Conformité

IA et secret professionnel : avocats, notaires, médecins face aux LLMs

Thomas Binant 24 avril 2026 17 min de lecture

Trois professions, trois lois, un même risque. En 2026, les avocats, notaires et médecins utilisent massivement ChatGPT pour leur travail quotidien. Mais chaque prompt envoyé peut constituer une violation du secret professionnel, sanctionnable pénalement jusqu'à un an de prison et 15 000 € d'amende. Analyse complète et solutions.

Secret professionnel et RGPD : deux niveaux d'obligations

Beaucoup confondent secret professionnel et RGPD. Ce sont deux régimes distincts qui s'empilent.

Le RGPD protège les données à caractère personnel. Il s'applique à toute entreprise qui traite des données identifiant une personne physique. Les sanctions sont administratives (CNIL) et civiles.

Le secret professionnel protège les confidences reçues dans le cadre d'un métier spécifique. Il est prévu par le Code pénal, complété par les textes propres à chaque profession. Les sanctions sont pénales et disciplinaires, indépendamment de la nature personnelle ou pas des informations.

L'article 226-13 du Code pénal est la base commune :

La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d'amende.

Un avocat, un notaire ou un médecin qui copie-colle un dossier client dans ChatGPT révèle une information à caractère secret à un tiers (OpenAI). Même sans intention malveillante. Même pour "gagner du temps". Le délit est constitué.

Les avocats : déontologie et secret renforcé

Le cadre juridique

Trois textes encadrent le secret professionnel de l'avocat :

Article 226-13 du Code pénal — sanction pénale générale
Loi n° 71-1130 du 31 décembre 1971, article 66-5 — secret couvrant toutes les pièces du dossier
Règlement Intérieur National (RIN) de la profession d'avocat, article 2 — secret professionnel comme pilier déontologique

Le secret de l'avocat est absolu, général et illimité dans le temps. Il couvre :

Le nom du client et l'existence même de la relation
Tous les documents échangés (consultations, correspondances, pièces)
Les stratégies, notes internes, analyses juridiques
Les honoraires pratiqués

Position du CNB

Le Conseil National des Barreaux (CNB) a publié en 2024 des recommandations sur l'usage des IA génératives par les avocats. La position de principe : l'avocat reste responsable du respect du secret professionnel quels que soient les outils utilisés. Concrètement, cela signifie que l'usage de ChatGPT, Claude ou Gemini pour traiter des dossiers clients nécessite :

Soit une anonymisation préalable systématique
Soit un outil d'IA hébergé dans un environnement conforme (self-hosting, provider EU avec DPA professionnel)
L'information et le consentement du client pour l'usage d'IA sur son dossier

Cas pratique : l'avocat qui résume un dossier

Maître Durand reçoit un dossier de divorce. Pour gagner du temps, il colle les 40 pages dans ChatGPT et demande un résumé. Les éléments envoyés à OpenAI contiennent :

Identités complètes des époux, enfants
Adresses, numéros de téléphone, emails
Faits intimes, infidélités alléguées
Montants de patrimoine, comptes bancaires
Stratégie de Maître Durand pour son client

Conséquences potentielles :

Pénal : article 226-13 applicable — 1 an de prison + 15 000 € d'amende
Disciplinaire : saisine du bâtonnier, sanctions jusqu'à la radiation
Civil : responsabilité professionnelle engagée si le client subit un préjudice
RGPD : transfert hors-UE sans base légale solide (Schrems II)

À retenir : la CNIL et le CNB considèrent qu'un avocat ne peut pas invoquer l'ignorance des conditions techniques d'un LLM pour s'exonérer. La diligence fait partie du devoir de compétence.

Les notaires : authenticité et confidentialité

Le cadre juridique

Le secret professionnel du notaire repose sur :

Article 226-13 du Code pénal (comme les avocats)
Ordonnance n° 45-2590 du 2 novembre 1945 relative au statut du notariat, article 3
Règlement National Règlement Intercours (RNRI) de 2022 — charte déontologique

Le notaire est officier public. Il rédige des actes authentiques qui ont force exécutoire. Son secret couvre l'ensemble des opérations auxquelles il participe : ventes immobilières, successions, donations, contrats de mariage, sociétés.

Spécificité notariale

Contrairement à l'avocat, le notaire a une obligation de conseil qui s'exerce dans un contexte de confiance publique. Un client qui confie son patrimoine à son notaire s'attend à une discrétion équivalente à celle d'un médecin.

Le Conseil Supérieur du Notariat (CSN) a mis en place depuis 2023 un groupe de travail sur l'IA. Les recommandations sont cohérentes avec celles du CNB : l'IA générative peut être utilisée pour des tâches non confidentielles (rédaction de modèles types, veille juridique), mais jamais pour traiter directement des données de clients identifiés.

