Que contient exactement le guide déontologique du CNB sur l'IA ?
La réponse est précise et datée. Le Conseil National des Barreaux (CNB) a adopté le 17 mars 2026 un guide intitulé « La déontologie et l'intelligence artificielle », premier cadre normatif explicite encadrant l'usage des outils d'IA générative dans les cabinets d'avocats français. Ce texte ne prohibe pas l'IA : il la tolère de manière « ponctuelle et encadrée », à condition que l'avocat conserve en toutes circonstances la maîtrise intellectuelle et la responsabilité de son travail.
Le guide couvre cinq grands axes : la protection du secret professionnel, la confidentialité des données et leur anonymisation préalable, la gestion des erreurs d'interprétation algorithmique, la conformité au RGPD — Règlement général sur la protection des données — et l'information du client. Conçu comme un outil opérationnel, il présente des risques concrets, des bonnes pratiques et des exemples jurisprudentiels récents.
Le guide CNB « La déontologie et l'intelligence artificielle » a été adopté par l'assemblée générale du Conseil National des Barreaux les 12 et 13 mars 2026. Il constitue le premier cadre normatif de la profession sur l'IA générative. Source : cnb.avocat.fr.
Les 5 obligations concrètes que le guide CNB impose au cabinet
Le guide structure son cadre autour de cinq risques, chacun generant une obligation de méthode vérifiable et documentable. Voici ce qu'ils impliquent opérationnellement.
1. Secret professionnel : aucune donnée client non anonymisée ne transite par un tiers
C'est l'obligation la plus fondamentale. Le guide du CNB rappelle que la protection du secret professionnel interdit toute divulgation d'informations confidentielles relatives aux dossiers ou aux clients, y compris lors de l'utilisation d'outils d'IA. Cela vaut pour les IA grand public comme pour les outils professionnels cloud dont les serveurs sont situés hors Union européenne.
2. Anonymisation préalable : une obligation de méthode, pas un conseil
Avant toute soumission d'un document à un outil IA externe, le CNB impose de remplacer tous les éléments identifiants — noms, prénoms, adresses, références de dossiers — par des codes neutres. « Monsieur Dupont » devient « Partie A », « la société ABC » devient « Entreprise X ». Cette pseudonymisation doit être documentée et réversible uniquement par l'avocat. Elle nécessite une procédure interne claire, particulièrement dans les cabinets employant des collaborateurs.
3. Responsabilité entière : l'IA n'est pas un co-auteur
Le CNB est catégorique : l'avocat ayant recours à des contenus générés par l'IA sans vérification préalable engage pleinement sa responsabilité. Comme l'a rappelé l'ancienne présidente du CNB lors de la Grande Rentrée des avocats d'octobre 2024, les logiciels intégrant l'IA sont des « outils d'assistance et pas de substitution » à l'exercice professionnel. L'avocat doit relire, contrôler et valider chaque contenu généré avant de l'utiliser ou de le transmettre à un client ou à une juridiction.
4. RGPD et DPA : un contrat écrit obligatoire avec tout fournisseur IA
Dès lors qu'un cabinet utilise un service d'IA externe qui traite des données personnelles de clients, une relation de sous-traitance au sens de l'article 28 du RGPD s'établit. Un DPA (Data Processing Agreement) — contrat de sous-traitance — doit obligatoirement être conclu. Sans ce contrat, le cabinet s'expose à un manquement RGPD caractérisé. Les clauses de limitation de responsabilité présentes dans les conditions générales d'utilisation des fournisseurs IA ne protègent pas l'avocat vis-à-vis de ses clients ni de la CNIL.
5. Clause honoraires : une attente de transparence vis-à-vis des clients
Simultanément à l'adoption du guide, le CNB a révisé ses modèles types de conventions d'honoraires pour y intégrer une clause optionnelle relative à l'utilisation de l'IA. Cette clause formalise contractuellement avec le client les conditions dans lesquelles des outils d'IA peuvent intervenir dans le traitement de son dossier. Son caractère optionnel n'enlève rien à l'enjeu : un client informé de l'existence de cette clause pourrait légitimement s'interroger sur son absence dans la convention que lui propose son avocat.
67 % des cabinets de moins de 5 avocats déclaraient manquer de compétences techniques pour évaluer la fiabilité des outils d'IA qu'ils utilisent — une lacune qui génère des risques déontologiques concrets : violation du secret professionnel, non-conformité RGPD, erreurs factuelles.
Transferts hors UE : pourquoi la localisation des serveurs est décisive
La localisation des serveurs n'est pas un détail technique : c'est un critère déontologique. Lorsqu'un cabinet soumet des données clients à un outil dont les serveurs sont situés hors de l'Union européenne — États-Unis, notamment —, il effectue un transfert de données au sens du RGPD. Ce transfert exige une base juridique spécifique : clauses contractuelles types (CCT), décision d'adéquation ou règles d'entreprise contraignantes.
Or, la plupart des IA génériques grand public — ChatGPT, Gemini, Copilot en mode grand public — hébergent leurs traitements sur des infrastructures américaines. Après l'invalidation du Privacy Shield par la Cour de justice de l'Union européenne dans l'arrêt Schrems II (CJUE, C-311/18, 16 juillet 2020), le Data Privacy Framework adopté en 2023 offre une base, mais sa solidité juridique reste contestée et son application pratique doit être vérifiée fournisseur par fournisseur.
