Tensoria Réserver un créneau
Parlons de votre projet : 07 82 80 51 40
Avocats & Juridique Par Anas R.

IA Juridique, RGPD et Souveraineté : Protéger les Données d'un Cabinet d'Avocats

Le secret professionnel de l'avocat n'est pas une option de configuration que l'on peut activer ou désactiver selon l'outil utilisé. Il est consubstantiel au métier, protégé par l'article 66-5 de la loi du 31 décembre 1971 et pénalement sanctionné par l'article 226-13 du Code pénal. Pourtant, la majorité des outils d'intelligence artificielle aujourd'hui commercialisés en direction des cabinets ont été conçus pour un marché mondial, sans que la souveraineté des données juridiques françaises soit un prérequis de conception. Ce n'est pas un défaut de mauvaise foi : c'est une incompatibilité structurelle.

Cet article ne dresse pas un comparatif de fonctionnalités. Il expose les risques réels, cite les clauses qui comptent, décrit les niveaux de souveraineté disponibles et propose une architecture concrète pour les cabinets qui veulent utiliser l'IA sans compromettre leur déontologie. L'objectif est de vous donner les cadres de décision suffisants pour évaluer un outil ou challenger un prestataire, sans que cet article constitue un conseil juridique.

Guide pilier

Cet article fait partie de notre Guide IA pour avocats, qui regroupe l'ensemble de nos ressources sur le sujet.

Points clés à retenir

    • Le secret professionnel de l'avocat (article 226-13 du Code pénal, article 66-5 de la loi de 1971) s'applique aux données saisies dans un outil IA : ce n'est pas une question de paramétrage, c'est une obligation légale absolue.
    • Le Cloud Act américain de 2018 permet aux autorités fédérales d'accéder aux données hébergées par des sociétés américaines même en Europe : OpenAI, Anthropic, Google, Microsoft et Harvey AI sont tous concernés, quels que soient leurs engagements contractuels RGPD.
    • Cinq niveaux de souveraineté existent, du SaaS US grand public (risque maximal, incompatible avec données de dossiers) au on-premise pur ; la certification SecNumCloud (OVHcloud, 3DS Outscale) constitue le seuil minimal recommandé pour les dossiers sensibles.
    • Une AIPD (article 35 RGPD) est obligatoire avant tout déploiement d'IA traitant des données couvertes par le secret professionnel ; les sanctions RGPD, déontologiques et pénales peuvent se cumuler.
    • Des alternatives souveraines existent et fonctionnent : Mistral Large auto-hébergé sur OVHcloud, Ordalie, Jimini ou une architecture RAG sur mesure permettent de bénéficier des gains de l'IA sans exposer les données des clients.

Ce que vous allez comprendre

  • Pourquoi le sujet est central : RGPD, secret professionnel article 226-13, CCBE 2024, RPVA.
  • Le piège du Cloud Act : ce que ça signifie concrètement pour OpenAI, Anthropic, Microsoft.
  • Ce que disent vraiment les CGU : ChatGPT, Claude, Gemini, Copilot, clauses commentées.
  • Les cinq niveaux de souveraineté : du SaaS US classique au on-premise pur.
  • Architecture type : Mistral hébergé en France, base vectorielle interne, chiffrement, journalisation.
  • Checklist RGPD spécifique IA juridique et cas pratique anonymisé.

Pourquoi ce sujet est central pour les avocats français

Le cadre légal applicable aux avocats en matière de données est plus contraignant que pour la plupart des secteurs. Quatre textes fondamentaux se superposent et interagissent.

L'article 66-5 de la loi du 31 décembre 1971 pose le principe : toutes les correspondances entre l'avocat et son client sont couvertes par le secret professionnel, sans exception de forme. Un prompt envoyé à un outil IA contenant des faits identifiants d'un dossier est une correspondance au sens de cet article.

