IA juridique et CNIL : le modèle Doctrine pour les avocats

L'IA pour les Cabinets d'Avocats FrançaisBy 3L3C

L’exemple Doctrine–CNIL montre comment un cabinet d’avocats français peut utiliser l’IA juridique de façon performante, sécurisée et conforme au RGPD.

IA juridiqueLegalTechRGPDCNILDoctrinecabinets d’avocatssécurité des données
Share:

Featured image for IA juridique et CNIL : le modèle Doctrine pour les avocats

IA juridique et CNIL : ce que l’exemple Doctrine change pour les cabinets d’avocats

En 2024, la CNIL n’a pas seulement publié des recommandations sur l’IA : elle a choisi quatre entreprises françaises pour les accompagner pendant six mois sur la conformité RGPD. Parmi elles, une seule LegalTech : Doctrine.

Pour un cabinet d’avocats français, cette information est loin d’être anecdotique. Elle pose une question très concrète : comment choisir et utiliser une IA juridique qui soit réellement conforme, sécurisée et acceptable pour vos clients, vos bâtonniers et vos assureurs ?

L’accompagnement renforcé de Doctrine par la CNIL offre un cas d’école. On y trouve un mode d’emploi implicite pour les cabinets qui veulent profiter de l’IA juridique sans s’exposer à un cauchemar RGPD.

Dans cet article de la série « L’IA pour les Cabinets d’Avocats Français », je vous propose de regarder ce que Doctrine a mis en place, et surtout ce que vous pouvez en tirer pour votre propre pratique : critères de choix d’un outil, questions à poser, points de vigilance et nouvelles attentes des clients en matière de sécurité.

1. Pourquoi la conformité CNIL devient un critère clé pour les avocats

Pour un cabinet d’avocats, l’IA juridique n’est plus seulement une question de productivité, c’est une question de responsabilité professionnelle.

Entre la confidentialité des dossiers, le secret professionnel, le RGPD et désormais le futur règlement européen sur l’IA, un choix d’outil mal maîtrisé peut se transformer en risque disciplinaire, contractuel ou assurantiel.

L’exemple Doctrine montre trois réalités que beaucoup de cabinets sous-estiment encore :

  1. La CNIL regarde de très près l’IA juridique. En accompagnant Doctrine (aux côtés de la FDJ, Docaposte et ShareID), elle a clairement identifié le secteur juridique comme sensible et stratégique.
  2. Les LegalTech vont être attendues à un niveau d’exigence élevé. Innovation, volumes de données, impact sur les personnes, enjeux éthiques : tous les critères de sélection du programme CNIL cochent les cases du marché juridique.
  3. Les cabinets ne pourront plus se contenter de « faire confiance » à un prestataire. Ils devront être capables de démontrer, à un client ou à un contrôleur, pourquoi l’outil choisi est conforme et quels contrôles ont été effectués.

La réalité ? Choisir une IA juridique, c’est désormais un choix de conformité autant qu’un choix technologique.

2. Ce que la CNIL a travaillé avec Doctrine (et ce que ça implique pour vous)

Le programme d’accompagnement renforcé de la CNIL avec Doctrine a duré six mois, avec audits, réunions mensuelles, formations et échanges techniques. Trois blocs ont particulièrement été passés au crible :

2.1. Les fonctionnalités d’IA générative

L’IA générative appliquée au droit (recherche intelligente, rédaction d’actes, résumés de décisions…) est au cœur de la pratique quotidienne de nombreux avocats. C’est aussi le sujet n°1 des régulateurs.

Avec Doctrine, la CNIL a notamment travaillé sur :

  • la manière dont les modèles sont utilisés,
  • la nature des données traitées,
  • les garanties de confidentialité autour des requêtes et des documents,
  • la documentation des choix techniques et juridiques.

Pour un cabinet, cela se traduit par des questions très concrètes à poser à tout fournisseur d’IA juridique :

  • Les données de mes clients servent-elles, oui ou non, à ré-entraîner vos modèles ?
  • Puis-je avoir une documentation claire des traitements (base légale, finalités, durées de conservation) ?
  • Où sont hébergées les données et avec quelles garanties contractuelles et techniques ?

