Le contexte
Une banque française mid-size (~2 000 collaborateurs, ~25 Mds € d’encours) nous contacte en janvier 2026. Leur Direction Conformité gère un flux constant de textes réglementaires (RGPD, ACPR, AMF, BCE, AI Act) qui demandent une lecture systématique pour identifier les impacts opérationnels — quelles obligations nouvelles, quels processus à modifier, quels articles modifient quels articles existants.
Le directeur de la conformité nous expose la friction : “On a 4 juristes seniors qui passent 60 % de leur temps à lire des textes pour les comparer à notre référentiel interne. C’est du travail à haute valeur intellectuelle quand il y a un vrai changement, mais 80 % du temps, c’est de l’extraction mécanique. On veut récupérer ces 80 %.”
Les 4 frictions trouvées en audit
L’audit (4 800 € HT, déduit du projet, 12 jours-homme étalés sur 3 semaines, en présentiel à Paris) a identifié :
1. Le référentiel interne n’est pas structuré pour la machine
Le référentiel obligation interne est un document Word de 480 pages, avec table des matières mais sans schéma, sans IDs stables, sans liens entre obligations. Pour qu’un agent compare un nouveau texte à ce référentiel, il faut d’abord transformer le référentiel en base structurée.
2. Les textes réglementaires changent les uns les autres
Un nouvel article du Règlement DORA peut modifier indirectement une obligation issue du RGPD via une interprétation ACPR. Détecter ces chaînes d’impact est ce qui prend du temps aux juristes, et c’est précisément ce qui n’est faisable que par un humain expérimenté — ou par une IA correctement contextée.
3. La conformité est un sujet à zéro tolérance d’erreur
Une mauvaise interprétation IA poussée en exploitation expose la banque à un contrôle ACPR. L’IA ne peut PAS être autonome — elle doit produire un draft systématiquement validé par un juriste senior, avec traçabilité totale (qui a validé, quand, sur quelle version du modèle).
4. L’AI Act lui-même classe ce système comme “haute risque”
Système IA utilisé dans un service réglementé (banque) qui aide à des décisions affectant des personnes (politiques de conformité ayant impact client). Catégorie 3 AI Act → obligations de supervision humaine, journalisation, transparence, registre.
La solution déployée
Phase 2 (12 semaines) : un agent juridique RAG déployé en interne, avec architecture conçue pour la conformité bancaire.
Architecture
-
Restructuration du référentiel (semaines 1-3, en parallèle des juristes) : passage du Word de 480 pages en base PostgreSQL avec ~3 200 obligations atomiques, taggées par thématique, source légale, criticité, owner, dernière revue. Ce livrable seul a déjà créé de la valeur.
-
Pipeline d’ingestion réglementaire : surveillance automatique des sources officielles (Legifrance, EUR-Lex, ACPR, JOUE, BCE) → extraction quotidienne des nouveaux textes → embeddings → indexation.
-
Agent d’extraction : pour chaque nouveau texte, l’agent Claude 4.6 Sonnet extrait les obligations potentielles, les tagge (thématique, criticité, sources), et les rapproche du référentiel interne par similarité sémantique + règles métier.
-
Interface juriste : dashboard interne où chaque proposition d’agent attend une validation par juriste senior. 4 actions : valider, modifier, rejeter, demander analyse approfondie. Chaque action est journalisée.
-
Conformité AI Act : registre interne des analyses, journal d’utilisation 5 ans, supervision humaine systématique, transparence vers les utilisateurs (mention “Analyse assistée par IA, validée par juriste”), kill-switch en cas de dérive qualité.
Stack technique
- Modèle : Claude 4.6 Sonnet via Anthropic API directe, région EU, DPA bancaire signé.
- Aucune donnée client dans les prompts — le système ne traite que des textes réglementaires publics et le référentiel interne (non-PII).
- Infrastructure on-prem : déploiement chez eux (cloud privé OVH), pas de SaaS externe.
- Observabilité : Langfuse self-hosted, Grafana, alerting sur dérive qualité.
