Intermédiaire 20 minUse Case

Déployer un chatbot IA interne pour PME (de 0 à 50 collaborateurs)

Vous dirigez une PME de moins de 50 collaborateurs et vous voulez offrir un assistant IA à vos équipes sans envoyer leurs données à OpenAI. Ce guide donne une stack complète et chiffrée pour un déploiement de chatbot IA interne PME : matériel concret, logiciels open source, SSO Microsoft, plan en 4 semaines, conduite du changement et calcul de ROI. Pas de vapeur, pas de pitch — la liste de courses et le calendrier.

Par Mohamed Meguedmi·Màj 2026-06-14·Testé sur Windows, macOS, Linux

#Pourquoi un chatbot interne plutôt que ChatGPT Business

ChatGPT Team coûte 25 € par utilisateur et par mois. Pour 30 collaborateurs, ça fait 9 000 € par an, indéfiniment. Pour le même budget, vous achetez une workstation qui tourne 4 à 5 ans, et vos conversations ne quittent jamais le bureau. C'est l'arbitrage central.

Mais le vrai sujet n'est pas le prix. C'est ce que vos équipes osent coller dans la fenêtre de chat. Un commercial qui demande à un LLM externe de reformuler une proposition contient un nom de client, un montant, parfois une marge. Une RH qui résume un entretien dévoile une trajectoire professionnelle. Multipliez par 30 personnes pendant 12 mois — la fuite est garantie, même avec une politique de bon usage.

Confidentialité
Les conversations restent sur votre LAN. Pas de transit Cloud Act, pas d'exposition à un sous-traitant US, pas de réglages politiques à vérifier tous les trimestres.
Coût fixe
Le matériel est un CAPEX amorti sur 4-5 ans. L'abonnement SaaS est un OPEX qui augmente avec la headcount.
Maîtrise
Vous choisissez le modèle, vous ajustez le system prompt, vous branchez vos documents internes via un RAG. Personne ne change votre outil dans votre dos.
Conformité
Plus simple de justifier un AI Act et un RGPD avec un système on-premise qu'avec une dépendance à un fournisseur extracommunautaire.
i
À qui ce guide s'adresse
PME de 5 à 50 collaborateurs, avec ou sans DSI interne. Si vous êtes 200 personnes ou plus, certains arbitrages changent (bascule vers vLLM, haute dispo, ticketing structuré) — ce guide reste valide comme socle.

#1. Budget hardware : la workstation à 5 000-10 000 €

Pour servir 30 à 50 utilisateurs simultanés sur un modèle 14B à 32B en qualité Q4_K_M, vous n'avez pas besoin d'un serveur DGX. Une workstation bien choisie tient le coup. Voici trois configurations selon le profil.

#Profil A — 10 à 20 utilisateurs (5 000 €)

GPU
1× RTX 4080 16 Go ou RTX 5070 Ti 16 Go (~1 100 €). Fait tourner un 14B en Q4_K_M avec un contexte de 16k tokens.
CPU
AMD Ryzen 9 7900X ou Intel Core i7-14700K. Peu critique, mais 12+ cœurs aident pour la préparation des embeddings.
RAM système
64 Go DDR5. Suffisant pour le système, Qdrant et le KV-cache débordant du GPU.
Stockage
2 To NVMe Gen4. Modèles + base vectorielle + sauvegardes locales.
Modèle servi
Qwen 14B ou Phi-4 14B en Q4_K_M (~9 Go VRAM). Latence ~30 tok/s.

#Profil B — 20 à 35 utilisateurs (7 500 €)

GPU
1× RTX 4090 24 Go (~1 800-2 200 € selon stock). Le compromis idéal pour servir un 32B en Q4_K_M.
CPU
Ryzen 9 7950X ou Threadripper 7960X. Cœurs utiles pour servir plusieurs conversations simultanées.
RAM système
128 Go DDR5 ECC si possible. Le RAG indexé grossit vite.
Stockage
2 To NVMe Gen4 + 4 To SATA pour archivage.
Modèle servi
Qwen 32B ou Mistral Small 24B en Q4_K_M (~19 Go VRAM). Latence ~20-25 tok/s.