Doctrine, par exemple, a pris une position nette : aucune donnée client n’est utilisée pour entraîner ses modèles. C’est le type d’engagement qu’un cabinet peut exiger désormais d’une IA juridique.

2.2. L’upload et l’analyse de documents privés

C’est probablement le point le plus sensible pour un avocat : charger un projet de contrat M&A, un protocole d’accord confidentiel ou un dossier pénal dans un outil d’IA.

Dans le cadre du programme CNIL, Doctrine et l’autorité ont clarifié :

  • le rôle de Doctrine comme sous-traitant pour ces traitements (et non comme responsable de traitement),
  • les engagements contractuels associés (mise à jour des CGV, obligations de sécurité, assistance en cas de violation de données),
  • les mesures techniques liées à l’upload, au stockage, à l’accès et à la suppression des fichiers.

Pour les cabinets, ça donne une checklist très opérationnelle :

  • vérifier noir sur blanc le rôle du prestataire (responsable de traitement ou sous-traitant),
  • s’assurer que les obligations RGPD de l’article 28 sont bien reprises dans le contrat,
  • demander des précisions sur le chiffrement (au repos, en transit), la journalisation des accès, les procédures de suppression.

2.3. Les pages avocats et entreprises : données publiques, mais pas sans règles

Doctrine agrège des données publiques (décisions de justice, répertoires d’avocats, informations légales) pour construire des pages avocats et entreprises. C’est très utile pour la prospection, la compréhension d’un dossier ou la préparation d’une audience.

La CNIL a examiné ce volet pour s’assurer que :

  • seules des données publiques et pertinentes sont affichées,
  • aucune donnée sensible (par exemple des éléments sur l’origine raciale, la santé, les opinions politiques tirés de décisions) n’est mise en avant,
  • les personnes concernées disposent de voies de recours et d’information.

Pour un cabinet, c’est un rappel : donnée publique ne veut pas dire donnée « libre de droit ». Si vous exploitez massivement des données judiciaires ou professionnelles (pour du scoring, de la prédiction de litiges, etc.), vous entrez clairement sur le radar RGPD.

3. Les garanties concrètes que Doctrine affiche aujourd’hui

Au-delà des beaux discours sur l’éthique de l’IA, l’intérêt de l’exemple Doctrine, c’est la traduction opérationnelle. Voici les garanties qui intéressent directement un cabinet d’avocats.

3.1. ISO 27001 : un langage que comprennent les RSSI… et les assureurs

Doctrine est certifiée ISO 27001 depuis début 2025. Cette norme internationale impose un système de management de la sécurité de l’information avec des contrôles précis : gestion des accès, chiffrement, gestion des incidents, continuité d’activité, etc.

Pour un cabinet, ça change la discussion avec :

  • le client entreprise, qui demande souvent des preuves de sécurité,
  • le DSI ou le RSSI du client, qui connaît très bien ISO 27001,
  • l’assureur cyber, qui regarde les mesures de prévention mises en place.

Un fournisseur d’IA juridique certifié ISO 27001 vous permet de répondre plus sereinement à ces exigences.

3.2. Aucune donnée client utilisée pour entraîner les modèles

C’est une ligne rouge pour beaucoup d’avocats : voir les données sensibles de leurs clients réutilisées pour améliorer un modèle générique.

La position affichée par Doctrine est claire :

Les données que vous chargez restent strictement privées et ne servent pas à entraîner les modèles.

Concrètement, cela signifie que :

  • vos prompts, documents et analyses restent cantonnés à votre espace,
  • il n’y a pas de mutualisation des données entre clients,
  • le risque de réapparition de contenus sensibles dans d’autres réponses est fortement réduit.

3.3. Chiffrement, isolation, gouvernance : le triptyque de base

Doctrine met en avant :

  • un chiffrement complet des fichiers et transferts,
  • une isolation stricte entre les clients,
  • un code de conduite IA et des CGV à jour pour encadrer les usages.

Pour un cabinet, ça donne un modèle de questions à poser :

  • Mes données sont-elles chiffrées au repos et en transit ?
  • Comment garantissez-vous l’isolation entre les comptes ?
  • Disposez-vous d’un code de conduite IA formalisé et accessible ?
  • Qui est le DPO, comment puis-je le contacter ?

