Conformité & confiance

RGPD et IA juridique : la checklist complète pour avocats

Les dix obligations RGPD concrètes qui s'imposent à un avocat utilisant une IA dans son cabinet. Checklist sourcée, conforme au RGPD et aux lignes directrices de la CNIL.

Andy Akhatar · Fondateur, Consia
··8 min de lecture

À retenir

  • Utiliser une IA dans un cabinet d'avocats est un traitement de données personnelles au sens du RGPD dès qu'un prompt contient le nom d'un client, d'un tiers, ou des éléments permettant de les identifier.
  • L'avocat est responsable de traitement, l'éditeur de l'IA est sous-traitant : le contrat DPA (art. 28 RGPD) est obligatoire, pas optionnel.
  • Une analyse d'impact (DPIA) est requise dès lors que le traitement implique l'IA couplée à des données sensibles — ce qui est presque toujours le cas en droit.
  • La CNIL a publié en 2024 et 2025 des lignes directrices spécifiques sur l'IA : elles font autorité et doivent être intégrées à votre registre de traitements.

Pourquoi la question se pose vraiment

Le RGPD a huit ans. Les avocats connaissent le texte. Et pourtant, très peu de cabinets ont mis à jour leur registre de traitements pour y inscrire l'usage d'une IA. La raison est simple : beaucoup considèrent que demander une synthèse d'arrêt à une IA, « ce n'est pas un traitement de données ».

C'est une erreur. Dès qu'un prompt contient un élément qui permet, même indirectement, d'identifier une personne — le nom d'un client, une date de naissance, un numéro de dossier, le nom d'un employeur, une adresse professionnelle — vous effectuez un traitement de données personnelles au sens de l'article 4(1) du RGPD.

Et quand ce traitement est réalisé via un outil tiers (même européen), il y a sous-traitance au sens de l'article 28 RGPD.

Voici la checklist des dix obligations concrètes qui en découlent.

1. Inscrire l'IA dans votre registre de traitements

L'article 30 du RGPD impose à tout responsable de traitement (et l'avocat en est un par nature) de tenir un registre. L'arrivée de l'IA dans votre pratique = un nouveau traitement = une nouvelle ligne dans le registre.

Ce que doit contenir cette ligne :

  • Finalité : recherche juridique, rédaction préparatoire, synthèse
  • Catégories de personnes concernées : clients, parties adverses, tiers cités
  • Catégories de données : identité, contact, données sensibles (le cas échéant), éléments de procédure
  • Durée de conservation (chez l'IA : idéalement zéro)
  • Sous-traitants : l'éditeur de l'IA et ses éventuels sous-traitants ultérieurs

Action concrète : ouvrez votre registre, créez une entrée « Utilisation d'IA juridique », renseignez les rubriques ci-dessus. Temps requis : 15 minutes par outil.

2. Signer un DPA (Data Processing Agreement)

L'article 28(3) du RGPD impose un contrat écrit entre responsable et sous-traitant. Ce contrat doit prévoir dix éléments minimaux : objet, durée, nature, finalité du traitement, types de données, obligations du sous-traitant (confidentialité, sécurité, suppression en fin de contrat, audit, sous-traitance ultérieure).

Les conditions générales d'utilisation d'un outil grand public ne suffisent généralement pas. Vous avez besoin d'un DPA séparé et signé.

3. Réaliser une analyse d'impact (DPIA)

L'article 35 du RGPD impose une DPIA (Data Protection Impact Assessment) quand un traitement est « susceptible d'engendrer un risque élevé » pour les personnes.

La CNIL a publié en octobre 2022 une liste de traitements toujours soumis à DPIA. Parmi eux : les traitements utilisant des technologies innovantes ou nouvelles combinées avec d'autres critères. L'IA générative, appliquée à des données juridiques (souvent sensibles au sens de l'art. 9), coche ces critères.

En pratique, faire une DPIA pour un outil d'IA juridique n'est pas une précaution excessive, c'est une obligation. La bonne nouvelle : une DPIA d'un outil bien conçu tient en 3-4 pages. La CNIL fournit un modèle.

4. Minimiser les données dans les prompts

Le principe de minimisation (art. 5(1)(c) RGPD) impose de ne traiter que les données adéquates, pertinentes et limitées à ce qui est nécessaire.

Conséquence pratique :

  • N'incluez dans le prompt que les éléments indispensables à la recherche
  • Anonymisez autant que possible — « Monsieur D., salarié d'une entreprise X » plutôt que « Jean Durand, salarié de la société Acme »
  • Posez la question théorique plutôt que la question appliquée quand c'est possible

Cette discipline a un double bénéfice : elle réduit l'exposition RGPD et améliore la qualité des réponses IA (les prompts théoriques produisent des synthèses plus claires que les prompts cas-par-cas).

