L'article 28 RGPD s'applique-t-il à votre logiciel d'IA ?
Oui, sans exception possible. Dès lors que le fournisseur de votre outil d'IA accède à des données personnelles — même indirectement, via un contrat ou une pièce de procédure — il est qualifié de sous-traitant au sens de l'article 28 du Règlement (UE) 2016/679 (RGPD). Cette qualification n'est pas optionnelle : elle résulte automatiquement de la relation entre le responsable de traitement (le cabinet) et le prestataire technologique.
Or, dans la pratique quotidienne des cabinets, ce mécanisme reste sous-estimé. Soumettre un contrat de cession à une IA cloud, interroger un modèle sur un litige en cours, ou faire synthétiser un dossier contentieux : toutes ces actions font transiter des données personnelles — nom des parties, données financières, informations médicales ou familiales — vers un tiers externe. Le fournisseur devient alors sous-traitant de plein droit, avec toutes les obligations contractuelles qui en découlent.
L'article 28 du RGPD impose que le responsable de traitement « fasse uniquement appel à des sous-traitants qui présentent des garanties suffisantes » et que cette relation soit formalisée par un contrat écrit précisant la nature, la finalité, les mesures de sécurité et les conditions de sous-traitance ultérieure.
Conséquence directe pour le cabinet : avant de déployer tout logiciel d'IA juridique en mode cloud ou SaaS, la première question n'est pas « est-ce performant ? » mais « dispose-t-on d'un DPA conforme signé avec ce fournisseur ? »
Que doit contenir un DPA conforme pour un outil d'IA juridique ?
Un DPA (Data Processing Agreement), également appelé contrat de sous-traitance au sens du RGPD, n'est pas un document générique. Pour un outil d'intelligence artificielle juridique, plusieurs clauses méritent une attention particulière au-delà des mentions standard.
Les clauses minimales imposées par l'article 28 du RGPD couvrent : la nature et la finalité du traitement, les catégories de données concernées, les obligations de sécurité du sous-traitant, les conditions de recours à un sous-traitant ultérieur, et les modalités de retour ou de destruction des données en fin de contrat. L'absence de l'un de ces éléments constitue un manquement autonome, sanctionnable indépendamment de toute violation de données.
Les clauses spécifiques à vérifier pour une IA en 2026
Au-delà des mentions standard, trois points sont déterminants pour les outils d'IA. Premier point : l'interdiction d'utiliser les données du cabinet pour entraîner ou affiner les modèles du fournisseur. Si les conditions d'utilisation permettent cette réutilisation, le fournisseur n'agit plus comme sous-traitant mais comme responsable de traitement autonome — et la base légale du cabinet disparaît. Deuxième point : la localisation des serveurs et les garanties sur les transferts hors Union européenne. Troisième point : le droit d'audit du cabinet sur le sous-traitant, explicitement prévu par le RGPD.
Cliquer sur « Accepter les CGU » d'un outil d'IA ne vaut pas signature d'un DPA conforme au RGPD. Les conditions générales d'utilisation et le DPA sont deux documents distincts. Un DPA séparé, signé et conforme à l'article 28, est obligatoire — les CGU ne s'y substituent jamais.
Transferts hors UE : le point de vigilance le plus sous-estimé
La majorité des outils d'IA grand public — ChatGPT, Microsoft Copilot, Gemini — hébergent leurs données sur des serveurs situés aux États-Unis ou dans d'autres pays tiers. Tout transfert de données personnelles vers ces destinations doit être encadré par des garanties juridiques appropriées, conformément aux articles 44 à 49 du RGPD.
Pour les fournisseurs américains, la certification au Data Privacy Framework (DPF) — successeur du Privacy Shield invalidé par la CJUE dans l'arrêt Schrems II — constitue l'une des garanties acceptables. Mais cette certification ne dispense pas de vérifier que le DPA du fournisseur l'intègre explicitement, et que les données du cabinet sont bien couvertes par cette certification. En l'absence de garantie documentée, le transfert est illicite, et le cabinet en est juridiquement responsable en tant que responsable de traitement.