L'article 226-13 du Code pénal sanctionne pénalement la révélation d'une information à caractère secret par toute personne qui en est dépositaire par état ou par profession. La transmission de données couvertes par le secret professionnel à un serveur tiers, même dans le cadre d'un usage d'IA, peut constituer une révélation au sens pénal. La jurisprudence sur ce point est en cours de construction, mais le risque est réel.

Le RGPD, article 32, impose au responsable de traitement de mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Un cabinet d'avocats qui traite des données de procédure dans un outil cloud non sécurisé peut être mis en cause à ce titre, indépendamment de toute violation constatée.

Enfin, le guide du CNB publié en 2024 sur l'utilisation de l'IA par les avocats identifie sept obligations déontologiques spécifiques, dont l'obligation de vérifier que l'outil utilisé ne conserve pas les données saisies et ne les réutilise pas pour l'entraînement de modèles. Le Conseil des Barreaux Européens (CCBE) a adopté en 2024 des lignes directrices convergentes, insistant sur la nécessité d'un hébergement sous juridiction européenne pour toute utilisation de l'IA dans le cadre de l'exercice professionnel.

Le RPVA (Réseau Privé Virtuel des Avocats) constitue également un signal fort : les communications officielles entre avocats et juridictions transitent par un réseau privé sécurisé précisément parce que la profession a accepté depuis longtemps que la confidentialité ne peut pas reposer sur des infrastructures grand public. La même logique doit s'appliquer aux outils d'IA.

Le piège du Cloud Act : ce que ça change pour un cabinet

Le Clarifying Lawful Overseas Use of Data Act (Cloud Act), adopté par le Congrès américain en mars 2018, autorise les autorités fédérales américaines à exiger d'une entreprise américaine qu'elle leur transmette des données stockées sur ses serveurs, y compris des serveurs situés en dehors des États-Unis. Cette disposition s'applique dès lors que l'entreprise est de droit américain ou est contrôlée par une entité américaine.

La conséquence pour un cabinet français est directe. Les principaux outils d'IA disponibles sur le marché sont fournis par des entités soumises au Cloud Act :

  • OpenAI (ChatGPT, API GPT-4o) : société de droit américain, filiale de Microsoft.
  • Anthropic (Claude) : société de droit américain, basée à San Francisco.
  • Google (Gemini, Vertex AI) : société de droit américain.
  • Microsoft (Copilot, Azure OpenAI Service) : société de droit américain, même sur les déploiements Azure Europe.
  • Harvey AI : société de droit américain, hébergée sur des serveurs Azure.

Un Data Processing Agreement (DPA) signé avec l'un de ces fournisseurs réduit les risques RGPD intra-européens, mais ne neutralise pas le Cloud Act. Le DPA régit les obligations contractuelles entre vous et le fournisseur. Le Cloud Act régit les obligations légales du fournisseur envers les autorités américaines. Ces deux textes s'appliquent sur des plans différents, et le second prévaut sur le premier en cas de conflit.

En pratique, cela signifie qu'un juge fédéral américain peut théoriquement contraindre OpenAI, Google ou Microsoft à lui communiquer les données d'un cabinet d'avocats français, sans que le cabinet en soit informé, sans que le DPA ne constitue un obstacle juridique, et sans que les SCCS (clauses contractuelles types) de la Commission européenne ne protègent contre cette injonction.

Pour un cabinet traitant des dossiers de fusion-acquisition, des contentieux pénaux à fort enjeu médiatique, ou des affaires impliquant des entreprises cotées, ce scénario n'est pas théorique. Il est suffisamment probable pour justifier une décision architecturale en amont. Pour approfondir les enjeux réglementaires de l'IA au sens large, notre article sur la conformité à l'IA Act pour les PME en 2026 pose le cadre général applicable.

Ce que disent vraiment les CGU des outils grand public

Les conditions générales d'utilisation des outils IA sont longues et rédigées en anglais. La plupart des utilisateurs ne les lisent pas. Voici les clauses qui comptent, dans un langage accessible.

