IA générative et secret professionnel : Guide déontologique

Comment concilier IA générative et secret professionnel ?
Obligations déontologiques, recommandations du CNB et du CCBE, checklist de conformité pour avocats

L’essor de l’intelligence artificielle générative transforme profondément la pratique des professions réglementées (avocats, magistrats, notaires, experts-comptables, médecins, etc.). Recherche documentaire, rédaction d’actes, analyse de contrats, synthèse de dossiers : les cas d’usage se multiplient et génèrent des gains de productivité significatifs, mais aussi des risques majeurs pour la confidentialité, la vie privée et le secret professionnel.

Ce guide propose un cadre opérationnel pour concilier l’impact de l’IA sur le droit et les exigences éthiques des avocats.

Il rappel les obligations auxquelles ils sont soumis, les données à proscrire, les mesures de sécurisation à mettre en place et les principaux risques de responsabilité, à partir des recommandations récentes des instances professionnelles.

Secret professionnel et IA générative

Le secret professionnel constitue l’un des piliers de la relation de confiance entre l’avocat et son client, mais plus largement entre toute profession réglementée et les personnes qu’elle assiste.


Ex : notaires, experts-comptables, professions médicales

Il impose une obligation de confidentialité absolue sur les informations confiées ou découvertes dans l’exercice professionnel, dont la violation peut entraîner des sanctions disciplinaires, civiles et pénales.

L’IA générative transforme profondément les pratiques professionnelles, notamment en matière de recherche documentaire, de rédaction d’actes, de synthèse de dossiers ou d’analyse de contrats. Ces outils, capables de produire des contenus nouveaux à partir de simples prompts, offrent des gains de temps et d’efficacité considérables, mais au prix de risques accrus pour la confidentialité des données et le secret professionnel.

Les risques principaux tiennent à plusieurs facteurs convergents :

  • la circulation des données dans des infrastructures techniques complexes (cloud, API, sous-traitants multiples) ;
  • la difficulté, pour l’utilisateur, de vérifier où sont hébergées les données, qui y accède et à quelles fins ;
  • la possibilité que les données saisies servent à l’entraînement ou au réentraînement (le « fine-tuning ») des modèles ;
  • l’exposition à des atteintes à la confidentialité ou à des fuites de données en cas de recours à des outils non sécurisés ou non souverains.

L’IA générative ne peut être intégrée dans la pratique des avocats qu’avec prudence, sens critique et vigilance éthique, l’outil devant rester un simple assistant placé sous le contrôle constant du professionnel, sans jamais se substituer à son analyse.

Dans ce contexte, concilier IA générative et secret professionnel suppose une approche structurée : compréhension des risques, sélection rigoureuse des outils juridiques (Logiciel IA juridique), mise en place de procédures internes, et adoption d’une véritable approche déontologique de la transformation digitale.

Les obligations déontologiques face à l’IA générative

Les textes déontologiques applicables aux avocats rappellent que le professionnel demeure seul responsable des décisions prises et des actes réalisés, y compris lorsqu’il recourt à un outil d’IA générative. L’IA ne constitue ni un codécideur, ni un délégataire de responsabilité : elle n’est qu’un instrument technique.

Les principaux devoirs déontologiques qui doivent être respectés en utilisant l’IA générative sont les suivants :

Responsabilité et compétence professionnelle

Le professionnel du droit assume personnellement la responsabilité de la mission , ainsi il doit maîtriser son raisonnement et vérifier l’exactitude des informations produites par l’IA au titre de sa responsabilité. 

Les risques d’erreurs factuelles ou d’hallucinations algorithmiques imposent une relecture systématique et une validation humaine des contenus générés.

L’obligation de compétence implique également de comprendre, au moins dans leurs grandes lignes, le fonctionnement des outils utilisés, leurs limites, leurs biais et leur niveau de sécurité.

Secret professionnel et confidentialité

L’introduction de données personnelles ou d’informations couvertes par le secret dans un outil non sécurisé est expressément identifiée comme une atteinte aux obligations de secret et de réserve. 

