L’utilisation de ChatGPT, Claude ou Gemini dans un cabinet d’avocats s’est généralisée ces 24 derniers mois. Les gains de productivité sur la rédaction, la synthèse d’arrêts, la traduction juridique ou la préparation de plaidoirie sont réels. Le cadre déontologique, lui, n’a pas été rappelé avec la même intensité.

Cet article inventorie les 7 risques concrets qu’un bâtonnier, un DPO régulé ou un contrôleur CNIL peuvent invoquer lors d’un contrôle, d’une plainte cliente ou d’un contentieux. Chaque risque est assorti du texte applicable et d’une piste de remédiation.

1 · Violation potentielle du secret professionnel (Art. 66-5 loi 1971)

L’article 66-5 de la loi du 31 décembre 1971 est clair : tous les documents et informations que l’avocat échange avec son client relèvent du secret professionnel. Ce secret est absolu, d’ordre public, et ne souffre pas d’exception liée à la commodité d’un outil tiers.

Envoyer un prompt contenant le nom d’un client, un numéro RG ou une pièce de dossier à un service cloud grand public — y compris à titre de test — expose le cabinet à un questionnement déontologique au regard de l’Art. 66-5. Le secret professionnel reste en tout état de cause une responsabilité personnelle de l’avocat.

Remédiation : anonymiser systématiquement les éléments identifiants avant qu’ils ne quittent le périmètre du cabinet, avec un outil dont la chaîne d’anonymisation est documentée et auditable.

2 · Traitement de données personnelles sans base légale (RGPD Art. 6 et 28)

Même hors secret professionnel, la plupart des prompts contiennent des données personnelles au sens du RGPD : noms, adresses, IBAN, numéros de sécurité sociale, dates de naissance. Leur envoi vers un service tiers constitue un traitement, lequel doit reposer sur une base légale (Art. 6) et être encadré par un contrat de sous-traitance (DPA, Art. 28).

La plupart des offres grand public (ChatGPT, Claude, Gemini, Mistral Le Chat) ne proposent pas de DPA utilisable par un cabinet, ou ne signent qu’en offre payante enterprise sous conditions spécifiques. Sans DPA signé, il n’y a pas de traitement licite.

Remédiation : soit déployer exclusivement des offres enterprise avec DPA (ChatGPT Enterprise, Claude Enterprise, Azure OpenAI) après validation DPO ; soit passer par une couche de masquage qui supprime les données personnelles avant l’appel au modèle.

3 · Absence de registre des traitements IA (RGPD Art. 30)

L’article 30 du RGPD impose à toute structure traitant des données personnelles de tenir un registre des traitements. L’usage d’outils IA pour synthétiser, rédiger ou analyser des dossiers clients constitue un traitement nouveau, qui doit y figurer avec :

finalité précise (ex : synthèse d’arrêt pour préparation d’audience) ;
catégories de données traitées ;
destinataires (y compris sous-traitants hors UE) ;
durée de conservation ;
mesures de sécurité.

Un cabinet qui utilise ChatGPT, Claude ou Mistral sans avoir mis à jour son registre s’expose à une mise en demeure en cas de contrôle CNIL.

Remédiation : pré-câbler la journalisation des usages IA directement dans l’outil de production, avec export Art. 30 automatisé.

4 · Absence de mesures de transparence prévues par l’EU AI Act (Art. 50)

À partir du 2 août 2026, l’article 50 de l’EU AI Act impose une obligation d’information à tout déployeur d’un système d’IA générative. Pour un cabinet d’avocats, cela signifie concrètement :

informer les clients dans les conditions d’intervention ou les CGV qu’un système d’IA peut être utilisé ;
documenter les types d’usages (synthèse, rédaction, analyse) ;
documenter les mesures de masquage ou d’anonymisation appliquées ;
pouvoir produire cet inventaire à la demande de l’autorité compétente.

Les sanctions cumulées peuvent atteindre 35 M€ ou 7 % du chiffre d’affaires mondial du groupe déployeur.