ChatGPT (OpenAI)

Dans la version gratuite et la version Plus, OpenAI indique dans ses Privacy Policy que les conversations peuvent être utilisées pour améliorer les modèles. Un opt-out est disponible dans les paramètres (désactivation de l'historique), mais la désactivation ne signifie pas que les données ne sont pas transmises aux serveurs OpenAI. Elles ne sont simplement pas conservées au-delà de 30 jours et ne servent pas à l'entraînement.

Dans les versions ChatGPT Team et Enterprise, OpenAI s'engage contractuellement à ne pas utiliser les données pour l'entraînement. Mais les données restent hébergées sur des serveurs Microsoft Azure, localisés aux États-Unis ou en Europe selon la configuration. La conservation sur l'infrastructure Microsoft maintient l'exposition au Cloud Act, quelle que soit la région de stockage sélectionnée.

Clause notable des CGU Enterprise (section "Data Usage") : "OpenAI may access and use Customer Data as necessary to provide and maintain the Services, prevent or address technical problems, or comply with applicable law or binding orders of governmental entities." Cette dernière partie, "comply with applicable law or binding orders", couvre les injonctions fondées sur le Cloud Act.

Claude (Anthropic)

Anthropic indique dans ses CGU que les conversations via l'API ne sont pas utilisées pour l'entraînement par défaut. Pour les produits Claude.ai (interface web), les données peuvent être utilisées pour améliorer les modèles, avec opt-out disponible. Anthropic héberge ses infrastructures sur AWS (Amazon Web Services), société américaine également soumise au Cloud Act.

Point spécifique à noter dans la politique de confidentialité d'Anthropic : les données peuvent être partagées avec des "third-party service providers" qui assistent Anthropic dans la fourniture de ses services. Ces sous-traitants ne sont pas nominativement listés dans les CGU publiques, ce qui rend l'évaluation complète du circuit de données difficile pour un DPO externe.

Gemini et Workspace (Google)

Google Workspace avec les extensions Gemini propose un DPA conforme au RGPD pour les clients professionnels. Les données des utilisateurs Workspace ne sont pas utilisées pour entraîner les modèles Google. Cependant, Google étant une société américaine, les données restent théoriquement accessibles aux autorités américaines via le Cloud Act, indépendamment de la région d'hébergement GCP sélectionnée.

Microsoft Copilot

Microsoft a fait des efforts significatifs pour ses clients Enterprise : engagement de non-utilisation pour l'entraînement, option d'hébergement en Europe, certifications de conformité. Mais Microsoft reste une entité américaine soumise au Cloud Act. La société a d'ailleurs été au centre d'un contentieux de référence (United States v. Microsoft Corp., 2018) précisément sur cette question d'accès aux données stockées en dehors des États-Unis avant l'adoption du Cloud Act.

La conclusion commune à ces quatre outils : les engagements contractuels (DPA, CGU Enterprise) réduisent les risques liés au RGPD européen, mais ne neutralisent pas l'exposition au Cloud Act. Pour un secteur où le secret professionnel est une obligation légale absolue, ce risque résiduel doit être évalué explicitement, pas ignoré. Notre analyse sur la sécurité des données IA pour PME et cabinets couvre cette problématique de manière transversale.

Les cinq niveaux de souveraineté disponibles

La souveraineté des données n'est pas binaire. Il existe un spectre de cinq niveaux, chacun avec ses avantages, ses limites et son coût.

Niveau 1 : SaaS américain grand public

ChatGPT gratuit, Claude.ai, Gemini sans contrat Enterprise. Aucune garantie de non-réentraînement, données hébergées aux États-Unis, exposition maximale au Cloud Act. Incompatible avec l'utilisation de données couvertes par le secret professionnel. À réserver aux tâches génériques sans données identifiantes : reformulation de textes généraux, recherche de jurisprudence publique non liée à un dossier, rédaction de contenus de communication.