Le DPA doit également lister les sous-traitants ultérieurs autorisés (ce que le RGPD appelle la « sous-sous-traitance »). Un fournisseur d'IA cloud fait souvent appel à des infrastructures tierces — AWS, Azure, Google Cloud — dont la localisation et les certifications doivent être connues et acceptées par le cabinet avant tout traitement.
Selon l'article 28 §2 du RGPD, le sous-traitant ne peut recruter un autre sous-traitant sans l'autorisation écrite préalable du responsable de traitement. Tout changement de sous-traitant ultérieur doit être notifié au cabinet, qui dispose d'un droit d'objection.
Ce que le guide CNB 2026 impose concrètement
En mars 2026, la commission des règles et usages du Conseil National des Barreaux (CNB) a adopté son guide « La déontologie et l'IA ». Ce document pose un cadre déontologique opposable, articulé autour de trois piliers non négociables : la protection du secret professionnel, le respect du RGPD, et la compétence de l'avocat dans le choix et l'usage des outils numériques.
Sur le volet RGPD, le guide est explicite : l'avocat doit s'assurer que tout outil d'IA utilisé dans le cadre professionnel respecte les règles de confidentialité et de sécurité des données clients. Cela implique, concrètement, de vérifier l'existence d'un DPA conforme avant tout déploiement. Les clauses de limitation de responsabilité présentes dans les CGU des fournisseurs d'IA ne protègent pas l'avocat vis-à-vis de ses clients ou de la CNIL.
Le guide souligne également l'obligation de compétence numérique : un avocat qui déploie un outil d'IA sans en évaluer les implications en matière de protection des données ne satisfait pas à ses obligations déontologiques. La formation et la vérification documentaire ne sont plus optionnelles — elles font partie de la diligence professionnelle attendue.
Le guide CNB 2026 rappelle qu'aucune donnée client identifiable ne peut transiter par un service IA dont les conditions de traitement ne garantissent pas la confidentialité absolue. Cette règle s'applique « y compris lors de l'utilisation d'outils d'intelligence artificielle » — sans distinction entre usage personnel et professionnel de l'outil.
Les recommandations CNIL sur l'IA : ce qui s'applique aux cabinets
Entre 2024 et 2025, la CNIL a publié un corpus de 13 fiches pratiques sur le développement et l'usage des systèmes d'IA, constituant aujourd'hui le référentiel de conformité le plus complet disponible en France. Ces fiches couvrent notamment la qualification des responsables de traitement, le choix de la base légale, les obligations d'information et la sécurité des modèles.
Pour un cabinet d'avocats ou un office notarial, trois fiches sont particulièrement pertinentes. La fiche sur la qualification des acteurs (sous-traitant ou responsable de traitement) permet de déterminer avec précision le statut du fournisseur d'IA. La fiche sur la sécurité des systèmes d'IA fixe les exigences techniques minimales — chiffrement, contrôle d'accès, plan de reprise d'activité — que le DPA doit refléter. La fiche sur l'AIPD (analyse d'impact relative à la protection des données) précise quand une telle analyse est requise : elle l'est quasi systématiquement pour les traitements d'IA à grande échelle ou profilant des personnes.
La CNIL a également rappelé dans ses recommandations que le RGPD et l'AI Act s'appliquent simultanément dès lors que le système d'IA traite des données personnelles. Les cabinets ne peuvent donc pas traiter ces deux cadres séparément : la conformité RGPD et la conformité AI Act forment un bloc indissociable à partir de 2026.
