Guide · Conformité & RGPD · ⏱ 6 min de lecture

DPA et IA juridique : ce que le cabinet doit vérifier

Adopter un logiciel d'IA pour analyser des contrats ou des dossiers clients engage le cabinet bien au-delà du choix technologique. Dès que le fournisseur accède à des données personnelles, l'article 28 du RGPD impose un contrat de sous-traitance (DPA) précis, opposable et à jour. Voici ce que chaque cabinet d'avocats, de notaires ou de juristes doit vérifier — avant de signer, et après.

RGPDDPAArticle 28AvocatsIA juridiqueConformitéSecret professionnel

L'article 28 RGPD s'applique-t-il à votre logiciel d'IA ?

Oui, sans exception possible. Dès lors que le fournisseur de votre outil d'IA accède à des données personnelles — même indirectement, via un contrat ou une pièce de procédure — il est qualifié de sous-traitant au sens de l'article 28 du Règlement (UE) 2016/679 (RGPD). Cette qualification n'est pas optionnelle : elle résulte automatiquement de la relation entre le responsable de traitement (le cabinet) et le prestataire technologique.

Or, dans la pratique quotidienne des cabinets, ce mécanisme reste sous-estimé. Soumettre un contrat de cession à une IA cloud, interroger un modèle sur un litige en cours, ou faire synthétiser un dossier contentieux : toutes ces actions font transiter des données personnelles — nom des parties, données financières, informations médicales ou familiales — vers un tiers externe. Le fournisseur devient alors sous-traitant de plein droit, avec toutes les obligations contractuelles qui en découlent.

⚖️
Texte de référence

L'article 28 du RGPD impose que le responsable de traitement « fasse uniquement appel à des sous-traitants qui présentent des garanties suffisantes » et que cette relation soit formalisée par un contrat écrit précisant la nature, la finalité, les mesures de sécurité et les conditions de sous-traitance ultérieure.

Conséquence directe pour le cabinet : avant de déployer tout logiciel d'IA juridique en mode cloud ou SaaS, la première question n'est pas « est-ce performant ? » mais « dispose-t-on d'un DPA conforme signé avec ce fournisseur ? »

Que doit contenir un DPA conforme pour un outil d'IA juridique ?

Un DPA (Data Processing Agreement), également appelé contrat de sous-traitance au sens du RGPD, n'est pas un document générique. Pour un outil d'intelligence artificielle juridique, plusieurs clauses méritent une attention particulière au-delà des mentions standard.

Les clauses minimales imposées par l'article 28 du RGPD couvrent : la nature et la finalité du traitement, les catégories de données concernées, les obligations de sécurité du sous-traitant, les conditions de recours à un sous-traitant ultérieur, et les modalités de retour ou de destruction des données en fin de contrat. L'absence de l'un de ces éléments constitue un manquement autonome, sanctionnable indépendamment de toute violation de données.

Les clauses spécifiques à vérifier pour une IA en 2026

Au-delà des mentions standard, trois points sont déterminants pour les outils d'IA. Premier point : l'interdiction d'utiliser les données du cabinet pour entraîner ou affiner les modèles du fournisseur. Si les conditions d'utilisation permettent cette réutilisation, le fournisseur n'agit plus comme sous-traitant mais comme responsable de traitement autonome — et la base légale du cabinet disparaît. Deuxième point : la localisation des serveurs et les garanties sur les transferts hors Union européenne. Troisième point : le droit d'audit du cabinet sur le sous-traitant, explicitement prévu par le RGPD.

⚠️
Erreur fréquente

Cliquer sur « Accepter les CGU » d'un outil d'IA ne vaut pas signature d'un DPA conforme au RGPD. Les conditions générales d'utilisation et le DPA sont deux documents distincts. Un DPA séparé, signé et conforme à l'article 28, est obligatoire — les CGU ne s'y substituent jamais.