Cas pratique : la succession analysée

Une étude notariale reçoit une succession complexe avec 7 héritiers. Une clerc utilise Claude pour "aider à structurer les calculs de parts". Elle colle :

Identités des héritiers et liens de parenté
Valeurs précises des biens (maisons, comptes, assurances-vie)
Donations antérieures, rapports à succession
Situations familiales (enfants hors mariage, dons manuels litigieux)

Tous ces éléments relèvent du secret notarial. Chaque héritier a un droit à la confidentialité vis-à-vis des autres et a fortiori vis-à-vis de tiers. L'envoi à Anthropic constitue une violation caractérisée.

Les médecins : secret médical et données de santé

Le cadre juridique

Le secret médical est probablement le secret professionnel le plus ancien et le plus absolu :

Article L.1110-4 du Code de la santé publique — principe général du secret médical
Article R.4127-4 du Code de la santé publique (Code de déontologie médicale, article 4) — obligation déontologique
Article 226-13 du Code pénal — sanction pénale
Serment d'Hippocrate — engagement moral

À cela s'ajoute le régime spécifique des données de santé, catégorie particulière au sens de l'article 9 du RGPD. Leur traitement est par principe interdit, sauf exceptions strictes (consentement explicite, nécessité médicale, recherche scientifique encadrée).

Position de l'Ordre des Médecins

Le Conseil National de l'Ordre des Médecins (CNOM) a publié en 2024 des recommandations très fermes sur l'IA générative. Les points clés :

Aucune donnée de santé identifiante ne doit être transmise à un LLM non conforme
Les IA médicales doivent faire l'objet d'une certification spécifique (dispositif médical)
Le médecin reste seul responsable du diagnostic, même assisté par IA
Le patient doit être informé de l'usage d'IA dans sa prise en charge

Cas pratique : l'assistant médical

Un cabinet de médecine générale utilise ChatGPT pour reformuler des comptes rendus de consultation. Les prompts contiennent :

Nom, prénom, date de naissance du patient
Motif de consultation (anxiété, dépression, problème intime)
Antécédents médicaux, traitements en cours
Résultats d'examens, diagnostics suspectés

Risques encourus :

Pénal : article 226-13 + article 226-17 (traitement non conforme de données personnelles)
Ordinal : plainte possible devant la chambre disciplinaire de l'Ordre, sanctions jusqu'à la radiation
Civil : responsabilité médicale + responsabilité du traitement
RGPD renforcé : données de santé = article 9 + DPIA obligatoire + CNIL particulièrement attentive

Cas récent : la CNIL a prononcé en 2024 plusieurs mises en demeure contre des cabinets médicaux utilisant des IA non certifiées pour analyser des dossiers patients, certaines accompagnées de sanctions financières.

Tableau comparatif des risques

Profession	Base légale du secret	Sanction pénale max	Ordre compétent	Sanction disciplinaire
Avocat	226-13 CP + L.71-1130 art. 66-5	1 an + 15 000 €	Bâtonnier / CNB	Avertissement → radiation
Notaire	226-13 CP + ord. 45-2590	1 an + 15 000 €	Chambre des notaires	Blâme → destitution
Médecin	226-13 CP + L.1110-4 CSP	1 an + 15 000 €	CNOM	Avertissement → radiation

Dans les trois cas, les sanctions se cumulent. Une révélation au LLM peut entraîner simultanément une condamnation pénale, une sanction disciplinaire, une action civile du client, et une amende RGPD/CNIL.

Ce que risquent concrètement les cabinets en 2026

Les premières affaires commencent à remonter. Quelques tendances observées :

Les adversaires utilisent l'argument contre vous. Dans un contentieux, prouver qu'un avocat a utilisé ChatGPT pour traiter le dossier de son client peut décrédibiliser sa défense et engager sa responsabilité.
Les clients deviennent exigeants. De plus en plus de contrats clients incluent des clauses interdisant l'usage d'IA non conformes. Un cabinet qui viole la clause perd l'honoraire et s'expose à des dommages-intérêts.
Les assurances RC professionnelle s'alignent. Les polices 2025-2026 excluent désormais la garantie en cas de divulgation via IA non autorisée.
Les ordres professionnels publient des chartes. Avocats, notaires, experts-comptables, huissiers : tous ont ou vont adopter des recommandations similaires.

Les solutions pour les professions réglementées

Solution 1 : Self-hosting ou cloud souverain

Faire tourner un Llama 3.3 ou un Mistral sur des serveurs internes ou chez un cloud souverain (OVHcloud, Outscale, Scaleway). Les données ne quittent jamais le périmètre de confiance.

