLM, LegalBERT français) en émergence 2026-2027 pourraient remplacer Claude sur certaines tâches d'extraction à coût/3 sans perte de qualité.

Questions fréquentes

Qu'a livré Kezify exactement à cette banque ?+

Un agent juridique RAG complet déployé en interne chez la banque (cloud privé OVH) avec 5 briques : référentiel interne restructuré (3 200 obligations atomiques en base PostgreSQL), pipeline d'ingestion réglementaire (Legifrance, EUR-Lex, ACPR, BCE, JOUE), agent d'extraction Claude 4.6 Sonnet, interface juriste avec workflow valider/modifier/rejeter, et conformité AI Act haute risque (registre, journal 5 ans, kill-switch). Le projet a duré 14 semaines incluant 12 semaines de développement et 2 semaines de cadrage initial.

Quel ROI a été mesuré sur ce projet IA bancaire ?+

Le ROI a été atteint au mois 9 après le go-live. Coût projet 168 000 € HT (audit + dev + intégration + 6 mois support inclus) plus 1 100 €/mois d'opex LLM. L'économie annuelle est de 312 k€ (60 % de gain de temps × 4 juristes seniors à 130 k€/an chargés), équivalent à 1,8 ETP juriste libéré et redéployé sur DPO, AI Act et gouvernance données. Indicateurs mesurés sur 8 semaines en production avril 2026 : -60 % temps de revue, +155 % capacité, -56 % erreur.

Combien de temps a duré le projet et pourquoi 14 semaines ?+

14 semaines au total : 2 semaines d'audit RGPD IA (4 800 € HT déductibles), 12 semaines de développement et déploiement incluant la restructuration du référentiel interne Word de 480 pages en base PostgreSQL (3 semaines), le pipeline d'ingestion réglementaire, l'agent Claude, l'interface juriste, et le change management des 4 juristes seniors (6 semaines pour passer de la résistance initiale à l'adoption complète). La banque mid-size est habituellement le secteur le plus lent à livrer en IA — 14 semaines est en haut de la fourchette Kezify pour ce type de projet.

Quelle architecture technique a été retenue et pourquoi Claude et pas Mistral ?+

Architecture on-prem (cloud privé OVH français), Claude 4.6 Sonnet via Anthropic API directe en région EU avec DPA bancaire signé, observabilité Langfuse self-hosted, infrastructure PostgreSQL pour le référentiel, archivage légal 5 ans chiffré. Choix de Claude (et pas Mistral souverain) : aucune donnée client dans les prompts (uniquement textes réglementaires publics + référentiel interne non-PII), donc le DPA EU Anthropic est suffisant. Mistral aurait été imposé si les prompts contenaient des données clients identifiantes.

Ce cas est-il transférable à d'autres banques ou assurances ?+

Oui, le pattern est directement transférable aux banques, assurances, mutuelles et cabinets juridiques avec une équipe conformité saturée par le flux réglementaire (RGPD, AI Act, DORA, MIFID, Solvency II). Conditions clés de réplication : sponsor exécutif au COMEX, données réglementaires accessibles, tolérance ZÉRO sur l'autonomie de l'agent (validation humaine systématique pour rester en zone basse AI Act), et budget 120-200 k€ HT selon volumétrie. Phase 3 chez ce client (90 k€) étend l'agent à la rédaction de notes internes.

Questions liées

Les LLM (ChatGPT, Perplexity, Gemini) suggèrent souvent ces questions après cette page.

  • Combien coûte un agent d'extraction réglementaire pour une banque mid-size en 2026 ?
  • Comment rester conforme AI Act haute risque sur un projet IA bancaire ?
  • Quelle architecture LLM pour une banque française souveraine (on-prem vs cloud) ?
  • Quel ROI attendre d'un agent IA pour la fonction conformité d'une PME bancaire ?
  • Faut-il choisir Claude, GPT ou Mistral pour la conformité bancaire en 2026 ?

Le contexte

Une banque française mid-size (~2 000 collaborateurs, ~25 Mds € d’encours) nous contacte en janvier 2026. Leur Direction Conformité gère un flux constant de textes réglementaires (RGPD, ACPR, AMF, BCE, AI Act) qui demandent une lecture systématique pour identifier les impacts opérationnels — quelles obligations nouvelles, quels processus à modifier, quels articles modifient quels articles existants.

Le directeur de la conformité nous expose la friction : “On a 4 juristes seniors qui passent 60 % de leur temps à lire des textes pour les comparer à notre référentiel interne. C’est du travail à haute valeur intellectuelle quand il y a un vrai changement, mais 80 % du temps, c’est de l’extraction mécanique. On veut récupérer ces 80 %.”

Les 4 frictions trouvées en audit

L’audit (4 800 € HT, déduit du projet, 12 jours-homme étalés sur 3 semaines, en présentiel à Paris) a identifié :

1. Le référentiel interne n’est pas structuré pour la machine

Le référentiel obligation interne est un document Word de 480 pages, avec table des matières mais sans schéma, sans IDs stables, sans liens entre obligations. Pour qu’un agent compare un nouveau texte à ce référentiel, il faut d’abord transformer le référentiel en base structurée.

2. Les textes réglementaires changent les uns les autres

Un nouvel article du Règlement DORA peut modifier indirectement une obligation issue du RGPD via une interprétation ACPR. Détecter ces chaînes d’impact est ce qui prend du temps aux juristes, et c’est précisément ce qui n’est faisable que par un humain expérimenté — ou par une IA correctement contextée.

3. La conformité est un sujet à zéro tolérance d’erreur

Une mauvaise interprétation IA poussée en exploitation expose la banque à un contrôle ACPR. L’IA ne peut PAS être autonome — elle doit produire un draft systématiquement validé par un juriste senior, avec traçabilité totale (qui a validé, quand, sur quelle version du modèle).