IA locale vs cloud : pourquoi l'architecture change tout
La question du DPA illustre une différence fondamentale entre les deux architectures d'IA disponibles pour les cabinets. Avec une solution cloud ou SaaS, les données transitent vers des serveurs tiers : un DPA est obligatoire, les transferts doivent être encadrés, et le cabinet doit auditer régulièrement son sous-traitant. Avec une IA déployée en local (on-premise), les données ne quittent jamais le système d'information du cabinet — et l'obligation de DPA ne s'applique tout simplement pas.
| DPA obligatoire | Oui — sans exception | Non — données non transmises à un tiers |
| Risque de transfert hors UE | Élevé — à vérifier dans le DPA | Nul — aucun transfert |
| Réutilisation des données pour l'entraînement | Risque selon les CGU et le DPA | Impossible architecturalement |
| Droit d'audit sur le sous-traitant | À prévoir contractuellement | Sans objet |
| Sous-traitance ultérieure (sous-sous-traitance) | Fréquente — à lister dans le DPA | Sans objet |
| Conformité secret professionnel | Conditionnée au DPA et aux garanties | Garantie structurellement |
Cette différence d'architecture n'est pas anodine sur le plan déontologique. Choisir une IA locale, c'est neutraliser d'emblée la majeure partie des risques RGPD liés à la sous-traitance. Le cabinet conserve le contrôle total de ses données, sans dépendre de la rigueur contractuelle d'un prestataire tiers.
Checklist : 7 points à vérifier dans le DPA de votre IA juridique
Avant de signer un contrat avec un fournisseur d'IA, ou lors du renouvellement d'un abonnement existant, le cabinet doit passer en revue les éléments suivants. Cette checklist s'appuie sur les exigences de l'article 28 du RGPD et des recommandations CNIL sur les systèmes d'IA.
- Existence du DPA : un document distinct des CGU, signé par les deux parties, portant spécifiquement sur la protection des données personnelles.
- Interdiction d'entraînement : clause explicite interdisant au fournisseur de réutiliser les données du cabinet pour entraîner ou affiner ses modèles.
- Localisation des serveurs : identification précise des pays d'hébergement ; pour tout pays hors UE, garanties documentées (CCT ou certification DPF pour les prestataires américains).
- Liste des sous-traitants ultérieurs : inventaire exhaustif des prestataires d'infrastructure auxquels le fournisseur fait appel, avec droit d'opposition du cabinet en cas de changement.
- Mesures de sécurité : chiffrement des données au repos et en transit, contrôle d'accès, plan de reprise après incident — conformément à l'article 32 du RGPD.
- Droit d'audit : clause permettant au cabinet (ou à un tiers mandaté) de vérifier le respect du RGPD par le fournisseur pendant toute la durée du contrat.
- Sort des données en fin de contrat : engagement écrit sur la destruction ou la restitution de toutes les données dans un délai précis à l'échéance ou à la résiliation du contrat.
Questions fréquentes
Un cabinet d'avocats doit-il signer un DPA avec tous ses fournisseurs d'IA ?
Les conditions générales d'utilisation d'un logiciel d'IA valent-elles DPA ?
Comment vérifier que le fournisseur d'IA n'utilise pas les données du cabinet pour entraîner ses modèles ?
Une IA locale est-elle exemptée des obligations RGPD ?
Quelles sanctions encourt un cabinet qui utilise une IA sans DPA conforme ?
Le guide CNB 2026 impose-t-il une architecture d'IA spécifique ?
Un abonnement entreprise à ChatGPT ou Copilot suffit-il pour être conforme ?
Conclusion : le DPA, premier acte de conformité d'un cabinet qui adopte l'IA
Adopter une IA juridique sans DPA conforme, c'est s'exposer à une double sanction : administrative, par la CNIL, et déontologique, par le barreau. Le contrat de sous-traitance n'est pas une formalité bureaucratique — c'est la pièce maîtresse de la conformité RGPD dès lors que des données clients transitent vers un tiers.
La bonne nouvelle : ces risques sont évitables. Soit en choisissant une solution cloud dotée d'un DPA solide, audité et à jour. Soit en optant pour une architecture locale comme JurIAdoc, où aucune donnée ne quitte le système d'information du cabinet — supprimant d'emblée la problématique de sous-traitance. Dans les deux cas, la décision doit être documentée, et le choix justifiable devant la CNIL comme devant le bâtonnier.