RGPD & IA juridique : 6 mois avec la CNIL, ce que ça change pour votre cabinet

L'IA pour les Cabinets d'Avocats Français••By 3L3C

Doctrine a passé 6 mois en accompagnement renforcé avec la CNIL. Voici ce que ça change concrètement pour les cabinets d’avocats français qui utilisent l’IA juridique.

IA juridiqueLegalTechRGPDCNILcabinet d’avocatssécurité des donnéesISO 27001
Share:

Featured image for RGPD & IA juridique : 6 mois avec la CNIL, ce que ça change pour votre cabinet

Pourquoi la conformité RGPD de votre LegalTech n’est plus négociable

Les cabinets d’avocats français qui utilisent l’IA juridique sont face à un dilemme très concret : gagner en productivité sans jamais fragiliser le secret professionnel ni la confiance des clients. La moindre erreur sur les données personnelles peut coûter cher, en sanctions comme en réputation.

Voici la réalité en 2025 : vos clients vous posent des questions très directes sur l’IA, le RGPD et la sécurité. Ils attendent des réponses précises, pas un discours marketing. Et pour répondre sereinement, il faut des preuves, pas des promesses.

C’est exactement ce qui rend intéressant le retour d’expérience de Doctrine après 6 mois d’accompagnement renforcé avec la CNIL. Derrière l’annonce, il y a des changements concrets qui impactent directement la façon dont un cabinet peut utiliser l’IA juridique en France.

Dans cette série « L’IA pour les Cabinets d’Avocats Français », cet article va vous aider à :

  • comprendre ce que signifie, en pratique, une LegalTech auditĂ©e et guidĂ©e par la CNIL ;
  • identifier les points de vigilance pour votre cabinet quand vous choisissez une solution d’IA juridique ;
  • traduire tout ça en arguments clairs pour vos clients, vos associĂ©s et Ă©ventuellement votre DPO.

1. L’accompagnement renforcé de la CNIL : ce que ça veut dire vraiment

L’accompagnement renforcé de la CNIL est un dispositif rare et exigeant : seulement quatre entreprises ont été retenues entre septembre 2024 et août 2025, dont Doctrine, à côté de Docaposte, La Française des Jeux et ShareID. Pour un cabinet d’avocats, cela signifie que l’un de ses principaux outils de recherche et d’IA juridique a été décortiqué par le régulateur.

Des critères de sélection qui parlent aux avocats

Pour être sélectionnée, une entreprise doit cumuler plusieurs caractéristiques :

  • des services ou procĂ©dĂ©s fortement innovants ;
  • un fort dĂ©veloppement Ă©conomique, donc un impact rĂ©el sur le marchĂ© ;
  • des traitements de donnĂ©es personnelles sensibles ou massifs ;
  • un engagement dĂ©jĂ  dĂ©montrĂ© en matière de conformitĂ© RGPD ;
  • des questions juridiques et Ă©thiques complexes Ă  traiter.

En clair : la CNIL ne choisit pas des acteurs marginaux. Elle s’intéresse à ceux qui structurent le marché et posent des questions sérieuses en matière de données.

Un cadre strict mais sécurisé pour l’entreprise… et pour vous

Les échanges dans ce programme sont confidentiels, y compris vis-à-vis des équipes de contrôle et de sanction de la CNIL. Cette confidentialité permet à l’entreprise d’exposer ses doutes, ses choix techniques, ses zones d’ombre… et d’obtenir des réponses sans risquer que chaque question se transforme en contentieux.

Pour un avocat utilisateur, l’intérêt est double :

  • la LegalTech peut poser les mĂŞmes questions que vous poseriez, mais directement au rĂ©gulateur ;
  • les rĂ©ponses obtenues se traduisent ensuite en paramĂ©trages, clauses contractuelles, politiques internes que vous pouvez opposer en cas de discussion avec un client ou un confrère.

2. Les trois chantiers clés passés au crible par la CNIL

L’accompagnement de Doctrine par la CNIL s’est concentré sur les zones les plus sensibles pour un cabinet d’avocats : IA générative, traitement de documents privés et agrégation de données publiques. Autrement dit, exactement là où vous pouvez être attaqué sur le RGPD.

2.1. IA générative : comment rester conforme sans renoncer à la performance

Les fonctionnalités d’IA générative ont été examinées en détail. Pour un cabinet, la question est simple : puis-je vraiment confier mes dossiers à un outil d’IA sans nourrir un modèle avec les données de mes clients ?

Doctrine a pris une position nette :

  • aucune donnĂ©e client n’est utilisĂ©e pour entraĂ®ner les modèles ;
  • les traitements sont organisĂ©s pour garder les donnĂ©es strictement privĂ©es ;
  • les choix techniques sont documentĂ©s et discutĂ©s avec la CNIL.

Pour vous, cela signifie que l’outil peut être utilisé pour :

  • gĂ©nĂ©rer des projets de courriers, conclusions, notes ;
  • reformuler des arguments ;
  • analyser un flux jurisprudentiel ;

… tout en limitant le risque que les données réapparaissent un jour dans la bouche de l’IA d’un autre client.