Niveau 2 : SaaS américain avec DPA Enterprise

ChatGPT Enterprise, Claude API avec DPA, Google Workspace Gemini, Microsoft Copilot Enterprise. Réduction du risque RGPD, pas d'entraînement sur vos données, DPA signé. Mais exposition résiduelle au Cloud Act maintenue. Adapté pour des tâches à faible sensibilité avec des données anonymisées ou pseudonymisées. Insuffisant pour les dossiers sensibles ou les données directement identifiantes.

Niveau 3 : SaaS européen sans capitaux américains

Jimini, Ordalie, Doctrine (hébergement en France), Agilotext. Hébergement en France ou dans l'UE, pas de société mère américaine, conformité RGPD par construction. Le Cloud Act ne s'applique pas à ces entités. Niveau adapté à la grande majorité des usages d'un cabinet. Vérifier néanmoins les conditions d'utilisation des LLM sous-jacents : si la solution appelle l'API OpenAI ou Anthropic en backend, le risque Cloud Act réapparaît au niveau de l'inférence.

Niveau 4 : cloud souverain certifié SecNumCloud

Infrastructure hébergée chez OVHcloud (qualifié SecNumCloud), 3DS Outscale (Dassault Systèmes, qualifié SecNumCloud) ou Bleu (futur opérateur cloud souverain porté par Orange et Cap Gemini). Ce niveau garantit qu'aucune entité non européenne ne peut exercer d'influence capitalistique ou de contrôle sur l'infrastructure. L'ANSSI a défini ce référentiel précisément pour répondre au risque d'extraterritorialité des lois américaines.

Déployer un LLM open source (Mistral, Llama) sur une infrastructure SecNumCloud constitue aujourd'hui le niveau de protection le plus élevé disponible sur le marché, sans passer au on-premise pur. C'est l'architecture que nous recommandons aux cabinets traitant des dossiers à fort enjeu. Pour comprendre comment fonctionne l'hébergement souverain dans une infrastructure d'automatisation, notre article sur n8n et l'hébergement souverain RGPD détaille les aspects pratiques.

Niveau 5 : on-premise pur

Le modèle tourne sur des serveurs physiques appartenant au cabinet ou à son datacenter privé, sans aucun transit réseau vers l'extérieur. Contrôle absolu sur les données et les accès. Coût et complexité élevés : il faut des serveurs avec GPU, une équipe technique pour la maintenance, et les mises à jour du modèle sont manuelles. Justifié uniquement pour les cabinets traitant des affaires relevant du secret défense ou de la sécurité nationale, ou pour les directions juridiques de grands groupes avec une DSI capable d'assurer la maintenance.

Les LLM open source hébergés en France

Contrairement à une idée répandue, la qualité des modèles open source a rattrapé en grande partie celle des modèles propriétaires américains pour les tâches juridiques en français. Plusieurs options sont disponibles.

Mistral AI et ses déclinaisons

Mistral est une société française (Paris), ce qui la place hors du champ du Cloud Act. Elle propose plusieurs points d'accès :

  • Mistral La Plateforme (zone EU) : API accessible avec hébergement garanti dans l'Union Européenne. Pas de société mère américaine, RGPD-compatible par construction. Option de Data Processing Agreement disponible.
  • Modèles open-weight (Mistral 7B, Mistral Large, Mixtral 8x22B) : téléchargeables et auto-hébergeables sur vos propres serveurs ou sur OVHcloud/Scaleway. Aucun transit vers Mistral une fois déployé.
  • Mistral Small et Mistral Large via OVHcloud AI Deploy : déploiement managé sur infrastructure française, sans exposure au Cloud Act.

Sur le plan des performances, Mistral Large produit des résultats compétitifs sur les tâches de rédaction juridique en français, d'analyse de contrats et de synthèse documentaire. La qualité n'est pas l'obstacle principal à l'adoption.

Llama (Meta) hébergé en France

Les modèles Llama (Meta AI) sont également open-weight et peuvent être hébergés en France. Meta étant une société américaine, l'utilisation de l'API Meta est soumise au Cloud Act. En revanche, héberger un modèle Llama sur votre propre infrastructure française ne crée aucune dépendance à Meta : vous utilisez les poids du modèle, pas leur infrastructure.

