Utilisez Claude, GPT et Mistral dans un cadre conforme à votre secteur régulé.

Pas directement. ChatGPT et Claude grand public envoient les prompts aux États-Unis sans masquage PII automatisé et sans contrat de sous-traitance RGPD Art. 28 adapté au secret professionnel (Art. 66-5 loi 1971). Avec Machina, la requête est interceptée par Sentinel, les identifiants clients, les noms de parties et les numéros de dossier sont pseudonymisés avant envoi au modèle IA, et un journal horodaté est constitué pour le bâtonnier. C'est la couche qui aide à structurer un usage conforme — la responsabilité déontologique reste celle de l'avocat. Le guide CNB du 17 mars 2026 privilégie l'approche pédagogique et la mise en conformité.

À cette date, les obligations de transparence de l'Article 50 du règlement UE 2024/1689 deviennent pleinement applicables aux systèmes d'IA générative. Les déployeurs doivent informer leurs utilisateurs qu'ils interagissent avec une IA (par. 1), marquer les sorties synthétiques en format machine-readable (par. 2), divulguer les deepfakes et textes publiés d'intérêt public (par. 4). Machina livre un registre de traitements RGPD Art. 30 pré-rempli articulé aux mesures de transparence EU AI Act Art. 50 documentées au DPO. Sanctions Art. 99 §4 : jusqu'à 15 M€ ou 3 % du CA mondial annuel pour les manquements aux obligations de transparence (à distinguer du plafond 35 M€ ou 7 % de l'Art. 99 §3 qui ne s'applique qu'aux pratiques interdites de l'Art. 5). Elles s'appliquent à l'organisation déployeuse, pas au fournisseur de la couche technique.

Excellent produit sur la souveraineté géographique pure, mais mono-fournisseur : vous avez Mistral, pas Claude, pas GPT, pas Gemini. Pas de couche de masquage PII automatisée en amont, pas de registre RGPD Art. 30 et mesures Art. 50 AI Act pré-remplis. Adapté aux administrations qui veulent un modèle français par défaut. Pas adapté à une PME régulée qui veut rester multi-modèles pour la qualité, la redondance ou la négociation tarifaire.

Le tier Souverain / Sur-mesure est recommandé pour les données de santé identifiantes. Déploiement sur instance dédiée, whitelist restreinte aux modèles open source hébergés en France (OVH Public Cloud Gravelines/Roubaix, région FR verrouillée), contrats RGPD Art. 28 + HDS sur mesure, DPO dédié via Kyoss. La certification HDS Machina SaaS (activité 5 hébergeur d'infogérance et activité 6 sauvegarde externalisée) est planifiée Q1 2027 ; d'ici là, Souverain s'appuie sur un hébergeur HDS tiers référencé et documente formellement la chaîne de responsabilité auprès de l'ANS (Agence du Numérique en Santé).

Chaque prompt, chaque modèle appelé, chaque entité masquée par Sentinel et chaque réponse est horodaté côté Machina. Export CSV / JSON à la demande, conservé 13 mois par défaut. Le DPO (interne ou Kyoss mutualisé) reçoit un rapport mensuel. En cas de contrôle CNIL, vous présentez le registre Art. 30, les journaux bruts, les DPA fournisseurs (Anthropic, OpenAI, Mistral, Google, Perplexity) et le rapport DPO. La CNIL demande typiquement ces éléments dans les 30 jours suivant une plainte ou un contrôle sur place.

Avant qu'une requête n'atteigne le modèle IA (Claude, GPT, Mistral, Gemini, Perplexity, Grok, ou les modèles open source hébergés en France), Sentinel détecte et pseudonymise 58 entités PII en 9 catégories : identité (noms, adresses, numéros de sécurité sociale), financier (IBAN, cartes bancaires), santé (diagnostics, médicaments), judiciaire (numéros RG, noms de parties), technique (IPs, emails pro). Architecture deux couches REGEX + analyse contextuelle LLM, vault cumulatif par conversation qui restaure les entités dans la réponse. 3 modes : Standard (Couche 1 auto), Complet (Couche 1 + Couche 2 systématique), Off. Dans le tier Compliance, l'admin verrouille le mode et les fournisseurs autorisés pour toute son organisation.

Standard à partir de 10 €/user/mois HT pendant la bêta (tarif définitif communiqué au lancement public, 1er août 2026). Compliance à 29 €/user/mois HT — disponibilité annoncée à l'inscription. Souverain / Sur-mesure sur devis, cadré après un audit de 7 jours qui valide la faisabilité technique et la chaîne HDS. Aucun engagement de durée, facturation mensuelle par user actif, résiliation en ligne. Les services complémentaires (audit pilote, formation équipe, registre RGPD Art. 30 articulé aux mesures de transparence Art. 50 pré-rempli) sont facturés au forfait, indépendants des plans.

Le prompt est intercepté côté Machina avant tout appel externe. Couche 1 (REGEX rapide) détecte les entités à haute valeur — IBAN, numéros de sécu, emails, numéros RG, dates de naissance, adresses. Couche 2 (analyse LLM contextuelle) attrape les noms de parties, diagnostics, jurisprudences citées, raisonnements à risque. Les entités sont remplacées par des placeholders typés (PERS_A_1, ADDR_1, IBAN_1) stockés dans un vault chiffré AES-256 propre à la conversation. Le prompt pseudonymisé est envoyé au modèle choisi. À la réception, les placeholders sont réhydratés côté Machina avant affichage. Le modèle IA ne voit jamais les entités en clair.