Si un prestataire ne sait pas répondre simplement à ces questions, c’est un signal d’alerte.

4. Comment un cabinet peut s’inspirer de la méthode Doctrine

La démarche Doctrine–CNIL n’est pas réservée aux scale-ups de la LegalTech. Un cabinet d’avocats, même de taille moyenne, peut reprendre les mêmes réflexes.

4.1. Faire de la conformité un sujet d’équipe, pas de silo

Doctrine a impliqué à la fois :

  • les juristes,
  • les ingénieurs,
  • les product managers,
  • et les équipes opérationnelles.

Pour un cabinet, l’équivalent serait :

  • les associés (décisions stratégiques, responsabilité),
  • les collaborateurs (pratique quotidienne de l’IA juridique),
  • un référent RGPD / conformité (interne ou externe),
  • parfois l’office manager ou le DSI.

Organiser une vraie réunion de cadrage interne sur l’IA – avec inventaire des outils utilisés, types de données traitées, risques perçus – est devenu indispensable.

4.2. Utiliser l’AIPD comme boussole sur les dossiers sensibles

Doctrine a formé ses équipes aux analyses d’impact (AIPD), avec des sessions directement à la CNIL. Pour un cabinet, l’AIPD est souvent vue comme un outil réserve aux grands groupes. C’est une erreur.

Dès que vous traitez :

  • des données sensibles à grande échelle (santé, pénal, mineurs),
  • ou des profils de personnes vulnérables,
  • avec un outil d’IA qui automatise des décisions ou des évaluations,

l’AIPD devient un outil pratique pour :

  • clarifier les risques (confidentialité, erreur, biais),
  • documenter les mesures de réduction des risques,
  • démontrer, en cas de contrôle, que vous avez pris le sujet au sérieux.

4.3. Formaliser vos choix et vos limites sur l’IA

Doctrine a mis en place un code de conduite IA. Un cabinet d’avocats peut faire la même chose à son échelle, par exemple sous forme de charte interne, couvrant :

  • les types de dossiers où l’IA juridique est autorisée,
  • ceux où elle est exclue (par exemple certains pénaux sensibles),
  • les règles d’anonymisation avant upload de documents,
  • l’obligation de relecture humaine systématique,
  • les consignes de transparence vis-à-vis des clients quand l’IA est utilisée.

Ce document devient ensuite une référence pour la formation des nouveaux collaborateurs et un argument de réassurance auprès des clients.

5. Vers une IA juridique de confiance pour les cabinets français

Le message derrière l’accompagnement renforcé de Doctrine par la CNIL est clair : l’IA juridique n’est pas hors-sol, elle s’inscrit pleinement dans le cadre du RGPD et des exigences de sécurité modernes.

Pour les cabinets d’avocats français, trois enseignements ressortent :

  1. Le RGPD n’est pas un frein à l’IA juridique, c’est son socle. Les solutions qui ont une vraie maturité conformité vous permettent d’adopter l’IA sans vous exposer inutilement.
  2. Les clients vont monter d’un cran sur leurs attentes. Questionnaires de sécurité, clauses contractuelles renforcées, exigences d’audit : mieux vaut être prêt, avec des prestataires comme Doctrine qui savent parler à la CNIL et aux RSSI.
  3. L’IA de confiance devient un avantage concurrentiel. Un cabinet capable d’expliquer intelligemment comment il sécurise l’usage de l’IA (choix des outils, chartes, contrôles) prend une longueur d’avance.

Dans le cadre de cette série « L’IA pour les Cabinets d’Avocats Français », l’exemple Doctrine–CNIL montre une voie : celle d’une IA juridique performante, mais construite sur un socle de conformité robuste, audité et assumé.

La prochaine étape pour votre cabinet ? Faire le point, noir sur blanc, sur les outils d’IA que vous utilisez, les données que vous y mettez et les garanties dont vous disposez réellement. À partir de là, vous pourrez transformer un sujet anxiogène en avantage stratégique.

🇫🇷 IA juridique et CNIL : le modèle Doctrine pour les avocats - France | 3L3C