Intelligence artificielle et secret professionnel

Ycompris

IA et secret professionnel : pourquoi ChatGPT, Claude AI, Copilot ou Microsoft 365 peuvent mettre votre responsabilité en jeu. Le Cloud Act et la question de la vérifiabilité expliqués simplement.

Avocats, experts-comptables, commissaires aux comptes, médecins : depuis deux ans, les outils d’IA générative comme ChatGPT, Claude ou Copilot se sont invités dans les cabinets. Pratiques pour synthétiser un contrat, résumer un échange ou structurer des données, ils posent cependant une question centrale : comment concilier leur usage avec l’obligation absolue de secret professionnel ?

Le secret professionnel n’est pas une simple recommandation de prudence. C’est une obligation légale stricte, illimitée dans le temps, qui engage la responsabilité pénale et disciplinaire de chaque professionnel.

À propos du secret professionnel

Pour les avocats (article 66-5 de la loi n° 71-1130 du 31 décembre 1971), il couvre "toutes les informations confiées par le client, les consultations, les correspondances, les pièces du dossier, les faits connus dans l’exercice de la profession". L’avocat ne peut pas en être relevé par le client lui-même.

Les experts-comptables (article 21 de l’ordonnance n° 45-2138 du 19 septembre 1945), les commissaires aux comptes (article L. 822-15 du Code de commerce) et les médecins (article R. 4127-4 du Code de la santé publique) sont soumis à des obligations équivalentes. Les données concernées incluent contrats, bilans financiers, diagnostics, stratégies clients ou données personnelles (noms, SIRET, coordonnées bancaires).

Les sanctions prévues par l’article 226-13 du Code pénal sont d’un an d’emprisonnement et 15 000 € d’amende, auxquelles s’ajoutent des mesures disciplinaires pouvant aller jusqu’à la radiation.

LLM publics et solutions maîtrisées : la distinction essentielle

Les outils d’IA se divisent en deux grandes catégories :

  • LLM publics (ChatGPT, Claude.ai, versions grand public de Copilot) : les données sont envoyées sur des serveurs externes, souvent aux États-Unis.
  • Solutions on-premise : Solution installée et hébergée sur vos propres serveurs (dans vos locaux ou infrastructure que vous maîtrisez totalement), sans passage par le cloud public.

Entre les deux existe une zone grise : les versions "Enterprise" ou cloud européennes avec Data Processing Agreement ou DPA (accord de traitement des données signé entre vous et le prestataire qui définit les règles de confidentialité, de sécurité et d’utilisation de vos données). Ces contrats prévoient généralement la non-réutilisation des données pour l’entraînement et le respect du RGPD. Ils constituent une protection contractuelle réelle, mais soulèvent une question de vérifiabilité pour les professionnels du secret.

Le Cloud Act : une contrainte juridique américaine

Adoptée en 2018, la loi américaine Clarifying Lawful Overseas Use of Data Act (Cloud Act) permet aux autorités fédérales américaines d’obtenir des données détenues par des entreprises soumises à la juridiction américaine (Microsoft, Google, OpenAI, Anthropic, etc.), même si ces données sont stockées en Europe.

Un DPA solide engage contractuellement le prestataire, mais ne peut pas neutraliser une loi fédérale. En pratique, le professionnel libéral n’a pas de moyen technique direct d’auditer en continu les accès éventuels ni de recevoir une transparence totale en cas de demande soumise à une "gag order" (ordre de silence).

Les ordres professionnels en ont conscience. Ils ne condamnent pas systématiquement tous les outils cloud, mais insistent sur la maîtrise du flux de données et la vérifiabilité.

Positions des ordres professionnels (2024-2026)

  • CNB (avocats) : Le guide déontologique sur l’IA (mars 2026) rappelle que le secret professionnel interdit de transmettre des données confidentielles à une IA générative sans garanties suffisantes. Il exige vérification humaine systématique et prudence sur les outils non maîtrisés.
  • CNOEC (experts-comptables) : La charte d’usage de l’IA recommande une vigilance particulière sur les outils qui accèdent à la messagerie ou aux données clients, en insistant sur la confidentialité et le RGPD.
  • CNOM (médecins) : Les données de santé exigent un hébergement certifié HDS (Hébergeur de Données de Santé). Aucune négociation possible sur ce point.

Les ordres reconnaissent l’utilité de l’IA tout en posant comme principe la responsabilité personnelle du professionnel.

Pratiques à risque et bonnes pratiques

Voici une série de cas concrets pour évaluer simplement votre niveau d’exposition. L’objectif est de vous permettre d’identifier rapidement les situations à risque et les mesures à prendre.

