# Veylant IA — Battle Card Commerciale

*Usage interne — Marie (Customer Success) & équipe commerciale*
*Mise à jour : Sprint 13*

---

## Persona 1 — RSSI (Responsable Sécurité des Systèmes d'Information)

### Profil
- Préoccupation principale : sécurité, conformité, risque opérationnel
- Objection type : "On est déjà conformes — on a une charte d'usage de l'IA"
- Sponsor budget : Non (prescripteur, pas décideur)
- Décideur : DSI + DG

### Pain Points Prioritaires

| Pain Point | Question à poser | Angle Veylant |
|-----------|-----------------|---------------|
| Shadow AI non contrôlé | "Comment savez-vous quels modèles IA sont utilisés dans vos équipes aujourd'hui ?" | Audit log immuable, dashboard temps réel |
| Données sensibles exposées | "Avez-vous une DPIA pour l'usage de ChatGPT par vos équipes ?" | Anonymisation PII avant envoi — DPIA simplifiée |
| Incident de sécurité IA | "Que se passe-t-il si un employé envoie un contrat client à ChatGPT ?" | PII detection multi-couches, logs d'audit |
| Pentest / audit | "Pouvez-vous démontrer que vos fournisseurs IA respectent vos politiques de sécurité ?" | Semgrep SAST, Trivy scan, OWASP ZAP en CI |

### Questions de Qualification

1. "Combien d'employés utilisent des outils IA au quotidien ? Avez-vous une visibilité dessus ?"
2. "Quel est votre niveau de maturité RGPD sur l'IA ? Avez-vous un registre Art. 30 pour vos usages IA ?"
3. "Avez-vous déjà eu un incident ou une near-miss lié à l'envoi de données dans un modèle IA ?"

### Objections et Réponses

| Objection | Réponse |
|-----------|---------|
| "On a déjà une charte d'usage" | "Une charte décrit ce que les gens *devraient* faire. Veylant garantit ce qu'ils *font* — avec des logs immuables pour le prochain audit." |
| "On n'utilise que des modèles hébergés sur notre infrastructure" | "Parfait pour les modèles maison — mais vos équipes utilisent aussi leurs propres comptes OpenAI. Veylant s'applique à *tous* les appels IA, même les outils personnels utilisés en context professionnel." |
| "On a peur que ça ralentisse les équipes" | "Latence ajoutée : < 2ms pour l'anonymisation PII (sidecar gRPC local). Invisible pour l'utilisateur final." |
| "On ne veut pas un autre SaaS mutualisé" | "Veylant se déploie dans *votre* infrastructure AWS — vos données ne quittent jamais votre environnement." |

---

## Persona 2 — DSI (Directeur des Systèmes d'Information)

### Profil
- Préoccupation principale : coûts, productivité des équipes, conformité IT
- Objection type : "On a déjà des accords avec Microsoft Azure OpenAI"
- Sponsor budget : Oui (propriétaire du budget IT)
- Décideur : Oui (avec validation DG pour > 50k€)

### Pain Points Prioritaires

| Pain Point | Question à poser | Angle Veylant |
|-----------|-----------------|---------------|
| Coûts IA opaques | "Connaissez-vous le coût total mensuel de l'IA dans votre entreprise ?" | Dashboard coûts par département, alertes dépassement budget |
| Prolifération des intégrations IA | "Combien d'équipes ont leur propre clé API OpenAI ?" | Centralisation — 1 clé Veylant, 1 facture |
| Choix du meilleur modèle | "Comment décidez-vous quel modèle IA utiliser pour quel cas d'usage ?" | Routing intelligent automatique — bon modèle au bon coût |
| Intégration dans l'existant | "Quel est votre stack technique actuel ?" | Compatible OpenAI SDK — zéro refactoring |

### Questions de Qualification

1. "Quel est votre budget IA actuel ? Y a-t-il une ligne dédiée ou est-ce dispersé dans les équipes ?"
2. "Avez-vous un projet d'IA en production ou en cours de déploiement ?"
3. "Qui décide des outils IA dans votre organisation — central ou décentralisé ?"