Les avocats doivent donc s’assurer que les outils d’IA respectent des garanties élevées de confidentialité, de souveraineté des données et de non-réutilisation des informations transmises.

Transparence et loyauté envers le client

Les bonnes pratiques déontologiques recommandent d’informer les justiciables des risques juridiques et éthiques liés à l’introduction de données personnelles ou de documents couverts par le secret dans des outils d’IA générative non souverains et librement accessibles. 

Cette information s’inscrit dans une logique de consentement des clients éclairé, notamment lorsque des données les concernant pourraient être traitées par des systèmes d’IA.

Respect du RGPD

Le respect du RGPD est bien évidemment un indicateur clé de la robustesse d’un outil d’IA juridique et de sa résistance aux attaques informatiques.

 Les avocats, en tant que responsables de traitement ou utilisateurs de sous-traitants, doivent veiller à ne recourir qu’à des prestataires présentant des garanties suffisantes en matière de mesures techniques et organisationnelles, conformément à l’article 28.1 du RGPD.

Préservation de l’esprit critique et de l’indépendance

Les textes insistent sur le risque de perte d’esprit critique et d’appauvrissement du raisonnement intellectuel si le professionnel se repose excessivement sur la machine. L’IA doit rester un outil d’assistance, sans jamais conduire à une déresponsabilisation ni à une standardisation excessive des analyses et des actes.

Les catégories de données incompatibles avec l’usage d’une IA générative

Les recommandations déontologiques convergent sur un principe clair : exclure l’introduction de toute donnée personnelle ou confidentielle dans un outil non sécurisé.

Sont notamment incompatibles avec l’usage d’une IA générative grand public ou non souveraine :

  • les données couvertes par le secret professionnel (correspondances avocat-client, pièces de dossiers, stratégies contentieuses, consultations, projets d’actes non signés, etc.) ;
  • les données personnelles des clients, en particulier les catégories particulières de données (données de santé, opinions politiques, données relatives aux infractions, etc.), dont la divulgation non maîtrisée pourrait constituer une violation grave du RGPD ;
  • les informations stratégiques ou sensibles pour le cabinet ou l’entreprise (données financières, projets de restructuration, secrets d’affaires) ;
  •  tout document ou élément susceptible d’identifier directement ou indirectement une personne physique ou morale, dès lors que l’outil ne garantit pas une pseudonymisation ou une anonymisation robuste.

À l’inverse, l’usage d’IA générative peut être envisagé, sous réserve de garanties techniques suffisantes, pour des données :

  • déjà publiques (textes officiels, jurisprudence, doctrine publiée) ;
  • ou pseudonymisées de manière irréversible, dans le cadre de systèmes de RAG (Retrieval-Augmented Generation) sécurisés ou de solutions on-device (exécution locale) ne transmettant aucune donnée à des tiers. La pseudonymisation des données constitue ainsi une pratique intéressante pour limiter les risques d’identification et de violation du secret professionnel.

Les recommandations des instances professionnelles

Plusieurs institutions nationales et européennes ont publié des textes de référence sur l’usage de l’IA générative par les professionnels de la justice : guides, chartes éthiques et recommandations.

Les recommandations du Conseil national des barreaux (CNB)

En France, le Conseil national des barreaux (CNB) a notamment élaboré :

  • un Guide pratique sur l’utilisation des systèmes d’IA générative (publication en  09/2024)
  • une Grille de lecture des outils d’intelligence artificielle (publication en 06/2025), qui rappelle les enjeux, propose des critères de choix des outils d’IA juridique et présente un comparatif des solutions auditées.

Les principales lignes directrices issues de ces travaux peuvent être résumées ainsi :

Comprendre les enjeux et se former 

Les professionnels doivent se former à l’IA générative, à ses risques (biais, hallucinations, atteintes à la confidentialité) et au cadre juridique applicable (vie privée, propriété intellectuelle, RGPD).

