L’essor fulgurant de l’intelligence artificielle générative bouleverse les pratiques professionnelles, notamment dans l’IA pour les métiers du chiffre et du droit. Depuis fin 2022, des outils comme ChatGPT, Copilot, Claude ou encore Llama se sont imposés dans les usages quotidiens. Ils permettent de rédiger, analyser, synthétiser et automatiser de nombreuses tâches.
Mais une question se pose avec de plus en plus d’acuité : que deviennent les données sensibles lorsqu’elles sont utilisées dans ces systèmes ? Où sont-elles stockées ? Qui peut y avoir accès ? Sont-elles exploitées pour entraîner les modèles ?
Pour répondre à ces préoccupations, l’Académie des Sciences et Techniques Comptables et Financières a publié en avril 2025 son Cahier n°43 : “IA générative et protection des données : confidentialité, RGPD, secret professionnel”. Ce document est le fruit d’un travail collectif d’experts, auquel Mirabile Avocat a pris part.
L’objectif est clair : fournir des garde-fous juridiques et pratiques pour encadrer l’usage de l’IA générative, en particulier dans les professions soumises à des obligations strictes de confidentialité (IA et professions du chiffre).
Si vous souhaitez avoir recours à un avocat en IA, contactez-moi !
Pourquoi l’IA générative bouleverse la protection des données
L’IA générative repose sur un principe simple : ingérer de vastes volumes de données pour produire du contenu nouveau (texte, code, images, etc.). Son efficacité est indéniable, mais elle soulève un paradoxe : plus elle est performante, plus elle repose sur l’exploitation de données souvent sensibles.
Dans le quotidien des professionnels du chiffre ou des avocats, les cas d’usage se multiplient :
– Un expert-comptable teste ChatGPT pour analyser des écritures comptables.
– Une direction financière soumet un tableau de trésorerie à un outil IA pour obtenir une prévision instantanée.
– Un avocat dépose un contrat afin d’en obtenir une synthèse ou une vérification de clauses.
Ces pratiques posent des questions fondamentales :
- Les données envoyées à ces outils sont-elles stockées ?
- Peuvent-elles être réutilisées pour entraîner les modèles ?
- Quelles garanties existent sur leur confidentialité ?
En réalité, l’IA générative n’invente pas les risques en matière de données. Mais elle agit comme un accélérateur, car elle incite à l’utilisation d’outils puissants qui échappent souvent au contrôle des organisations.
Les risques identifiés : confidentialité, RGPD et secret professionnel
L’usage de l’IA générative entraîne une série de risques juridiques et organisationnels qui concernent directement les professions réglementées et les entreprises manipulant des données sensibles.
Risques liés au RGPD
Le Règlement général sur la protection des données (RGPD) encadre strictement le traitement des données personnelles. Utiliser un outil d’IA implique souvent :
- des transferts hors Union européenne (vers les États-Unis notamment),
- un défaut de base légale claire pour justifier l’usage,
- une absence de transparence sur la finalité du traitement.
Par exemple, soumettre un fichier comptable contenant des informations sur des salariés ou des clients peut constituer une violation du RGPD si l’outil ne respecte pas les obligations de sécurité et de transfert.
Risques de confidentialité et secret des affaires
Au-delà du RGPD, la protection des données confidentielles et du secret des affaires est en jeu. Déposer une information stratégique (prix de revient, négociation commerciale, plan de restructuration) dans un chatbot pourrait, en l’absence de garanties, exposer cette donnée à un tiers ou même à une réutilisation non contrôlée (IA et métier du chiffre).
Risques pour les professions réglementées
Les professions soumises au secret professionnel (avocats, experts-comptables, commissaires aux comptes) sont confrontées à un défi supplémentaire :
- Le secret couvre toutes les informations confiées par le client.
- Utiliser un outil qui ne garantit pas l’absence de fuite ou de réutilisation des données peut constituer une violation du secret, passible de sanctions disciplinaires et pénales.
Un exemple concret : un avocat qui utilise ChatGPT pour analyser un dossier de contentieux social. Si les données saisies sont stockées et réutilisées, cela peut constituer une violation du secret professionnel de l’article 226-13 du Code pénal.
Le Cahier n°43 de l’Académie : des repères concrets pour les professionnels du chiffre
Face à ces enjeux, l’Académie des Sciences et Techniques Comptables et Financières a publié en avril 2025 un document de référence : le Cahier n°43.
Un travail collectif d’experts
Le Cahier est rédigé par un groupe pluridisciplinaire, associant juristes, avocats, experts-comptables et universitaires. Parmi les contributeurs : Mirabile Avocat, engagé de longue date sur les problématiques liées au numérique (IA et professions du chiffre).
Des questions pratiques au cœur du document
L’ouvrage répond à des interrogations très concrètes :
- Peut-on déposer un fichier comptable dans ChatGPT ou Copilot ?
- Quels risques pour un cabinet d’audit qui utiliserait l’IA pour analyser un portefeuille clients ?
- Quelles précautions minimales doivent être prises par une entreprise qui souhaite expérimenter l’IA générative ?
Trois apports essentiels du Cahier
- Évaluer les risques de l’IA générative : grille d’analyse tenant compte de la nature des données, de leur sensibilité, et du statut de la profession concernée.
- Mettre en place les bonnes pratiques : anonymisation des données, contractualisation avec les éditeurs d’IA, sensibilisation des équipes.
- S’inspirer des expériences internationales : le Cahier cite notamment des recommandations venues du Royaume-Uni, du Canada et des États-Unis, où les régulateurs ont déjà publié des lignes directrices.
Un message central ressort : l’IA générative ne crée pas les problèmes de confidentialité, mais elle les amplifie. Cela impose une vigilance accrue, notamment pour les professions soumises au secret professionnel (IA et professions du chiffre).
Quelles bonnes pratiques adopter dès maintenant ?
Le Cahier n°43 ne se limite pas à un constat. Il fournit des recommandations pratiques que les cabinets et entreprises peuvent mettre en œuvre immédiatement.
Limiter les usages sensibles
Éviter de déposer dans un outil d’IA générative des documents contenant :
- des données personnelles non anonymisées (RGPD),
- des informations stratégiques (secret des affaires),
- des éléments couverts par le secret professionnel.
Mettre en place des chartes internes d’utilisation de l’IA
De plus en plus d’entreprises créent des chartes d’usage pour encadrer l’utilisation de l’IA par leurs collaborateurs. Ces chartes définissent :
- les outils autorisés,
- les types de données qui peuvent y être intégrés,
- les procédures de validation avant utilisation.
Sécuriser les relations contractuelles
Les entreprises doivent insérer des clauses contractuelles spécifiques dans leurs accords avec les éditeurs d’IA et leurs sous-traitants :
- localisation des données,
- interdiction d’entraînement sur les données saisies,
- garanties de confidentialité.
Auditer régulièrement la conformité RGPD
Un audit périodique permet de vérifier :
- que les outils respectent les principes de sécurité,
- que les données sont stockées conformément aux règles européennes,
- que les droits des personnes (accès, rectification, suppression) peuvent être exercés.
Former les équipes
La sensibilisation des collaborateurs est essentielle. Le Cahier insiste sur l’importance de la formation interne afin que chacun comprenne :
- ce qu’il peut ou ne peut pas faire avec l’IA générative,
- les risques encourus en cas de mauvaise pratique,
- les alternatives disponibles (outils internes sécurisés, solutions souveraines).
