Vérification de l'accès...
Déléguer la recopie et les manips manuelles à des agents IA, quand il n'y a pas d'API. Quels outils, pour quelles tâches, avec quels garde-fous.
1. Trois briques Anthropic complémentaires, pas concurrentes. Claude for Chrome = web only (clic/saisie/extraction, shortcuts, tâches planifiées daily/weekly/monthly, 3 modes de permission). Cowork / Claude Desktop = fichiers locaux + applis + (via extension) web. Ensemble ils couvrent local ↔ web. Le « Cowork » de Ludo (Desktop + skill cowork-ops) est une déclinaison maison de cette logique.
2. La sécurité est le vrai sujet. Le prompt injection est le risque n°1 des agents navigateur (failles réelles documentées en 2026, exfiltration Cowork confirmée par PromptArmor). Robustesse Anthropic ~1 % en interne = pas zéro → supervision humaine obligatoire sur la donnée patient, mode « Ask before acting », jamais « Skip all permissions ».
3. Règle d'or du cadre de décision. API d'abord → si pas d'API : RPA M365 (Power Automate Desktop) ou n8n self-hosted pour le récurrent + sensible + non-techos (déterministe, GDPR maîtrisée, données qui ne sortent pas) ; agent IA navigateur (Chrome/Cowork supervisé) pour l'ad hoc, le variable, et Ludo lui-même. Power Automate est le plus « propre » côté santé car ONE Clinic est déjà sous M365 (data residency UE).
4. Trois quick wins. (a) shortcut Claude for Chrome supervisé sur recopie email non-patient (pilote Ludo, gain mesuré via cs_pointages) ; (b) un flux Power Automate Desktop sur une recopie récurrente stable pour un employé non-technique ; (c) n8n self-hosted + node Playwright pour le semi-automatisable. À éviter sur données patient : OpenClaw/Telegram, scraping cloud, RAG persistant (problème Art. 17 RGPD).
Chez ONE Clinic, le poste n°1 chronophage est la recopie (email, saisie depuis portails web sans API, Excel) — estimé à ~250 h/mois sur l'email seul (étude email S72). Le « dernier kilomètre » désigne ces ~60 % de travail qui consistent à « se connecter à un site et cliquer / recopier » — historiquement l'angle mort de l'automatisation classique (qui suppose une API), que les agents IA navigateur viennent enfin adresser.
L'enjeu : choisir le bon outil par type de tâche, en respectant deux contraintes fortes ONE Clinic — données de santé (RGPD/sensible) et utilisateurs non-techniques.
Extension navigateur (Chrome & Edge ; pas Brave/Arc à ce jour) qui pilote des onglets via une side-panel : Claude « voit » la page et agit (clics, saisie, navigation). Usage agentique étendu sur les plans Max. Modèles juin 2026 : Opus 4.8, Sonnet 4.6, Haiku 4.5.
Claude demande l'autorisation avant chaque action. Contrôle maximal. Recommandé pour démarrer et pour toute donnée patient.
On valide le plan global, puis Claude exécute en autonomie dans ce périmètre ; il redemande pour les actions à haut risque (achats, suppression).
Autonomie totale sur sites de confiance. Garde-fous réduits. À proscrire sur données de santé.
Pas d'accès aux fichiers locaux (c'est un agent navigateur → ce rôle revient à Cowork). Prompt injection = risque n°1 : instructions malveillantes cachées dans une page/email/doc. Réponse Anthropic : scan du contenu non-fiable + classifieurs d'injection ; Opus 4.5+ réduit le succès d'attaque à ~1 % en interne ; patch d'origine stricte après failles publiques (ShadowPrompt, XSS zéro-clic mars 2026). Plusieurs vulnérabilités réelles documentées en 2026 → outil puissant mais à superviser, jamais en pilote auto sur de la donnée patient.
Agent desktop (Claude Desktop, macOS + Windows x64), research preview. Logique « orientée résultat » : on donne un objectif, Claude travaille sur l'ordinateur — fichiers/dossiers locaux + applications — et rend un livrable fini. Cible = travailleurs du savoir non-développeurs.
Complémentarité avec Chrome : Cowork = local ; Chrome = web ; ensemble = tâches local ↔ web. ⚠️ Sur Windows, des bugs d'enregistrement des outils computer-use ont été rapportés (issue #38783) → vérifier après mise à jour.
Surface d'attaque élargie (non-développeurs qui connectent des dossiers entiers). Risque d'exfiltration confirmé : PromptArmor a montré qu'une prompt injection peut pousser Cowork à transmettre des fichiers sensibles vers le compte d'un attaquant (via la Files API). → Ne connecter que les dossiers strictement nécessaires, jamais un dossier patient « au cas où ».
Pas le produit Anthropic au sens marketing, mais une déclinaison maison : Claude Desktop + skill cowork-ops (mémoire, contexte, réflexes terrain) pour piloter Chrome + fichiers locaux + applis SaaS (Zoho, Uberall, Pennylane, WordPress). Même finalité, même surface de risque → mêmes garde-fous. À maintenir comme « cerveau exécutant » pour Ludo/Alba, distinct de l'app patient.
