Un avocat peut-il utiliser ChatGPT pour analyser un dossier client ?

Pas sans précautions. Envoyer des informations identifiables sur un client dans ChatGPT constitue une violation potentielle du secret professionnel (Art.226-13 CP) et du RGPD (absence de base légale, transfert vers des serveurs hors UE). La solution conforme : utiliser un proxy qui anonymise automatiquement les données personnelles (noms, numéros de dossier, dates) avant envoi au LLM, puis restaure les valeurs dans la réponse. Le CNB recommande explicitement cette approche depuis 2025.

L'AI Act classifie-t-il le recrutement assisté par IA comme système haut risque ?

Oui. L'Annexe III point 4 de l'AI Act classe comme haut risque les systèmes IA utilisés pour le recrutement, la sélection, la promotion, la résiliation de contrat ou l'évaluation des performances. Cela inclut les outils de tri de CV, les systèmes de scoring de candidats et les chatbots de présélection. Les obligations incluent : documentation technique, évaluation de conformité, absence de discrimination automatisée, et supervision humaine obligatoire pour les décisions finales.

Quelle est la différence entre RGPD et AI Act pour un médecin qui utilise un LLM ?

Le RGPD encadre le traitement des données de santé (catégorie spéciale Art.9) : base légale stricte (consentement explicite ou nécessité médicale), hébergement HDS obligatoire, droits des patients. L'AI Act encadre le système IA lui-même : si le LLM aide au diagnostic ou à la décision clinique, c'est un système haut risque (Annexe III point 5) soumis à documentation technique, évaluation de conformité et supervision médicale. Les deux règlements s'appliquent simultanément et cumulativement.

Les experts-comptables sont-ils concernés par l'AI Act ?

Oui, à deux titres. D'abord comme déployeurs de LLM (obligations Art.4 formation, logs, politique d'usage). Ensuite, si leur cabinet utilise un LLM pour évaluer la solvabilité ou le risque crédit de clients, c'est un système haut risque au sens de l'Annexe III point 5 (accès aux services financiers). Par ailleurs, les données comptables contiennent souvent des données personnelles (dirigeants, associés, employés) soumises au RGPD. La double conformité RGPD + AI Act s'impose.

RGPD + AI Act : guide de conformité IA pour les métiers réglementés (droit, santé, RH)

RGPD et AI Act ne sont pas deux règlements alternatifs — ils s'appliquent simultanément et en cumul. Pour les métiers réglementés (avocats, médecins, notaires, DRH, experts-comptables), la double exposition est particulièrement critique : au secret professionnel et aux règles déontologiques s'ajoutent désormais les exigences de deux cadres réglementaires européens. Les amendes cumulées peuvent atteindre 11% du chiffre d'affaires mondial. Ce guide détaille les obligations concrètes par profession.

RGPD vs AI Act : ce qui se chevauche, ce qui est différent

La confusion entre les deux règlements est fréquente. Voici les distinctions clés :

RGPD (depuis 2018) — Régit le traitement des données personnelles. S'applique dès qu'une personne physique identifiable est impliquée. Obligations : base légale, droits des personnes, minimisation, hébergement EU, registre des traitements.
AI Act (depuis 2024-2027) — Régit les systèmes d'IA en fonction de leur niveau de risque. S'applique même si aucune donnée personnelle n'est traitée. Obligations : classification du risque, traçabilité, transparence, formation du personnel, absence de pratiques interdites.

Points communs imposant les deux en parallèle : le Privacy by Design (minimisation des données envoyées au LLM), l'hébergement en UE des données traitées, et l'obligation de traçabilité et documentation des traitements.

Différence clé souvent ignorée : l'AI Act s'applique même si votre LLM ne traite pas de données personnelles. Un système de génération de code, un outil d'aide à la rédaction de contrats types, un assistant de recherche bibliographique — ils ne manipulent pas de données personnelles, mais ils sont soumis à l'AI Act (obligation de formation Art.4, interdictions Art.5, vérification haut risque).

Droit et cabinets d'avocats : triple obligation

Les avocats font face à une triple obligation : secret professionnel (Code pénal + déontologie), RGPD (données clients), et AI Act (systèmes IA utilisés). L'interaction entre ces trois cadres est particulièrement exigeante.

