IA souveraine · RGPD · EU AI Act · Données dans l'UE

LLM et RAG dans Dokuflex : votre IA d'entreprise sous RGPD européen

Disposer d'un LLM capable de répondre à partir de vos contrats, dossiers et politiques sans rien envoyer à un fournisseur américain n'est plus un projet de R&D. Dokuflex intègre LLM + RAG dans le BPM, avec résidence des données dans l'UE, sans entraînement sur votre corpus et avec un audit complet.

Sans réécrire vos processus. Sans migrer vos documents. Sans ouvrir de brèche de souveraineté numérique.

Demander une démo guidée Voir les capacités IA
Pourquoi c'est important
  • 100 % des données dans l'UE : ES, DE, FR, NL. Pas d'États-Unis.
  • Zéro entraînement des modèles sur vos documents.
  • Cite la source à chaque réponse — audit réel.
  • Permissions héritées du BPM : chaque réponse respecte l'ACL.
  • EU AI Act, RGPD, ENS Élevé, ISO 27001 alignés.
D
Équipe IA Dokuflex
Mis à jour : 20 mai 2026

Pour les DPO, CTO et responsables conformité. Ce guide couvre l'architecture, la conformité et l'exploitation. Pour voir le LLM tourner sur vos propres documents dans un environnement isolé, demandez une session guidée de 60 minutes.

Le problème : ChatGPT ne peut pas lire vos contrats

Les LLM publics (ChatGPT, Gemini, Claude via claude.ai) sont puissants, mais ils ne connaissent pas votre entreprise. Si vous y téléversez des documents pour qu'ils les analysent, vous transférez des données personnelles et des secrets commerciaux à un tiers, le plus souvent avec des serveurs hors UE.

La réponse n'est pas d'interdire l'IA — cela ne fait que déplacer le problème vers le shadow-IT des employés. La réponse est de proposer, au sein de votre BPM, un LLM qui connaît votre documentation, respecte vos permissions et laisse une trace auditable.

C'est la promesse du RAG (Retrieval-Augmented Generation) implémenté à l'intérieur de Dokuflex : le LLM ne « sait » rien de votre entreprise, mais il cherche et cite vos documents à chaque requête.

Le RAG, sans marketing

RAG = Retrieval-Augmented Generation. Au lieu de demander au LLM de « se souvenir » d'informations issues de son entraînement (où il peut halluciner), on lui impose un processus en deux étapes :

  1. Retrieval (récupération) : le système recherche dans une base vectorielle les fragments (chunks) de documents les plus pertinents pour la question. La recherche est sémantique, pas par mot-clé.
  2. Generation (génération) : le LLM reçoit la question de l'utilisateur plus les fragments récupérés comme contexte et produit une réponse fondée uniquement sur ce contexte, avec citations vers la source.

L'effet : le LLM répond sur vos contrats, politiques et dossiers sans que ces documents fassent partie de l'entraînement du modèle. Et si l'information n'est pas dans la base vectorielle, le système répond « je ne trouve pas d'information à ce sujet » au lieu d'inventer.

Pour une entreprise européenne, le RAG résout trois problèmes d'un coup : hallucinations, souveraineté des données et auditabilité.

Architecture RAG à l'intérieur de Dokuflex

Voici les composants déployés, tous dans l'UE, tous gouvernés par le BPM :

Couche Composant Dokuflex Localisation des données
Source documentaire Référentiel Dokuflex (dossiers, contrats, PDF). UE (ES/DE/FR/NL)
Traitement (OCR + chunking) Pipeline d'ingestion : OCR, segmentation sémantique, suppression optionnelle des PII. UE
Embeddings Modèle d'embeddings européen (Mistral, E5-multilingual, BGE-m3). UE
Vector store Base vectorielle dédiée par client (pgvector, Qdrant, Weaviate). UE
Récupération Recherche hybride (sémantique + BM25), filtres par permissions ACL. UE
LLM (génération) Mistral Large, Llama 3.1 / 3.3, Claude (AWS Bedrock EU), modèle Dokuflex on-prem. UE
Orchestration BPM Dokuflex avec human-in-the-loop et approbations. UE
Audit Journal immuable : question, sources récupérées, réponse, utilisateur, horodatage. UE

Le client choisit le datacenter (Espagne, Allemagne, France, Pays-Bas) et le LLM. Aucun transit par les États-Unis à aucun moment du pipeline.