2.2. Upload et analyse de documents : clarification cruciale du rĂ´le de sous-traitant

Deuxième sujet sensible : l’upload de documents (contrats, pièces de procédure, échanges d’e‑mails, données RH, etc.) pour les analyser via l’IA.

La CNIL s’est penchée sur un point précis : quel est le rôle juridique de Doctrine dans ces traitements ? Responsable de traitement, sous-traitant, co-responsable ?

Cette clarification a conduit à une mise à jour des conditions générales de vente pour refléter clairement un rôle de sous-traitant lorsqu’un cabinet charge des documents privés.

Concrètement, pour un cabinet d’avocats français :

  • vous restez responsable de traitement vis‑à‑vis de vos clients ;
  • Doctrine agit comme sous‑traitant, avec les obligations correspondantes (instructions documentĂ©es, sĂ©curitĂ©, confidentialitĂ©, sous-traitance ultĂ©rieure, etc.) ;
  • vous pouvez intĂ©grer ces Ă©lĂ©ments dans vos mentions clients, vos conventions d’honoraires ou votre registre de traitements.

C’est un point très concret : lors d’un contrôle CNIL ou d’une question d’un client, vous pouvez démontrer que la chaîne contractuelle est alignée sur le RGPD.

2.3. Pages avocats et entreprises : données publiques, risques privés

Enfin, la CNIL a travaillé sur les pages avocats et entreprises, qui agrègent des données publiques issues de décisions de justice ou de registres officiels.

Pour les cabinets, ces fonctionnalités sont utiles pour :

  • prĂ©parer une audience en connaissant mieux la pratique d’un magistrat ou d’un confrère ;
  • analyser un marchĂ© ou un secteur pour un client corporate ;
  • suivre la jurisprudence en temps rĂ©el.

Les échanges avec la CNIL ont confirmé que :

  • seules des donnĂ©es publiques sont agrĂ©gĂ©es ;
  • aucun donnĂ© sensible n’est exposĂ© ;
  • l’objectif reste l’accès au droit, pas la mise en scène de donnĂ©es personnelles.

Cette clarification est précieuse pour répondre aux inquiétudes de certains confrères sur la réutilisation de leurs noms dans des bases jurisprudentielles enrichies.

3. Ce que la CNIL a changé dans la pratique : revue, formation, méthode

L’intérêt de ce programme tient surtout à sa dimension opérationnelle. On n’est pas sur un rapport théorique, mais sur un travail itératif, étalé sur six mois, avec des impacts directs sur les produits.

3.1. Revue de conformité : un audit qui profite aux utilisateurs

La CNIL a réalisé une revue de conformité des principaux traitements :

  • pages avocats ;
  • pages entreprises ;
  • fonctionnalitĂ©s d’analyse (comme Flow ou l’extraction d’informations).

À l’issue de cet audit, Doctrine a reçu des recommandations concrètes, intégrées rapidement dans la plateforme et la documentation.

Pour un cabinet d’avocats, l’intérêt est clair :

« Vous utilisez un outil dont l’architecture de traitement de données a été passée au crible par la CNIL. »

C’est un argument très solide face à un client grand compte, une direction conformité ou un RSSI.

3.2. Appui juridique et technique : réponses aux vraies questions de terrain

Pendant ces six mois, les Ă©quipes juridiques et techniques de Doctrine ont pu interroger directement les experts CNIL sur :

  • la qualification des traitements ;
  • les bonnes pratiques de cybersĂ©curitĂ© ;
  • la manière de conduire des analyses d’impact (AIPD) ;
  • la documentation des choix de paramĂ©trage de l’IA.

Ce travail alimente ensuite des documents que vous pouvez citer :

  • politique de donnĂ©es personnelles ;
  • code de conduite IA ;
  • documentation de sĂ©curitĂ© ;
  • engagement contractuel en tant que sous-traitant.

3.3. Montée en compétence collective : un modèle à reproduire dans votre cabinet

Doctrine a choisi d’impliquer largement ses équipes : juristes, ingénieurs, product managers. Tous ont été formés ensemble aux AIPD, notamment lors d’une session dans les locaux mêmes de la CNIL.

Pour un cabinet d’avocats, c’est une bonne source d’inspiration :

  • associer IT, conformitĂ©, associĂ©s et collaborateurs dans les rĂ©flexions sur l’IA ;
  • ne pas laisser le sujet RGPD uniquement au DPO ou au « rĂ©fĂ©rent data » ;
  • documenter les risques et arbitrages dès la conception des nouveaux usages (par exemple : utilisation de l’IA pour l’analyse systĂ©matique des contrats d’un client).

4. Sécurité et secret professionnel : quelles garanties pour un cabinet d’avocats ?

La question que se posent presque tous les avocats est simple : « Est‑ce que mes données et celles de mes clients sont vraiment en sécurité ? » Doctrine met en avant plusieurs garanties renforcées par ce travail avec la CNIL.

