Un copilote pour un cabinet de conseil doit accélérer la recherche, le classement et la rédaction de brouillons sans remplacer le jugement professionnel. Une conception rigoureuse laisse la décision entre les mains d'un professionnel compétent, limite les données transmises, exige des sources et une traçabilité, et sépare clairement l'assistance interne des communications susceptibles d'avoir des conséquences fiscales, sociales, comptables ou juridiques.
Cas d'usage pertinents
Un copilote pour cabinets professionnels bien conçu peut prendre en charge des tâches répétitives sans se substituer aux décisions professionnelles :
- Classer les documents entrants.
- Extraire des champs à faire valider.
- Résumer la réglementation ou les dossiers.
- Effectuer une recherche dans les procédures internes.
- Préparer des brouillons d'e-mails et de rapports.
- Repérer les documents manquants.
- Suggérer une check-list par démarche.
- Comparer des versions.
Ces tâches s'appuient souvent sur le traitement de documents pour classer et extraire les champs de façon fiable. Les cas à plus fort enjeu —dépôts, calculs, avis définitifs ou décisions concernant un client— exigent une validation professionnelle et des contrôles supplémentaires.
Ce qu'il ne doit pas faire par défaut
- Déposer une déclaration sans validation.
- Modifier les données de référence.
- Envoyer des communications définitives.
- Conclure sur un dossier sans preuve.
- Réutiliser les données pour l'entraînement.
- Mélanger les dossiers.
- Fonctionner avec des identifiants personnels étendus.
- Inventer des références ou des délais.
Architecture recommandée
| Couche | Contrôle |
|---|---|
| Identité | Utilisateur et dossier |
| Entrée | Classement et minimisation |
| Connaissance | Sources autorisées et à jour |
| Modèle | Fournisseur approuvé et configuration |
| Outils | Lecture séparée de l'écriture |
| Sortie | Citations, incertitude et validation |
| Journal | Version, sources et validation |
Le modèle n'a pas d'accès direct à l'ensemble des clients : l'autorisation s'applique avant la récupération de l'information.
Confidentialité et protection des données
Les cabinets de conseil traitent des bulletins de paie, des données fiscales, des données de santé, des sanctions, des comptes et des secrets d'affaires. Avant d'utiliser l'IA, il convient d'analyser la finalité, la base juridique, le sous-traitant et les sous-traitants ultérieurs, les transferts, les durées de conservation et l'éventuelle utilisation des données à des fins d'entraînement.
La politique interne doit définir quelles données sont interdites, quels services sont autorisés et dans quels cas l'anonymisation s'impose. Copier un dossier vers un compte personnel ou gratuit n'est pas un usage acceptable.
La AEPD (l'autorité espagnole de protection des données) recommande d'intégrer ces cas d'usage au moyen d'une procédure, d'environnements sécurisés et d'une supervision. Le traitement incident de données personnelles reste soumis au RGPD.
Sources et RAG
Pour les requêtes internes, un système RAG doit donner la priorité aux :
- Réglementation officielle.
- Critères internes validés.
- Manuels à jour.
- Dossiers avec les autorisations correspondantes.
- Documentation du fournisseur.
Chaque fragment doit indiquer sa source, sa date, sa version et son périmètre. Le copilote doit s'abstenir en l'absence de preuve suffisante et signaler les contradictions qu'il détecte.
Revue professionnelle
La personne chargée de la revue doit vérifier :
- Le client et le contexte.
- La source et sa validité.
- Les faits retenus.
- Le calcul ou le raisonnement.
- Les limites et les exceptions.
- Le destinataire et le ton.
- Les données personnelles.
- L'action à mener ensuite.
Un bouton «valider» ne suffit pas s'il ne fait pas apparaître ces éléments.
Évaluation
Le jeu de tests doit inclure :
- Cas ordinaires.
- Exceptions.
- Réglementation abrogée.
- Documents incomplets.
- Chiffres et dates.
- Dossiers similaires.
- Questions sans réponse.
- Tentatives d'accès croisé.
- Instructions malveillantes.
Les indicateurs à suivre sont :
- Exactitude de l'extraction.
- Fidélité aux sources.
- Taux d'abstention correcte.
- Erreurs critiques.
- Corrections humaines.
- Fuite d'information entre clients.
- Temps par tâche valide.
Permissions et outils
Le copilote peut lire un dossier sans pouvoir envoyer, supprimer ou déposer quoi que ce soit de lui-même. Chaque action doit avoir une portée, une limite et une idempotence définies. Les opérations irréversibles exigent une validation contextuelle et, le cas échéant, un double contrôle.
Un document reçu ne doit jamais pouvoir modifier les règles de l'agent.
Fournisseurs
Les questions essentielles avant de choisir un fournisseur sont :
- Où traite-t-il et stocke-t-il les informations ?
- Utilise-t-il les données pour entraîner ses modèles ?
- Quels sous-traitants interviennent ?
- Quels journaux (logs) conserve-t-il ?
- Comment les données sont-elles exportées et supprimées ?
- Comment notifie-t-il les incidents ?
- Permet-il de choisir la région et propose-t-il des contrôles d'entreprise ?
- Que change-t-il d'une version du service à l'autre ?
L'absence d'information sur ces points constitue en soi un risque.
Gestion des connaissances
L'IA ne doit pas dissimuler que le référentiel consulté est obsolète. Chaque domaine doit avoir un propriétaire et un SLA. Les réponses erronées se corrigent à la source, pas dans le prompt.
Les décisions professionnelles importantes sont conservées comme preuve, mais elles ne sont pas intégrées automatiquement dans une mémoire globale.
Plan de déploiement
Jours 1 à 30
Cas circonscrit, inventaire, politique interne, choix du fournisseur et premiers tests.
Jours 31 à 60
RAG, permissions, journaux, évaluation et formation.
Jours 61 à 90
Pilote avec revue totale, indicateurs et décision finale.
Erreurs fréquentes
- Commencer par tous les clients à la fois.
- Utiliser des comptes personnels.
- Faire confiance à des réponses sans source.
- Mélanger les dossiers.
- Déléguer la décision professionnelle.
- Ne mesurer que la rapidité.
- Ne pas tester avec une réglementation ancienne.
- Accorder des permissions d'écriture sans nécessité.
- Conserver les prompts indéfiniment.
- Ne pas surveiller les changements du fournisseur.
Check-list
- Cas et limites définis.
- Politique interne validée.
- Fournisseur et contrat vérifiés.
- Sources à jour.
- Permissions par dossier.
- Revue professionnelle mise en place.
- Évaluation et abstention testées.
- Journaux et versions enregistrés.
- Incidents et sortie prévus.
- Formation par rôle dispensée.
Questions fréquentes
Peut-il rédiger des conseils ?
Il peut préparer des brouillons, mais une personne compétente doit valider les faits, les sources et la conclusion avant qu'ils ne soient communiqués.
Peut-il utiliser des dossiers réels ?
Uniquement dans des environnements autorisés, avec une base juridique, un contrat, une minimisation des données, des permissions et une sécurité adaptée.
Réduit-il la responsabilité ?
Non. Le cabinet conserve la responsabilité du service fourni et de ses décisions.
Summum IA peut concevoir un copilote pour cabinets professionnels avec sources, permissions et évaluation, intégré au traitement de documents, sans remplacer le jugement professionnel.