Choisir des outils d’IA juridique adaptés et souverains 

La grille du CNB distingue deux grandes familles d’outils :

  •  les éditeurs juridiques traditionnels et LegalTech (recherche documentaire, IA droit, logiciel de rédaction juridique, logiciel de révision juridique) ;
  • les outils branchés sur le contenu interne du cabinet (super assistants, IA de productivité);
  • Les critères de choix parmi ces solutions incluent :
  • la souveraineté des données (lieu d’hébergement en France ou dans l’UE, nationalité de l’hébergeur, absence de législation extraterritoriale type Cloud Act) ;
  • la non-réutilisation des données pour l’entraînement des LLM ;
  • la possibilité d’anonymisation totale préalable ou d’installation locale du modèle (LLM on-premise ou on-device) ;
  • la présence d’une RAG sécurisée pour cloisonner les données du cabinet.

La première exigence, c’est évidemment la confidentialité et la sécurité.

Les recommandations du Conseil des barreaux européens (CCBE)

Le Conseil des barreaux européens (CCBE) a lui aussi élaboré son propre guide sur l’intelligence artificielle générative par les avocats. Il recommande notamment de :

  • se former aux principes de fonctionnement, limites et risques de la GenAI (hallucinations, biais, boîte noire, etc.).
  • vérifier systématiquement les résultats avant tout usage professionnel dès qu’il existe un risque pour le client, la procédure ou un tiers (contenu juridique, citations, jurisprudence, analyse de documents) ;
  • comprendre les cas d’usage appropriés / inappropriés et adapter le niveau de contrôle en fonction du risque (recherche exploratoire vs rédaction d’actes soumis au juge) ;
  • suivre les formations proposées par les barreaux et se référer à leurs lignes directrices spécifiques ;
  • intégrer la GenAI dans une politique interne structurée (choix des outils, validation juridique et sécurité, procédures de contrôle qualité, gestion des incidents) ;
  • traiter les risques de cybersécurité spécifiques (phishing renforcé, injections de prompts, empoisonnement de données / modèles) et adapter les mesures techniques et organisationnelles.

La sécurisation de l’usage de l’IA générative dans les organisations soumises au secret professionnel

Pour les cabinets d’avocats, sécuriser l’usage de l’IA générative ne consiste pas seulement à choisir un outil performant : il s’agit de définir un cadre d’utilisation conforme aux exigences déontologiques et aux attentes des clients.

Architecture technique sécurisée et RAG sécurisée

Le CNB recommande de recourir à des systèmes de RAG sécurisée, il combine une base de connaissances interne (dossiers, modèles, doctrine interne), un LLM sans réentraînement sur les données sensibles et des mesures de sécurité renforcées (chiffrement, cloisonnement, contrôle d’accès).

  • Les mesures techniques incluent notamment : 
  • le chiffrement des données en transit et au repos (TLS/HTTPS, AES-256) ;
  • la pseudonymisation et l’anonymisation des données personnelles avant traitement ;
  • la mise en place de dispositifs de protection contre les attaques (pare-feux, antivirus, systèmes de détection d’intrusion) ;
  • et la journalisation et la traçabilité des actions sur les données.

Gouvernance interne et politiques de sécurité

Les mesures organisationnelles recommandées visent, elles, à donner au cabinet un cadre clair et partagé pour l’usage de l’IA. 

Il s’agit, d’une part, de structurer la sécurité de l’information autour de règles inspirées des bonnes pratiques (notamment celles des normes ISO 27001/27002) et, d’autre part, d’intégrer concrètement les exigences du RGPD dans le fonctionnement quotidien du cabinet (gestion des droits d’accès, de rectification ou d’effacement des données). 

Ces mesures passent aussi par une réflexion en amont sur les risques liés aux données personnelles, au moyen d’analyses d’impact adaptées, par un effort continu de sensibilisation et de formation des équipes, et par l’adoption de chartes internes d’usage de l’IA qui expliquent simplement ce qui est autorisé, ce qui ne doit jamais être saisi dans les outils, la manière de valider les résultats et la répartition des responsabilités.