OVHcloud et Scaleway proposent des environnements de déploiement GPU adaptés à ces modèles, avec des instances A100 ou H100 disponibles à la demande. Pour un cabinet de taille moyenne, le coût d'inférence sur infrastructure dédiée est de l'ordre de 200 à 500 euros par mois selon le volume d'utilisation.

Ordalie, Jimini et les solutions SaaS françaises

Dans l'écosystème legaltech français, des solutions comme Ordalie (fondée par d'anciens avocats de Baker McKenzie) proposent un SaaS juridique hébergé en France, construit sur des modèles souverains ou des API Mistral. Le modèle économique est plus accessible que Harvey (à partir de 46 à 57 euros par mois par utilisateur), avec une conformité RGPD intégrée. Ces solutions sont pertinentes pour les cabinets qui ne souhaitent pas gérer l'infrastructure eux-mêmes.

Pour une comparaison approfondie des modèles de langage disponibles pour les entreprises françaises, notre article Mistral vs OpenAI vs Anthropic pour les entreprises françaises analyse les arbitrages techniques et contractuels en détail.

Architecture type pour un cabinet d'avocats souverain

Voici l'architecture que Tensoria déploie pour des cabinets de 8 à 30 avocats souhaitant une IA conforme à leurs obligations. Elle repose sur quatre composants indépendants et remplaçables.

Composant 1 : le modèle de langage

Mistral Large ou Mixtral 8x22B, auto-hébergé sur OVHcloud (instance GPU dédiée, région France). Aucun appel externe lors de l'inférence. Le modèle tourne dans un conteneur Docker isolé, sans accès internet sortant. Les requêtes et les réponses ne quittent jamais l'infrastructure du cabinet.

Composant 2 : la base vectorielle interne (RAG)

Les documents du cabinet (conclusions, modèles de contrats, notes de dossiers, jurisprudence commentée) sont indexés dans une base vectorielle déployée sur la même infrastructure. Nous utilisons Qdrant ou pgvector selon le volume documentaire. Le chunking est calibré sur la structure des documents juridiques : les articles, les paragraphes numérotés et les clauses constituent des unités naturelles de segmentation.

L'accès à la base est segmenté par profil : un collaborateur n'accède qu'aux dossiers pour lesquels il est habilité. Cette segmentation est implémentée au niveau de la base vectorielle via des filtres de métadonnées, pas uniquement au niveau de l'interface. Pour comprendre l'architecture RAG en profondeur, notre article sur le RAG souverain avec Mistral détaille les choix techniques.

Composant 3 : le chiffrement et la journalisation

Deux mesures non négociables pour un cabinet :

  • Chiffrement at rest : les données stockées (base vectorielle, documents sources, logs) sont chiffrées avec des clés gérées par le cabinet, pas par l'hébergeur. Scaleway Key Manager ou OVH KMS permettent cette gestion.
  • Journalisation des accès : chaque requête envoyée à l'assistant IA est enregistrée avec l'identifiant de l'utilisateur, l'horodatage et un hash de la requête. Ce journal d'audit est nécessaire pour démontrer la conformité RGPD en cas de contrôle, et pour investiguer tout incident de sécurité.

Composant 4 : l'interface et les contrôles d'accès

Une interface web interne (accessible uniquement depuis le réseau du cabinet ou via VPN) permet aux avocats d'interagir avec l'assistant. L'authentification est gérée via SSO (Single Sign-On) connecté à l'annuaire Active Directory du cabinet. L'architecture complète, du modèle à l'interface, est décrite dans notre article de référence sur le RAG pour cabinet d'avocats et la jurisprudence interne.