4.1. ISO 27001 : un standard que vos clients comprennent

Doctrine est certifiée ISO 27001 depuis début 2025, tout comme ses hébergeurs. Pour un cabinet, cela change la discussion avec un client exigeant (banque, assurance, santé, secteur public) :

  • vous pouvez mentionner un standard international reconnu ;
  • vous disposez d’un rĂ©fĂ©rentiel pour rĂ©pondre aux questionnaires de sĂ©curitĂ© ;
  • vous rĂ©duisez le temps passĂ© Ă  justifier votre choix de prestataire.

4.2. Aucune réutilisation des données pour l’entraînement des modèles

Doctrine prend un engagement net : aucune donnée client n’est utilisée pour entraîner les modèles d’IA.

Juridiquement et déontologiquement, c’est un point clé :

  • vous ne contribuez pas, mĂŞme indirectement, Ă  exposer des informations couvertes par le secret professionnel ;
  • vous pouvez rassurer un client qui craint que ses documents internes servent un jour Ă  d’autres utilisateurs.

4.3. Chiffrement, isolation, code de conduite IA

Les garanties techniques et organisationnelles annoncées sont alignées sur les attentes d’un cabinet :

  • chiffrement des fichiers et des transferts ;
  • isolation stricte des donnĂ©es entre clients ;
  • code de conduite IA qui encadre les usages ;
  • CGV Ă  jour reflĂ©tant le rĂ´le de sous-traitant.

Ce sont des éléments que vous pouvez reprendre dans :

  • votre documentation interne de sĂ©curitĂ© ;
  • vos politiques de protection des donnĂ©es ;
  • vos supports de rĂ©ponse Ă  appel d’offres.

5. Comment un cabinet d’avocats peut tirer parti de cette expérience

L’expérience de Doctrine avec la CNIL donne une boussole pour structurer l’usage de l’IA juridique dans un cabinet français.

5.1. Poser les bonnes questions Ă  votre LegalTech

Avant d’adopter ou d’étendre l’usage d’une solution d’IA juridique, vérifiez :

  1. Rôle dans le traitement : est‑elle clairement sous‑traitant pour vos documents privés ?
  2. Entraînement des modèles : vos données servent‑elles ou non à l’entraînement ?
  3. Normes de sécurité : existe‑t‑il une certification (ISO 27001 ou autre) ?
  4. Documentation publique : politique de données, code de conduite IA, FAQ sécurité.
  5. Dialogue avec les régulateurs : la LegalTech a‑t‑elle travaillé avec la CNIL ou un autre régulateur ?

Les réponses à ces questions déterminent votre propre niveau de risque.

5.2. Organiser l’IA juridique en interne

Pour que l’IA soit un atout et non une source de risques, un cabinet d’avocats peut :

  • adopter une charte interne d’usage de l’IA (quels types de donnĂ©es peuvent ĂŞtre traitĂ©s, dans quelles limites, avec quelle validation) ;
  • intĂ©grer l’IA dans ses analyses d’impact lorsqu’elle est utilisĂ©e de manière massive ou systĂ©matique ;
  • former les collaborateurs et assistantes sur les bons rĂ©flexes : anonymisation quand c’est possible, choix des bons outils, gestion des accès.

5.3. Transformer la conformité en argument commercial

Un cabinet qui maîtrise ces sujets peut en faire un argument de différenciation :

  • mention explicite de l’usage d’IA juridique conforme au RGPD dans les propositions commerciales ;
  • explication pĂ©dagogique aux clients sur la façon dont l’IA est utilisĂ©e pour rĂ©duire les dĂ©lais et amĂ©liorer la qualitĂ© sans exposer leurs donnĂ©es ;
  • valorisation du choix de prestataires qui ont travaillĂ© avec la CNIL et sont certifiĂ©s ISO 27001.

Les clients corporate, en particulier, attendent ce niveau de maturité.

6. Vers une IA juridique durable pour les cabinets français

Ce programme d’accompagnement n’est pas une parenthèse pour Doctrine, mais un socle durable : politique de données personnelles publique, engagements transparents sur l’IA, certification ISO 27001, DPO joignable facilement.

Pour les cabinets d’avocats français, l’enjeu est clair : l’IA juridique ne se résume plus à la performance technique. La vraie question devient : « Est‑ce que l’outil que j’utilise pourrait être défendable demain devant un client ou un régulateur ? »

Choisir une LegalTech qui a travaillé en profondeur avec la CNIL est une manière concrète de répondre oui. C’est aussi une façon de montrer à vos clients que vous avez pris l’IA au sérieux, non seulement comme levier de productivité, mais comme sujet de droit et de conformité.

Les cabinets qui structureront dès maintenant leurs pratiques d’IA juridique autour du RGPD, de la transparence et de la sécurité auront une longueur d’avance. Les autres devront rattraper le train, souvent sous pression d’un client ou d’un contrôle.

À vous de décider dans quel groupe vous voulez être.