Cas d'usage réels dans Dokuflex

Six scénarios où le RAG produit de la valeur immédiate à l'intérieur d'un BPM :

Cas 1 · Juridique

Assistant de contrats

« Quelles clauses de pénalité avons-nous avec le fournisseur X ? » — réponse basée sur les contrats signés avec citation du PDF et de la clause exacte.

Cas 2 · Service client

Recherche sémantique de tickets

L'agent décrit le problème en langage naturel et le système récupère les tickets similaires déjà résolus avec leur solution et leur temps moyen de résolution.

Cas 3 · RH

Assistant convention collective

Un employé pose une question sur ses jours d'absence pour déménagement et obtient la réponse exacte de la convention applicable, avec citation de l'article.

Cas 4 · Conformité

Recherche dans les politiques internes

« Quelle est notre politique de rétention des journaux pour les données financières ? » — répond en citant le manuel de conformité en vigueur.

Cas 5 · Banque / Assurance

Analyse de dossier

L'analyste interroge sur les risques et exceptions d'un dossier — le LLM résume les documents KYC, les bilans et les antécédents, avec citations.

Cas 6 · Opérations

Rédaction assistée contextuelle

Un juriste rédige un mémoire à partir d'un modèle + jurisprudence interne + données du dossier, avec human-in-the-loop avant signature.

Conformité RGPD : la traduction concrète

Les exigences du RGPD pour l'IA appliquées au RAG de Dokuflex :

  • Art. 5 · Minimisation : le LLM ne reçoit que les chunks récupérés, pas l'intégralité du corpus. Et uniquement les chunks que l'utilisateur est autorisé à voir.
  • Art. 6 · Base juridique : traitement fondé sur l'intérêt légitime du responsable (efficacité opérationnelle) ou sur l'exécution contractuelle, consigné au registre des activités de traitement.
  • Art. 22 · Décisions automatisées : Dokuflex impose le human-in-the-loop pour toute décision affectant des personnes (RH, scoring crédit). Le LLM propose, l'humain décide.
  • Art. 32 · Sécurité technique : chiffrement au repos (AES-256), en transit (TLS 1.3), permissions héritées du BPM, journaux immuables.
  • Art. 44 · Transferts internationaux : évités par conception. Pas de risque Schrems-II ni Schrems-III : la stack vit dans l'UE.
  • Art. 35 · Analyse d'impact (AIPD/DPIA) : nous fournissons un modèle d'AIPD spécifique à l'usage du RAG sur des données personnelles.
  • Art. 15-22 · Droits de la personne concernée : droits d'accès, de rectification et d'effacement propagés au vector store : si vous supprimez un document du BPM, ses chunks disparaissent de l'index et du cache.

EU AI Act : classification et obligations

Le Règlement (UE) 2024/1689 classe les systèmes d'IA en quatre niveaux. La plupart des cas typiques de Dokuflex relèvent du risque limité ou minimal :

  • Assistant documentaire, recherche, résumé, rédaction assistée : risque limité → obligation de transparence (informer l'utilisateur qu'il interagit avec une IA).
  • Classification de documents, extraction de données : risque minimal → bonnes pratiques, sans obligations spécifiques.
  • Décisions affectant des personnes (RH, crédit) : risque élevé → human-in-the-loop, enregistrement du modèle, AIPD, supervision humaine.

Dokuflex documente à chaque déploiement quel modèle est utilisé, quel fournisseur, quelle version, quelles données ont été traitées et dans quel but. Cette documentation couvre l'exigence de registre des systèmes d'IA qui entre en vigueur par phases en 2026-2027.

RAG Dokuflex vs ChatGPT Enterprise / Microsoft Copilot

Il ne remplace pas ChatGPT généraliste. En revanche, il couvre les cas sensibles que vous ne devriez pas envoyer à un LLM externe :

Dimension LLM/RAG Dokuflex ChatGPT Enterprise / Copilot
Localisation des données UE (ES/DE/FR/NL) États-Unis / UE selon contrat (avec DPF)
Entraînement sur vos données Non, par contrat Non, par contrat
Origine UE du modèle Oui (Mistral, Llama via Azure EU) Non (OpenAI USA, Anthropic USA)
Permissions BPM héritées Oui, au niveau du chunk Uniquement au niveau SharePoint/Drive
Citations des sources Obligatoires, avec lien vers le PDF Optionnelles, pas toujours fiables
Audit complet Journal immuable exportable vers SIEM Limité au tenant
Intégration au workflow Native : approbations, signature, archivage Externe via API

La règle pratique : ChatGPT pour les connaissances générales, RAG Dokuflex pour vos documents sensibles.

