Cas client

Cabinet CIF 6 conseillers, onboarding client conforme AMF en architecture confidentielle EU

Test d'adéquation, profil de risque, KYC et document d'entrée en relation industrialisés sous secret professionnel, sans qu'un seul octet client ne quitte la zone EU.

Cabinet conseil investissement financier (CIF)Finance / Services proTransformation · 3 à 6 mois
MS
Maxime Santilli
CEO · VantaCrew
12 min de lecturePublié le 22 mai 2026
Chiffres clés du cas
−76%
Temps conseiller par onboarding client AMF conforme
0 octet
Donnée client sortie de la zone EU sur 5 mois d'exploitation
TL;DRLe cas en 60 secondes
  • Contexte : cabinet français Conseil en Investissement Financier (CIF) statut ORIAS, 6 conseillers + 2 fonctions support, clientèle haut de bilan 250K€+. Onboarding réglementaire (test d'adéquation MIF, profil de risque, KYC LCB-FT, document d'entrée en relation) consomme 8h conseiller par client.
  • Solution : architecture confidentielle Bedrock VPC EU + Supabase EU privé qui industrialise les 4 documents conformes AMF avec validation conseiller obligatoire sur chaque section. Audit-trail complet conservé 10 ans pour défendabilité face contrôle AMF.
  • Résultats à 5 mois : temps conseiller par onboarding passé de 8h à 1,9h, 0 fuite de donnée hors EU, 60% de capacité nouveaux clients à équipe constante. Investissement 22 500€ HT setup + 750€/mois, payback en environ 7 mois.

Voici un cas client livré à l'hiver 2025-2026 pour un cabinet français de Conseil en Investissement Financier (CIF) inscrit à l'ORIAS, basé en Île-de-France. 6 conseillers (3 seniors + 3 juniors) + 2 fonctions support (1 RCSI + 1 assistante administrative), clientèle haut de bilan principalement composée de dirigeants d'entreprise, professions libérales et patrimoines hérités, encours sous gestion d'environ 180M€. L'enjeu : industrialiser l'onboarding réglementaire qui consommait 8h de conseiller par nouveau client, sans déroger d'un cran au cadre AMF ni au secret professionnel.

Au programme

Le contexte client

Taille de l'équipe
8 personnes (6 conseillers CIF + 1 RCSI + 1 assistante administrative)
Chiffre d'affaires
Fourchette 2,4 à 3,8 M€ annuel (commissions sur encours + honoraires conseil)
Secteur d'activité
Conseil en investissement financier statut CIF + courtage assurance, clientèle haut de bilan
Localisation
Île-de-France
Stack existant
Microsoft 365 (Outlook, SharePoint, Teams, Word), outil métier propriétaire pour la tenue de positions et le reporting réglementaire, DocuSign pour la signature électronique

Référence anonymisée sous accord de confidentialité.

Le défi initial

Identifié lors de notre discovery initiale, en revue avec la direction.

Problèmes identifiés

  • Onboarding réglementaire chronophage à 8h par client : production manuelle des 4 documents conformes AMF (test d'adéquation MIF II, profil de risque, KYC LCB-FT, document d'entrée en relation) avec entretien client 2h + rédaction 6h.
  • Variabilité de qualité selon le conseiller : les 3 conseillers juniors produisaient des documents qui demandaient 1,5 à 2h de relecture par le RCSI avant signature, ce qui doublait quasiment le travail.
  • Contrainte de confidentialité non négociable : la nature des données (patrimoine détaillé, contrats successoraux, situations dirigeants) interdit toute remontée vers un cloud non maîtrisé. Claude API direct, ChatGPT, Gemini ou tout SaaS US sont exclus par principe.
  • Risque de contrôle AMF latent : sans audit-trail structuré ni traçabilité fine des consultations, l'angoisse d'une visite AMF inopinée pesait sur le dirigeant et le RCSI.
  • Capacité de prise de nouveaux clients plafonnée : avec 8h par onboarding et 6 conseillers, le cabinet ne pouvait absorber que 10 à 14 nouveaux clients par mois sans dégrader son service.

Objectifs validés avec le client

  • Réduire le temps conseiller par onboarding de 70% minimum
  • Garantir que 100% des traitements automatisés se déroulent dans une infrastructure hébergée en zone EU avec audit-trail complet
  • Industrialiser les 4 documents AMF tout en préservant la validation conseiller non négociable
  • Mettre en place un dispositif défendable face à un contrôle AMF en l'état du cadre réglementaire 2026
  • Augmenter de 50% la capacité d'onboarding nouveaux clients à équipe constante

L'architecture déployée

Solution structurée en 6 briques principales, orchestrées via n8n self-hosted.

