Brief IA

ChatGPT et secret professionnel : défi pour avocats et médecins

🤖 Models & LLM·Tom Levy·

ChatGPT et secret professionnel : défi pour avocats et médecins

ChatGPT et secret professionnel : défi pour avocats et médecins
Key Takeaways
1Les outils d'IA comme ChatGPT sont utilisés dans les cabinets d'avocats, soulevant des questions sur le respect du secret professionnel.
2Le secret professionnel couvre des informations sensibles, et sa violation peut entraîner des sanctions pénales et disciplinaires.
3Les outils d'IA se divisent en LLM publics et solutions on-premise, chaque type présentant des risques différents pour la confidentialité des données.
💡Why it mattersLa maîtrise des flux de données est cruciale pour éviter des violations du secret professionnel et des conséquences juridiques.
Le brief IA que lisent les pros

Le brief IA que les pros lisent chaque soir

Les 7 actus IA du jour, décryptées en 5 min. Gratuit.

Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.

Choisis ton rythme

Gratuit · Pas de spam · Désabonnement en 1 clic

📄
Full Analysis

IA et secret professionnel : enjeux et responsabilités

Les outils d’IA générative tels que ChatGPT, Claude ou Copilot ont fait leur entrée dans les cabinets d’avocats, les bureaux d’experts-comptables, les cabinets de commissaires aux comptes et les cabinets médicaux. Ces technologies, bien qu’innovantes et pratiques pour des tâches comme la synthèse de documents ou la gestion de données, posent une question essentielle : comment ces professionnels peuvent-ils utiliser ces outils tout en respectant l’obligation de secret professionnel ?

Le secret professionnel est une obligation légale rigoureuse, sans limite de temps, qui engage la responsabilité pénale et disciplinaire de chaque professionnel concerné.

À propos du secret professionnel

Pour les avocats, l’article 66-5 de la loi n° 71-1130 du 31 décembre 1971 stipule que le secret professionnel couvre :

  • Toutes les informations confiées par le client
  • Les consultations
  • Les correspondances
  • Les pièces du dossier
  • Les faits découverts dans l’exercice de la profession

Il est important de noter que même le client ne peut pas relever l’avocat de cette obligation de secret.

Les experts-comptables (article 21 de l’ordonnance n° 45-2138 du 19 septembre 1945), les commissaires aux comptes (article L. 822-15 du Code de commerce) et les médecins (article R. 4127-4 du Code de la santé publique) sont soumis à des obligations similaires. Les données concernées incluent :

  • Contrats
  • Bilans financiers
  • Diagnostics
  • Stratégies clients
  • Données personnelles telles que noms, numéros SIRET, coordonnées bancaires

Les sanctions prévues par l’article 226-13 du Code pénal peuvent aller jusqu’à un an d’emprisonnement et 15 000 € d’amende, sans oublier des mesures disciplinaires pouvant aller jusqu’à la radiation.

LLM publics et solutions maîtrisées : la distinction essentielle

Les outils d’IA se divisent en deux grandes catégories :

  • LLM publics (ChatGPT, Claude.ai, Copilot) : ici, les données sont envoyées sur des serveurs externes, souvent situés aux États-Unis.

  • Solutions on-premise : ces solutions sont installées et hébergées sur vos propres serveurs, évitant le passage par le cloud public.

Entre ces deux catégories, il existe une zone grise représentée par les versions "Enterprise" ou les solutions cloud européennes accompagnées d’un Data Processing Agreement (DPA). Ces contrats définissent les règles de confidentialité, de sécurité et d’utilisation des données, mais soulèvent des questions de vérifiabilité pour les professionnels soumis au secret.

Le Cloud Act : une contrainte juridique américaine

Adoptée en 2018, la loi américaine Cloud Act permet aux autorités fédérales américaines d’accéder aux données détenues par des entreprises sous juridiction américaine, même si ces données sont stockées en Europe.

Un DPA solide engage contractuellement le prestataire, mais ne peut pas neutraliser une loi fédérale. En pratique, le professionnel libéral n’a pas de moyen technique direct d’auditer les accès éventuels ni de recevoir une transparence totale en cas de demande soumise à une "gag order".

Les ordres professionnels sont conscients de cette situation. Ils ne condamnent pas systématiquement tous les outils cloud, mais insistent sur la maîtrise du flux de données et la vérifiabilité.

Positions des ordres professionnels (2024-2026)

  • CNB (avocats) : Le guide déontologique sur l’IA (mars 2026) rappelle que le secret professionnel interdit de transmettre des données confidentielles à une IA générative sans garanties suffisantes.

  • CNOEC (experts-comptables) : La charte d’usage de l’IA recommande une vigilance particulière sur les outils qui accèdent à la messagerie ou aux données clients.

  • CNOM (médecins) : Les données de santé exigent un hébergement certifié HDS (Hébergeur de Données de Santé).

Les ordres reconnaissent l’utilité de l’IA tout en posant comme principe la responsabilité personnelle du professionnel.

Pratiques à risque et bonnes pratiques

Voici une série de cas concrets pour évaluer votre niveau d’exposition :

  • Cas 1 : Mon collaborateur copie-colle un contrat client dans ChatGPT ou Claude.ai
    Oui, vous êtes exposé. Les données confidentielles sont transmises à un tiers sans protection adaptée.
    Recommandation : Interdire formellement ce type d’usage pour toute donnée couverte par le secret professionnel.

  • Cas 2 : Mon cabinet a déployé Microsoft 365 + Copilot
    Vous êtes exposé à un risque significatif sur les données clients.
    Recommandation : Utiliser Copilot uniquement sur des documents non confidentiels et documenter la politique interne.

  • Cas 3 : Nous utilisons une solution cloud européenne avec DPA
    Risque résiduel réduit, mais à condition de vérifications.
    Recommandation : Mettre en place un registre des outils IA et réaliser des audits périodiques.

  • Cas 4 : Nous utilisons une solution on-premise
    Vous êtes dans la configuration la plus sûre.
    Recommandation : Maintenir cette maîtrise et documenter les procédures techniques.

Bonnes pratiques applicables à tous les scénarios

  • Données non confidentielles : les outils publics sont acceptables.

  • Données clients : privilégier les solutions maîtrisées et vérifier humainement les résultats de l’IA.

  • Pour les médecins : respecter strictement la certification HDS pour toute donnée de santé.

Conclusion

Le risque n’est pas lié à l’IA elle-même, mais au niveau de maîtrise du flux de données confidentielles. Plus vous contrôlez l’infrastructure et documentez vos choix, plus vous réduisez votre exposition pénale et disciplinaire.

L’humain reste au centre. Un contrat ne remplace pas la maîtrise technique et la vérifiabilité. Les professionnels doivent justifier leurs choix devant leur ordre ou un tribunal. L’IA est un outil puissant dont l’usage doit rester compatible avec les règles déontologiques. Les ordres ont publié des guides actualisés : consultez-les et adaptez vos processus en conséquence.

Brief IA — L'actualité IA en français

L'essentiel de l'actualité de l'intelligence artificielle, décrypté et expliqué chaque jour.