### Objections et Réponses

| Objection | Réponse |
|-----------|---------|
| "On utilise Azure OpenAI — on est déjà dans notre zone de confiance" | "Azure OpenAI gère le stockage — mais qui contrôle *quoi* est envoyé ? Veylant anonymise les PII avant l'envoi à Azure, et vous donne la visibilité sur chaque appel." |
| "C'est trop complexe à déployer" | "Déploiement guidé en 30 minutes. Helm chart + 3 commandes kubectl. Nos clients pilotes ESN étaient en production le jour même." |
| "On préfère attendre d'avoir plus de volume IA" | "Les coûts cachés existent dès le premier utilisateur — une seule donnée client envoyée sans contrôle peut coûter 20 000 € de pénalité RGPD." |
| "On va développer ça en interne" | "Veylant représente 13 sprints de développement (38+ story points par sprint) — PII detection, circuit breakers, audit ClickHouse, RBAC Keycloak. Le coût interne serait 15× le prix de l'abonnement." |

---

## Persona 3 — DPO (Data Protection Officer)

### Profil
- Préoccupation principale : conformité RGPD, EU AI Act, minimisation des risques juridiques
- Objection type : "On a besoin d'une DPIA avant de déployer quoi que ce soit"
- Sponsor budget : Non (prescripteur critique)
- Décideur : Influence forte sur le Go/No-Go

### Pain Points Prioritaires

| Pain Point | Question à poser | Angle Veylant |
|-----------|-----------------|---------------|
| Registre Art. 30 pour l'IA | "Comment tenez-vous à jour votre registre RGPD pour les usages IA ?" | Export PDF automatique — registre mis à jour en temps réel |
| DPIA pour les outils IA | "Avez-vous réalisé une DPIA pour l'usage de ChatGPT ou Claude par vos équipes ?" | Anonymisation by design — réduit le périmètre DPIA |
| Transferts hors UE | "Savez-vous si vos données passent par des serveurs hors UE quand vos équipes utilisent l'IA ?" | Routing vers providers EU en priorité, logs du flux de données |
| EU AI Act 2026 | "Êtes-vous prêts pour les obligations EU AI Act Haute Risque qui entrent en vigueur en août 2026 ?" | Classification des risques IA intégrée |

### Questions de Qualification

1. "Comment gérez-vous aujourd'hui la conformité RGPD pour l'usage des LLMs en interne ?"
2. "Avez-vous eu des questions de votre CNIL ou d'un régulateur sur l'IA ?"
3. "Quel est votre plus grand défi pour la conformité EU AI Act ?"

### Objections et Réponses

| Objection | Réponse |
|-----------|---------|
| "On a besoin d'une DPIA pour Veylant" | "Absolument — c'est la bonne démarche. Nous fournissons un dossier DPA complet (sous-traitant RGPD), les garanties techniques, et une DPIA template pre-remplie. Nos clients l'ont validé en 1 semaine." |
| "Les logs d'audit conservent trop de données" | "Les prompts sont chiffrés (AES-256-GCM) dans les logs. La durée de rétention est configurable. Aucune donnée PII réelle dans les logs — seulement des pseudonymes." |
| "On ne veut pas de données hors UE" | "Veylant se déploie dans votre VPC AWS eu-west-3 (Paris). Les appels aux providers IA utilisent leurs endpoints EU quand disponibles (Azure France Central, etc.)." |
| "L'EU AI Act est encore flou" | "Exact — c'est précisément pour ça qu'avoir un registre automatique de vos usages IA dès maintenant vous donnera une longueur d'avance quand les obligations se préciseront." |

---

## Grille de Qualification Rapide (MEDDIC simplifié)

| Critère | Questions | Signal positif |
|---------|-----------|---------------|
| **Metrics** | Quel coût mensuel IA ? Combien d'employés ? | > 20 users, > 1 000€/mois |
| **Economic Buyer** | Qui signe le budget ? | DSI ou DG identifié |
| **Decision Criteria** | Quels critères pour choisir ? | Conformité RGPD, sécurité, coût |
| **Decision Process** | Comment décident-ils ? | < 2 mois, pas de RFP |
| **Identify Pain** | Quel est l'incident / la peur ? | Shadow AI, incident PII, audit |
| **Champion** | Qui veut que ça réussisse en interne ? | RSSI ou DPO motivé |

---

## Concurrents — Positionnement

| Concurrent | Force | Faiblesse vs Veylant |
|-----------|-------|---------------------|
| **LiteLLM** | Open source, populaire devs | Pas de PII detection, pas de conformité RGPD, pas d'EU AI Act |
| **Portkey** | Interface UX soignée | SaaS mutualisé (US), pas de deployment on-premise, pas de PII |
| **Kong AI Gateway** | Écosystème Kong | Complexité, coût élevé, PII basique, pas d'EU AI Act |
| **Azure AI Hub** | Intégration native Azure | Lock-in Azure, pas multi-provider, pas d'EU AI Act automatique |
| **Interne maison** | Contrôle total | 6-18 mois de développement, maintenance, pas de conformité intégrée |

**Notre USP :** Seule solution combinant **PII detection française** (spaCy/Presidio) + **EU AI Act classification** + **multi-provider** + **déploiement dans votre infrastructure**.