1

Brique 1 · Claude via AWS Bedrock dans une VPC dédiée EU

Déploiement de Claude (Sonnet 4.6 et Haiku) via Anthropic AWS Bedrock dans une VPC dédiée hébergée en région Paris (eu-west-3). Aucune donnée ne transite vers les datacenters US. Configuration explicite "no training" et "no logging" côté Bedrock. Les appels modèles sortent uniquement depuis une plage IP maîtrisée par le cabinet, journalisée à chaque requête.

2

Brique 2 · Base de données client chiffrée Supabase EU privé

Instance Supabase auto-hébergée en région Frankfurt, chiffrement au repos AES-256 et en transit TLS 1.3, clés gérées par le cabinet (BYOK). Aucune réplication hors EU. Schéma cloisonné par conseiller avec contrôle d'accès au niveau ligne (RLS) : un conseiller ne voit que ses clients, le RCSI voit le périmètre complet.

3

Brique 3 · Agent IA spécialisé par document AMF (4 agents)

Quatre agents Claude spécialisés. Test d'adéquation MIF II (extraction du profil investisseur depuis l'entretien). Profil de risque (analyse situation patrimoniale + horizon + tolérance pertes). KYC LCB-FT (vérification identité, origine fonds, PPE, sanctions). Document d'entrée en relation (récap des engagements réciproques cabinet-client). Chaque agent est calibré sur 80 dossiers historiques anonymisés et validés par le RCSI.

4

Brique 4 · Fact-checker sévère et validation conseiller obligatoire

Cinquième agent Claude qui vérifie chaque affirmation produite contre les sources documentaires (relevés bancaires, fiches client, déclarations). Toute affirmation non vérifiable est marquée "à valider conseiller". Aucun document ne peut être présenté au client sans validation conseiller tracée dans Supabase.

5

Brique 5 · Audit-trail complet exploitable AMF

Chaque action (consultation d'un dossier client par un agent, génération d'un document, modification, validation conseiller, signature client) est journalisée avec horodatage, conseiller à l'origine, périmètre de données consultées, modèle appelé. Les logs sont conservés 10 ans sur un stockage EU immuable. Un export PDF "dossier de contrôle" peut être produit en 15 minutes en cas de demande AMF.

6

Brique 6 · Workflows n8n self-hosted sur infrastructure cabinet

n8n déployé en self-hosted sur un serveur dédié hébergé chez OVHcloud Paris, isolé du reste de l'IT. Tous les workflows d'orchestration (génération des documents, validation, signature DocuSign, archivage SharePoint) s'exécutent sur cette instance. Sauvegardes chiffrées quotidiennes vers un bucket Scaleway Paris.

Stack technique utilisée
Clauden8nSupabaseAWS Bedrock (EU)Microsoft 365SharePointdocusign

La méthode et la calibration

5 phases sur 5-6 semaines au total. La phase de calibration est non-négociable : sans elle, l'agent livre des résultats médiocres et l'équipe perd confiance.

Semaines 1-2 · Audit conformité et cartographie des flux

Travail avec le RCSI du cabinet et un avocat spécialisé pour cartographier précisément les obligations (CIF, LCB-FT, MIF II, RGPD). Identification des flux interdits, des flux à journaliser, des flux à pseudonymiser. Validation par le DPO externe du cabinet.

Semaines 3-5 · Mise en place de l'infrastructure confidentielle

Provisioning de la VPC AWS Paris, déploiement de Bedrock avec configuration "no training". Installation Supabase self-hosted Frankfurt avec chiffrement BYOK. Mise en service du serveur n8n OVHcloud isolé. Tests de pénétration externes par un prestataire qualifié PASSI sur la chaîne complète.

Semaines 6-8 · Construction des 4 agents documents et fact-checker

Lecture anonymisée avec 2 conseillers seniors et le RCSI de 80 dossiers d'onboarding historiques. Construction des 4 prompts agents documents + 1 prompt fact-checker. Validation systématique par le RCSI de chaque sortie sur 60 dossiers test. 6 itérations majeures de prompts.

Semaines 9-10 · Tests doublons sur 30 nouveaux onboardings

Sur 30 onboardings réels en parallèle agent + conseiller. Comparaison sur 4 critères : conformité réglementaire (toutes mentions obligatoires AMF présentes), justesse factuelle, qualité du ton (cabinet haut de bilan), absence de donnée sensible mal manipulée. 4 itérations sur le fact-checker.