5. Vérifier la base légale

Tout traitement doit reposer sur une base légale (art. 6 RGPD). Pour l'IA dans un cabinet, les deux bases habituelles sont :

  • Exécution d'un contrat (art. 6(1)(b)) — pour le traitement de données de votre propre client
  • Intérêt légitime (art. 6(1)(f)) — pour les tiers cités dans le dossier (partie adverse, témoins…)

Pour les données sensibles (art. 9) — origine raciale, opinions politiques, santé, vie sexuelle, condamnations pénales — les bases sont plus restreintes et nécessitent souvent un consentement explicite.

Action concrète : demandez-vous avant chaque nouveau type d'usage : quelle est ma base légale ? Si vous n'avez pas la réponse, creusez.

6. Informer les personnes concernées

Les articles 13 et 14 du RGPD imposent d'informer les personnes dont vous traitez les données. Pour les clients, cette information est généralement dans votre convention d'honoraires ou votre mention légale.

Mettez-la à jour pour y inclure l'usage éventuel d'outils d'IA, avec les finalités, les bases légales et le nom des principaux sous-traitants. Exemple :

« Le cabinet peut recourir à des outils d'intelligence artificielle hébergés en Europe (notamment Consia, éditée par Consia SAS) pour des tâches de recherche juridique et de rédaction préparatoire. Ces traitements respectent le RGPD et le secret professionnel. Vous pouvez vous y opposer par écrit ; dans ce cas, le cabinet adaptera ses outils à votre dossier. »

7. Gérer les droits des personnes

Le RGPD consacre sept droits : accès, rectification, effacement, limitation, portabilité, opposition, décision automatisée (art. 15 à 22).

Pour l'IA juridique, le cas principal est le droit à l'effacement (art. 17). Si un client vous demande de supprimer ses données, cela inclut les prompts que vous avez envoyés à l'IA le concernant.

Vérifiez que votre outil permet :

  • L'export de toutes les conversations d'un user (portabilité)
  • La suppression définitive d'une conversation individuelle
  • La suppression complète du compte et de ses conversations

Consia permet les trois (onglet Paramètres → Confidentialité).

8. Sécurité technique et organisationnelle

L'article 32 RGPD impose des mesures de sécurité proportionnées au risque. Pour l'IA juridique, les exigences minimales sont :

  • Chiffrement en transit (HTTPS) et au repos (AES-256 recommandé)
  • Authentification forte pour l'accès à l'outil (2FA)
  • Journalisation des accès — pour pouvoir prouver qui a fait quoi
  • Hébergement conforme — voir notre article dédié
  • Plan de continuité en cas d'indisponibilité de l'outil

9. Notification en cas de violation

L'article 33 RGPD impose de notifier la CNIL dans les 72 heures en cas de violation susceptible d'engendrer un risque pour les personnes.

Pour votre cabinet, cela signifie :

  • Avoir un processus interne clair (qui fait quoi en cas de breach)
  • Exiger de votre fournisseur qu'il vous notifie sans délai toute violation de son côté
  • Savoir documenter la violation (nature, catégories de personnes, volume, conséquences probables, mesures prises)

Le DPA doit détailler ce circuit de notification.

10. Se mettre à jour avec les lignes directrices CNIL

La CNIL a publié depuis 2023 plusieurs guides spécifiques à l'IA :

  • Avril 2024 : plan d'action IA — principes généraux
  • Octobre 2024 : première version des lignes directrices sur l'IA
  • Avril 2025 : recommandations sectorielles (dont celles applicables aux professions réglementées)

Ces documents ne sont pas juridiquement contraignants mais font autorité en cas de contrôle. Les suivre, c'est se prémunir. Les ignorer, c'est prendre un risque évitable.

Pour aller plus loin

Sources citées

  1. 01.
    Règlement général sur la protection des données (RGPD)EUR-Lex · consulté le 2026-06-21
  2. 02.
    IA : l'essentiel pour comprendre les enjeux de protection des donnéesCNIL · consulté le 2026-06-21
  3. 03.
    Liste des traitements pour lesquels une DPIA est obligatoireCNIL · consulté le 2026-06-21
  4. 04.
    Recommandations sur le développement de systèmes d'IACNIL · consulté le 2026-06-21

Rédigé par

Andy Akhatar

Fondateur, Consia

À lire aussi

Conformité & confiance

IA et secret professionnel : les 7 vérifications à faire avant de choisir un outil

Checklist opérationnelle pour évaluer la compatibilité d'un outil d'IA juridique avec le secret professionnel de l'avocat. Hébergement, upload, chiffrement, CLOUD Act, auditabilité.

14 min
Conformité & confiance

Pourquoi votre IA juridique doit être hébergée en Europe

CLOUD Act, RGPD, secret professionnel : l'hébergement de votre IA ne relève pas du confort technique mais d'un choix déontologique structurant. Analyse et critères.

9 min
Coulisses techniques

Comment Consia évite les hallucinations : notre architecture anti-invention

Pourquoi les IA généralistes inventent des arrêts et des articles de loi — et comment Consia a résolu le problème en interrogeant Légifrance et Judilibre en direct, à chaque requête.

7 min