Comment nous le déployons dans votre organisation

  1. Discovery (1 semaine) : nous identifions 2-3 cas d'usage prioritaires et le corpus documentaire pertinent. Validation de la base légale (registre des traitements, AIPD si applicable).
  2. Ingestion pilote (1 semaine) : nous indexons 1 000 à 5 000 documents du client dans un vector store dédié. OCR + chunking + embeddings.
  3. Validation par les experts (1 semaine) : de vrais utilisateurs testent le LLM avec de vraies questions, valident l'exactitude et les citations. Réglage du prompt et des filtres.
  4. Déploiement progressif (2-4 semaines) : mise à l'échelle sur le reste du corpus, intégration aux flux BPM, formation des équipes, métriques d'adoption.
  5. Gouvernance continue : revue mensuelle de l'adoption, de la qualité des réponses, des cas rejetés, de l'évolution du modèle et du prompt.

Temps total pour avoir un premier cas d'usage en production : 4 à 8 semaines. Sans migrer votre BPM ni réécrire vos processus.

Questions fréquentes

Qu'est-ce que le RAG et pourquoi est-ce important pour une entreprise européenne ? +

Le RAG (Retrieval-Augmented Generation) est l'architecture dans laquelle un LLM répond en s'appuyant sur des documents réels récupérés en temps réel depuis une base vectorielle. Au lieu d'inventer, il cite. C'est important en Europe car cela permet d'utiliser l'IA sans envoyer tout le corpus au modèle (minimisation RGPD) et de conserver la traçabilité : chaque réponse pointe vers sa source, exigence clé pour l'audit et pour l'EU AI Act.

Mes données sont-elles utilisées pour entraîner des modèles externes ? +

Non. Dans Dokuflex, le LLM est invoqué en mode inférence sur vos documents vectorisés, mais les données ne sont jamais utilisées pour entraîner ni ré-entraîner le modèle de base. Les accords avec les fournisseurs de modèles (Mistral, Llama via Azure EU, Claude via AWS Bedrock EU, modèle Dokuflex on-premise) excluent explicitement le ré-entraînement sur les données client.

Où sont hébergés les données et les embeddings ? +

Dans l'Union européenne. Le vector store, les documents originaux, les journaux et les embeddings résident dans des datacenters situés en Espagne, Allemagne, France ou Pays-Bas selon le client. Aucun transfert vers les États-Unis, pas même sous couvert du Data Privacy Framework : Dokuflex évite le risque Schrems-III en gardant l'intégralité de la stack dans l'UE.

Comment contrôle-t-on les documents auxquels le LLM peut accéder ? +

Le RAG de Dokuflex hérite des permissions du BPM : le LLM ne récupère que les fragments de documents que l'utilisateur est autorisé à voir. Un utilisateur RH ne pourra pas obtenir de réponses fondées sur des contrats commerciaux, même s'il pose la question. L'autorisation est évaluée à chaque requête au niveau du chunk, pas au niveau de la collection.

Est-ce conforme à l'EU AI Act ? +

Oui, pour les cas d'usage typiques dans Dokuflex (assistant documentaire, classification, extraction, rédaction assistée) qui relèvent du risque limité ou minimal. Nous incluons les mesures exigées : transparence, traçabilité avec citation, human-in-the-loop, et enregistrement du modèle et du fournisseur. Pour les cas à risque élevé, une gouvernance supplémentaire documentée s'applique.

Ai-je besoin de GPU ou de serveurs coûteux ? +

Non. Dokuflex propose le LLM et le vector store en tant que service géré dans l'UE : le client ne paie que pour les requêtes et les documents indexés. Pour les clients ayant des exigences on-premise (défense, santé publique, banque tier-1), une version installable existe avec des modèles ouverts (Llama 3.1, Mistral) sur l'infrastructure du client.

Prochaine étape

IA d'entreprise souveraine, en production en 4-8 semaines

Nous réservons une session guidée de 60 minutes pour voir le LLM fonctionner avec vos propres documents dans un environnement isolé dans l'UE. Inclut un modèle d'AIPD, le registre des traitements et une comparaison de modèles européens.

Réserver une démo guidée Voir les capacités IA Commencer gratuitement