Semaines 11-12 · Déploiement progressif et formation

Semaine 11 : 3 conseillers seniors pilotes sur 40% des nouveaux onboardings. Semaine 12 : extension à tous les conseillers avec passage à 100% du volume. Formation collective de 3h sur le workflow et la lecture des sorties agent. Mise en place du rituel hebdomadaire d'1h de revue qualité par le RCSI.

Les résultats mesurés

Mesures comparatives entre le mois précédant le projet et 5 mois après mise en production (mai 2026).

Temps conseiller moyen par onboarding AMF conforme
8h001h55
-76%
Données client sorties de zone EU (vérifié sur 5 mois)
non maîtrisé0 octet
configuration auditée PASSI
Capacité d'onboarding nouveaux clients / mois
10 à 1416 à 22
+60%
Temps RCSI sur relecture documents
1h30 à 2h par dossier20 à 30 min
-77%
Délai entre premier RDV et dossier signé
3 à 5 semaines5 à 8 jours
-72%
Taux de validation conseiller sans modification majeure
n/a82%
n/a (capacité nouvelle)
Incidents de confidentialité depuis mise en production
n/a0
objectif tenu
Investissement total
22 500 € HT (setup) + 750 €/mois (maintenance + APIs Bedrock + supervision conformité)
ROI
Payback en environ 7 mois sur le seul gain de capacité conseiller. Sur 6 conseillers libérés de 6h par nouveau client × 15 onboardings par mois en moyenne = 540h conseiller libérées par mois, valorisées à 95€/h coût chargé interne = ~51 000€/mois de capacité libérée. À cela s'ajoute la capacité d'onboarding additionnelle (+60%) qui permet au cabinet de prendre 30 à 40 nouveaux clients par an sans recruter. Au-delà du gain pur temps : la défendabilité du cabinet face à un contrôle AMF est le bénéfice non chiffrable mais central du projet.

Bénéfices secondaires (non quantifiés)

  • Le dirigeant n'a plus l'angoisse d'une visite AMF inopinée : l'audit-trail est consultable en direct, l'export d'un dossier de contrôle se fait en moins de 15 minutes
  • Les 3 conseillers juniors produisent désormais des documents au même niveau de qualité que les seniors, ce qui accélère leur montée en compétence et réduit la pression sur les seniors
  • Le RCSI consacre 70% de son temps à du pilotage conformité stratégique au lieu de relire 14 dossiers par semaine
  • Les clients haut de bilan saluent la rapidité du processus d'entrée en relation (5 à 8 jours vs 3 à 5 semaines), ce qui est devenu un argument commercial face à des cabinets concurrents
  • Le cabinet a pu lancer une politique de croissance plus volontariste (objectif 250 nouveaux clients sur 2 ans) sans recruter de conseiller additionnel

Les pièges rencontrés et leurs résolutions

On préfère partager ce qui n'a pas marché du premier coup. C'est là que se mesure la qualité d'un partenariat.

Piège 1 · Résistance initiale du conseiller senior historique (mois 1-2)

Le conseiller le plus ancien du cabinet, 18 ans de maison, a refusé pendant 7 semaines d'utiliser le dispositif, par défiance de fond sur le risque de fuite donnée client. Sa position pesait sur 2 conseillers juniors. Résolution : session individuelle de 2h avec lui, le RCSI et le prestataire PASSI ayant audité l'architecture. Démonstration sur écran de la traçabilité complète, du chiffrement de bout en bout, de la configuration Bedrock "no training". Convaincu après la séance. Utilisateur quotidien depuis le mois 3.

Piège 2 · Complexité du provisioning AWS Bedrock VPC (semaines 3-5)

Le déploiement initial de la VPC dédiée Paris a pris 11 jours de plus que prévu en raison de quotas Bedrock initialement insuffisants et de plusieurs allers-retours avec le support AWS pour valider la configuration "no training". Résolution : passage au support AWS Entreprise dédié, ouverture d'un ticket prioritaire pour relèvement des quotas, validation écrite des conditions "no training" en annexe contractuelle.

Piège 3 · Détection PPE imparfaite sur les profils internationaux (mois 4, partiellement résolu)

Le KYC LCB-FT généré par l'agent classait à tort 3 clients internationaux comme "non-PPE" alors qu'ils l'étaient effectivement (politicien retraité conjoint d'un ancien ministre étranger, dirigeant d'entreprise publique). Risque conformité majeur. Résolution partielle : ajout d'un workflow d'enrichissement automatique via Dow Jones Watchlist sur tous les clients internationaux, plus contrôle manuel obligatoire du RCSI sur les classifications PPE quel que soit le résultat agent. Faux négatifs PPE ramenés sous 0,4%, le RCSI assume le surcontrôle.