#Profil C — 35 à 50 utilisateurs (10 000 €)

Option NVIDIA
2× RTX 4090 24 Go en tensor parallel. Sert un 70B en Q4_K_M (~40 Go VRAM répartis) avec une latence acceptable.
Option Apple
Mac Studio M4 Max ou Ultra avec 64 à 128 Go de mémoire unifiée. Excellent rapport silence/performance, idéal en open space.
CPU
Threadripper 7970X / 7980X côté NVIDIA. Critique pour gérer 50 connexions WebSocket simultanées.
RAM système
128 à 256 Go. Marge pour le cache OS, Qdrant en RAM, et un éventuel modèle d'embeddings annexe.
Modèle servi
Qwen 32B en Q5_K_M ou Llama 3.3 70B en Q4_K_M (offload partiel). Latence ~15-20 tok/s.
Ne sur-spécifiez pas le jour 1
Démarrez sur le profil A même si vous êtes 40. La majorité des utilisateurs ne pose pas de question en parallèle. Vous mesurerez l'attente réelle au bout de 3 semaines et upgraderez le GPU si nécessaire. La carte mère et l'alim doivent par contre supporter un GPU plus gros dès le départ.

#2. Stack technique recommandée

Quatre briques open source suffisent. Aucun éditeur n'a de droit de regard, aucune licence à renouveler, tout tourne en Docker sur la workstation.

Ollama
Le daemon qui charge et sert le modèle. Écoute par défaut sur http://localhost:11434. Détecte le GPU NVIDIA tout seul, gère le quantization. Licence MIT.
Open WebUI
L'interface web type ChatGPT. Multi-utilisateurs natif, RBAC, branchement OIDC pour le SSO, historique par utilisateur. Licence BSD-3.
Qdrant
Base vectorielle pour le RAG. Indexe vos documents internes (procédures, contrats types, fiches produit). Plus rapide et plus simple que pgvector pour ce volume. Licence Apache 2.
Traefik ou Nginx
Reverse proxy pour exposer Open WebUI en HTTPS sur le LAN avec un certificat interne, terminer TLS, et router vers les backends.
docker-compose.yml — squelette minimal
services:
  ollama:
    image: ollama/ollama:latest
    deploy:
      resources:
        reservations:
          devices:
            - driver: nvidia
              count: all
              capabilities: [gpu]
    volumes:
      - ollama_data:/root/.ollama
    restart: unless-stopped

  qdrant:
    image: qdrant/qdrant:latest
    volumes:
      - qdrant_data:/qdrant/storage
    restart: unless-stopped

  openwebui:
    image: ghcr.io/open-webui/open-webui:main
    environment:
      - OLLAMA_BASE_URL=http://ollama:11434
      - QDRANT_URL=http://qdrant:6333
      - ENABLE_OAUTH_SIGNUP=true
      - OAUTH_PROVIDER_NAME=Microsoft
      - MICROSOFT_CLIENT_ID=${ENTRA_CLIENT_ID}
      - MICROSOFT_CLIENT_SECRET=${ENTRA_CLIENT_SECRET}
      - MICROSOFT_CLIENT_TENANT_ID=${ENTRA_TENANT_ID}
    volumes:
      - openwebui_data:/app/backend/data
    depends_on:
      - ollama
      - qdrant
    restart: unless-stopped

volumes:
  ollama_data:
  qdrant_data:
  openwebui_data:

Ce squelette est volontairement court. Vous ajouterez Traefik au-dessus pour le HTTPS, et un volume bind-mount pour les sauvegardes nocturnes vers le NAS. Pas plus.

#3. SSO avec Microsoft Entra ID

La plupart des PME ont Microsoft 365. Brancher l'authentification du chatbot sur Entra ID (ex-Azure AD) supprime les comptes orphelins et garantit qu'un employé qui part perd son accès le jour même. Open WebUI gère nativement OIDC avec Microsoft.