Tier Standard : Claude (Anthropic), GPT (OpenAI), Mistral (Paris), Gemini (Google), Perplexity, Grok (xAI). Chaque prompt est pseudonymisé par Sentinel avant appel. Tier Compliance : ajoute l'accès aux modèles open source auto-hébergés par Machina sur OVH Public Cloud Gravelines / Roubaix — Llama 3.3 70B Instruct, GPT-OSS 120B, Mistral Small 3.1 24B, Qwen 2.5 32B et Qwen 2.5-VL 72B (vision). Ces modèles ne quittent jamais l'infrastructure française. L'admin Compliance peut whitelister / blacklister n'importe quel modèle pour son organisation, y compris désactiver complètement les modèles US.

Wiz, Vanta, Drata, Secureframe sont des outils de gestion de la conformité (GRC) généralistes — ils aident à obtenir SOC 2, ISO 27001, HIPAA. Ils ne masquent pas les PII dans les prompts IA, n'hébergent pas de modèles IA, ne sont pas spécialisés EU AI Act. Machina se place en amont, sur la couche d'usage de l'IA. On est complémentaires : un client peut utiliser Vanta pour sa conformité globale et Machina pour sa couche IA régulée.

Les deux. Machina signe un contrat de sous-traitance Art. 28 avec chaque client. Machina a également signé un DPA entreprise avec Anthropic, OpenAI, Mistral, Google Vertex AI, Perplexity et xAI, avec clauses no-training et politiques de rétention adaptées. La liste complète des sous-traitants, leurs localisations et leurs contrats est publiée sur /trust. Tout ajout d'un nouveau sous-traitant est notifié 30 jours avant intégration (droit d'opposition RGPD Art. 28.2).

Oui pour les traitements à risque élevé au sens de l'Art. 35 RGPD — typiquement : traitement de données de santé, données judiciaires, évaluations personnelles à grande échelle, surveillance systématique. Non, ou DPIA simplifiée, pour un usage courant en cabinet d'avocats ou en PME. Machina fournit une trame DPIA pré-remplie qui couvre la pseudonymisation Sentinel, les sous-traitants, les finalités, les mesures techniques et organisationnelles. Le DPO (interne ou Kyoss) la personnalise à votre contexte en 2-3 heures.

Onboarding standard 48h en tier Compliance : création du workspace, import annuaire (SCIM ou CSV), configuration des groupes (avocats seniors / juniors / assistants, ou médecins / soignants / administratif), policies Sentinel et whitelist modèles par groupe, activation MFA obligatoire. L'admin reçoit une console pour auditer, ajuster, exporter les journaux. Support dédié la première semaine, point hebdo le premier mois, DPO Kyoss disponible à la demande. Prix : 29 €/user/mois HT × 50 = 1 450 €/mois HT, sans engagement.

L'application Machina et sa base de données sont hébergées en France (WebAxys Rouen + Supabase Cloud région eu-central-1 Frankfurt). Les modèles open source du tier Compliance sont sur OVH Public Cloud Gravelines / Roubaix. Pour les modèles tiers (Claude, GPT, Gemini, Perplexity, Grok), les prompts sont pseudonymisés par Sentinel avant envoi vers les États-Unis — les transferts sont couverts par le Data Privacy Framework (décision d'adéquation 2023) ou les clauses contractuelles types EU-US. Mistral reste en France. Le tier Souverain autorise à désactiver tous les modèles non-EU pour garantir un flux 100 % intra-UE.

On récupère vos conversations exportées (si elles existent), on les anonymise rétroactivement via Sentinel, on les importe dans Machina. Les prompt templates de votre équipe sont portés tels quels — Machina les route vers le modèle le plus adapté. Les utilisateurs gardent leurs accès via SSO (Google Workspace, Microsoft 365, Okta). Le déploiement pilote se fait sur 1-2 équipes avant élargissement. Migration typique : 2-4 semaines pour une organisation de 50-200 personnes.

Disponible en tier Compliance : espace de travail partagé entre plusieurs utilisateurs autorisés. Conversations visibles par groupe, prompts templates communs, vault Sentinel partagé (les placeholders restent cohérents d'une conversation à l'autre pour les mêmes entités), commentaires sur les réponses, audit trail par utilisateur. Utilisé typiquement par un binôme avocat + collaborateur, ou par une équipe médicale pluridisciplinaire qui suit un dossier.

MFA TOTP obligatoire pour tous les admins Compliance et Souverain (non désactivable par policy). SSO SAML / OIDC disponible en Compliance pour Google Workspace, Microsoft 365, Okta, Azure AD. Rôles granulaires : Owner, Admin, DPO (accès journaux uniquement), User. Les Admin DPO peuvent auditer sans pouvoir modifier les utilisateurs. Journalisation immuable des actions admin conservée 13 mois, exportable en CSV / JSON pour vos audits.

Bêta V1 privée ouverte juin 2026, lancement public 1er août 2026. Priorité aux cabinets d'avocats français 10-100 associés, centres hospitaliers (CH / CHU / ESMS), collectivités territoriales et intercommunalités, et PME régulées (finance, conseil) qui préparent l'échéance AI Act. Inscription sur /beta avec description du cas d'usage. Sélection 10-20 organisations pilotes, onboarding progressif 2-3 par semaine, tarif bêta 10 €/user/mois HT valable jusqu'au 31 août 2026 minuit. Feedback structuré hebdomadaire, accès direct aux fondateurs.