CNIL, RGPD et IA : ce que les avocats doivent exiger

CNIL, RGPD et IA : ce que les avocats doivent exiger

En six mois d’accompagnement renforcé avec la CNIL, Doctrine a passé au crible ses traitements de données liés à l’IA juridique. Ce n’est pas qu’une belle histoire de conformité : c’est un mode d’emploi concret pour tout cabinet d’avocats qui veut utiliser l’intelligence artificielle sans fragiliser sa responsabilité ni la confiance de ses clients.

Les cabinets français se retrouvent pile au milieu de la tempête : pression économique, explosion du volume de données, clients plus exigeants que jamais sur la confidentialité, et textes qui se durcissent (RGPD, loi numérique, futur AI Act européen). L’IA peut faire gagner des heures sur la recherche juridique, l’analyse de contrats ou la gestion de cabinet… mais si la conformité RGPD n’est pas solide, c’est un risque direct pour le cabinet.

Voici ce que l’expérience de Doctrine avec la CNIL change concrètement pour un cabinet d’avocats français qui veut travailler avec l’IA, et les questions précises que vous devriez poser à tout prestataire LegalTech en 2025.

---

1. Pourquoi l’accompagnement CNIL de Doctrine est un signal fort pour les cabinets

Le programme d’accompagnement renforcé de la CNIL n’est pas une formalité administrative : c’est un stress test grandeur nature pour les traitements de données les plus sensibles.

Entre septembre 2024 et août 2025, quatre entreprises seulement ont été retenues, dont Doctrine. Pour les cabinets d’avocats, cela envoie un message clair : les outils que vous utilisez peuvent être audités par l’autorité, et certains le sont déjà de manière approfondie.

Ce que la CNIL est venue regarder de près

La CNIL a concentré son analyse sur trois blocs qui intéressent directement les avocats :

• IA générative juridique : génération de projets d’actes, reformulation d’arguments, assistance à la rédaction. La question centrale : comment concilier puissance des modèles et protection des données personnelles ?
• Upload et analyse de documents privés : contrats, pièces de procédure, consultations. En pratique : qui est responsable de quoi entre le cabinet (responsable de traitement) et la LegalTech (sous‑traitant) ?
• Pages avocats et entreprises : agrégation de données publiques (décisions, répertoires, informations légales) pour mieux cartographier le droit, tout en évitant de basculer dans le profilage sensible.

La sélection de Doctrine par la CNIL s’est faite sur des critères très stricts : innovation, impact des traitements, niveau d’engagement RGPD, enjeux sociétaux et éthiques. Pour un cabinet, cela signifie qu’un acteur clé de l’IA juridique a fait passer ses pratiques dans un tunnel de conformité exigeant.

Pourquoi ça vous concerne directement :

• Vous pouvez valoriser auprès de vos clients le fait d’utiliser des outils audités par la CNIL.
• Vous disposez d’un point de comparaison pour challenger les autres prestataires.
• Vous réduisez le risque réputationnel lié à un outil d’IA « boîte noire ».

---

2. Ce que ce type d’accompagnement change concrètement dans un outil d’IA juridique

Un audit CNIL réussi se voit rarement en page d’accueil marketing. Il se voit dans les détails : les CGV, la façon dont l’outil est paramétré, le type de logs conservés, la granularité des droits d’accès. C’est là que la différence se fait pour un cabinet.

Rôle de sous‑traitant : un point clé pour les avocats

Dans le cadre de l’accompagnement, Doctrine a dû préciser son rôle sur les fonctionnalités d’upload et d’analyse de documents :

• Position assumée de sous‑traitant pour les documents privés que vous chargez.
• Mise à jour des CGV pour refléter ce rôle et encadrer strictement l’usage des données.

Pour un cabinet, c’est essentiel :

• Le client reste le responsable de traitement.
• Le cabinet agit le plus souvent comme sous‑traitant ou responsable conjoint, selon l’organisation.
• La LegalTech est clairement sous‑traitant, avec des obligations RGPD fortes.

