Coulisses techniques

Anonymisation des prompts : comment ça marche techniquement

Nom de client, date, adresse : que deviennent les données sensibles que vous tapez dans une IA juridique ? Explication transparente de l'anonymisation côté Consia et des limites à connaître.

Andy Akhatar · Fondateur, Consia
··7 min de lecture

À retenir

  • L'anonymisation vraie (au sens RGPD) supprime la possibilité de réidentifier la personne ; la pseudonymisation remplace les identifiants par des jetons, mais laisse un chemin de réidentification.
  • La plupart des IA juridiques ne font que de la pseudonymisation — et c'est déjà une sécurité utile, pas une tromperie marketing.
  • Côté Consia, les prompts sont chiffrés en base, notre modèle de langage opéré depuis une infrastructure européenne n'a pas accès aux prompts en clair au-delà du temps de la requête, et aucune donnée d'entraînement n'est constituée à partir des prompts clients.
  • L'avocat reste responsable de la minimisation amont : ne pas mettre dans un prompt ce qui n'a pas besoin d'y être, même quand l'outil sécurise la chaîne.

La question qu'on ne pose pas assez

Tapez « Je représente Jean Dupont, domicilié 14 rue des Lilas à Rennes, dans un litige prud'homal contre son employeur, la société Acme SARL… » dans n'importe quelle IA juridique. Que devient cette information ?

Trois questions se posent, et elles n'ont pas les mêmes réponses selon les outils :

  1. Où est stockée cette donnée ? Seulement en base chez l'éditeur, ou aussi côté modèle de langage ?
  2. Pour combien de temps ? Le temps de la requête, le temps de votre abonnement, ou indéfiniment ?
  3. Qui peut la relire ? Le support client, les ingénieurs de l'éditeur, le fournisseur du modèle de langage, personne ?

Cet article décrit ce qu'il se passe côté Consia, et ce que vous devriez vérifier côté n'importe quel autre outil.

Anonymisation vs pseudonymisation — la distinction qui compte

Le RGPD distingue deux notions souvent confondues.

Anonymisation (considérant 26 RGPD). Le processus rend impossible toute réidentification de la personne, même par recoupement. Une donnée anonymisée n'est plus une donnée personnelle — elle sort du champ du RGPD.

Pseudonymisation (art. 4(5) RGPD). Les identifiants directs sont remplacés par des jetons, mais une table de correspondance existe quelque part, ou la réidentification est possible par recoupement contextuel. Une donnée pseudonymisée reste une donnée personnelle au sens du RGPD.

Ce qui est annoncé « anonymisation » dans 95 % des outils d'IA est en réalité de la pseudonymisation. Ce n'est pas du marketing trompeur — c'est juste une impropriété de langage répandue.

L'anonymisation vraie est techniquement quasi-impossible pour un prompt juridique : si vous retirez tous les identifiants contextuels, il ne reste plus rien d'exploitable pour répondre.

Les trois étapes du cycle de vie d'un prompt chez Consia

Étape 1 — Saisie (côté client)

Quand vous tapez un prompt dans Consia :

  • Le navigateur transmet le texte en HTTPS/TLS 1.3 vers nos serveurs hébergés en Union européenne
  • La transmission est chiffrée de bout en bout — aucun intermédiaire ne peut lire le contenu entre votre clavier et notre serveur

Étape 2 — Traitement par le LLM

À la réception du prompt, Consia :

  • Enrichit la requête avec le contexte technique (système prompt, historique de conversation si pertinent, outils disponibles)
  • Envoie au modèle de langage spécialisé, opéré depuis une infrastructure IA française sous contrat de droit français
  • Le modèle produit une réponse, qui revient vers nos serveurs
  • Parallèlement, Consia appelle Légifrance et Judilibre en direct pour vérifier les références mentionnées

Points critiques sur le modèle :

  • Aucun entraînement sur vos prompts. Notre contrat avec le fournisseur du modèle exclut explicitement l'usage des prompts pour améliorer le modèle.
  • Pas de rétention côté modèle. Au-delà du temps de la requête (< 5 s typiquement), notre fournisseur ne conserve pas le contenu.
  • Pas de partage inter-clients. Chaque requête est isolée dans sa propre session.