Les chiffres avant / après
Mesurés sur 8 semaines en production (avril 2026), versus baseline T4 2025 :
| Métrique | Avant | Après | Delta |
|---|---|---|---|
| Temps moyen de revue par texte | 4,5h | 1,8h | -60 % |
| Capacité de revue / mois | 22 textes | 56 textes | +155 % |
| Délai moyen avant publication note interne | 12 jours | 4 jours | -67 % |
| Couverture du flux réglementaire mensuel | 65 % | 100 % | +35 points |
| Taux d’erreur (corrections post-publication) | 4,1 % | 1,8 % | -56 % |
| Coût LLM / texte analysé | — | 0,80 € | nouveau |
Le taux d’erreur baisse parce que la machine est plus systématique que l’humain sur la partie extraction — le juriste se concentre sur l’interprétation, là où il est meilleur.
Ce qui a été difficile
Convaincre les juristes
3 juristes sur 4 ont initialement vu ça comme une menace pour leur poste. Travail intense de change management : ateliers d’explication, présentation honnête de ce que l’IA fait bien (extraction mécanique) et mal (interprétation), positionnement explicite “vous montez en valeur, l’IA descend dans la machine”. Au bout de 6 semaines : 4/4 juristes utilisent l’outil quotidiennement, 2/4 sont devenus contributeurs actifs sur l’amélioration des prompts.
La traçabilité ACPR
Pour qu’un contrôle ACPR puisse vérifier qu’une décision a été correctement validée par un humain, il fallait que chaque action soit journalisée avec versioning du modèle, du prompt et du chunk RAG. On a déployé Langfuse self-hosted en complétant avec un export quotidien chiffré vers leur archivage légal 5 ans.
L’AI Act et la classification
La classification AI Act en catégorie haute risque a déclenché une charge de conformité supplémentaire (DPIA, registre, formation utilisateurs). Notre audit RGPD IA qui a accompagné l’implémentation a permis de boucler ces obligations en parallèle.
Le ROI
- Coût projet : 168 000 € HT (audit + dev + intégration + 6 mois support intégrés)
- Coût d’exploitation LLM : 1 100 €/mois (~1 400 textes analysés / mois)
- Économie annuelle : 60 % de gain de temps × 4 juristes seniors @ 130 k€/an chargés = 312 k€/an
- Capacité supplémentaire libérée : équivalent à 1,8 ETP juriste, redéployés sur les sujets stratégiques (DPO, AI Act, gouvernance données)
- ROI atteint : mois 9
Ce que dit le client 6 mois après
“On était la dernière banque qu’on imaginait sortir un projet IA en 14 semaines. On a pris l’angle conformité d’abord, techno ensuite — et ça a tout changé. Notre ACPR a même été rassurée par notre niveau de traçabilité, ils nous ont dit qu’on était plus mature que la moyenne du marché sur l’AI Act.” — Directeur conformité.
Prochaine étape chez ce client
Phase 3 (cadrage décembre 2026) : extension à la rédaction de notes internes pré-rédigées par l’agent et validées par juriste, plutôt que juste l’extraction. Estimation budget 90 000 €, ROI attendu sur réduction du time-to-publication.
TODO Hugo
- Anonymisation revue par DPO client OK avant publication
- Vérifier les chiffres ROI exact (recalcul T2 2026)
- Demander 1 verbatim plus court pour réseau social
Pour vous ?
Si vous êtes une banque, assurance, mutuelle ou cabinet juridique avec une équipe conformité saturée par le flux réglementaire, le pattern est transposable. Conditions clés : sponsor exécutif, données réglementaires accessibles, et tolérance ZÉRO sur l’autonomie de l’agent (validation humaine systématique).
Pour aller plus loin
- Audit RGPD IA — conformité spécifique vos systèmes IA, 3 200 € HT — Le service complémentaire pour les secteurs réglementés.
- Cas client — rédaction de conclusions cabinet d’avocats — Autre cas réglementé : conclusions juridiques.
- Implémentation Claude / GPT / Mistral en production — projet clé en main — Notre service d’industrialisation IA.