Les fournisseurs de data rooms se précipitent pour ajouter des fonctionnalités IA. La plupart se trompent et mettent les opérations en danger.
Une équipe M&A mid-market télécharge 3 000 documents dans la data room virtuelle (VDR). Elle active l'outil de caviardage IA, fonctionnalité phare du fournisseur : « caviarder des milliers de fichiers en quelques secondes », avait dit le marketing. Quelques minutes plus tard, le système signale la fin du traitement. Pourtant, enfouie à la page 37 d'un contrat de travail, un numéro de sécurité sociale reste visible. L'IA a trouvé des signes de ponctuation à caviarder à la place.
C'est la réalité de ce qui se passe aujourd'hui dans les VDRs. Cela apparaît même dans la démo marketing du plus grand fournisseur de VDR au monde... Les utilisateurs avancés le savent bien.
Les fournisseurs de VDR se précipitent pour greffer de l'IA générative sur leurs plateformes, proposant des « agents de due diligence » et du « caviardage intelligent » à des équipes M&A qui ont besoin de fiabilité avant tout.
La technologie n'est pas prête. Les implémentations sont naïves. Et les conséquences retombent sur les équipes qui découvrent, parfois après que les acheteurs ont déjà accédé aux fichiers, que leurs fonctionnalités dopées à l'IA ont échoué.
Le pitch semble convaincant : laisser les algorithmes gérer le travail répétitif, répondre instantanément aux questions des acheteurs, signaler automatiquement les informations sensibles. En réalité, on est encore proche de ce qu'étaient les voitures autonomes en 2010 : des démos impressionnantes qui fonctionnent sur circuit, mais des accidents fréquents dans la vraie vie, et personne vraiment prêt à lâcher le volant, ou à assumer la responsabilité des accidents.
La démo casse en production
Considérons deux exemples qui illustrent le problème : le caviardage de documents et l'automatisation des Q&A.
- Caviardage automatisé : certaines plateformes utilisent de grands modèles de langage pour scanner les documents à la recherche d'informations personnelles, promettant d'éliminer la revue manuelle. En pratique, ces systèmes peinent à plusieurs étapes, en commençant par le parsing des documents : les PDF avec des mises en page complexes les dépassent, les images scannées les défont entièrement, les tableaux embrouillent leur logique. Un modèle peut correctement identifier les numéros de sécurité sociale dans certains documents mais en manquer d'autres, etc.
Pire : il n'y a pas de garde-fous. Quand ces systèmes se trompent, ils le font avec confiance. Pas de drapeaux d'alerte, pas de scores d'incertitude. Juste une coche verte et une responsabilité latente. - Les implémentations de Q&A présentent des risques différents. Certains fournisseurs proposent maintenant des chatbots qui répondent aux questions des acheteurs en interrogeant les documents téléchargés via la génération augmentée par récupération (RAG). L'attrait est évident : accélérer la due diligence, réduire les échanges d'emails, libérer du temps pour l'équipe.
Mais imaginez le scénario : un acheteur stratégique pose une question sur l'historique des activations de garantie. Le chatbot, prenant en compte des bouts de documents incomplets avec une fenêtre de contexte qui ne peut pas couvrir l'ensemble des fichiers, répond avec un chiffre. Le chiffre est faux, avec 40% d'écart, ou citant une version obsolète, ou halluciné entièrement. L'acheteur s'y fie. Un litige suit post-closing.
Aucun professionnel M&A ne laisserait un analyste junior répondre aux questions des acheteurs sans relecture. Pourtant, on leur demande de faire confiance à un système qui ne peut pas expliquer son raisonnement, ne peut pas détecter son incertitude, et ne peut pas être tenu responsable.
Le problème du contrôle
Le problème fondamental n'est pas que l'IA performe mal, mais que l'IA autonome supprime la supervision humaine précisément aux moments où la supervision compte le plus.