Inconvénient majeur : coût d'infrastructure (GPU), compétences MLOps, qualité inférieure aux modèles SOTA. Peu accessible aux cabinets de petite taille.

Solution 2 : Providers européens avec DPA professionnel

Mistral La Plateforme propose des DPA spécifiques pour les professions réglementées. Les serveurs sont en France et en Allemagne, pas de transfert hors-UE, conformité AI Act en cours.

Certains cabinets d'avocats et études notariales signent directement avec Mistral. Pour les médecins, la question est plus sensible en raison du régime spécifique des données de santé (agrément HDS requis).

Solution 3 : Anonymisation systématique avant envoi

C'est la solution la plus pragmatique pour les professions à secret. Avant d'envoyer quoi que ce soit à un LLM, on masque automatiquement toutes les données identifiantes.

# Avant
"Jean Dupont, né le 15/03/1970, consulte pour lombalgie chronique.
Traité par Doliprane 1000mg, IRM prescrite le 22/04/2026..."

# Envoyé au LLM (anonymisé)
"[PATIENT_1], né le [DATE_1], consulte pour lombalgie chronique.
Traité par Doliprane 1000mg, IRM prescrite le [DATE_2]..."

Le LLM travaille sur un contexte "désidentifié". La valeur analytique est préservée (il peut toujours résumer, reformuler, suggérer). Les placeholders sont restaurés côté gateway dans la réponse renvoyée au professionnel.

Cette approche présente plusieurs avantages pour les métiers à secret :

Secret préservé techniquement : le LLM ne reçoit pas d'information identifiante
Responsabilité atténuée : l'anonymisation démontre la diligence professionnelle
Compatibilité avec les ordres professionnels : respecte les recommandations CNB/CSN/CNOM
Conformité RGPD : minimisation effective des données transmises

Guide détaillé sur l'anonymisation automatique des prompts.

Solution 4 : Gateway souverain avec anonymisation automatique

Un gateway comme Routtx combine les trois approches ci-dessus :

Hébergement EU (Francfort), conforme RGPD
Anonymisation PII automatique avant chaque envoi au LLM
Routage préférentiel vers Mistral pour les contenus les plus sensibles
Journalisation des accès (preuve de diligence si contrôle)
DPA signé pour les professions réglementées
Support du droit à l'effacement (article 17 RGPD) centralisé

Cette approche permet au professionnel d'utiliser l'IA générative sans renoncer à la qualité des grands modèles (GPT-4o, Claude, Gemini) tout en protégeant techniquement le secret.

Cadre de bonnes pratiques

Quels que soient les outils choisis, voici la checklist minimale pour les professions réglementées en 2026 :

Politique interne IA écrite : quels outils autorisés, quelles données interdites, qui peut utiliser quoi
Formation des collaborateurs : clercs, assistants, secrétaires médicales. Tous doivent comprendre le périmètre.
Anonymisation avant tout envoi : règle de principe sans exception pour les données clients/patients
Journalisation des usages : qui a utilisé quel outil sur quoi, et quand
Information des clients/patients : dans le contrat type, la fiche d'accueil, le consentement éclairé
Revue annuelle : mise à jour de la politique en fonction des évolutions réglementaires (AI Act, directives CNB/CSN/CNOM)
Contrat avec un gateway souverain ou un fournisseur EU avec DPA adapté
Procédure en cas de fuite : notification CNIL (72h), information client, mesures correctives

Conclusion : l'IA oui, mais pas à n'importe quel prix

Les gains de productivité apportés par les LLMs sont réels. Un avocat, un notaire ou un médecin peut économiser plusieurs heures par semaine sur les tâches de rédaction, de synthèse et de recherche. Y renoncer par peur juridique serait un handicap concurrentiel.

Mais utiliser ChatGPT, Claude ou Gemini "à la légère" sur des données clients ou patients, c'est prendre des risques disproportionnés : poursuites pénales, sanctions disciplinaires, perte de confiance, amendes RGPD. Le jeu n'en vaut pas la chandelle.

La bonne nouvelle : il existe en 2026 des solutions accessibles, y compris pour les petites structures. Un cabinet de 3 avocats ou un cabinet médical individuel peut se mettre en conformité pour quelques dizaines d'euros par mois, sans renoncer aux outils les plus puissants du marché.

La mauvaise nouvelle : l'ignorance ne sera plus une excuse. Les ordres professionnels, la CNIL et les tribunaux considèrent désormais que la diligence inclut la compréhension des enjeux techniques de l'IA. Faire l'autruche revient à s'exposer.

Vous êtes avocat, notaire, médecin ou DPO ?

Routtx propose un plan Professions Réglementées avec anonymisation automatique, DPA signé, hébergement EU et journalisation complète. Contactez-nous pour une démo adaptée à votre métier.

Demander une démo

← Retour au blog