Aller au contenu principal
Conformité & RGPD7 min de lecture

LegalTech et secret professionnel : comment choisir un outil IA conforme

L'adoption d'un outil d'intelligence artificielle en cabinet d'avocats soulève une question que les comparatifs de logiciels oublient rarement d'esquiver : où vont les données de vos clients ? Guide pratique des critères à vérifier, dans l'ordre de leur importance.

Pourquoi le sujet est plus sérieux qu'il n'y paraît

Le secret professionnel de l'avocat n'est pas une règle déontologique parmi d'autres. C'est un élément constitutif du droit à un procès équitable, protégé par l'article 6 de la CEDH et rappelé régulièrement par la Cour de cassation. Sa violation expose à des sanctions disciplinaires, civiles et pénales.

Or, utiliser un outil SaaS pour traiter des communications avec des clients revient à confier ces données à un tiers. Ce tiers devient un sous-traitant au sens du RGPD — et le cabinet reste responsable de traitement. Si le prestataire subit une fuite ou utilise les données de façon non conforme, c'est le cabinet qui répond devant la CNIL et devant son Ordre.

La question n'est pas si on peut utiliser un outil IA en cabinet. La question est comment choisir un outil dont les garanties sont réelles, pas seulement affichées dans une page marketing.

Les 6 critères à vérifier — dans l'ordre

1
Localisation de l'hébergementOBLIGATOIRE

Les données clients doivent rester dans l'Union européenne. Un hébergement américain expose les données aux demandes d'accès du gouvernement américain (Cloud Act) — incompatible avec le secret professionnel de l'avocat tel qu'interprété par le CNB.

Comment vérifier : Demandez l'adresse précise des serveurs (datacenter) et le nom de l'hébergeur. "Europe" est insuffisant — vérifiez que l'hébergeur principal et les sous-traitants éventuels sont UE.
2
Absence d'entraînement sur vos donnéesOBLIGATOIRE

Certains services IA utilisent les requêtes des utilisateurs pour améliorer leurs modèles. Pour un cabinet, cela signifie que vos dossiers peuvent alimenter un système accessible à d'autres. Un contrat clair doit stipuler l'absence totale d'entraînement sur vos données.

Comment vérifier : Cherchez la clause dans les CGU ou le DPA : "vos données ne sont pas utilisées pour entraîner nos modèles". Si c'est absent ou ambigu, refusez.
3
DPA conforme RGPDOBLIGATOIRE

Tout outil qui traite des données personnelles pour votre compte est un sous-traitant au sens du RGPD. Vous êtes responsable du traitement — ils doivent vous fournir un Data Processing Agreement (accord de traitement des données) conforme à l'article 28 du RGPD.

Comment vérifier : Le DPA doit mentionner : la nature du traitement, les catégories de données, les mesures de sécurité, les délais de notification de fuite, et les droits des personnes concernées.
4
Chiffrement au repos et en transitOBLIGATOIRE

AES-256 au repos, TLS 1.2 ou 1.3 en transit. Ce sont des standards minima qui protègent les données contre une fuite au niveau de l'infrastructure. Ces chiffres doivent être vérifiables, pas seulement annoncés dans une page marketing.

Comment vérifier : Demandez la documentation technique ou un rapport d'audit de sécurité. Un prestataire sérieux n'a pas de raison de refuser.
5
Politique de rétention et droit à l'effacement

Combien de temps vos données sont-elles conservées après résiliation ? Pouvez-vous les supprimer à la demande ? Pouvez-vous les exporter dans un format standard ? Ces droits sont garantis par le RGPD mais leur exercice concret dépend de l'implémentation du prestataire.

Comment vérifier : Testez : créez un compte de test et demandez l'export de vos données, puis leur suppression. Si ça prend plus de 30 jours ou nécessite un email à une équipe, c'est un signal.
6
Séparation des données entre clientsOBLIGATOIRE

Dans un cabinet qui utilise un outil IA pour plusieurs dossiers, les données d'un client ne doivent jamais être accessibles dans le contexte d'un autre dossier. C'est une exigence d'isolation technique que beaucoup de solutions SaaS génériques ne garantissent pas explicitement.

Comment vérifier : Demandez comment l'isolation est implémentée au niveau base de données. "Logique applicative" sans isolation physique est insuffisant pour des données couvertes par le secret professionnel.

Le cas particulier des LLM américains

ChatGPT, Claude, Gemini — les grands modèles de langage sont américains. Leur utilisation directe (sans infrastructure intermédiaire souveraine) pour traiter des données couvertes par le secret professionnel pose un problème structurel : le Cloud Act américain permet au gouvernement américain d'accéder aux données stockées ou traitées par des entreprises américaines, y compris si les serveurs sont en Europe.

Cela ne signifie pas que ces modèles sont inutilisables. Cela signifie que leur utilisation via une interface qui stocke et traite les données en Europe, avec un accord contractuel qui exclut tout transfert, peut être conforme — à condition que l'interface intermédiaire le garantisse contractuellement.

La solution la plus claire reste un modèle hébergé sur infrastructure européenne, sans dépendance à un cloud américain pour le traitement des données.

Ce que dit le CNB

Le Conseil National des Barreaux a publié plusieurs guides sur l'utilisation de l'IA par les avocats. La position constante : l'avocat reste responsable de tous les actes accomplis avec ou sans assistance numérique. L'outil IA ne déplace pas la responsabilité professionnelle — il la présuppose.

Sur la question des données, le CNB recommande de s'assurer que tout prestataire traitant des données couvertes par le secret professionnel dispose d'un DPA conforme et garantisse l'absence d'utilisation de ces données à des fins d'entraînement.

Comment Astrée répond à ces critères

HébergementHetzner (Allemagne, UE) — données qui ne quittent pas l'Union européenne
EntraînementAucun entraînement sur vos données — stipulé contractuellement
DPAFourni avec chaque contrat, conforme RGPD art. 28
ChiffrementAES-256 au repos · TLS 1.3 en transit
IsolationIsolation au niveau base de données par cabinet — Row-Level Security PostgreSQL
RétentionExport complet à la demande · Suppression effective sous 30 jours

Un outil conçu pour le barreau français

Secret professionnel, RGPD, hébergement Europe. Le DPA est annexé à chaque contrat.

Demander un accès