Mars 2024. Un avocat parisien reçoit une convocation du Conseil de l'Ordre. Motif : violation potentielle du secret professionnel. Il avait utilisé ChatGPT pour analyser un dossier client sensible. Les données avaient transité par des serveurs américains, soumis au Cloud Act.
Selon Wolters Kluwer (2025), 41% des cabinets d'avocats expriment des doutes sur la confidentialité de leurs données.
Cette checklist : 12 points. Tous critiques. Tous vérifiables.
Seuil de sécurité : Minimum 10/12 en ✅ pour des données couvertes par le secret professionnel.
Point 1 : Localisation de l'hébergement des données
Le Cloud Act américain (2018) autorise les autorités US à accéder aux données hébergées par des entreprises US, même stockées hors des États-Unis.
| Réponse | Conformité |
|---|---|
| Hébergement France (OVH, Scaleway) | ✅ Excellent |
| Hébergement UE | ✅ Bon |
| Hébergement USA | ❌ Risque Cloud Act |
| Pas de réponse claire | ❌ Red flag |
Exemples : ✅ Doctrine, Jimini AI, Dalloz (France) · ❌ ChatGPT, Claude, Harvey AI (USA)
Point 2 : Réutilisation des données pour l'entraînement
Si l'outil utilise vos données clients pour entraîner ses modèles, vous violez le secret professionnel et le RGPD.
Exemples : ✅ Doctrine, Jimini AI (engagement contractuel) · ⚠ Claude (opt-out manuel) · ❌ ChatGPT gratuit
Exigez un engagement contractuel écrit de non-réutilisation des données.
Point 3 : Durée de conservation des données
Le RGPD impose de ne conserver les données que le temps strictement nécessaire.
Privilégiez : suppression automatique (< 30 jours) ou suppression sur demande (< 48h).
Point 4 : Chiffrement des données
- ✅ TLS 1.3 en transit + AES-256 au repos = Excellent
- ❌ Pas de chiffrement = Inacceptable
Point 5 : Authentification et contrôle d'accès
- ✅ 2FA obligatoire
- ✅ Gestion des rôles (admin, utilisateur, lecture seule)
- ✅ Logs d'audit complets
Point 6 : Certifications de sécurité
| Certification | Niveau |
|---|---|
| SecNumCloud (ANSSI) | 🏆 Excellent |
| ISO 27001 | ✅ Bon |
| SOC 2 Type II | ✅ Acceptable |
| Aucune | ❌ |
Exemples : ✅ Lextenso/Dalloz (SecNumCloud) · ✅ Doctrine (ISO 27001) · ✅ Harvey AI (SOC 2, mais USA)
Point 7 : Transferts vers des sous-traitants
Exigez la liste des sous-traitants et leur localisation. Transferts hors UE sans clauses contractuelles types = ❌ Red flag.
Point 8 : Conformité avec le règlement AI Act (UE)
Le règlement européen sur l'IA, adopté en juillet 2024, impose : gouvernance des données, supervision humaine, documentation technique, transparence, traçabilité.
→ Approfondir : L'EU AI Act : ce que les avocats doivent savoir
Point 9 : Politique de gestion des incidents
Exigez : notification rapide (< 48h) et plan de gestion des incidents formalisé.
Point 10 : Propriété intellectuelle et confidentialité des prompts
Vos prompts peuvent contenir des informations stratégiques. Vérifiez qu'ils restent confidentiels et supprimables.
Point 11 : Transparence sur les modèles IA utilisés
Certains outils "spécialisés" utilisent ChatGPT ou Claude en backend sans le dire. Vos données transitent alors par OpenAI (USA).
Exigez une transparence totale sur la stack technique.
Point 12 : Formation et sensibilisation des utilisateurs
- ✅ Formation RGPD + IA obligatoire pour tous
- ✅ Charte d'utilisation signée
- ✅ Sessions de sensibilisation régulières
→ En savoir plus : Les 7 erreurs fatales à éviter
Synthèse : Votre checklist opérationnelle
| Point | Question clé | Réponse minimum |
|---|---|---|
| 1. Hébergement | Où sont mes données ? | France ou UE |
| 2. Réentraînement | Utilise mes données ? | Non (engagement écrit) |
| 3. Conservation | Combien de temps ? | < 30 jours |
| 4. Chiffrement | Transit et repos ? | Oui (TLS + AES-256) |
| 5. Authentification | 2FA disponible ? | Oui (et activé) |
| 6. Certifications | ISO 27001 / SecNumCloud ? | Au moins ISO 27001 |
| 7. Sous-traitants | Transferts à des tiers ? | Non ou UE uniquement |
| 8. AI Act | Conforme règlement UE ? | Oui ou en cours |
| 9. Incidents | Plan de gestion ? | Oui (notif < 48h) |
| 10. Prompts | Restent privés ? | Oui |
| 11. Modèles | Quel modèle IA ? | Transparence totale |
| 12. Formation | Équipes formées ? | Oui (tous) |
Scoring : 12/12 ✅ = Conforme toutes données · 10-11 = Quelques points à clarifier · 8-9 ⚠ = Précautions · < 8 ❌ = Risque élevé
Conclusion
Prenez 2 heures pour vérifier ces 12 points. Ça peut vous éviter des années de problèmes.
→ Guide complet : Le guide ultime de l'IA juridique pour avocats → Choisir votre outil : Comment choisir votre IA juridique en 5 étapes
Sources : Légifrance, CNIL, CNIL – Cloud Act, Conseil National des Barreaux, EUR-Lex – AI Act