Schéma textuel de l'architecture :

Composant Technologie Hébergement Juridiction
Modèle LLM Mistral Large (auto-hébergé) OVHcloud GPU, région Gravelines France / UE
Base vectorielle Qdrant ou pgvector Même instance OVHcloud France / UE
Chiffrement AES-256, clés gérées cabinet OVH KMS ou Scaleway KMS France / UE
Journalisation Logs structurés + hash Stockage objet chiffré France / UE
Interface Web app interne + VPN Même infrastructure France / UE

L'ensemble de l'architecture est déployé dans un Virtual Private Cloud (VPC) isolé, sans IP publique exposée sur les composants sensibles. Le seul point d'entrée est un reverse proxy avec authentification forte. Cette approche est cohérente avec ce que nous décrivons dans notre article sur la solution IA sur mesure pour cabinet d'avocats.

Checklist RGPD spécifique IA juridique

Au-delà de l'architecture technique, la conformité RGPD pour un cabinet utilisant l'IA repose sur sept obligations documentaires et organisationnelles.

1. Registre des activités de traitement

L'article 30 du RGPD impose la tenue d'un registre des traitements. L'utilisation d'un système IA interne constitue un traitement distinct à inscrire au registre, avec les finalités (assistance à la rédaction, recherche documentaire), les catégories de données traitées, les destinataires, et les mesures de sécurité mises en place. Ce registre doit être mis à jour à chaque évolution significative du système.

2. Analyse d'impact (AIPD) préalable

L'article 35 du RGPD impose une AIPD lorsque le traitement est susceptible d'engendrer un risque élevé. Le traitement de données couvertes par le secret professionnel via un système automatisé entre dans les catégories visées par les lignes directrices de la CNIL. L'AIPD doit être conduite avant le déploiement, pas après. Elle documente les risques identifiés, les mesures prises pour les atténuer et la décision finale du responsable de traitement.

3. Contrat de sous-traitance avec le prestataire IA

Si un prestataire externe configure ou maintient le système IA, un contrat de sous-traitance conforme à l'article 28 du RGPD est obligatoire. Ce contrat doit notamment préciser que le sous-traitant n'utilise les données qu'aux fins définies par le cabinet, qu'il prend les mesures de sécurité appropriées, et qu'il s'engage à supprimer ou restituer les données à la fin du contrat.

4. Mentions d'information des personnes concernées

Si des données personnelles de clients ou de tiers sont traitées par le système IA, les personnes concernées doivent en être informées conformément aux articles 13 et 14 du RGPD. Cette mention peut être intégrée à la convention d'honoraires ou aux conditions générales du cabinet, avec une description claire des finalités du traitement automatisé.

5. Durée de conservation et politique de suppression

Les données indexées dans la base vectorielle (documents sources, embeddings, logs de requêtes) doivent avoir une durée de conservation définie et documentée. La suppression d'un dossier du système de gestion du cabinet doit entraîner la suppression correspondante dans la base vectorielle. Ce processus doit être automatisé, pas laissé à l'initiative manuelle des utilisateurs.

6. Droits des personnes et procédure de traitement

Le RGPD garantit aux personnes concernées un droit d'accès, de rectification et d'effacement de leurs données. Le cabinet doit documenter la procédure permettant d'honorer ces droits même pour les données indexées dans le système IA. La portabilité des données (article 20 RGPD) doit également être prévue.

7. Référent CNIL et déclaration incident

Si le cabinet est tenu de désigner un Délégué à la Protection des Données (DPO), l'utilisation d'un système IA traitant des données couvertes par le secret professionnel doit être portée à sa connaissance. En cas d'incident de sécurité affectant des données personnelles, la notification à la CNIL est obligatoire dans les 72 heures (article 33 RGPD). Notre article sur la checklist de conformité IA pour avocats détaille l'ensemble de ces étapes avec les modèles de documents correspondants.

Cas pratique : migration d'un cabinet de 12 avocats vers une IA souveraine

Le cabinet (anonymisé, droit des affaires et droit social, 12 avocats associés et collaborateurs, basé dans le sud-ouest de la France) utilisait ChatGPT Plus depuis 18 mois pour des tâches de rédaction et de recherche. Lors d'un audit interne déclenché par la réception du guide CNB 2024, l'associé gérant a réalisé que plusieurs dizaines de prompts contenant des faits identifiants de dossiers avaient été saisis dans l'outil au cours de cette période.