Ce que le secret professionnel interdit

L'Article 226-13 du Code pénal punit d'un an d'emprisonnement et 15 000 € d'amende la révélation d'informations à caractère secret par une personne dépositaire. L'envoi d'informations identifiables sur un client à un service IA tiers constitue potentiellement une violation caractérisée, indépendamment de l'intention. Les données concernées : noms des parties, numéros de dossiers, nature de l'affaire, pièces jointes, correspondances protégées.

Ce que le RGPD impose en cabinet

Les données clients d'un avocat sont des données personnelles. L'envoi d'un dossier vers un LLM hébergé aux États-Unis (ChatGPT, Claude, Gemini) constitue un transfert international soumis au Chapitre V du RGPD. Les clauses contractuelles types (CCT) de la Commission européenne s'imposent, ou l'utilisation d'un hébergement EU. La CNIL a publié en 2024 une fiche pratique spécifique sur l'usage de l'IA en cabinet d'avocat.

Ce que l'AI Act ajoute

Si le cabinet utilise un LLM pour des décisions ayant un impact juridique significatif sur des clients — analyse de risques, évaluation de chances de succès d'une procédure, aide à la stratégie de défense — cela peut relever de la catégorie "administration de la justice" (Annexe III point 8), qualifiée haut risque. Les obligations associées incluent supervision humaine obligatoire et documentation des décisions assistées.

La solution conforme

Le Conseil National des Barreaux (CNB) recommande depuis 2025 une approche en deux temps : anonymisation systématique des données client avant tout envoi à un LLM externe, et utilisation de services avec hébergement EU et zéro rétention. Concrètement, "Jean Dupont, dossier n°2026-4521-B, affaire de licenciement chez ABC SA" devient "PERSONNE_1, dossier DOSSIER_1, affaire de licenciement chez SOCIÉTÉ_1" — le LLM reçoit un contexte suffisant pour travailler, sans jamais voir les données réelles.

Notre article dédié IA et secret professionnel : avocats, notaires, médecins face aux LLM détaille les cas pratiques et les jurisprudences applicables.

Santé et établissements médicaux : la catégorie la plus sensible

Les données de santé constituent la catégorie la plus protégée du RGPD (Art.9 — données sensibles) et les systèmes d'aide au diagnostic figurent parmi les cas d'usage haut risque les plus encadrés de l'AI Act (Annexe III point 5).

RGPD : base légale et hébergement HDS

Le traitement de données de santé n'est autorisé que sur des bases légales strictes : consentement explicite, nécessité pour la prise en charge médicale, intérêt public dans le domaine de la santé. Tout système qui traite des données de santé via un LLM doit être hébergé par un Hébergeur de Données de Santé (HDS) certifié, conformément à l'Article L.1111-8 du Code de la santé publique. Cette obligation s'applique même si le LLM n'est qu'une brique dans un flux plus large.

AI Act : haut risque pour l'aide au diagnostic

L'Annexe III point 5 de l'AI Act classe comme systèmes à haut risque les dispositifs médicaux et les outils d'aide au diagnostic. Si votre établissement utilise un LLM pour synthétiser des comptes-rendus d'imagerie, suggérer un diagnostic différentiel, ou décider d'une orientation de patient, les obligations haut risque s'appliquent dès août 2026 :

Documentation technique complète du système
Évaluation de la conformité avant déploiement
Supervision médicale obligatoire — le LLM ne peut pas prendre de décision clinique finale
Journaux d'audit conservés pendant la durée de vie du système + 10 ans
Information du patient sur l'utilisation d'une aide IA (Art.13 — transparence)

Ce qui est permis sans encadrement haut risque

Recherche bibliographique médicale, génération de courriers administratifs standards, aide à la rédaction de protocoles génériques, synthèse de littérature scientifique publiée (sans données patient) — ces usages ne sont pas haut risque. La règle est simple : dès que des données patient individuelles entrent dans la boucle ou que la sortie du LLM influence directement une décision clinique, le régime haut risque s'applique.

La CNIL a publié en novembre 2025 un guide spécifique "IA et données de santé" qui détaille les conditions de licéité des traitements IA en établissements de santé. Le CNOM (Conseil National de l'Ordre des Médecins) a émis une recommandation en mars 2026 rappelant que la responsabilité médicale reste entière même en cas d'assistance par IA.

