Plusieurs personnes m'ont écrit cette semaine : « Le serveur MCP de data.gouv fait la même chose que DEECISION ? » Je suis CTO de Deecision, donc partie prenante. Mais la question revient suffisamment souvent pour qu'il faille la traiter sérieusement, et avec honnêteté.
Le serveur MCP de data.gouv est une vraie avancée. Pour un banquier d'affaires qui qualifie une cible, pour un gérant qui veut explorer un patrimoine, pour un commercial qui prépare un rendez-vous — c'est utile, c'est rapide, c'est gratuit. Personne chez Deecision ne le contestera.
Mais ce n'est pas une question de concurrence. C'est une question de catégorie. Et la confondre, dans un dispositif réglementaire, est dangereux.
Ce que data.gouv écrit lui-même dans sa documentation
Sur la page officielle du serveur MCP, hébergée sur data.gouv.fr, on trouve cet avertissement, repris de leur propre documentation :
« Les modèles de langage peuvent produire des réponses incomplètes, approximatives ou erronées. Ils ne constituent en aucun cas une source officielle ou fiable en tant que telle. »
C'est honnête, et c'est précisément ce qu'il faut retenir. Data.gouv expose un outil d'exploration. Pas un dispositif de conformité. La nuance est centrale, parce que la régulation française et européenne ne demande pas la même chose à ces deux objets.
Trois exigences réglementaires qu'un MCP ne peut pas fournir
1. Reproductibilité — AI Act, article 15
L'article 15 du règlement européen sur l'intelligence artificielle (AI Act) impose aux systèmes d'IA à haut risque un niveau approprié d'exactitude, de robustesse et de cybersécurité tout au long de leur cycle de vie. Concrètement : un système opposable doit produire des résultats cohérents, testés, et résistants aux erreurs.
Or un LLM est probabiliste par construction. Même prompt, deux instants différents : la sortie peut varier. Pour un assistant exploratoire, c'est acceptable. Pour un dispositif KYC ou LCB-FT auquel on doit pouvoir opposer une décision, ça ne l'est pas.
2. Auditabilité — arrêté du 6 janvier 2021
L'arrêté du 6 janvier 2021 relatif au dispositif et au contrôle interne en matière de LCB-FT impose une approche par les risques, une fonction de contrôle permanent et périodique, un plan de contrôle annuel et un cycle d'audit n'excédant pas cinq ans. Tout cela suppose une piste d'audit fiable : qui a fait quoi, sur quelle base, à quel moment.
Un assistant IA branché sur des données publiques ne fournit pas cette piste d'audit. Il fournit une réponse en langage naturel, sans trace structurée des sources mobilisées, sans trace structurée du raisonnement, sans engagement de reproduire la même réponse demain. Présenter cela comme un dispositif de conformité, c'est s'exposer à un grief de l'ACPR sur le contrôle interne.
3. Couverture des obligations de vigilance
Bénéficiaires effectifs, vigilance dynamique, structures complexes, PEP, sanctions internationales, gel des avoirs : la liste est longue. Data.gouv expose une fraction des sources nécessaires — utile, mais incomplète. Aucun dispositif sérieux ne peut s'y limiter.
Ce que la régulation sanctionne aujourd'hui
Sur la période 2021-2025, l'ACPR a rendu 29 décisions de sanction pour un total de 43,9 M€. 21 d'entre elles portent sur la LCB-FT (gel des avoirs inclus), soit environ 72 % des sanctions et l'écrasante majorité du montant cumulé. Le motif numéro un : insuffisance du dispositif de surveillance des opérations atypiques.
Le 19 juin 2025, la Commission des sanctions de l'ACPR sanctionne Banque Delubac d'un blâme et de 600 000 € d'amende. Neuf griefs LCB-FT, dont un explicite : « le dispositif automatisé de surveillance des opérations de la clientèle ne prenait pas en compte l'ensemble des informations nécessaires pour détecter des opérations atypiques ». Traduction : le dispositif n'agrégeait pas, ne croisait pas, ne notait pas la donnée — il regardait à côté.