Transferts hors UE : le point de vigilance le plus sous-estimé

La majorité des outils d'IA grand public — ChatGPT, Microsoft Copilot, Gemini — hébergent leurs données sur des serveurs situés aux États-Unis ou dans d'autres pays tiers. Tout transfert de données personnelles vers ces destinations doit être encadré par des garanties juridiques appropriées, conformément aux articles 44 à 49 du RGPD.

Pour les fournisseurs américains, la certification au Data Privacy Framework (DPF) — successeur du Privacy Shield invalidé par la CJUE dans l'arrêt Schrems II — constitue l'une des garanties acceptables. Mais cette certification ne dispense pas de vérifier que le DPA du fournisseur l'intègre explicitement, et que les données du cabinet sont bien couvertes par cette certification. En l'absence de garantie documentée, le transfert est illicite, et le cabinet en est juridiquement responsable en tant que responsable de traitement.

Le DPA doit également lister les sous-traitants ultérieurs autorisés (ce que le RGPD appelle la « sous-sous-traitance »). Un fournisseur d'IA cloud fait souvent appel à des infrastructures tierces — AWS, Azure, Google Cloud — dont la localisation et les certifications doivent être connues et acceptées par le cabinet avant tout traitement.

🌍
Point de droit

Selon l'article 28 §2 du RGPD, le sous-traitant ne peut recruter un autre sous-traitant sans l'autorisation écrite préalable du responsable de traitement. Tout changement de sous-traitant ultérieur doit être notifié au cabinet, qui dispose d'un droit d'objection.

Ce que le guide CNB 2026 impose concrètement

En mars 2026, la commission des règles et usages du Conseil National des Barreaux (CNB) a adopté son guide « La déontologie et l'IA ». Ce document pose un cadre déontologique opposable, articulé autour de trois piliers non négociables : la protection du secret professionnel, le respect du RGPD, et la compétence de l'avocat dans le choix et l'usage des outils numériques.

Sur le volet RGPD, le guide est explicite : l'avocat doit s'assurer que tout outil d'IA utilisé dans le cadre professionnel respecte les règles de confidentialité et de sécurité des données clients. Cela implique, concrètement, de vérifier l'existence d'un DPA conforme avant tout déploiement. Les clauses de limitation de responsabilité présentes dans les CGU des fournisseurs d'IA ne protègent pas l'avocat vis-à-vis de ses clients ou de la CNIL.

Le guide souligne également l'obligation de compétence numérique : un avocat qui déploie un outil d'IA sans en évaluer les implications en matière de protection des données ne satisfait pas à ses obligations déontologiques. La formation et la vérification documentaire ne sont plus optionnelles — elles font partie de la diligence professionnelle attendue.

📋
Règle déontologique clé

Le guide CNB 2026 rappelle qu'aucune donnée client identifiable ne peut transiter par un service IA dont les conditions de traitement ne garantissent pas la confidentialité absolue. Cette règle s'applique « y compris lors de l'utilisation d'outils d'intelligence artificielle » — sans distinction entre usage personnel et professionnel de l'outil.

Les recommandations CNIL sur l'IA : ce qui s'applique aux cabinets

Entre 2024 et 2025, la CNIL a publié un corpus de 13 fiches pratiques sur le développement et l'usage des systèmes d'IA, constituant aujourd'hui le référentiel de conformité le plus complet disponible en France. Ces fiches couvrent notamment la qualification des responsables de traitement, le choix de la base légale, les obligations d'information et la sécurité des modèles.

Pour un cabinet d'avocats ou un office notarial, trois fiches sont particulièrement pertinentes. La fiche sur la qualification des acteurs (sous-traitant ou responsable de traitement) permet de déterminer avec précision le statut du fournisseur d'IA. La fiche sur la sécurité des systèmes d'IA fixe les exigences techniques minimales — chiffrement, contrôle d'accès, plan de reprise d'activité — que le DPA doit refléter. La fiche sur l'AIPD (analyse d'impact relative à la protection des données) précise quand une telle analyse est requise : elle l'est quasi systématiquement pour les traitements d'IA à grande échelle ou profilant des personnes.

