L'AI Act concerne-t-il vraiment les cabinets d'avocats ?
Oui, directement — et dès maintenant pour certaines obligations. Le Règlement (UE) 2024/1689 ne s'adresse pas uniquement aux éditeurs de modèles d'IA. Il s'impose à tout déployeur — c'est-à-dire toute organisation qui utilise un système d'IA dans un contexte professionnel. Un cabinet qui intègre un outil d'analyse contractuelle, un assistant de recherche jurisprudentielle ou un chatbot client endosse ce rôle de déployeur et supporte les obligations qui en découlent.
L'AI Act classe les systèmes selon quatre niveaux de risque : risque inacceptable (interdit depuis février 2025), haut risque, risque limité et risque minimal. Les outils d'IA à usage courant dans les cabinets — analyse de documents, rédaction assistée, recherche automatisée — relèvent en général du risque limité ou minimal, ce qui n'exclut pas des obligations de transparence. En revanche, certains usages plus avancés, notamment les outils d'aide à la décision judiciaire, entrent dans les catégories sensibles encadrées par les obligations de transparence de l'article 50 de l'AI Act et, pour certains usages, par les exigences applicables aux systèmes à haut risque visés à l'annexe III.
2 août 2026 : entrée en vigueur de la majorité des obligations AI Act pour les systèmes à haut risque (annexe III). Les interdictions absolues sont déjà effectives depuis le 2 février 2025. Sanctions possibles : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial.
Premier réflexe à adopter : cartographier tous les systèmes d'IA utilisés dans le cabinet, identifier leur niveau de risque, et vérifier si le fournisseur a fourni la documentation technique requise. Cette démarche est analogue à ce que les cabinets ont réalisé pour le RGPD en 2018.
La littératie IA : une obligation déjà applicable depuis février 2025
C'est l'obligation la plus immédiate et la plus souvent ignorée. Depuis le 2 février 2025, l'article 4 de l'AI Act impose à tout déployeur de s'assurer que les personnes responsables du fonctionnement des systèmes d'IA disposent d'un niveau suffisant de compréhension de l'IA. Cela vise les collaborateurs qui utilisent ces outils au quotidien, pas seulement les équipes informatiques.
En pratique, pour un cabinet d'avocats, cela signifie que les avocats, les assistants juridiques et les collaborateurs qui utilisent un outil d'IA pour analyser des contrats, rédiger des actes ou rechercher de la jurisprudence doivent comprendre : le fonctionnement général du système, ses limites (notamment le risque d'hallucinations), et les conditions dans lesquelles sa sortie peut être utilisée sans vérification humaine — ce qui n'est, à ce jour, quasiment jamais le cas.
L'article 4 de l'AI Act (littératie IA) est applicable depuis le 2 février 2025. Tout cabinet déployeur doit documenter les mesures prises pour garantir que son personnel comprend les systèmes d'IA qu'il utilise. Aucune norme fixe n'est imposée, mais le niveau doit être approprié au regard du rôle et du contexte d'usage.
La documentation de ces mesures — formations suivies, politiques internes d'usage de l'IA, fiches de sensibilisation — constitue une première ligne de défense en cas de contrôle. Elle démontre la bonne foi du cabinet et réduit le risque de sanction en cas d'incident lié à un usage mal maîtrisé d'un outil d'IA.
RGPD et AI Act : deux règlements qui s'appliquent en même temps
L'erreur la plus fréquente consiste à traiter l'AI Act comme un remplacement du RGPD. Ce n'est pas le cas. La CNIL le précise explicitement : lorsque des données personnelles sont traitées par un système d'IA, le RGPD et l'AI Act s'appliquent simultanément. Les obligations se cumulent, elles ne se remplacent pas.