Le 27 juin 2024, la BRED écope d'un blâme et de 2,5 M€ d'amende. Mêmes griefs : dispositif de surveillance des opérations, vigilance constante, vigilance complémentaire, déclarations de soupçons. La régulation française ne sanctionne pas le manque d'information — elle sanctionne le défaut d'industrialisation de la vigilance.
Confondre information et décision : un biais cognitif documenté
C'est précisément l'un des biais que Deecision combat. Daniel Kahneman l'a formalisé dans Thinking, Fast and Slow : confondre l'accessibilité d'une donnée avec sa valeur décisionnelle (heuristique de disponibilité), ou confondre la fluidité d'une réponse avec sa fiabilité (heuristique d'aisance cognitive). Un LLM rend les deux pièges plus faciles à tomber dedans, parce qu'il répond vite, en bon français, avec assurance.
« Un Claude branché à data.gouv vous dit ce que dit un registre. Il ne vous dit pas qui va vivre un événement patrimonial dans 18 mois. »
La différence concrète : ce que fait Deecision en plus
Là où data.gouv expose une dizaine de sources via 7 outils MCP (search_datasets, get_dataset_info, query_resource_data, etc.), un dispositif comme Deecision croise plus de 3 000 critères pondérés issus de bases officielles, crédibles et bruits, calcule 250 indicateurs propriétaires métier (VEEGILENZ, WEASSE, PROXEMEE, KYCEE, Confeedenz, Exit Score 2Y), et produit des signaux reproductibles, auditables et opposables.
Chaque signal est calculé de façon déterministe : même donnée d'entrée = même sortie, toujours. Chaque étape est tracée, datée, opposable. Et chaque indicateur est calibré sur des cohortes réelles — pour l'Exit Score 2Y, 46 681 entreprises sur 15 ans, AUC-ROC 0,84.
Ne confondons pas les niveaux
Le MCP de data.gouv démocratise l'accès brut à la donnée publique. C'est une bonne nouvelle pour la France numérique, et c'est utile pour beaucoup de cas d'usage : qualification rapide, premier filtre de prospection, exploration ad hoc.
Industrialiser la décision dans un dispositif LCB-FT, KYC ou KYB, c'est un autre métier. Cela demande une infrastructure : ingénierie de données, modèles déterministes, pondérations métier, traçabilité totale, calibration sur cohortes, revue de modèle, couverture des obligations réglementaires.
L'un est gratuit. L'autre se construit. La confusion entre les deux n'est pas anecdotique : elle se traduit, à l'arrivée, par des griefs de l'ACPR. Le rapport 2024 de l'ACPR consacre déjà un chapitre aux biais et risques d'usage des modèles d'IA générative dans les fonctions de conformité. Le sujet est ouvert, et il sera structurant en 2026.
- data.gouv.fr — Expérimentation autour d'un serveur MCP pour datagouv — Documentation officielle
- GitHub — datagouv/datagouv-mcp — Code source
- AI Act — Article 15 : Accuracy, Robustness and Cybersecurity — Règlement européen
- Légifrance — Arrêté du 6 janvier 2021 (LCB-FT, contrôle interne) — Texte réglementaire
- ACPR — Sanction Delubac, 19 juin 2025 (600 000 €) — Décision officielle
- ACPR — Sanction BRED, 27 juin 2024 (2,5 M€) — Décision officielle
- lcb-ft.fr — Bilan des sanctions ACPR 2021-2025 — Analyse sectorielle
- CFA Institute — Daniel Kahneman: Psychology for Behavioral Finance — Recherche académique
Devenez une Banque Privée Augmentée dès maintenant
Rejoignez les 1 400 utilisateurs qui ont transformé leur connaissance client. Démo personnalisée sur votre portefeuille réel.