  1. 01
    Créer une App registration
    Dans le portail Entra ID, App registrations → New registration. Nom : « Chatbot IA Interne ». Redirect URI : https://chatbot.votreboite.local/oauth/microsoft/callback (en Web).
  2. 02
    Récupérer les identifiants
    Notez l'Application (client) ID, le Directory (tenant) ID. Dans Certificates & secrets, générez un Client secret avec une expiration de 24 mois et notez-le immédiatement (il ne sera plus jamais affiché).
  3. 03
    Définir les permissions
    API permissions → Microsoft Graph → Delegated : openid, profile, email, User.Read. Pas besoin de Application permissions, le flow est délégué.
  4. 04
    Restreindre l'accès
    Enterprise applications → votre app → Properties → Assignment required = Yes. Puis Users and groups : ajoutez le groupe « Tous les collaborateurs » ou un groupe pilote. Sans cette étape, n'importe quel compte du tenant peut se connecter.
  5. 05
    Injecter dans Open WebUI
    Copiez CLIENT_ID, CLIENT_SECRET et TENANT_ID dans le .env du docker-compose. Redémarrez. Le bouton « Sign in with Microsoft » apparaît sur la page de login.
!
Le piège classique : Assignment required
Si vous oubliez l'étape 4, l'ensemble de votre tenant Microsoft peut potentiellement se connecter — ce qui inclut tous les comptes invités externes (clients, prestataires). Vérifiez deux fois ce réglage avant de communiquer l'URL aux équipes.

#4. Plan de déploiement sur 4 semaines

Ce calendrier suppose un référent technique interne (DSI, IT manager, ou prestataire) qui consacre ~50 % de son temps au projet. Pas besoin de plus pour une PME.

#Semaine 1 — Matériel et installation

J1-J2
Commande matériel (workstation, onduleur 1500 VA, switch managé si pas déjà en place).
J3-J4
Réception, montage si besoin, installation Ubuntu Server LTS 24.04, drivers NVIDIA, Docker + NVIDIA Container Toolkit.
J5
Pull des images Docker, premier ollama pull qwen2.5:14b-instruct-q4_K_M, test de chat brut en CLI. Vous devez voir des tokens sortir.

#Semaine 2 — Stack et intégrations

J6-J7
docker-compose up, configuration Open WebUI (admin, paramètres généraux, branding interne).
J8-J9
Configuration SSO Entra ID, test avec 3 comptes pilotes, validation du flow de login et de logout.
J10
Reverse proxy Traefik avec certificat interne via votre PKI ou Let's Encrypt DNS-01 si le domaine est public. Test depuis 2-3 postes du LAN.

#Semaine 3 — RAG et pilote

J11-J12
Sélection de 50 à 200 documents internes pertinents (procédures, FAQ, fiches commerciales). Indexation dans Qdrant via Open WebUI ou script Python.
J13-J14
System prompt aux couleurs de la PME : ton, sujets autorisés, sujets à refuser (RH sensible, salaires, etc.). Test sur les 3 pilotes.
J15
Ouverture à un groupe pilote de 5-8 collaborateurs représentatifs (1 commercial, 1 RH, 1 compta, 1 ops…). Récolte de feedback structuré.

#Semaine 4 — Formation et bascule

J16-J17
Ajustements basés sur le feedback pilote (system prompt, documents RAG, paramètres de température).
J18
Session de formation collective de 1h30 : démo, cas d'usage par métier, règles d'usage, ce qu'on ne met PAS dans le chat (données de santé, identifiants, etc.).
J19
Ouverture progressive à l'ensemble des collaborateurs via le groupe Entra ID. Annonce interne.
J20
Mise en place du monitoring (Glances ou Netdata pour la workstation, log de conversations agrégé pour identifier les sujets demandés).

#5. Formation et conduite du changement

Un chatbot interne sans formation, c'est 70 % de l'investissement gaspillé. Les collaborateurs ne savent pas quoi lui demander, comparent mentalement à ChatGPT grand public, et concluent que « c'est moins bon » après deux essais.