Pour un cabinet d'avocats, cela signifie qu'un outil d'IA traitant des données clients doit respecter à la fois les exigences du RGPD — base légale, minimisation, contrat de sous-traitance conforme à l'article 28, éventuellement une AIPD (analyse d'impact sur la protection des données) si le traitement présente un risque élevé — et les nouvelles exigences de l'AI Act en matière de transparence, de supervision humaine et de documentation technique.
| Base légale du traitement | Obligatoire (art. 6 RGPD) : contrat, intérêt légitime, consentement… | Non traitée — le RGPD reste compétent |
| Contrat de sous-traitance | Article 28 RGPD obligatoire si un tiers traite les données | Documentation technique du fournisseur exigée (art. 11 AI Act) |
| Analyse d'impact (AIPD) | Obligatoire si risque élevé pour les personnes | Système de gestion des risques distinct requis (art. 9 AI Act) |
| Transparence envers les personnes | Information obligatoire (art. 13-14 RGPD) | Information sur l'usage de l'IA obligatoire (art. 50 AI Act) |
| Supervision humaine | Droit à ne pas faire l'objet de décision automatisée (art. 22) | Obligation de supervision humaine pour les systèmes à haut risque (art. 14) |
| Sanction maximale | 20 M€ ou 4 % du CA mondial | 35 M€ ou 7 % du CA mondial |
La bonne pratique consiste à mener une analyse conjointe : lors de l'évaluation d'un nouvel outil d'IA, vérifier simultanément la conformité RGPD (qui traite les données, où, sous quelle base légale) et la conformité AI Act (quel niveau de risque, quelle documentation le fournisseur met-il à disposition, quelles obligations de supervision s'appliquent).
Hallucinations et responsabilité : le risque déontologique que l'AI Act ne résout pas
L'AI Act encadre les systèmes d'IA mais ne déplace pas la responsabilité professionnelle de l'avocat. Un exemple récent illustre ce point : une erreur factuelle générée par un outil d'IA juridique et non détectée par le professionnel engage sa responsabilité civile et déontologique — pas celle de l'éditeur du logiciel. La supervision humaine reste obligatoire, et l'AI Act la consacre explicitement pour les systèmes à haut risque à travers l'article 14.
Les hallucinations — cas où l'IA produit des références juridiques, des citations ou des articles de loi inexistants — constituent le risque opérationnel le plus concret pour les cabinets. Aucun règlement européen ne les élimine. Ils sont inhérents à l'architecture des grands modèles de langage (LLM). La seule réponse efficace est organisationnelle : systématiser la vérification des sorties de l'IA sur des sources primaires (Légifrance, EUR-Lex, bases jurisprudentielles officielles) avant toute utilisation dans un acte, un mémoire ou un conseil.
L'AI Act impose la supervision humaine pour les systèmes à haut risque (article 14 du Règlement UE 2024/1689). Pour les avocats, cette exigence se double des règles déontologiques du CNB : la responsabilité de l'acte reste entière, quelle que soit la part prise par un outil d'IA dans sa préparation.
La bonne pratique documentaire consiste à tracer l'usage de l'IA dans le dossier : quel outil, pour quelle tâche, quelle vérification humaine a été effectuée. Cette traçabilité protège le cabinet en cas de litige et constitue une preuve de diligence professionnelle.
Pourquoi l'architecture locale simplifie la conformité AI Act et RGPD
Face à la double contrainte réglementaire RGPD/AI Act, l'architecture de déploiement de l'outil d'IA n'est pas un détail technique : c'est un choix de conformité. Une IA traitant toutes les données exclusivement sur les serveurs du cabinet — sans transfert vers des infrastructures cloud tierces, sans exposition à des serveurs hors UE — simplifie radicalement la qualification des risques.
Avec une IA locale (on-premise), les enjeux de transfert de données hors UE disparaissent. Il n'y a pas de sous-traitant tiers au sens de l'article 28 du RGPD dès lors que le traitement reste entièrement maîtrisé par le cabinet. Le risque de violation de données en transit est nul. Et la documentation technique requise par l'AI Act est plus simple à obtenir d'un éditeur spécialisé dont le produit est conçu pour un usage juridique encadré que d'un prestataire cloud généraliste dont les conditions d'utilisation évoluent régulièrement.