Contrat de confidentialité et pilotage des sous-traitants

Il faut noter que les cabinets d’avocats doivent aussi encadrer contractuellement leurs relations avec les éditeurs d’IA juridique, en prévoyant des engagements clairs en matière de confidentialité et de sécurité des données. 

Concrètement, il s’agit notamment d’exiger l’absence de conservation durable des prompts — ou, à tout le moins, leur suppression rapide, et d’interdire toute réutilisation des données du cabinet ou de ses clients pour l’entraînement des modèles. 

Le contrat doit également préciser les garanties offertes quant aux lieux d’hébergement, aux éventuels sous-traitants, ainsi qu’aux dispositifs d’audit et de certification de sécurité (par exemple ISO 27001 ou SOC 2).

Les risques et les cas de responsabilité

L’usage de l’intelligence artificielle présente des avantages de productivité, mais la rançon de ceux-ci se traduit par des risques déontologiques majeurs.

L’usage de l’IA par les avocats comporte plusieurs risques qui doivent être appréhendés de manière globale, comme le soulignent à la fois le Règlement Intérieur National de la profession d’avocat du Conseil national des barreaux (RIN) et la Grille de lecture sur l’intelligence artificielle élaborée par le même Conseil. 

L’avocat peut être tenté de s’en remettre à l’outil, en oubliant qu’il demeure seul responsable des décisions et actes produits. 

Une telle déresponsabilisation, contraire aux principes essentiels de conscience, d’indépendance, de compétence et de prudence, est susceptible d’engager sa responsabilité disciplinaire.

Par ailleurs, comme le rappelle la grille de lecture du CNB consacrée à l’IA, les modèles entraînés sur des données passées peuvent reproduire ou aggraver des stéréotypes et discriminations, notamment dans l’évaluation des risques ou la qualification juridique.

Ceci impose à l’avocat d’exercer un contrôle critique sur les suggestions de l’IA au regard des principes d’égalité et de non-discrimination.

Les travaux du Conseil national des barreaux et du Conseil supérieur de la magistrature insistent également sur le risque d’erreurs factuelles et d’hallucinations algorithmiques. 

La production de fausses références textuelles ou jurisprudentielles expose le professionnel à des fautes professionnelles s’il les reprend sans vérification. 

L’obligation de compétence, telle qu’interprétée par le RIN, impose ainsi de vérifier systématiquement les sources citées et de ne jamais se contenter d’un simple copier-coller des résultats de l’IA. 

S’y ajoutent des risques d’atteintes à la confidentialité et au secret professionnel lorsque des données couvertes par le secret sont introduites dans un outil non sécurisé. Les recommandations du CNB identifient cela comme une violation potentielle des obligations de secret et de réserve qui peuvent entraîner des sanctions disciplinaires.

Les risques de fuite de données, de cyberattaques ou réquisition par des autorités étrangères sont accrus lorsque les données sont hébergées hors de l’UE, ce qui rejoint les alertes formulées par le CNB sur la souveraineté numérique et la localisation des données.

L’usage massif et non maîtrisé de l’IA peut aussi entraîner une perte d’esprit critique et un appauvrissement du raisonnement, conduisant à une standardisation des productions juridiques et une baisse de la créativité juridique. 

Le Conseil national des barreaux insiste à cet égard sur la nécessité de préserver la valeur ajoutée intellectuelle et stratégique de l’avocat, en évitant toute dépendance à des outils d’IA 

Ces risques doivent être intégrés dans une évaluation des risques globale (juridique, déontologique, technique) et donner lieu à des mesures adaptées, qu’il s’agisse du choix d’outils spécialisés, de la formation des équipes sur l’IA ou de la réalisation d’audits réguliers.

Les instruments de conformité disponibles pour encadrer l’IA

Les professionnels disposent déjà d’un ensemble d’instruments de conformité pour encadrer l’usage de l’IA générative. 

