Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
Conformité & Droit22 janvier 202510 min de lecture

IA et secret professionnel : ce que risquent avocats, médecins et experts-comptables

Le secret professionnel est l'une des obligations les plus absolues du droit français. Il protège les clients, engage la responsabilité personnelle du professionnel, et sa violation est un délit pénal. Pourtant, des milliers d'avocats, médecins, notaires et experts-comptables utilisent aujourd'hui des outils d'IA publics — ChatGPT, Copilot, Gemini — avec des données directement couvertes par ce secret. Voici pourquoi c'est un problème grave, et comment travailler avec l'IA en restant dans la légalité.

Ce qu'il faut retenir

  • Le secret professionnel (art. 226-13 du Code pénal) s'applique à tous les professionnels réglementés : avocats, médecins, notaires, experts-comptables, etc.
  • Envoyer des données couvertes par ce secret à un LLM américain constitue potentiellement une violation pénale et disciplinaire
  • Les ordres professionnels (Barreau, Conseil National de l'Ordre des Médecins) n'ont pas encore statué définitivement — la prudence s'impose
  • Des solutions d'IA souveraine permettent de bénéficier des gains de productivité sans exposition des données

Le secret professionnel en droit français : rappel

L'article 226-13 du Code pénal dispose que « la révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d'amende ».

Ce texte s'applique à une liste de professionnels dont les missions exigent la confidentialité : médecins, avocats, notaires, huissiers, experts-comptables, commissaires aux comptes, psychologues, assistants sociaux, pharmaciens, etc. Le secret n'est pas une option : c'est une obligation absolue dont le professionnel ne peut se délier sans l'accord exprès du client (et parfois même pas).

Secret professionnel vs confidentialité contractuelle

Il est important de distinguer le secret professionnel légal — d'ordre public, pénal — de la simple confidentialité contractuelle. Une clause NDA dans un contrat d'entreprise est une obligation civile. Le secret professionnel des avocats ou des médecins est une obligation pénale et déontologique : sa violation engage non seulement la responsabilité civile du professionnel, mais aussi sa responsabilité pénale et disciplinaire (radiation, suspension).

1 anPrison max pour violation secret professionnel
15 000€Amende max (Code pénal art. 226-13)
72%Des avocats utilisent au moins un outil IA (2024)
38%Sans politique d'usage IA dans leur cabinet

Le problème spécifique de l'IA générative

Les LLM (Large Language Models) comme GPT-4, Gemini ou Claude fonctionnent en recevant des données via des API ou des interfaces web. Quand un avocat colle un mémoire, un contrat ou un résumé de dossier dans ChatGPT pour obtenir de l'aide rédactionnelle, ces données sont envoyées aux serveurs d'OpenAI (aux États-Unis), traitées par leurs systèmes, et potentiellement conservées selon leurs conditions générales.

Ce que font réellement vos données dans un LLM public

Selon les CGU d'OpenAI (version entreprise et version gratuite), les données envoyées via l'API peuvent être utilisées pour améliorer les modèles, analysées par des équipes de sécurité, et sont soumises au droit américain — y compris le Cloud Act. La version "Enterprise" offre plus de garanties (pas d'entraînement sur vos données), mais ne supprime pas l'exposition au Cloud Act ni le transfert vers des serveurs américains.

Cas concret : l'avocat et le dossier pénal

Un avocat pénaliste utilise ChatGPT pour rédiger des conclusions. Il colle dans l'interface le résumé des faits, incluant l'identité de son client, les chefs d'accusation, et la stratégie de défense envisagée. Ces données sont désormais sur des serveurs américains. Si elles font l'objet d'une demande Cloud Act, la divulgation peut se faire sans que l'avocat en soit jamais informé. La stratégie de défense est potentiellement compromise.

Profession par profession : état des risques

Avocats

Le secret professionnel de l'avocat (art. 66-5 de la loi du 31 décembre 1971) est absolu et couvre tous les échanges avec le client. Le Conseil National des Barreaux (CNB) a publié en 2024 des recommandations préliminaires sur l'usage de l'IA, soulignant que les avocats doivent « s'assurer que les outils utilisés garantissent la confidentialité des données traitées ».

Utiliser un LLM public avec des pièces de dossier constitue a priori une violation du secret. La sanction disciplinaire peut aller jusqu'à la radiation du barreau — en plus des sanctions pénales.

