C'est le sujet que presque personne ne traite, et c'est pourtant celui qui décide de la mise en production dans toute organisation sérieuse : comment un assistant IA peut-il répondre à partir des documents internes sans jamais révéler à quelqu'un ce qu'il n'a pas le droit de lire ?
Le problème en une phrase
Un système de RAG classique indexe un corpus, puis retrouve les fragments les plus pertinents pour la question posée. Cette recherche est faite sur tout l'index. Si l'index contient des documents confidentiels, ils remonteront dès qu'ils sont pertinents — quel que soit l'utilisateur qui pose la question.
Autrement dit : brancher un RAG naïf sur votre serveur de fichiers revient à donner à chaque salarié un lecteur qui a, lui, accès à tout. Les habilitations n'ont pas été supprimées ; elles ont été contournées.
Pourquoi filtrer après la réponse ne marche pas
La tentation est de laisser le modèle répondre, puis de masquer ce qui ne devrait pas être vu. C'est une mauvaise idée, pour deux raisons.
D'abord, une réponse générée est une synthèse : l'information confidentielle y est reformulée, pas citée. Il n'y a rien à masquer proprement — le contenu a déjà fui dans la formulation. Ensuite, ce filtrage arrive trop tard : le fragment confidentiel a déjà été envoyé au modèle, donc sorti de son périmètre de confidentialité, et probablement journalisé au passage.
Le filtrage doit avoir lieu au moment de la recherche, avant que quoi que ce soit ne parte vers le modèle.
L'architecture qui fonctionne : le filtrage par habilitations à la recherche
1. Chaque fragment hérite des droits de son document
À l'indexation, chaque fragment de texte est stocké avec les identifiants des groupes autorisés à lire le document dont il provient — les mêmes groupes que dans votre annuaire (Active Directory, Entra ID) ou votre GED. Le fragment ne vit jamais « nu » : il porte son contexte de sécurité.
2. La recherche est exécutée dans le périmètre de l'utilisateur
Quand une personne pose une question, le système résout d'abord ses groupes d'appartenance, puis effectue la recherche vectorielle en restreignant l'espace de recherche aux fragments dont les droits recoupent les siens. Un document interdit n'est pas « filtré » : il n'a jamais été candidat.
3. Les droits sont réévalués à chaque requête, jamais mis en cache
Un collaborateur qui change de service perd ses accès à la seconde où l'annuaire change. Si vous figez les habilitations à l'indexation, vous créez une dette de sécurité qui se paiera au premier départ. La source de vérité reste l'annuaire, pas l'index.
4. Chaque réponse cite ses sources
Toute réponse renvoie les documents qui l'ont produite, avec un lien. C'est un gain d'usage — l'utilisateur vérifie — mais surtout un mécanisme de contrôle : si une source citée surprend, l'anomalie de droits est visible immédiatement, au lieu de rester invisible pendant des mois.
Les trois pièges classiques
- Les documents sans droits explicites. Dans la plupart des entreprises, une partie du fonds documentaire traîne dans des partages ouverts à tous. Les indexer, c'est indexer des documents dont personne n'a jamais validé l'ouverture. Le bon réflexe est de traiter l'absence de droits comme une restriction, pas comme une autorisation.
- Les droits hérités et les exceptions. Un dossier partagé à tous peut contenir un sous-dossier restreint. Une propagation naïve des habilitations écrase ces exceptions. Il faut résoudre les droits au niveau du document, jamais au niveau du dossier parent.
- Les métadonnées bavardes. Même sans accès au contenu, le simple titre d'un document (« Plan de licenciement — site de Nantes.docx ») est une information. Les titres et chemins doivent être soumis au même filtrage que le contenu.
Ce que cela change pour un secteur régulé
Pour un cabinet d'avocats, un établissement de santé, une collectivité ou un acteur financier, cette architecture n'est pas un raffinement : c'est la condition d'entrée. Le secret professionnel, le secret médical et la séparation des dossiers ne se négocient pas. Un assistant documentaire qui ne sait pas prouver qu'il respecte les habilitations existantes ne franchira jamais le comité de sécurité — et il aura raison de ne pas le franchir.
La bonne nouvelle est que la contrainte est aussi un accélérateur : une fois les droits respectés par construction, l'IA peut être ouverte largement, sans arbitrage anxieux document par document.
DOCAI applique exactement cette architecture : filtrage par habilitations avant génération, index hébergé en France, réponses sourcées.
Voir l'offre DOCAIÀ lire aussi : les 4 façons de faire fuiter ses documents en branchant une IA, et les prérequis d'infrastructure qui conditionnent tout le reste.