La CNIL a également rappelé dans ses recommandations que le RGPD et l'AI Act s'appliquent simultanément dès lors que le système d'IA traite des données personnelles. Les cabinets ne peuvent donc pas traiter ces deux cadres séparément : la conformité RGPD et la conformité AI Act forment un bloc indissociable à partir de 2026.

IA locale vs cloud : pourquoi l'architecture change tout

La question du DPA illustre une différence fondamentale entre les deux architectures d'IA disponibles pour les cabinets. Avec une solution cloud ou SaaS, les données transitent vers des serveurs tiers : un DPA est obligatoire, les transferts doivent être encadrés, et le cabinet doit auditer régulièrement son sous-traitant. Avec une IA déployée en local (on-premise), les données ne quittent jamais le système d'information du cabinet — et l'obligation de DPA ne s'applique tout simplement pas.

DPA obligatoireOui — sans exceptionNon — données non transmises à un tiers
Risque de transfert hors UEÉlevé — à vérifier dans le DPANul — aucun transfert
Réutilisation des données pour l'entraînementRisque selon les CGU et le DPAImpossible architecturalement
Droit d'audit sur le sous-traitantÀ prévoir contractuellementSans objet
Sous-traitance ultérieure (sous-sous-traitance)Fréquente — à lister dans le DPASans objet
Conformité secret professionnelConditionnée au DPA et aux garantiesGarantie structurellement

Cette différence d'architecture n'est pas anodine sur le plan déontologique. Choisir une IA locale, c'est neutraliser d'emblée la majeure partie des risques RGPD liés à la sous-traitance. Le cabinet conserve le contrôle total de ses données, sans dépendre de la rigueur contractuelle d'un prestataire tiers.

Checklist : 7 points à vérifier dans le DPA de votre IA juridique

Avant de signer un contrat avec un fournisseur d'IA, ou lors du renouvellement d'un abonnement existant, le cabinet doit passer en revue les éléments suivants. Cette checklist s'appuie sur les exigences de l'article 28 du RGPD et des recommandations CNIL sur les systèmes d'IA.

  1. Existence du DPA : un document distinct des CGU, signé par les deux parties, portant spécifiquement sur la protection des données personnelles.
  2. Interdiction d'entraînement : clause explicite interdisant au fournisseur de réutiliser les données du cabinet pour entraîner ou affiner ses modèles.
  3. Localisation des serveurs : identification précise des pays d'hébergement ; pour tout pays hors UE, garanties documentées (CCT ou certification DPF pour les prestataires américains).
  4. Liste des sous-traitants ultérieurs : inventaire exhaustif des prestataires d'infrastructure auxquels le fournisseur fait appel, avec droit d'opposition du cabinet en cas de changement.
  5. Mesures de sécurité : chiffrement des données au repos et en transit, contrôle d'accès, plan de reprise après incident — conformément à l'article 32 du RGPD.
  6. Droit d'audit : clause permettant au cabinet (ou à un tiers mandaté) de vérifier le respect du RGPD par le fournisseur pendant toute la durée du contrat.
  7. Sort des données en fin de contrat : engagement écrit sur la destruction ou la restitution de toutes les données dans un délai précis à l'échéance ou à la résiliation du contrat.