Le guide sous-traitant de la CNIL rappelle que le responsable du traitement — ici le cabinet — doit s'assurer que son sous-traitant présente des garanties techniques et organisationnelles suffisantes. En l'absence de DPA valide ou d'hébergement UE, la co-responsabilité en cas de faille est engagée.
Un fournisseur d'IA (via API ou logiciel cloud) est un sous-traitant au sens de l'article 28 du RGPD. En 2026, le contrat (DPA) doit garantir que les données ne sont pas utilisées pour l'entraînement général des modèles sans accord explicite, et que l'hébergement est situé en Union européenne ou couvert par des garanties juridiques appropriées.
IA locale : comment elle résout structurellement ces obligations
Une intelligence artificielle juridique déployée en local — c'est-à-dire sur les serveurs ou la station de travail du cabinet — change radicalement l'équation. Aucune donnée ne quitte le périmètre du cabinet. Il n'y a pas de sous-traitant externe au sens du RGPD, donc pas de DPA à rédiger ni de transfert hors UE à justifier.
Sur le plan déontologique, cette architecture répond point par point aux exigences du guide CNB : le secret professionnel est préservé par construction, l'anonymisation préalable n'est plus un prérequis obligatoire pour protéger les données (elles ne sortent jamais), et la traçabilité des traitements reste sous le contrôle exclusif du cabinet. La responsabilité de l'avocat sur le contenu produit demeure entière — mais le risque de fuite des données est éliminé.
Le CNB lui-même recommande, dans sa grille d'auto-évaluation pour le choix d'un outil IA juridique, des critères techniques incluant la sécurité, la localisation des données et l'engagement de confidentialité. Une IA locale coche ces cases sans discussion.
IA cloud grand public vs IA locale : tableau des risques déontologiques
| Secret professionnel | ⚠️ Données transmises à un tiers non soumis au secret | ✅ Données confinées au cabinet |
| Anonymisation préalable | Obligatoire avant toute saisie | Non requise (données non transmises) |
| DPA article 28 RGPD | Obligatoire — souvent absent ou insuffisant | Non applicable (pas de sous-traitant) |
| Transfert hors UE | Fréquent (serveurs US) — base légale à justifier | Absent par construction |
| Clause honoraires CNB | Recommandée pour informer le client | Mention rassurante possible |
| Traçabilité / audit | Dépend du fournisseur | Sous contrôle exclusif du cabinet |
| Risque disciplinaire | Élevé si procédure absente | Faible si vérification humaine maintenue |
Hallucinations juridiques : l'obligation de vérification systématique
Le guide CNB consacre un axe entier aux erreurs d'interprétation algorithmique, communément appelées « hallucinations ». Les modèles de langage génèrent des raisonnements juridiques plausibles mais parfois inexacts : décisions citées qui n'existent pas, régimes distincts confondus, qualification erronée d'un fait. Ce risque n'est pas hypothétique.
Les premières décisions judiciaires liées à l'usage de l'IA commencent à émerger en 2026. Aux États-Unis, plusieurs affaires ont déjà sanctionné des avocats ayant produit des conclusions contenant des jurisprudences inventées par une IA sans vérification. En France, le cadre déontologique impose la même rigueur : l'avocat doit vérifier systématiquement toute production de l'IA avant de l'intégrer dans un document professionnel. Un contenu généré par IA, transmis sans contrôle à une juridiction ou à un client, engage pleinement la responsabilité du signataire.
La règle pratique est simple : tout output d'IA est un premier jet, jamais un acte définitif. La valeur ajoutée de l'avocat réside précisément dans cette capacité de contrôle critique que l'IA ne peut pas remplacer.
L'affaire Ader v. Ader (Supreme Court of New York, 1er octobre 2025, Index n° 653917/2024), citée dans le guide CNB, illustre les risques concrets d'une utilisation non contrôlée de l'IA en contentieux : des références jurisprudentielles inexistantes soumises à une juridiction ont entraîné des sanctions disciplinaires pour l'avocat signataire.
Questions fréquentes
Qu'impose exactement le guide déontologique du CNB sur l'IA pour les avocats ?
Un avocat peut-il utiliser ChatGPT ou Copilot avec des données clients sans risque ?
Qu'est-ce qu'un DPA et pourquoi est-il obligatoire quand on utilise une IA externe ?
La clause IA dans la convention d'honoraires est-elle obligatoire ?
Comment une IA locale garantit-elle la conformité déontologique sans procédures complexes ?
Quels risques disciplinaires l'avocat encourt-il en cas de mauvaise utilisation de l'IA ?
Ce que le guide CNB change concrètement pour votre cabinet
Le guide déontologique du CNB de mars 2026 n'est pas un texte d'intention : c'est un cadre opérationnel avec des obligations vérifiables. Secret professionnel, anonymisation, DPA, vérification systématique, information du client — chaque point impose une procédure documentée. Les cabinets qui utilisent des IA génériques grand public sans ces garde-fous courent un risque disciplinaire et réglementaire réel.
La réponse architecturale la plus directe à ces obligations est une IA déployée en local, dans le périmètre du cabinet. Elle supprime par construction les trois risques les plus exposés : transfert de données hors UE, absence de DPA, violation du secret professionnel par transit vers un tiers. JurIAdoc est conçu sur ce principe : l'analyse de documents juridiques sans que les données quittent jamais le cabinet.