Un prestataire d’IA juridique qui refuse de se positionner comme sous‑traitant quand il traite vos pièces confidentielles crée, de fait, un risque juridique pour le cabinet.

IA générative : encadrer les usages sensibles

Les fonctionnalités d’IA générative ont fait l’objet d’échanges approfondis avec la CNIL. Pour les cabinets, trois points sont non négociables :

1. Aucune réutilisation des données clients pour entraîner les modèles. Doctrine s’y est engagée noir sur blanc : ce que vous chargez reste strictement privé.
2. Analyse d’impact (AIPD) sur les traitements les plus sensibles. Les équipes juridiques, produits et techniques ont été formées ensemble à ces analyses.
3. Documentation claire des finalités. Générer un brouillon d’argumentaire n’implique pas les mêmes risques que faire du scoring de justiciables ou du profilage de clients.

Gouvernance interne et formation des équipes

La conformité ne tient pas seulement à une certification ou un label. Dans le cas de Doctrine :

• Réunions régulières (mensuelles) avec la CNIL pendant six mois.
• Formations croisées juristes / ingénieurs / product owners.
• Sessions dédiées à l’AIPD, y compris dans les locaux mêmes de la CNIL.

Pour un cabinet d’avocats, cette démarche est directement transposable :

• former les associés et collaborateurs aux bases du RGPD applicables à l’IA ;
• associer le DPO (interne ou externe) aux choix d’outils ;
• documenter ses décisions : pourquoi tel outil, pour quel usage, avec quelles garanties.

---

3. Les garanties de sécurité que tout cabinet doit exiger en 2025

Doctrine affiche aujourd’hui un socle de sécurité très clair. Au‑delà du cas particulier, cela donne une checklist simple à utiliser par tout cabinet d’avocats lors du choix d’une solution d’IA.

1) Certification ISO 27001

Doctrine est certifiée ISO 27001 depuis début 2025, tout comme ses hébergeurs. Pour un cabinet, cette norme n’est pas un gadget :

• elle atteste d’un système de management de la sécurité de l’information structuré ;
• elle couvre la gestion des accès, des incidents, des sauvegardes, des fournisseurs ;
• elle est de plus en plus exigée par les directions juridiques et les RSSI côté clients grands comptes.

Question à poser à tout prestataire :

• Êtes‑vous certifié ISO 27001 ? Si non, quel est votre plan pour y parvenir et quelles mesures compensatoires sont en place ?

2) Non‑réutilisation des données pour l’entraînement

Doctrine s’engage : aucune donnée client n’est utilisée pour entraîner les modèles. Concrètement :

• vos conclusions, contrats, pièces jointes ne servent pas à améliorer l’outil ;
• vous évitez le risque de voir un contenu similaire réapparaître dans une réponse générée pour un tiers ;
• vous restez maître de la confidentialité de vos stratégies et de vos argumentaires.

Dans un cabinet d’avocats, c’est probablement le point le plus sensible. Un outil qui s’entraîne sur vos données remet en cause le secret professionnel et la loyauté envers le client.

3) Chiffrement et isolation stricte des données

Doctrine met en avant :

• chiffrement complet des fichiers et des transferts ;
• isolation stricte entre les clients.

Ce que cela doit impliquer côté LegalTech :

• chiffrement des données au repos et en transit ;
• cloisonnement des environnements de production, test, développement ;
• gestion fine des habilitations internes (accès limité, journalisé, révisé).

4) Cadre contractuel clair : CGV, code de conduite IA, politique de données

L’accompagnement CNIL de Doctrine a débouché sur :

• des CGV mises à jour pour refléter le rôle de sous‑traitant ;
• un code de conduite IA explicite ;
• une politique de données personnelles publique et actualisée ;
• un DPO joignable facilement.

Pour un cabinet, ces documents ne sont pas du papier décoratif. Ils doivent être lus, comparés, archivés et, si besoin, négociés.