Médecins et professions de santé

Le secret médical (art. L.1110-4 du Code de la santé publique) est l'un des plus stricts du droit français. Il couvre les informations confiées par le patient, mais aussi celles recueillies lors de l'examen ou du traitement. Aucune donnée de santé nominative ou directement identifiante ne peut transiter par un outil non certifié HDS (Hébergeur de Données de Santé).

ChatGPT, Copilot, et tous les LLM américains ne sont pas certifiés HDS. Leur utilisation avec des données patients constitue une violation du secret médical ET de la réglementation sur les données de santé.

Experts-comptables et commissaires aux comptes

Le secret professionnel de l'expert-comptable (art. 21 de l'ordonnance du 19 septembre 1945) couvre les informations comptables, fiscales et financières confiées par le client. Pour un commissaire aux comptes, le secret couvre les informations obtenues lors des missions de certification — potentiellement des données très sensibles sur des sociétés cotées.

L'utilisation d'un LLM pour analyser des données financières non publiques d'une entreprise cotée soulève de surcroît des questions de droit boursier (délit d'initié potentiel).

Notaires

Le notaire est officier public et ministériel. Son secret professionnel couvre les actes et les informations relatives aux parties. Les testaments, les contrats de mariage, les actes de vente impliquant des patrimoniaux importants : autant d'informations dont la divulgation à un tiers (y compris un LLM américain) est problématique.

Les positions des ordres professionnels

En 2024, plusieurs ordres professionnels ont commencé à se saisir de la question :

  • CNB (avocats) : recommandations de prudence, travail en cours sur un guide pratique IA
  • CNOM (médecins) : position ferme contre l'utilisation de LLM non certifiés HDS avec des données patients
  • CNCC (commissaires aux comptes) : avis en préparation sur les conditions d'usage de l'IA
  • CSOEC (experts-comptables) : guide IA publié en 2024, recommandant l'usage d'outils avec hébergement souverain

La règle pratique à retenir

Si une information vous a été confiée dans le cadre de votre relation professionnelle réglementée, elle ne doit pas transiter par un outil d'IA dont vous ne maîtrisez pas le stockage et le traitement. La pseudonymisation manuelle (remplacer les noms par des codes) réduit le risque mais ne l'élimine pas — des données contextuelles peuvent rester identifiantes.

Comment utiliser l'IA légalement dans les professions réglementées

Option 1 : IA déployée dans votre périmètre

La solution la plus sûre consiste à déployer un modèle de langage directement dans l'infrastructure du cabinet ou du groupe, sans transfert de données vers l'extérieur. Le modèle tourne sur vos serveurs (on-premise) ou sur un cloud souverain certifié, vos données ne quittent jamais votre périmètre de sécurité.

Option 2 : Outils IA certifiés sectoriels

Pour le secteur médical, des solutions certifiées HDS commencent à émerger. Pour les avocats, des éditeurs comme Doctrine.fr ou Harvey AI développent des offres avec des garanties contractuelles renforcées — mais la question du Cloud Act reste ouverte pour les solutions américaines.

Option 3 : Pseudonymisation rigoureuse

À défaut d'une solution souveraine, certains cabinets adoptent une politique de pseudonymisation stricte : toutes les données personnelles sont remplacées par des codes avant d'être soumises à un LLM public. Cette approche est laborieuse, ne fonctionne pas pour tous les cas d'usage, et reste imparfaite (le contexte peut identifier les personnes).

IA pour professions réglementées

Intelligence Privée déploie des LLM dans votre cabinet ou votre infrastructure — secret professionnel respecté, données jamais externalisées. Idéal pour cabinets d'avocats, d'experts-comptables, professions médicales.

Découvrir la solution →

Recommandations pratiques immédiates

  • Cartographiez vos usages : quels collaborateurs utilisent quels outils IA avec quelles données
  • Rédigez une politique IA : interdire formellement l'envoi de données couvertes par le secret à des LLM publics
  • Formez vos équipes : la prise de conscience du risque est encore faible dans les professions réglementées
  • Consultez votre ordre : les positions évoluent vite, rester à jour est une obligation déontologique
  • Évaluez les solutions souveraines : le coût d'une IA privée est largement inférieur au coût d'une sanction disciplinaire

Articles liés

Conformité

Cloud Act : vos données exposées aux USA ?

Comment le droit américain peut accéder à vos données hébergées en Europe.
Santé

IA en santé : certification HDS obligatoire

Les obligations légales pour l'hébergement des données de santé.
Juridique

IA et propriété intellectuelle

Qui détient les droits sur les créations générées par IA ?