Ressources Humaines : le recrutement IA sous surveillance renforcée

La fonction RH est l'une des plus exposées à la double conformité RGPD + AI Act. Le recrutement assisté par IA cumule les obligations des deux règlements.

AI Act : recrutement = haut risque (Annexe III point 4)

Sont classés haut risque les systèmes IA utilisés pour :

Le recrutement et la sélection de personnes (notamment le tri et l'évaluation de candidats)
Les décisions relatives à la promotion, la résiliation ou l'évaluation des performances
La surveillance des employés

Cette classification s'applique dès qu'un LLM est utilisé pour scorer des CV, analyser des lettres de motivation, générer des évaluations de candidats, ou recommander des candidats à un recruteur. L'obligation de supervision humaine est centrale : un recruteur ne peut pas déléguer la décision finale à l'IA.

RGPD Art.22 : droit à ne pas faire l'objet d'une décision automatisée

L'Article 22 du RGPD donne aux personnes le droit de ne pas faire l'objet d'une décision reposant exclusivement sur un traitement automatisé et produisant des effets juridiques significatifs. Pour le recrutement : rejeter automatiquement un candidat sur la seule base d'un score IA est illégal, sans intervention humaine ni possibilité de contestation.

Les obligations concrètes pour un DRH utilisant un LLM dans le recrutement :

Informer les candidats qu'un système IA est utilisé dans le processus (Art.13 RGPD + Art.13 AI Act)
Garantir une intervention humaine effective avant toute décision finale
Permettre au candidat de contester la décision et d'obtenir une explication
Tester le système pour les biais discriminatoires (genre, origine, âge) — obligation AI Act haut risque
Documenter les critères de sélection utilisés par le LLM

Les données RH et le RGPD

Les données traitées en RH — CV, lettres de motivation, résultats d'entretiens, évaluations de performance — sont toutes des données personnelles. Certaines sont sensibles : données de santé (arrêts maladie, handicap), données syndicales, données relatives à des condamnations pénales (casier judiciaire). L'envoi de ces données à un LLM externe sans anonymisation préalable crée une exposition RGPD directe.

Notaires et experts-comptables

Notaires : secret professionnel notarial

Le secret professionnel notarial est défini à l'Article 23 du décret n°71-941 du 26 novembre 1971. Il couvre l'ensemble des informations confiées au notaire dans le cadre de son ministère. Les actes notariaux contiennent systématiquement des données personnelles sensibles : état civil, données patrimoniales, données familiales, parfois données médicales (successions, curatelles).

Le Conseil Supérieur du Notariat (CSN) a publié en 2025 un cadre d'usage de l'IA dans les offices notariaux, recommandant l'utilisation de systèmes avec anonymisation automatique et hébergement EU. Les cas d'usage validés : aide à la rédaction d'actes standards, recherche de jurisprudence notariale, synthèse de textes législatifs. Les cas d'usage à risque : analyse d'actes comportant des données client réelles sans anonymisation préalable.

Notre article Routtx pour les notaires détaille l'implémentation technique pour les offices notariaux.

Experts-comptables : données financières et haut risque potentiel

Les données comptables contiennent souvent des données personnelles (dirigeants, associés, employés, clients). Si un cabinet utilise un LLM pour évaluer la solvabilité ou le risque de crédit d'entreprises clientes, cela peut relever de l'Annexe III point 5 (accès aux services financiers) — haut risque. Les obligations incluent alors : documentation technique, absence de discrimination, supervision humaine.

Le Conseil National de l'Ordre des Experts-Comptables a publié en avril 2026 un guide pratique IA recommandant un inventaire de tous les usages IA du cabinet et une mise en conformité progressive selon le calendrier AI Act.