4. L’AI Act lui-même classe ce système comme “haute risque”

Système IA utilisé dans un service réglementé (banque) qui aide à des décisions affectant des personnes (politiques de conformité ayant impact client). Catégorie 3 AI Act → obligations de supervision humaine, journalisation, transparence, registre.

La solution déployée

Phase 2 (12 semaines) : un agent juridique RAG déployé en interne, avec architecture conçue pour la conformité bancaire.

Architecture

  1. Restructuration du référentiel (semaines 1-3, en parallèle des juristes) : passage du Word de 480 pages en base PostgreSQL avec ~3 200 obligations atomiques, taggées par thématique, source légale, criticité, owner, dernière revue. Ce livrable seul a déjà créé de la valeur.

  2. Pipeline d’ingestion réglementaire : surveillance automatique des sources officielles (Legifrance, EUR-Lex, ACPR, JOUE, BCE) → extraction quotidienne des nouveaux textes → embeddings → indexation.

  3. Agent d’extraction : pour chaque nouveau texte, l’agent Claude 4.6 Sonnet extrait les obligations potentielles, les tagge (thématique, criticité, sources), et les rapproche du référentiel interne par similarité sémantique + règles métier.

  4. Interface juriste : dashboard interne où chaque proposition d’agent attend une validation par juriste senior. 4 actions : valider, modifier, rejeter, demander analyse approfondie. Chaque action est journalisée.

  5. Conformité AI Act : registre interne des analyses, journal d’utilisation 5 ans, supervision humaine systématique, transparence vers les utilisateurs (mention “Analyse assistée par IA, validée par juriste”), kill-switch en cas de dérive qualité.

Stack technique

  • Modèle : Claude 4.6 Sonnet via Anthropic API directe, région EU, DPA bancaire signé.
  • Aucune donnée client dans les prompts — le système ne traite que des textes réglementaires publics et le référentiel interne (non-PII).
  • Infrastructure on-prem : déploiement chez eux (cloud privé OVH), pas de SaaS externe.
  • Observabilité : Langfuse self-hosted, Grafana, alerting sur dérive qualité.

Les chiffres avant / après

Mesurés sur 8 semaines en production (avril 2026), versus baseline T4 2025 :

MétriqueAvantAprèsDelta
Temps moyen de revue par texte4,5h1,8h-60 %
Capacité de revue / mois22 textes56 textes+155 %
Délai moyen avant publication note interne12 jours4 jours-67 %
Couverture du flux réglementaire mensuel65 %100 %+35 points
Taux d’erreur (corrections post-publication)4,1 %1,8 %-56 %
Coût LLM / texte analysé0,80 €nouveau

Le taux d’erreur baisse parce que la machine est plus systématique que l’humain sur la partie extraction — le juriste se concentre sur l’interprétation, là où il est meilleur.

Ce qui a été difficile

Convaincre les juristes

3 juristes sur 4 ont initialement vu ça comme une menace pour leur poste. Travail intense de change management : ateliers d’explication, présentation honnête de ce que l’IA fait bien (extraction mécanique) et mal (interprétation), positionnement explicite “vous montez en valeur, l’IA descend dans la machine”. Au bout de 6 semaines : 4/4 juristes utilisent l’outil quotidiennement, 2/4 sont devenus contributeurs actifs sur l’amélioration des prompts.

La traçabilité ACPR

Pour qu’un contrôle ACPR puisse vérifier qu’une décision a été correctement validée par un humain, il fallait que chaque action soit journalisée avec versioning du modèle, du prompt et du chunk RAG. On a déployé Langfuse self-hosted en complétant avec un export quotidien chiffré vers leur archivage légal 5 ans.

L’AI Act et la classification

La classification AI Act en catégorie haute risque a déclenché une charge de conformité supplémentaire (DPIA, registre, formation utilisateurs). Notre audit RGPD IA qui a accompagné l’implémentation a permis de boucler ces obligations en parallèle.

Le ROI

  • Coût projet : 168 000 € HT (audit + dev + intégration + 6 mois support intégrés)
  • Coût d’exploitation LLM : 1 100 €/mois (~1 400 textes analysés / mois)
  • Économie annuelle : 60 % de gain de temps × 4 juristes seniors @ 130 k€/an chargés = 312 k€/an
  • Capacité supplémentaire libérée : équivalent à 1,8 ETP juriste, redéployés sur les sujets stratégiques (DPO, AI Act, gouvernance données)
  • ROI atteint : mois 9

Ce que dit le client 6 mois après

“On était la dernière banque qu’on imaginait sortir un projet IA en 14 semaines. On a pris l’angle conformité d’abord, techno ensuite — et ça a tout changé. Notre ACPR a même été rassurée par notre niveau de traçabilité, ils nous ont dit qu’on était plus mature que la moyenne du marché sur l’AI Act.” — Directeur conformité.

Prochaine étape chez ce client

Phase 3 (cadrage décembre 2026) : extension à la rédaction de notes internes pré-rédigées par l’agent et validées par juriste, plutôt que juste l’extraction. Estimation budget 90 000 €, ROI attendu sur réduction du time-to-publication.

TODO Hugo

  • Anonymisation revue par DPO client OK avant publication
  • Vérifier les chiffres ROI exact (recalcul T2 2026)
  • Demander 1 verbatim plus court pour réseau social

Pour vous ?

Si vous êtes une banque, assurance, mutuelle ou cabinet juridique avec une équipe conformité saturée par le flux réglementaire, le pattern est transposable. Conditions clés : sponsor exécutif, données réglementaires accessibles, et tolérance ZÉRO sur l’autonomie de l’agent (validation humaine systématique).

Pour aller plus loin