La décision de migration a été prise en novembre 2025. Voici le déroulé.

Phase 1 : audit de l'existant (3 semaines). Identification des usages réels de ChatGPT dans le cabinet : qui utilise quoi, pour quelles tâches, avec quels types de données. Cette phase a révélé des usages non connus de la direction, notamment l'utilisation de ChatGPT pour la rédaction de conclusions dans des dossiers prud'homaux.

Phase 2 : choix de l'architecture et cahier des charges (2 semaines). Le cabinet a opté pour le niveau 4 de souveraineté (cloud souverain OVHcloud), avec Mistral Large auto-hébergé. La base vectorielle a été dimensionnée pour 8 000 documents internes (conclusions, modèles, notes de dossiers de 10 ans). Budget validé : 22 000 euros d'intégration initiale, 700 euros par mois d'infrastructure.

Phase 3 : nettoyage et indexation documentaire (4 semaines). L'étape la plus longue et la plus critique. Les documents ont été nettoyés (suppression des doublons et des versions obsolètes), classifiés selon un schéma de métadonnées validé par les associés (domaine de droit, type de document, date, niveau de confidentialité), puis indexés dans Qdrant. 6 800 documents ont finalement été intégrés.

Phase 4 : déploiement et formation (3 semaines). L'interface web interne a été déployée, accessible via VPN depuis les postes du cabinet et depuis les environnements de télétravail. Deux sessions de formation ont été organisées : une pour les associés (focus sur les usages et les limites), une pour les collaborateurs (focus sur la prise en main et les bonnes pratiques de saisie).

Résultats observés à 3 mois. Le cabinet utilise l'assistant pour la recherche dans sa base interne (3 à 4 requêtes par avocat et par jour), la synthèse de dossiers avant audience, et la vérification de la cohérence des conclusions avec les précédents internes. Le gain de temps estimé par les associés est de 1 h 30 à 2 heures par semaine et par avocat. L'AIPD a été rédigée et transmise au DPO externe du cabinet. Aucun incident de sécurité n'a été constaté depuis le déploiement.

Ce type d'accompagnement est détaillé dans notre page dédiée à la solution IA sur mesure pour cabinet d'avocats, avec les différentes options selon la taille et les contraintes du cabinet.