Format
Une session collective de 1h30 par lots de 10-15 personnes. Pas de slides pendant 1h. 20 min de démo + 1h de pratique avec leurs vrais sujets.
Cas d'usage par métier
Préparez 3 prompts concrets par fonction (RH, commerce, compta, ops, direction). Les gens copient et adaptent — c'est exactement ce qu'on veut.
Règles d'usage
Affichez en clair ce qui peut être collé (textes internes, brouillons, données déjà publiques) et ce qui ne doit pas l'être (santé, condamnations, données bancaires nominatives, identifiants techniques).
Référent
Désignez 1 référent IA par service. C'est lui qui propage les bonnes pratiques en local et fait remonter les manques de connaissances du RAG.
Suivi à 30 jours
Mesurez l'usage. Si certains services ne touchent pas l'outil, c'est un signal — il manque un cas d'usage évident pour eux, ou la formation n'a pas pris.
Ce qui marche le mieux en démo
Trois cas à montrer en premier : reformulation d'un email difficile, synthèse d'un long compte-rendu de réunion, traduction d'un document technique. Ce sont les use cases où la valeur saute aux yeux en 30 secondes.

#6. Conformité RGPD et AI Act

Le fait que le système soit on-premise simplifie radicalement la conformité, mais ne la supprime pas. Les obligations RGPD s'appliquent au traitement, pas à sa localisation.

Registre des traitements
Ajoutez une fiche pour le chatbot interne. Finalité : assistance à la rédaction et recherche documentaire. Base légale : intérêt légitime de l'employeur. Données traitées : contenu des conversations, identifiant SSO.
Durée de conservation
Définissez une politique claire : 90 jours d'historique conversationnel par utilisateur, purge automatique au-delà. Documentez-la dans la charte.
Information des collaborateurs
Mise à jour de la charte informatique et de la note d'information CSE/CSE. Mentionnez explicitement que les conversations sont stockées et accessibles à l'admin technique en cas d'incident.
AI Act
Un chatbot interne d'assistance à la productivité tombe dans la catégorie « risque limité » (article 50). Obligation principale : informer l'utilisateur qu'il interagit avec une IA — l'interface Open WebUI le fait par défaut.
Sécurité technique
Sauvegardes chiffrées de la base Open WebUI, accès admin tracé, MFA obligatoire sur les comptes Entra ID, mise à jour mensuelle des images Docker.
i
DPIA nécessaire ?
Une analyse d'impact (DPIA) n'est pas obligatoire pour un cas d'usage productivité standard, mais elle est recommandée si vous comptez brancher le RAG sur des données sensibles (dossiers RH, données client identifiables). En cas de doute, votre DPO tranche.

#7. ROI : le calcul honnête

Prenons une PME de 30 collaborateurs, déploiement Profil A à 5 000 €. Sur un horizon de 3 ans.

Coût alternatif SaaS
30 × 25 € × 12 mois × 3 ans = 27 000 € (ChatGPT Team).
Coût interne
Workstation 5 000 € + électricité ~200 €/an + 5 jours-homme d'install la 1ère année (~3 500 €) + 2 jours-homme/an maintenance (~1 400 €/an × 2 ans) = ~11 500 € sur 3 ans.
Économie nette directe
~15 500 € sur 3 ans, soit environ 5 200 € par an à partir de l'année 2.
Gains indirects
Réduction du risque de fuite de données (chiffrable en disant qu'une seule fuite évitée couvre largement le projet), conformité RGPD facilitée, indépendance vis-à-vis des hausses tarifaires SaaS.
Gain de productivité
Estimation prudente : 15 minutes économisées par utilisateur et par jour ouvré. À 35 €/h chargés et 220 jours, ça fait ~38 500 € par an pour 30 personnes. Ce chiffre dépend lourdement de l'adoption réelle — soyez prudent dans les business case.
!
L'erreur classique du ROI productivité
Compter 1 heure/jour économisée et multiplier — c'est faux. La majorité des utilisateurs réguliers gagnent 10 à 20 minutes par jour, et 40 % des comptes deviennent inactifs au bout de 2 mois. Comptez large sur l'adoption (50-60 %), serré sur le gain par utilisateur (15 min). Le ROI reste largement positif.

#Pour aller plus loin

Ce guide pose le socle. Trois directions naturelles ensuite : ajouter un RAG sérieux sur vos documents internes pour que le chatbot connaisse vos procédures, durcir le déploiement multi-utilisateurs sur intranet, et formaliser la conformité RGPD avec un dossier propre.

Ce guide vous a aidé ?

Un retour, une erreur, une précision ? Faites-nous signe, ça améliore le guide pour tout le monde.