---

4. Comment un cabinet d’avocats peut évaluer un outil d’IA, pas à pas

La réalité ? L’évaluation d’un outil d’IA juridique ne doit plus se limiter à la qualité des réponses. La conformité RGPD et la sécurité doivent peser tout autant que les fonctionnalités.

Étape 1 : cadrer les usages dans le cabinet

Avant même de parler de prestataire, le cabinet doit répondre à trois questions :

1. Pour quoi utiliser l’IA ? Recherche jurisprudentielle, résumés de décisions, analyse de clauses, préparation de stratégies contentieuses, gestion interne du cabinet…
2. Quelles données seront traitées ? Données ultra sensibles (pénal, santé, droit du travail complexe) ou plutôt données publiques / peu sensibles ?
3. Qui aura accès à l’outil ? Tous les collaborateurs ? Une équipe pilote ? Le back‑office ?

Plus les usages sont proches du cœur de la relation avocat‑client, plus le niveau d’exigence doit être élevé.

Étape 2 : interroger le prestataire sur 5 blocs clés

Pour chaque LegalTech IA que vous évaluez, posez des questions précises :

1. Rôle RGPD

   • Êtes‑vous sous‑traitant pour les données que je vous confie ?
   • Le contrat le précise‑t‑il clairement ?

2. Usage des données

   • Mes données servent‑elles à entraîner ou améliorer vos modèles ?
   • Où sont‑elles stockées ? Pendant combien de temps ?

3. Sécurité technique

   • Êtes‑vous certifié ISO 27001 ou équivalent ?
   • Comment gérez‑vous les accès internes aux données ?

4. IA générative

   • Avez‑vous réalisé des analyses d’impact (AIPD) ?
   • Quelles mesures avez‑vous prises pour limiter les risques de biais et d’erreurs graves ?

5. Gouvernance et support

   • Avez‑vous un DPO identifié, joignable ?
   • Mettez‑vous à disposition une politique de données et un code de conduite IA ?

Si les réponses sont floues, évasives ou purement commerciales, c’est un signal faible qui devient vite un signal fort.

Étape 3 : documenter et assumer vos choix

Les directions juridiques des grands clients commencent déjà à poser des questions fines sur les outils utilisés par leurs avocats. Anticiper cette transparence est un avantage compétitif.

Quelques réflexes utiles :

• garder une fiche de choix d’outil (besoins, prestataires considérés, critères de sélection) ;
• associer le DPO du cabinet ou un conseil externe ;
• prévoir une clause spécifique IA / données dans certaines lettres de mission avec des clients sensibles.

---

5. L’IA pour les cabinets d’avocats français : un enjeu de confiance, pas seulement de productivité

L’accompagnement renforcé de Doctrine par la CNIL rappelle une chose simple : le RGPD n’est pas un frein à l’innovation juridique, c’est son socle. Les cabinets qui intègrent l’IA sans ce socle prennent un risque. Ceux qui l’intègrent avec ce niveau d’exigence prennent une longueur d’avance.

Pour la série « L’IA pour les Cabinets d’Avocats Français », il y a un fil rouge évident :

• un cabinet qui maîtrise les bases techniques, réglementaires et éthiques de l’IA est plus crédible face à ses clients ;
• un cabinet qui peut expliquer pourquoi il a choisi tel outil plutôt qu’un autre renforce sa position de conseil stratégique ;
• un cabinet qui assume publiquement des standards élevés (confidentialité, sécurité, transparence) se distingue sur un marché où beaucoup se contentent d’arguments marketing.

L’IA va continuer à transformer la recherche juridique, l’analyse de contrats, la prédiction judiciaire et la gestion de cabinet. La vraie question, ce n’est plus « faut‑il y aller ? », mais avec qui, dans quel cadre, et à quelles conditions de sécurité.

Aux cabinets d’avocats français de poser la barre haut. Certains acteurs, comme Doctrine avec la CNIL, montrent qu’on peut concilier performance technologique, exigences RGPD et respect intransigeant des données des clients. Les prochains mois feront la différence entre ceux qui auront structuré cette confiance, et ceux qui la subiront.