Étape 3 — Stockage de la conversation

Une fois la réponse générée :

  • Le prompt ET la réponse sont stockés chiffrés dans notre base de données hébergée en Union européenne
  • Le chiffrement applicatif utilise AES-256-GCM (en plus du chiffrement disque natif fourni par l'infrastructure de stockage)
  • La clé de chiffrement est gérée séparément de la base de données, jamais exposée aux services tiers
  • Les titres de conversation sont également chiffrés

Ce que Consia ne fait pas

Par souci de transparence, voici ce qu'on aurait pu implémenter et ce qu'on n'a pas fait :

1. Remplacement automatique des noms propres par des jetons avant envoi au modèle. Techniquement possible, nous ne le faisons pas. Raison : les références juridiques (décisions, parties, juridictions) perdraient leur cohérence contextuelle et la qualité des réponses chuterait significativement. La sécurité gagnée serait marginale par rapport au chiffrement déjà en place.

2. Zéro-knowledge côté LLM. Il n'existe pas aujourd'hui de technologie permettant à un LLM de traiter un prompt chiffré sans jamais le déchiffrer (les recherches sur le fully homomorphic encryption progressent mais ne sont pas applicables à la production sur de tels volumes). Consia ne prétend pas offrir cette garantie.

3. Anonymisation intégrale automatique. Ce serait potentiellement utile pour certains usages (recherche sur des thèmes généraux), mais au prix d'une dégradation majeure de la qualité des réponses sur les cas concrets. Nous laissons ce choix à l'utilisateur (voir ci-dessous).

Ce qui reste de votre ressort — la minimisation

L'anonymisation technique ne remplace jamais la discipline de minimisation amont que nous recommandons systématiquement.

Avant d'envoyer un prompt à Consia (ou à toute autre IA juridique) :

1. Anonymisez manuellement ce qui peut l'être sans perdre de sens. Plutôt que « Jean Dupont, 45 ans, licencié le 3 avril 2026 par Acme SARL, 12 salariés », tapez « Un salarié de 45 ans, licencié le 3 avril 2026 par une PME de 12 salariés ». La recherche fonctionnera aussi bien ; les données identifiantes ne sont pas transmises.

2. Évitez les identifiants précis. Pas de numéro de sécurité sociale, pas d'adresse complète, pas de RIB, pas de numéro de pièce d'identité. Aucun besoin pour une recherche juridique.

3. Préférez les formulations théoriques. « Quelles sont les conditions de validité d'une rupture conventionnelle ? » vous apporte autant que « Est-ce que la rupture de Jean Dupont du 3 avril est valide ? ».

4. Pour les données sensibles (art. 9 RGPD) — santé, origine, condamnations — appliquez une vigilance renforcée. Le RGPD impose des bases légales plus étroites pour ces catégories.

Comment vérifier pour votre outil actuel

Si vous utilisez une autre IA, demandez à votre fournisseur des réponses écrites aux questions suivantes :

  1. Mes prompts sont-ils utilisés pour entraîner votre modèle de base ou un modèle dérivé ?
  2. Pendant combien de temps vos serveurs conservent-ils mes prompts en clair ou en mémoire vive ?
  3. Les prompts sont-ils chiffrés au repos dans votre base ? Avec quel algorithme ?
  4. Qui, chez vous, peut accéder techniquement à mes prompts en clair ?
  5. Que se passe-t-il en cas de demande d'accès par une autorité étrangère (CLOUD Act, etc.) ?
  6. Supprimer un compte entraîne-t-il la suppression définitive de tous les prompts associés ? Dans quel délai ?

Si votre fournisseur tarde à répondre, c'est un signal. Chez Consia, ces réponses sont consolidées dans notre page sécurité et notre DPA-type.

Pour aller plus loin

La transparence sur ces sujets est pour nous une obligation éthique. Un éditeur d'IA juridique qui reste flou sur le cycle de vie des prompts n'est pas fiable. Si des questions restent sans réponse après cet article, écrivez-nous — nous documenterons publiquement chaque clarification utile.

Rédigé par

Andy Akhatar

Fondateur, Consia

À lire aussi

Coulisses techniques

Comment Consia évite les hallucinations : notre architecture anti-invention

Pourquoi les IA généralistes inventent des arrêts et des articles de loi — et comment Consia a résolu le problème en interrogeant Légifrance et Judilibre en direct, à chaque requête.

7 min
Conformité & confiance

RGPD et IA juridique : la checklist complète pour avocats

Les dix obligations RGPD concrètes qui s'imposent à un avocat utilisant une IA dans son cabinet. Checklist sourcée, conforme au RGPD et aux lignes directrices de la CNIL.

8 min
Conformité & confiance

Pourquoi votre IA juridique doit être hébergée en Europe

CLOUD Act, RGPD, secret professionnel : l'hébergement de votre IA ne relève pas du confort technique mais d'un choix déontologique structurant. Analyse et critères.

9 min