À l'inverse, utiliser un outil d'IA cloud grand public — ChatGPT, Copilot, Gemini dans leurs versions non enterprise — pour traiter des données clients expose le cabinet à plusieurs risques cumulés : absence de contrat de sous-traitance conforme à l'article 28 du RGPD, transfert de données vers des serveurs hors UE sans garantie suffisante, absence de documentation technique AI Act, et rupture potentielle du secret professionnel. Ce n'est pas une posture alarmiste : c'est la lecture directe des obligations réglementaires applicables.
Une IA 100 % locale élimine les risques de transfert de données hors UE, simplifie la chaîne de responsabilité RGPD (pas de sous-traitant tiers) et réduit la surface d'exposition à l'AI Act. C'est l'architecture recommandée pour les cabinets traitant des données couvertes par le secret professionnel.
Checklist : 6 actions concrètes avant le 2 août 2026
La conformité AI Act n'est pas un projet informatique. C'est un projet de gouvernance qui implique les associés, les collaborateurs et, si le cabinet en dispose, le délégué à la protection des données (DPD). Voici les six actions prioritaires à mener avant l'échéance du 2 août 2026.
- Cartographier tous les systèmes d'IA utilisés : lister chaque outil (y compris les fonctionnalités IA intégrées dans les logiciels existants) et identifier le fournisseur, l'usage, les données traitées et le niveau de risque AI Act applicable.
- Qualifier le niveau de risque de chaque système : distinguer risque minimal, limité et haut risque selon les critères de l'annexe III du Règlement UE 2024/1689. Pour les outils d'analyse contractuelle classiques, le risque est généralement limité — mais cette qualification doit être documentée.
- Vérifier la documentation du fournisseur : exiger de chaque éditeur d'IA les éléments prévus par l'AI Act (documentation technique, politique de supervision humaine, informations sur l'entraînement du modèle). Un fournisseur sérieux doit être en mesure de les fournir.
- Former le personnel à la littératie IA : obligation déjà en vigueur depuis le 2 février 2025 (article 4). Documenter les formations suivies, les politiques internes d'usage et les procédures de vérification des sorties de l'IA.
- Mettre à jour le registre des traitements RGPD : intégrer chaque outil d'IA comme un traitement distinct, préciser la base légale, le sous-traitant éventuel et, si nécessaire, réaliser une AIPD (analyse d'impact sur la protection des données).
- Rédiger ou mettre à jour la politique interne d'usage de l'IA : définir quels outils sont autorisés, pour quels usages, avec quelles procédures de vérification humaine obligatoire. Ce document constitue une preuve de diligence en cas de contrôle ou de litige.
Questions fréquentes
L'AI Act s'applique-t-il à un cabinet d'avocats qui utilise un logiciel d'IA tiers ?
Quels outils d'IA sont classés à haut risque pour un cabinet juridique ?
Quelles sanctions prévoit l'AI Act pour un cabinet non conforme ?
Comment articuler RGPD et AI Act pour un outil d'IA juridique ?
Un avocat peut-il utiliser une IA cloud grand public pour traiter des données clients ?
Qu'est-ce que la littératie IA au sens de l'AI Act, et depuis quand est-elle obligatoire ?
Conclusion : l'AI Act, une contrainte et une opportunité de gouvernance
Le 2 août 2026 n'est pas une date lointaine. Pour les cabinets qui n'ont pas encore commencé, le délai disponible est court. La bonne nouvelle : la conformité AI Act pour la majorité des outils d'IA juridique n'exige pas de projet technique complexe. Elle exige de la méthode — cartographie, qualification, documentation, formation — et le choix d'outils dont les éditeurs sont eux-mêmes en mesure de fournir les garanties requises.
Les cabinets qui feront ce travail sérieusement en sortiront avec un avantage : une gouvernance de l'IA documentée, des politiques internes claires, et la capacité à démontrer à leurs clients que leurs données sont traitées dans un cadre rigoureux. C'est précisément ce que propose JurIAdoc : une IA juridique locale, dont l'architecture élimine par conception les principaux risques RGPD et AI Act, et dont la documentation technique est disponible pour les cabinets qui en ont besoin.