Ces outils, issus pour l’essentiel des autorités et instances professionnelles, offrent un cadre de référence pour apprécier les risques et définir de bonnes pratiques afin de sélectionner les solutions techniques adaptées.

Textes déontologiques et guides officiels

Plusieurs textes déontologiques et guides officiels encadrent désormais l’usage de l’intelligence artificielle générative par les magistrats et les avocats.
Au niveau européen, la Charte éthique européenne d’utilisation de l’intelligence artificielle dans les systèmes judiciaires (CEPEJ, 2018) et les travaux du Conseil de l’Europe et de l’Union européenne (règlement sur l’IA, convention-cadre) encadrent l’usage de l’IA en justice.

En France, plusieurs institutions judiciaires et professionnelles ont adopté des textes de référence. Le Conseil consultatif conjoint de déontologie de la relation magistrats–avocats a fixé un socle minimal de bonnes pratiques pour l’usage de l’IAG, fondé sur la supervision humaine, la vigilance éthique, la prévention des biais, la protection du secret et le maintien de l’IA comme simple outil d’assistance.

Au niveau européen, la Charte éthique européenne d’utilisation de l’intelligence artificielle dans les systèmes judiciaires (CEPEJ, 2018) et les travaux du Conseil de l’Europe et de l’Union européenne (règlement sur l’IA, convention-cadre) encadrent l’usage de l’IA en justice.

En France, plusieurs institutions judiciaires et professionnelles ont publié des textes de référence récents. 

De plus, le Conseil consultatif conjoint de déontologie de la relation magistrats–avocats a défini des bonnes pratiques pour l’usage de l’IAG, reposant sur une supervision humaine renforcée et une une vigilance éthique constante, afin que l’IA reste un simple outil d’assistance.

Pour la profession d’avocat, le Conseil national des barreaux a adopté plusieurs instruments structurants : 

  • un guide pratique sur l’utilisation des systèmes d’intelligence artificielle générative (septembre 2024) ;
  • une grille de lecture des outils d’intelligence artificielle générative (juin 2025)

Ils expliquent comment les avocats peuvent se familiariser avec l’intelligence artificielle générative (IAG) et proposent des critères opérationnels de choix des outils (souveraineté des données, confidentialité, sécurisation, fiabilité).

Au niveau européen de la profession d’avocat, le CCBE a publié en 2025 un guide sur l’utilisation de l’intelligence artificielle générative par les avocats, qui articule ces usages avec les principes essentiels (confidentialité, compétence, indépendance, loyauté, dignité et honneur de la profession). 

Pris ensemble, ces textes et les règles déontologiques internes, notamment le Règlement Intérieur National du CNB, forment un socle de conformité qui permet aux professionnels de définir une politique d’usage de l’IA générative qui respecte leurs obligations déontologiques ainsi que la protection des données. 

Normes et certifications

De nombreuses solutions d’IA juridique mettent en avant des démarches de conformité, en particulier la norme ISO 27001 sur la sécurité de l’information, parfois complétée par d’autres référentiels comme l’ISO 27017 (sécurité dans le cloud) ou l’ISO 27018 (protection des données personnelles dans le cloud). 

Elles peuvent aussi s’appuyer sur des codes de conduite en matière d’IA générative, des chartes éthiques internes ou des labels sectoriels (adhésion à des hubs ou programmes d’« IA responsable »).

Certains éditeurs mettent en outre en avant des démarches structurées de conformité RGPD.

Ex : audits CNIL, accompagnement par les autorités, politiques de « zero data retention », hébergeurs certifiés et localisés dans l’Union européenne.

Pris ensemble, ces instruments offrent aux avocats des repères concrets pour apprécier la conformité réglementaire, les garanties de confidentialité des outils d’IA et les conditions de leur intégration dans leur pratique.

Exemples d’application des recommandations professionnelles

Les recommandations déontologiques ne restent pas théoriques : elles se traduisent déjà dans la conception et le déploiement de plusieurs outils d’IA spécialisés pour les avocats et juristes. 