Témoignages

« Le sujet IA, ça faisait trois ans qu'on en parlait sans oser bouger. Le secret professionnel, le contrôle AMF, le LCB-FT, on ne pouvait pas se permettre d'improviser. Ce qu'on a construit avec VantaCrew, ce n'est pas un gadget de productivité, c'est une infrastructure qu'on défend devant un contrôleur AMF sans transpirer, qui a libéré mes conseillers de 76% de leur temps administratif. Sur les 5 derniers mois, on a accueilli 22 nouveaux clients haut de bilan avec la même équipe, c'était impensable avant. »

Dirigeant fondateur du cabinet
Cabinet conseil investissement financier · 6 conseillers CIF · clientèle 250K€+

« Mon rôle de RCSI, c'est de protéger le cabinet et nos clients. Au départ j'étais le frein principal, et c'est normal. Aujourd'hui je peux affirmer que notre dispositif IA est plus tracé et plus défendable que la majorité de nos process historiques. L'audit-trail est devenu un argument commercial auprès des nouveaux clients très exigeants sur la conformité. »

Responsable de la conformité et du contrôle interne (RCSI)
Même cabinet

Témoignages anonymisés sous accord de confidentialité. Plus de détails disponibles sur demande après signature NDA.

Questions fréquentes

Est-ce que cette architecture est transférable à un cabinet de gestion de patrimoine non CIF ou à un cabinet d'assurance ?
Oui, la structure (Bedrock VPC EU + Supabase self-hosted EU + n8n self-hosted + audit-trail) est conçue pour toute profession sous contrainte réglementaire forte. Les ajustements portent sur le référentiel métier, les documents obligatoires spécifiques et le cadre de contrôle (ACPR pour assurance, AMF pour CIF, DGCCRF pour certaines activités). Le socle infrastructure est largement réutilisable.
Pourquoi ne pas utiliser Claude API directement plutôt que de passer par AWS Bedrock ?
Claude API direct fait transiter les requêtes par les datacenters Anthropic, qui sont aujourd'hui majoritairement situés hors zone EU. Pour un cabinet CIF sous secret professionnel, ce point est rédhibitoire. AWS Bedrock dans une VPC dédiée région Paris garantit contractuellement que les requêtes sont traitées en EU, sans entraînement modèle, sans logging Anthropic, avec un audit-trail exploitable.
Combien de temps pour un projet équivalent en partant de zéro ?
Pour un cabinet CIF de 4 à 12 conseillers : 11 à 14 semaines au total. L'audit conformité initial et le provisioning de l'infrastructure confidentielle représentent 5 à 6 semaines incompressibles. Les phases métier tiennent en 6 à 8 semaines.
Quel est le coût d'un projet équivalent en 2026 ?
Pour un cabinet CIF ou cabinet sous contrainte de secret pro renforcée, 5 à 15 collaborateurs : entre 20 500 et 26 500 € HT setup + 680 à 850 €/mois maintenance.
Que se passe-t-il en cas de contrôle AMF ?
L'audit-trail permet de produire en moins de 15 minutes un dossier de contrôle exhaustif : qui a consulté quoi, quand, avec quel modèle, sur quel client. Les configurations Bedrock "no training" et Supabase chiffré BYOK sont documentées contractuellement et opposables.

Note importante. Chaque projet est unique. Les chiffres et l'architecture présentés ici sont propres au contexte de ce client. Pour évaluer ce qui est transférable à votre situation, on peut chiffrer une mise en place adaptée en 30 minutes de discovery, sans engagement.

Un cas similaire chez vous ?

30 minutes pour comprendre votre contexte précis et chiffrer une mise en place adaptée. Sans engagement.

Booker un appel découverte

Cas similaires

Autres cas qui partagent un métier, un marché ou une stack proche.

Cabinet CGP (Conseil en Gestion de Patrimoine)

Cabinet CGP, automatisation confidentielle sous contrainte de secret professionnel

Libérer les conseillers du back-office sans qu'un seul octet client ne sorte de la zone EU.

Lire le cas →Cabinet d'avocats M&A

Cabinet d'avocats M&A mid-market, extraction et synthèse automatisée des data rooms de due diligence

Une architecture confidentielle Bedrock VPC EU qui digère 200 à 2 000 documents par opération, sous secret professionnel, avec validation associé non négociable.

Lire le cas →PME industrielle mécanique de précision

PME industrielle mécanique de précision, qualification IA des demandes entrantes et extraction des cahiers des charges

Un agent IA confidentiel qui digère les CDC complexes en moins d'une heure et fait remonter au bureau d'études les vrais leads industriels.

Lire le cas →