Les équipes sell-side n'ont pas besoin de logiciels qui prennent des décisions. Elles ont besoin d'outils qui préservent leur capacité à prendre des décisions tout en réduisant les frictions mécaniques.
Pas un système qui caviarde des fichiers en masse, mais un qui identifie chaque instance d'un pattern et laisse les humains vérifier avant d'appliquer les changements. Pas un chatbot bâclé dans la data room, mais une infrastructure qui laisse les équipes en contrôle et leur permet potentiellement d'utiliser leurs plateformes IA préférées tout en maintenant la garde et le contrôle des documents.
À quoi devraient vraiment ressembler des contrôles intelligents
Une approche alternative n'essaie pas de rendre l'IA autonome, mais de lui faire tirer partie du contexte.
Entropia, une VDR construite par d'anciens ingénieurs Google, implémente cette philosophie. Plutôt que d'ajouter une IA qui prend des décisions autonomes, la plateforme se concentre sur trois principes : ancrer les suggestions d'IA dans le comportement utilisateur, scaler les décisions individuelles dans des contextes délimités, et rejouer ces décisions quand les circonstances changent.
Un tel système basé sur le contexte observe ce que vous faites, apprend des patterns dans votre environnement spécifique, et scale vos décisions sans en prendre de nouvelles.
Crucial : chaque suggestion requiert une validation humaine avant exécution.
Ancrer les suggestions dans les actions des utilisateurs
Quand une équipe cherche à renommer un fichier, le système analyse le contenu du document, examine comment des fichiers similaires ont été nommés, et suggère un nom qui respecte la nomenclature utilisée par l'utilisateur.
L'IA ne décide pas d'une convention de nommage, elle infère la convention que l'équipe utilise déjà et propose de l'appliquer de manière cohérente.
Le contexte compte. Un contrat téléchargé dans le dossier « Contrats Fournisseurs » reçoit des suggestions de nommage différentes du même contrat téléchargé dans « Contrats Clients ». L'IA lit l'environnement, pas juste le fichier.
Scaler les actions individuelles dans des contextes précis
Un analyste caviarde un numéro de sécurité sociale dans un contrat de travail. Cette action unique (masquer cette chaîne de neuf chiffres spécifique) devient un contexte précis que le système peut répliquer. L'IA recherche dans chaque document de la data room ce contexte et signale chaque instance. L'analyste revoit les résultats, puis applique le caviardage sur toutes les correspondances confirmées.
Une décision, exécutée cinquante fois. L'humain a pris la décision de jugement sur quoi caviarder. L'IA a géré le pattern matching et l'exécution.
Cela s'étend aux tâches récurrentes. Une équipe télécharge des états financiers mensuellement tout au long d'un deal. Ils caviardent certains champs dans le premier upload (tranches de salaires spécifiques, valeurs contractuelles particulières). Quand de nouveaux états arrivent, le système identifie les champs analogues basés sur la position, le formatage et les patterns de caviardage précédents, puis les signale pour revue. L'équipe confirme ou ajuste, puis applique.
Rejouer les décisions quand les circonstances changent
Les documents n'arrivent pas tous en même temps. Une data room grandit tout au long de la préparation de la transaction à mesure que les équipes ajoutent des documents ou que les acheteurs demandent des fichiers spécifiques.
Les approches traditionnelles requièrent de revoir chaque nouveau upload de zéro : vérifier les informations sensibles, vérifier les conventions de nommage, confirmer le contrôle de version.
Le système d'Entropia, basé sur le contexte, considère les décisions précédentes. Si dix contrats ont déjà été revus et caviardés suivant un pattern spécifique, le onzième contrat est automatiquement scanné pour détecter des éléments similaires. Pas pour caviarder automatiquement, mais pour automatiquement signaler.