Aujourd’hui l’impératif est clair, il s’agit de favoriser le plus possible une meilleure pratique en matière d’IA dans le domaine du droit.

Des solutions comme Doctrine, Lexbase, Lamyline ou Predictice proposent des fonctionnalités de recherche juridique, de résumé de décisions, de génération de mémos et d’analyse de documents, en s’appuyant sur :

  • des LLM hébergés sur des infrastructures européennes (Microsoft Azure, AWS, OVH) ;
  • des engagements de non-réutilisation des données pour l’entraînement des modèles ;
  • des environnements cloisonnés, avec zero data retention ou suppression rapide des prompts ;
  • des mécanismes de RAG sécurisée combinant LLM et bases documentaires propriétaires ou officielles.

Ces outils illustrent comment une IA juridique peut être intégrée dans la pratique quotidienne tout en respectant le secret professionnel et le RGPD.

De plus, la solution Jimini se positionne, elle, comme un copilote pour les professionnels du droit, qui offre :

  • Une analyse sourcée de grandes bases documentaires internes, des audits de volumes importants de documents, une assistance à la rédaction (contrats, conclusions, mémos) ;

Sur le plan de la sécurité, Jimini met en œuvre un hébergement en France sur des infrastructures certifiées (Scaleway, ISO 27001, 27017, 27018, HDS) :

  • un chiffrement 256 bits des données au repos et en transit ;
  • un contrôle d’accès fondé sur le principe du moindre privilège ;
  • des tests réguliers de vulnérabilité ;
  • une certification ISO 27001.

Cet exemple illustre une meilleure pratique en matière d’IA : un outil conçu dès l’origine pour respecter les exigences de secret professionnel, de souveraineté des données et de conformité réglementaire.

D’autres solutions comme Ordalie, Septeo Brain ou Haiku illustrent l’usage de l’IA générative pour :

  • l’analyse de contrats et de pièces en masse ;
  • la recherche d’éléments factuels dans de grands volumes de données ;
  • la génération de résumés, tableaux comparatifs et synthèses multi-documents ;
  • la connexion à des GED et à des bases internes de cabinets.

Ces entreprises qui commercialisent des logiciels d’IA juridique mettent en œuvre des RAG sécurisées, des hébergements européens, des mécanismes de chiffrement avancés et des codes de conduite sur l’IA générative, ce qui traduis concrètement les pratiques recommandées par le CNB et les instances déontologiques.

En définitive, l’intelligence artificielle générative constitue un puissant levier d’innovation technologique en droit et d’assistance IA pour avocats, à condition d’être intégrée dans une démarche structurée de conformité réglementaire, de gestion des données et de vigilance déontologique. 

Les guides du CNB, les chartes éthiques et les solutions d’IA juridique spécialisées offrent aujourd’hui un véritable guide pratique sur l’IA pour les professions soumises au secret professionnel.

Checklist opérationnelle

  • Une politique interne / charte « IA générative » est-elle formalisée, validée et communiquée à l’ensemble des équipes (avocats, fonctions support, stagiaires) ?
  • Les utilisateurs ont-ils été formés au fonctionnement des LLM, à la RAG, aux risques d’hallucinations, de biais, de perte de compétence et de déresponsabilisation ?
  • Les règles internes précisent-elles explicitement ce qui peut / ne peut pas être saisi dans les outils d’IA (types de données, cas d’usage autorisés, interdits) ?
  • Un référent (ou comité) « IA / conformité » est-il identifié pour arbitrer les questions sensibles et suivre l’évolution des textes (CNB, CCBE, CEPEJ, etc.) ?

  • Vérification préalable : les données que je m’apprête à saisir sont-elles couvertes par le secret professionnel (correspondances, pièces de dossier, stratégie, projets d’actes, etc.) ?
  • Les données comportent-elles des données personnelles, en particulier des catégories particulières (santé, opinions politiques, infractions, etc.) ?
  • Si oui, l’outil utilisé est-il expressément qualifié de « sécurisé » et « souverain » par le cabinet (et non un outil grand public ou non souverain) ?
  • Une pseudonymisation / anonymisation robuste des données a-t-elle été réalisée avant tout envoi ?
  • Ai-je exclu tout élément permettant d’identifier directement ou indirectement une personne physique ou morale lorsque l’outil n’offre pas de garanties suffisantes ?