Check-list double conformité RGPD + AI Act pour les métiers réglementés

☐ Cartographier tous les usages LLM du cabinet/établissement — qui utilise quoi, pour quels dossiers, avec quelles données
☐ Qualifier chaque usage — haut risque AI Act ou non (Annexe III) ; données personnelles RGPD ou non
☐ Vérifier la compatibilité avec le secret professionnel — service tiers, hébergement, politique de rétention
☐ Implémenter l'anonymisation automatique avant envoi au LLM pour tout dossier client
☐ Hébergement EU obligatoire — ou HDS certifié pour les données de santé
☐ Former le personnel (Art.4 AI Act) — programme documenté, adapté au rôle, daté
☐ Mettre à jour le registre des traitements RGPD — chaque usage LLM impliquant des données personnelles doit y figurer
☐ Rédiger et diffuser la politique IA interne — ce qui est autorisé, ce qui est interdit, comment signaler un incident
☐ Informer les clients/patients/candidats — si un LLM est impliqué dans leur dossier (Art.13 RGPD + Art.13 AI Act)
☐ Garantir la supervision humaine — pour tout usage haut risque, documenter la décision humaine finale
☐ Mettre en place les logs d'audit — horodatés, exportables, conservés selon le plan de rétention
☐ Prévoir un processus de réponse aux réclamations liées à l'IA (droit d'accès, droit à l'explication, droit d'opposition)

Les amendes : une double exposition à ne pas sous-estimer

Pour les métiers réglementés, la sanction potentielle est triple :

Sanctions déontologiques — Suspension, radiation par l'ordre professionnel en cas de violation grave du secret professionnel
Amendes RGPD — Jusqu'à 20 millions € ou 4% du CA mondial (CNIL)
Amendes AI Act — Jusqu'à 15 millions € ou 3% du CA mondial pour non-conformité des systèmes haut risque ; jusqu'à 35 millions € ou 7% pour violations des interdictions

Les premières amendes AI Act sont attendues pour 2026-2027. Les autorités nationales de surveillance — en France, l'ANSSI pour certains aspects techniques, la CNIL pour les aspects données — ont reçu leurs mandats et leurs budgets. Les professions réglementées, très visibles et disposant de données sensibles, seront parmi les premières ciblées par les contrôles.

L'approche technique : l'anonymisation comme couche de conformité universelle

Pour les métiers réglementés, la solution technique la plus robuste est une couche d'anonymisation en proxy placée entre les collaborateurs et le LLM. Elle résout simultanément :

Secret professionnel — aucune donnée client identifiable n'est transmise au service tiers
RGPD minimisation — seules les données nécessaires au traitement parviennent au LLM, sous forme pseudonymisée
AI Act traçabilité — chaque requête est loguée avec horodatage, identifiant pseudonymisé, modèle utilisé
Hébergement EU — les logs et les configurations restent en Europe

Routtx reconnaît 80+ types de données personnelles dont des identifiants spécifiques aux professions françaises : numéro RPPS pour les médecins, numéro RCS pour les sociétés, référence d'acte notarial, numéro de dossier judiciaire. Des patterns métier personnalisés peuvent être ajoutés via l'interface, sans code, pour s'adapter aux spécificités de chaque cabinet ou établissement.

Pour comprendre les obligations techniques détaillées (structure des logs, filtrage des inputs/outputs, architecture recommandée), consultez notre article AI Act : comment logger, filtrer et tracer vos requêtes LLM. Pour les obligations générales applicables à toutes les entreprises : EU AI Act — obligations concrètes si vous utilisez un LLM.

Conclusion

Les métiers réglementés ne peuvent pas se permettre d'attendre les dates butoirs pour agir. Le secret professionnel s'applique dès aujourd'hui — chaque envoi de données client non anonymisées vers un LLM est une violation potentielle du Code pénal et des règles déontologiques. Le RGPD s'applique depuis 2018. L'AI Act ajoute une couche supplémentaire avec des obligations qui s'étoffent progressivement jusqu'en 2027.

La bonne nouvelle : pour la grande majorité des usages courants (aide à la rédaction, recherche documentaire, synthèses), la conformité est accessible avec deux mesures concrètes : anonymisation automatique des données client avant envoi au LLM, et hébergement EU avec logs d'audit. Ces deux mesures couvrent l'essentiel des obligations actuelles et préparent la conformité haut risque pour 2026.

Routtx : RGPD + AI Act, clé en main pour les métiers réglementés

Anonymisation automatique de 80+ types de données personnelles (dont RPPS, RCS, références d'actes), hébergement EU, zéro rétention configurable, logs horodatés PDF pour l'audit DPO. Conforme secret professionnel, RGPD et AI Act dès aujourd'hui.

Voir les offres Fonctionnalités