Ces approches ne s'opposent pas, elles se superposent. L'archi de référence 2026 combine LLM + orchestrateur (n8n/Make) + bot RPA (UiPath/Power Automate) en couche d'exécution déterministe.
| Approche | À quoi ça sert | Forces | Faiblesses | Coût indicatif | Courbe | RGPD/santé |
|---|---|---|---|---|---|---|
| Claude for Chrome | Piloter des sites (clic, saisie, extraction) en langage naturel | Rapide, comprend la page « visuellement », planifiable, supervisable | Web only, prompt injection, non déterministe | Inclus ; Max 100–200 $/mois | Faible | Moyen-élevé |
| Cowork / Desktop + skill | Fichiers locaux + applis desktop + web | Livrable bout en bout, local ↔ web | Surface d'attaque large, exfiltration possible, preview | Inclus plans payants | Faible-moy. | Élevé si dossiers sensibles |
| Power Automate Desktop (RPA) | Rejouer des actions UI sur web + apps + legacy | Natif M365, recorder, data residency UE, déterministe | Setup par scénario, casse si l'UI change, licence premium RPA | ~15–40 $/user/mois | Moyenne | Faible / maîtrisable |
| UiPath (RPA) | RPA complexe, gros volumes, legacy/Citrix | Le plus robuste sur legacy/volume, process mining | Lourd, cher, semaines de mise en place | ~140–420 $/robot/mois | Forte | Maîtrisable |
| n8n + Playwright | Workflows + scraping/automatisation headless | Déjà dans la stack, self-host, planifiable, 400+ intégrations | Demande du code/XPath, maintenance des sélecteurs | Faible (self-host) | Moy.-forte | Faible si self-host |
| Scraping pur (Skyvern, Browserbase…) | Extraction massive reproductible | Performant, programmable | Technique, fragile, pas pour non-techos | Variable | Forte | Variable |
| OpenClaw / Telegram | Canal mobile de déclenchement + computer-use | Mobilité, déjà en place | Sécurité : 8 GHSA High mars-mai 2026, RCE/escalade | VPS ~qq €/mois | Moyenne | Élevé — pas de donnée santé |
Sources : Kanerika — UiPath vs Power Automate 2026 · EPC Group · Microsoft Learn — data residency Power Automate · scrapegraphai — n8n web scraper · veille interne openclaw-veille-mai-2026.md
Les agents RAG qui embarquent de la donnée patient dans une base vectorielle posent un problème Article 17 (droit à l'effacement). → Pour ONE Clinic, privilégier des agents qui agissent sans persister la donnée patient.
Sources : ACTGSYS 2026 · Bright Data · ChatFin · getprosper — santé · fin.ai — HIPAA/GDPR
Règles à appliquer dans l'ordre :
OUI → API via n8n (ou MCP). Ne jamais simuler des clics quand une API existe. NON → règles suivantes. L'agent navigateur est un dernier recours, pas un défaut.
OUI → exclure OpenClaw/Telegram + scraping cloud. Privilégier Power Automate Desktop (tenant M365) ou n8n self-hosted. Si agent IA : mode « Ask », supervision, aucune persistance. NON → tout le panel est ouvert.
OUI → Cowork / Claude Desktop (restreindre les dossiers). NON, 100 % web → Claude for Chrome.
Ludo, ad hoc → Chrome ou Cowork (langage naturel, flexible). Employé non-technique, tâche cadrée → Power Automate Desktop (recorder, pas de prompt) ou shortcut Chrome figé + planifié.
One-shot / variable → agent IA (tolère le changement). Récurrent, volume, stable → RPA ou n8n+Playwright planifié (déterministe, traçable).
UI qui change souvent → agent IA (s'adapte visuellement). UI stable → RPA/Playwright (sélecteurs figés, plus fiable).
Contraintes : données santé + utilisateurs non-techniques + « tester vite, simple > parfait ».
1–2 shortcuts sur une recopie email→outil non patient (tri/relance interne, infos non sensibles depuis un portail sans API). Mode « Ask before acting », sites de confiance.
Pourquoi : courbe faible, mesurable tout de suite (chrono avant/après via cs_pointages), zéro infra. Valide le pattern avant d'élargir. Garde-fou : aucune donnée patient.
Une recopie répétitive et stable depuis un portail sans API vers Excel/un outil (relevé admin hebdo).
Pourquoi : ONE Clinic déjà sous M365 → pas d'achat majeur, data residency UE, déterministe, utilisable par un non-techo. Le candidat le plus « propre » côté santé. Action : 1 process owner volontaire (cf. pilote Karima RH) + chronométrer.
Quand il existe un bout d'API + un bout d'UI : orchestrer dans n8n (déjà dans la stack) avec un node Playwright pour la partie web.
Pourquoi : self-host = la donnée ne sort pas ; réutilise l'existant ; planifiable. Garde-fou : réservé à Ludo/IT au départ.
Pas d'OpenClaw/Telegram ni de scraping cloud sur de la donnée patient. Pas de mode « Skip all permissions » ni de Cowork pointé sur un dossier patient. Pas d'archi RAG persistant la donnée patient (Art. 17 RGPD).
cs_pointages), pas par les chiffres marketing.Le dernier kilomètre — Veille BCSD pour Ludovic Attard · 02 juin 2026
Document source : docs/veille/dernier-kilometre-agents-navigateur-juin-2026.md · Étude interne, à recouper avant diffusion équipe.