Cas 1 : Mon collaborateur copie-colle un contrat client ou un bilan dans ChatGPT, Claude.ai ou une version grand public de Copilot

Oui, vous êtes exposé. Les données confidentielles sont transmises à un tiers (OpenAI, Anthropic, Microsoft) sans contrat spécifique de protection adapté au secret professionnel. Vous ne maîtrisez ni le stockage, ni l’utilisation éventuelle de ces données (même si des promesses de "no training" existent), ni leur possible réquisition par les autorités américaines via le Cloud Act. C’est le scénario à risque maximal.

Recommandation : Interdire formellement ce type d’usage pour toute donnée couverte par le secret professionnel.

Cas 2 : Mon cabinet a déployé Microsoft 365 + Copilot (ou Google Workspace + Duet AI) sur les postes de travail, avec hébergement annoncé en Europe

Vous êtes exposé à un risque significatif sur les données clients. Même avec un DPA et un hébergement principal en Europe, le Cloud Act s’applique car Microsoft et Google sont des entreprises américaines. Les données transitent vers les serveurs de l’IA pour traitement. Vous disposez d’un contrat solide, mais vous ne pouvez pas vérifier de manière indépendante les accès éventuels aux autorités américaines. L’activation automatique sur les emails, SharePoint ou Teams amplifie le risque.

Recommandation :

  • Utiliser Copilot/Duet uniquement sur des documents et données non confidentielles.
  • Désactiver ou limiter strictement l’analyse automatique des boîtes mail clients.
  • Documenter la politique interne et former les équipes.

Cas 3 : Nous utilisons une solution cloud européenne avec DPA, certification SecNumCloud ou ISO 27001

Risque résiduel réduit, mais à condition de vérifications. Le contrat offre des garanties contractuelles claires (non-réutilisation pour l’entraînement, hébergement UE). Cependant, la vérifiabilité reste partielle : vous devez auditer régulièrement le prestataire, vérifier l’absence de transit vers des juridictions tierces et documenter ces contrôles. Ce n’est pas une solution "zéro risque", mais elle est généralement considérée comme acceptable par les ordres si les mesures sont réellement mises en œuvre.

Recommandation : Mettre en place un registre des outils IA, réaliser des audits périodiques et conserver une trace écrite des choix techniques.

Cas 4 : Nous utilisons une solution on-premise ou hébergée chez un prestataire UE pleinement maîtrisé (avec droit d’audit)

Vous êtes dans la configuration la plus sûre. Vous (ou un prestataire sous votre contrôle contractuel) maîtrisez physiquement et juridiquement le flux de données. Pas de Cloud Act applicable, traçabilité complète, possibilité réelle de vérification. C’est la solution qui offre la meilleure conformité au secret professionnel absolu.

Recommandation : Maintenir cette maîtrise et documenter les procédures techniques et organisationnelles.

Cas généraux – Bonnes pratiques applicables à tous les scénarios

  • Données non confidentielles (recherche publique, brainstorming générique, rédaction de modèles sans données clients) : les outils publics sont acceptables.
  • Données clients : privilégier systématiquement les solutions maîtrisées. Toujours vérifier humainement les résultats de l’IA.
  • Pour les médecins : respect strict de la certification HDS pour toute donnée de santé.
  • Mesures transversales :
    • Former et sensibiliser tous les collaborateurs.
    • Adopter une charte interne d’usage de l’IA.
    • Documenter les outils autorisés et les mesures de protection mises en place (cela vous permettra de démontrer votre diligence en cas de contrôle).

En résumé : le risque n’est pas lié à l’IA elle-même, mais au niveau de maîtrise du flux de données confidentielles. Plus vous contrôlez l’infrastructure et plus vous documentez vos choix, plus vous réduisez votre exposition pénale et disciplinaire.

Vous pouvez intégrer cette grille directement dans votre politique interne ou votre charte IA. Si vous avez un usage spécifique (ex. : extraction de données comptables, synthèse de courriers médicaux…), n’hésitez pas à le décrire pour affiner l’analyse.

L’humain reste au centre

Un contrat, même bien rédigé, ne remplace pas la maîtrise technique et la vérifiabilité. Les professionnels du secret ont l’obligation de pouvoir justifier leurs choix devant leur ordre ou un tribunal.

L’IA n’est ni interdite ni magique. C’est un outil puissant dont l’usage doit rester compatible avec les règles déontologiques inchangées. Les ordres (CNB, CNOEC, CNOM, etc.) ont publié des guides actualisés entre 2024 et 2026 : consultez-les directement et adaptez vos processus en conséquence.

La déontologie n’a pas changé avec l’IA. Ce qui a changé, c’est la facilité avec laquelle les données peuvent sortir du périmètre de contrôle. À chaque cabinet de décider, en connaissance de cause, où placer le curseur entre productivité et responsabilité absolue. L’humain décide, l’IA produit – mais c’est toujours l’humain qui assume.