Laisser les utilisateurs travailler sur la data room depuis leurs plateformes IA préférées tout en restant en contrôle
Les équipes M&A ont déjà des outils IA puissants auxquels elles font confiance. Certaines utilisent des plateformes généralistes (Google Gemini, Mistral, ChatGPT, Claude) pour l'analyse ou la rédaction. D'autres s'appuient sur des plateformes spécialisées comme Harvey, Hebbia ou Legora pour la due dil.
Ces plateformes surpassent les chatbots génériques que les fournisseurs de VDR intègrent à leurs produits. Elles ont des centaines (ou des milliers) d'ingénieurs qui affinent les modèles et les orchestrent dans des interfaces sophistiquées.
Les fournisseurs de VDR, en revanche, ajoutent juste des chatbots comme des fonctionnalités naïves, avec une orchestration ou infrastructure back-end pauvre, et souvent avec des garde-fous inexistants.
Aujourd'hui, la seule alternative est soit d'utiliser des fonctionnalités IA naïves dans les data rooms (une mauvaise option qui est souvent vendue très chère par le fournisseur de VDR), soit de sortir tous les documents de la data room pour les uploader sur d'autres plateformes IA (ce qui crée des copies hors du périmètre de sécurité de la VDR).
Il existe une troisième option. Entropia fournit une connexion sécurisée entre la VDR et les plateformes IA, via un protocole nommé MCP (pour « Model Context Protocol ») *.
Un serveur MCP permet aux utilisateurs de travailler avec la plateforme IA qu'ils préfèrent, mais ces plateformes interrogent la data room via des API contrôlées plutôt que de recevoir des copies de fichiers.
Un avocat utilisant Claude pour analyser des contrats de vente ne télécharge pas cinquante contrats. Claude interroge la VDR pour les clauses pertinentes, reçoit des extraits de texte dans des paramètres définis, et génère l'analyse. Les documents ne quittent jamais le stockage sécurisé. Chaque requête est loggée dans la VDR, fournissant des insights au vendeur. Les permissions d'accès restent cohérentes entre utilisateurs humains et IA.
Et après ?
La ruée vers l'or de l'IA dans les logiciels suit un pattern prévisible : les fournisseurs ajoutent des modèles de langage parce que les concurrents le font et que les investisseurs l'attendent, pas parce que les clients en ont besoin. Les fonctionnalités prolifèrent plus vite que le contrôle qualité. Les early adopters deviennent des bêta-testeurs avec des enjeux réels.
Les VDR sont particulièrement inadaptées à cette dynamique. Les deals M&A impliquent des informations sensibles, des délais serrés et une exposition juridique. Ils récompensent la fiabilité plutôt que le théâtre de l'innovation. Un chatbot qui a raison, disons, 75% du temps semble impressionnant jusqu'à ce que vous considériez que les 25% d'erreurs pourraient faire capoter un deal ou déclencher un litige.
Peut-être la question la plus intéressante est de savoir si les équipes M&A exigeront mieux, ou s'adapteront simplement aux nouveaux risques. Les preuves suggèrent qu'elles choisissent une troisième voie : utiliser les outils IA auxquels elles font confiance et qu'elles ont réussi à maîtriser. Et ces outils ne viennent pas des fournisseurs de VDR.
Le contrôle, il s'avère, signifie savoir quand construire et quand connecter.
* Serveur MCP ?
Un serveur MCP agit comme un intermédiaire sécurisé entre les plateformes IA et des logiciels. Plutôt que d'uploader des fichiers directement sur ChatGPT ou Claude, ce qui crée des copies hors de votre contrôle, le serveur MCP expose des API prédéfinies qui permettent à ces outils d'interroger votre data room pour un contexte spécifique. Les utilisateurs choisissent leur plateforme IA préférée. Ces plateformes accèdent seulement à ce que l'utilisateur a la permission de voir, et leurs actions sont loggées dans la data room. Pensez-y comme une interface en lecture seule pour les modèles de langage, avec des contrôles d'accès granulaires et des pistes d'audit complètes. Les équipes tirent parti d'une analyse IA puissante sans abandonner la garde des documents.
Pierre-Louis