Questions fréquentes

Un cabinet d'avocats doit-il signer un DPA avec tous ses fournisseurs d'IA ?
Oui, dès lors que le fournisseur accède à des données personnelles pour le compte du cabinet, même de façon incidente. Cela vaut pour les outils d'analyse de documents, les assistants de rédaction, les plateformes de recherche juridique et tout logiciel SaaS traitant des dossiers clients. L'article 28 du RGPD l'impose sans exception, et l'absence de DPA constitue un manquement autonome sanctionnable par la CNIL, indépendamment de toute autre violation.
Les conditions générales d'utilisation d'un logiciel d'IA valent-elles DPA ?
Non. Les CGU sont des conditions commerciales générales ; le DPA est un contrat spécifique de protection des données, avec des clauses précises imposées par le RGPD. Un DPA séparé, signé et conforme à l'article 28, est obligatoire. Si un fournisseur prétend que ses CGU incluent le DPA, vérifiez que toutes les clauses requises par l'article 28 y figurent effectivement — c'est rarement le cas dans leur intégralité.
Comment vérifier que le fournisseur d'IA n'utilise pas les données du cabinet pour entraîner ses modèles ?
La vérification se fait en deux étapes. D'abord, lire attentivement le DPA et les CGU : toute clause autorisant la réutilisation des données à des fins d'amélioration du service ou d'entraînement doit être identifiée et refusée. Ensuite, s'assurer que cette interdiction figure explicitement dans le DPA signé. Si le fournisseur ne peut pas s'y engager contractuellement, c'est un signal d'alerte sérieux sur la nature réelle du traitement.
Une IA locale est-elle exemptée des obligations RGPD ?
Une IA déployée sur les serveurs du cabinet (on-premise) ne transmet pas de données à un prestataire tiers : l'obligation de DPA au titre de l'article 28 ne s'applique donc pas. Le cabinet reste néanmoins soumis au RGPD en tant que responsable de traitement pour les données qu'il traite lui-même. La conformité RGPD est structurellement plus simple à démontrer avec une architecture locale, car la chaîne de sous-traitance est inexistante.
Quelles sanctions encourt un cabinet qui utilise une IA sans DPA conforme ?
L'absence de DPA est un manquement autonome au RGPD, sanctionnable indépendamment d'une éventuelle violation de données. La CNIL peut prononcer une amende pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Pour un cabinet, les sanctions déontologiques s'ajoutent aux sanctions administratives : le guide CNB 2026 rappelle que le non-respect des règles de protection des données constitue un manquement aux obligations de compétence et de prudence de l'avocat.
Le guide CNB 2026 impose-t-il une architecture d'IA spécifique ?
Le guide CNB adopté en mars 2026 n'impose pas d'architecture technique précise, mais pose des exigences de résultat claires : aucune donnée client identifiable ne peut transiter par un service dont les conditions de traitement ne garantissent pas la confidentialité absolue. En pratique, cela revient à exiger soit un DPA béton avec un fournisseur cloud, soit une architecture locale. La charge de la preuve incombe à l'avocat.
Un abonnement entreprise à ChatGPT ou Copilot suffit-il pour être conforme ?
Un abonnement entreprise inclut généralement un DPA et des garanties supplémentaires absentes des versions grand public : désactivation de l'entraînement sur les données de l'organisation, localisation des données en UE pour certaines offres, clauses de confidentialité renforcées. Mais cela ne dispense pas de vérifier chaque clause du DPA au regard des exigences de l'article 28 et du guide CNB 2026, en particulier sur les transferts hors UE et la sous-traitance ultérieure.

Conclusion : le DPA, premier acte de conformité d'un cabinet qui adopte l'IA

Adopter une IA juridique sans DPA conforme, c'est s'exposer à une double sanction : administrative, par la CNIL, et déontologique, par le barreau. Le contrat de sous-traitance n'est pas une formalité bureaucratique — c'est la pièce maîtresse de la conformité RGPD dès lors que des données clients transitent vers un tiers.

La bonne nouvelle : ces risques sont évitables. Soit en choisissant une solution cloud dotée d'un DPA solide, audité et à jour. Soit en optant pour une architecture locale comme JurIAdoc, où aucune donnée ne quitte le système d'information du cabinet — supprimant d'emblée la problématique de sous-traitance. Dans les deux cas, la décision doit être documentée, et le choix justifiable devant la CNIL comme devant le bâtonnier.