Questions fréquentes

ChatGPT n'est pas formellement interdit, mais son utilisation avec des données couvertes par le secret professionnel est incompatible avec les obligations déontologiques de l'avocat et avec le RGPD. Le CNB recommande depuis 2024 de ne jamais saisir de données identifiantes de clients ou de dossiers dans des outils grand public non conformes. En pratique, utiliser ChatGPT pour rédiger des conclusions avec des faits réels constitue une violation potentielle de l'article 226-13 du Code pénal et de l'article 66-5 de la loi du 31 décembre 1971.
Mistral (via Mistral La Plateforme avec zone d'hébergement EU) ou des modèles Mistral auto-hébergés en France constituent une alternative techniquement sérieuse à Harvey. La différence est architecturale : Harvey est un SaaS américain soumis au Cloud Act, tandis que Mistral hébergé en France reste sous juridiction européenne. Sur le plan des performances, Mistral Large est compétitif pour les tâches juridiques en français. La vraie différence est dans l'intégration et le niveau de personnalisation : Harvey propose une couche applicative prête à l'emploi, là où Mistral requiert une intégration sur mesure.
SecNumCloud est le référentiel de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) qui qualifie les prestataires de services cloud offrant le niveau de sécurité et de souveraineté le plus élevé en France. Un hébergeur certifié SecNumCloud garantit notamment qu'aucune entité non européenne ne peut exercer d'influence sur l'infrastructure ou les données stockées. En 2026, les principaux prestataires qualifiés sont OVHcloud, 3DS Outscale (Dassault Systèmes) et Bleu (Orange/Cap Gemini). C'est le seul niveau d'hébergement qui neutralise totalement le risque Cloud Act.
Oui, dans la plupart des cas. L'article 35 du RGPD impose une Analyse d'Impact relative à la Protection des Données (AIPD) dès lors qu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Le traitement de données couvertes par le secret professionnel via un système d'IA automatisé entre généralement dans cette catégorie. La CNIL a publié des lignes directrices sur les AIPD applicables aux systèmes d'IA, disponibles sur son site. L'AIPD doit être conduite avant la mise en service, pas après.
Sur le plan RGPD, les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (article 83 du RGPD). Sur le plan déontologique, la violation du secret professionnel peut entraîner des poursuites disciplinaires devant le conseil de l'ordre. Sur le plan pénal, l'article 226-13 du Code pénal punit la violation du secret professionnel d'un an d'emprisonnement et de 15 000 euros d'amende. Ces trois niveaux de sanction peuvent se cumuler. En pratique, la CNIL a multiplié les contrôles des professions réglementées depuis 2025.
Oui. Les modèles Mistral (Mistral 7B, Mistral Large, Mixtral) sont open-weight et peuvent être auto-hébergés sur des serveurs en France, y compris sur OVHcloud ou Scaleway. Des solutions comme Ollama permettent de faire tourner ces modèles localement. L'inconvénient est l'absence de couche applicative prête à l'emploi : il faut construire l'interface, le RAG, et les workflows. C'est exactement ce que Tensoria réalise pour les cabinets qui veulent une IA souveraine sur mesure, sans dépendance à un SaaS américain.
Dans la version gratuite, les conversations sont utilisées par défaut pour améliorer les modèles, sauf désactivation manuelle. Dans ChatGPT Team et Enterprise, OpenAI s'engage à ne pas utiliser les données pour l'entraînement. Cependant, les données restent sur des serveurs Microsoft Azure soumis au Cloud Act. Même avec un opt-out du réentraînement, les données peuvent être consultées par OpenAI à des fins de sécurité et de conformité selon les CGU. Pour un avocat, cette conservation résiduelle suffit à caractériser un risque de violation du secret professionnel.

Cabinets d'avocats

Votre cabinet utilise-t-il un outil IA conforme à vos obligations ? Diagnostic gratuit en 30 minutes.

Demander un Diagnostic Gratuit

Pour aller plus loin

Articles liés

Avocats & Juridique

RAG vs Fine-tuning pour Cabinet Juridique : Quel Choix Technique ?

RAG ou fine-tuning pour votre cabinet ? Comparatif technique, coûts, cas d'usage juridiques et recommandations selon votre profil et vos tâches. Décidez en connaissance de cause.

Lire l'article Avocats & Juridique

Harvey vs Doctrine vs Predictice : Quel Outil IA pour Cabinet d'Avocats ?

Comparatif complet Harvey, Doctrine, Predictice, Ordalie, Case Law Analytics en 2026 : tarifs, forces, limites et cas d'usage. Plus : quand le sur-mesure s'impose.

Lire l'article Avocats & Juridique

Comment Choisir une Solution IA pour son Cabinet d'Avocats ? Méthode et Critères

Méthode complète et checklist 25 points pour évaluer SaaS, sur-mesure, intégrateur : RGPD, hébergement souverain, ROI, intégration outils métier, formation et adoption.

Lire l'article
Anas Rabhi, data scientist spécialisé en IA générative
Anas Rabhi Data Scientist & Fondateur de Tensoria

Je suis data scientist spécialisé en IA générative. J'aide les entreprises à économiser du temps grâce à des solutions d'IA sur mesure, adaptées à leur métier. Automatisation de tâches répétitives, assistants internes, traitement intelligent de documents : je conçois des outils qui s'intègrent dans vos processus existants et produisent des résultats concrets.

Discuter de votre projet Découvrir nos services