  • L’outil utilisé a-t-il été préalablement validé par le cabinet (référencement interne, due diligence, avis DPO / RSSI) ?
  • L’outil est-il adapté au cas d’usage (recherche documentaire, analyse de contrats, rédaction assistée, synthèse de dossier, etc.) et à la matière concernée ?
  • L’éditeur fournit-il des garanties de souveraineté des données (hébergement en France/UE, absence de Cloud Act, localisation des LLM et des bases) ?
  • L’outil repose-t-il sur une RAG sécurisée (absence de fine-tuning) ?

  • Les flux de données sont-ils chiffrés en transit (TLS/HTTPS) et au repos (AES-256 ou équivalent) ?
  • Le cabinet maîtrise-t-il la gestion des clés de chiffrement ou dispose-t-il de garanties contractuelles suffisantes ?
  • Les prompts et documents sont-ils soumis à une politique de conservation limitée (zero data retention ou suppression rapide) réellement documentée ?
  • L’accès des salariés de l’éditeur aux données est-il strictement encadré (habilitations, journalisation, audits) ?
  • Des mesures de cybersécurité spécifiques aux IA (protection contre les injections de prompts, empoisonnement de données, phishing renforcé) sont-elles en place ?
  • L’éditeur dispose-t-il de certifications pertinentes (ISO 27001, 27017, 27018, HDS, SOC 2, etc.) et d’une documentation de confiance (Trust Center, politique de sécurité) ?

  • Le rôle du cabinet est-il clairement identifié (responsable de traitement / responsable conjoint / utilisateur d’un sous-traitant) pour le cas d’usage concerné ?
  • Un contrat conforme à l’article 28 RGPD encadre-t-il la relation avec l’éditeur (clauses sur la finalité, la durée, la sécurité, la sous-traitance, les transferts hors UE) ?
  • Les transferts éventuels de données hors UE sont-ils encadrés par des garanties appropriées (clauses contractuelles types, BCR, décision d’adéquation) ?
  • Une analyse d’impact a-t-elle été réalisée pour les traitements à risque élevé (données sensibles, volumes importants, décisions automatisées) ?

  • Le client est-il informé, lorsque pertinent, de l’usage d’outils d’IA générative dans le traitement de son dossier et des risques associés (confidentialité, biais, erreurs) ?
  • Les conditions d’intervention de l’IA sont-elles compatibles avec les engagements contractuels pris envers le client (confidentialité, niveau de service, délais) ?

  • Ai-je relu de manière critique l’intégralité des contenus générés (analyses, projets d’actes, synthèses) avant toute communication au client, à la partie adverse ou à la juridiction ?
  • Ai-je vérifié systématiquement les références citées (textes, jurisprudence, doctrine) pour détecter les hallucinations ou erreurs factuelles ?
  • Le raisonnement juridique retenu est-il compréhensible, explicable et assumé par moi devant le client et le juge (pas de « boîte noire » non maîtrisée) ?

  • Un registre interne des outils d’IA utilisés, des cas d’usage et des incidents (erreurs graves, fuites, comportements inattendus) est-il tenu à jour ?
  • Une procédure de gestion des incidents est-elle définie et connue (notification interne, CNIL, clients, barreau, assureur) ?
  • Les retours d’expérience sont-ils intégrés dans la mise à jour régulière de la charte IA, des formations et des paramétrages des outils ?
  • Un audit périodique de conformité (déontologie, RGPD, sécurité) des usages d’IA est-il planifié et réalisé (interne ou externe) ?

Rejoignez les professionnels du droit de demain.

Je veux intégrer l’IA à mon organisation

Démo