Remédiation : mettre en place un registre d’usage IA complémentaire au registre Art. 30, avec mise à jour automatique à chaque nouveau cas d’usage.

5 · Transfert hors UE non encadré (Schrems II, Cloud Act)

Les services ChatGPT, Claude, Gemini et Perplexity hébergent une part significative de leurs traitements aux États-Unis. L’arrêt Schrems II (CJUE C-311/18, 16 juillet 2020) impose au responsable de traitement une analyse de transfert (TIA) documentant les risques d’accès par les autorités américaines (Cloud Act, FISA 702).

Pour un cabinet, cela veut dire que même avec un DPA, chaque prompt envoyé à un serveur américain peut théoriquement être accessible par le DoJ ou une autorité fédérale, sans notification au responsable de traitement.

Remédiation : préférer une architecture où aucune donnée identifiante ne quitte l’UE, grâce à une couche de masquage qui n’envoie au modèle que des placeholders cohérents.

6 · Devoir de conseil et de diligence (Art. 1.3 RIN)

L’article 1.3 du Règlement intérieur national (RIN) rappelle le principe d’indépendance intellectuelle de l’avocat. Utiliser une IA générative pour produire directement une conclusion à signer crée un risque : si le texte contient une hallucination juridique (jurisprudence inexistante, article de code erroné), la responsabilité de l’avocat est pleinement engagée.

Un client peut légitimement reprocher à son conseil un manquement au devoir de diligence si une pièce contient une référence fausse, et ce manquement peut s’étendre à l’usage non contrôlé d’outils IA.

Remédiation : positionner l’IA comme outil de structuration (plan, pistes, synthèse) et non comme outil de rédaction finale. La signature et l’engagement de responsabilité restent de votre seul ressort.

7 · Shadow IT et absence de charte d’usage

Le risque le plus sous-estimé n’est pas technique — il est organisationnel. 60 à 80 % des usages IA dans un cabinet aujourd’hui passent par des comptes personnels de collaborateurs, sur des machines non contrôlées, sans log centralisé, sans politique signée.

En cas d’incident (fuite d’un dossier vers un fournisseur non autorisé, hallucination dans une conclusion déposée), l’associé ne peut ni prouver ce qui s’est passé, ni démontrer qu’il a mis en place les diligences attendues.

Remédiation : déployer un outil IA unique sous gouvernance, accompagné d’une politique d’usage signée par chaque collaborateur. Un modèle de charte technique (paramétrage outils, traçabilité) est disponible ; toute intégration au règlement intérieur du cabinet doit être validée par votre Conseil de l’Ordre et rédigée ou revue par un avocat du cabinet.

Ce qu’un bâtonnier peut légitimement vous demander

Lors d’un contrôle ou d’une demande du Conseil de l’Ordre, le cabinet doit pouvoir produire, dans un délai raisonnable :

le registre RGPD Art. 30 à jour, avec ligne dédiée aux outils IA ;
le registre d’usage EU AI Act Art. 50 avec mesures d’information client et mesures de masquage ;
les DPA signés avec chaque fournisseur IA utilisé ;
la TIA Schrems II pour les transferts hors UE ;
la charte d’usage signée par les collaborateurs ;
les logs horodatés des requêtes IA sur les 12 derniers mois.

La bonne question n’est pas « faut-il utiliser l’IA », mais « comment »

Le choix n’est plus entre utiliser l’IA ou ne pas l’utiliser. Les collaborateurs utilisent déjà des outils IA — souvent de manière invisible pour l’associé. La seule question qui reste est : dans quel cadre.

Machina IA propose une couche de conformité qui masque automatiquement les éléments protégés par le secret professionnel avant l’appel à Claude, GPT ou Mistral, tient à jour le registre Art. 30 et les mesures Art. 50, et s’intègre dans le RIN du cabinet après validation du Conseil de l’Ordre.

Un audit compliance en 7 jours cartographie les usages IA actuels de votre cabinet, l’exposition CNB / CNIL / AI Act, et propose un plan de déploiement. Le livrable est directement présentable à votre bâtonnier.