IA générative et RGPD : comment se mettre en ordre ?

Tribune n°280
Le Fil RGPD

En 2025, il ne se passe quasiment pas un jour sans que l’IA générative ne suscite le débat :

  • « C’est génial, elle me fait gagner un temps fou. Tu devrais essayer. »
  • « Mouais. Je trouve les résultats parfois décevants, moi, il faut sans cesse préciser sa pensée. »

En toute franchise et transparence : oui, l’IA générative fait gagner du temps (pour peu qu’on l’utilise correctement) et son utilisation s’impose désormais, en ce compris dans les professions juridiques, comme gage de compétitivité[1] dans une société où tout semble globalement s’accélérer. La digitalisation de la justice et l’usage de l’IA par les juges sont d’ailleurs au cœur des préoccupations[2]. Les avocat.es f(er)ont donc, fort logiquement, eux et elles aussi, partie de ce mouvement.

Cependant, comme vous le savez, l’IA générative comporte aussi des risques. La qualité du prompt (de la question posée) influence, par exemple, inévitablement la réponse que l’IA fournit[3], et certaines « hallucinations » des modèles de langage peuvent se retrouver jusque dans des conclusions ou plaidoiries, comme l’a récemment relevé L’Echo[4].

Bref, l’IA fait rêver… mais elle soulève aussi pas mal de questions, surtout, d’ailleurs, quand il s’agit de manipuler des données personnelles. Vous vous en doutez, nous ne pouvions passer à côté de ce sujet. Dans ce fil RGPD, nous allons nous pencher sur les bonnes pratiques à adopter pour rester conforme au règlement lorsqu’on utilise l’IA dans notre métier d’avocat.e.

1. IA et RGPD : pourquoi la question est-elle importante ?

Si la question des interactions entre l'utilisation de l’IA générative et RGPD est d’intérêt, c’est parce que c’est l’avocat.e qui est juridiquement responsable des données à caractère personnel qu’il ou elle fournit au système d’IA. Ainsi en est-il, par exemple, du confrère ou de la consœur qui, soucieux.se d’obtenir une réponse la plus pertinente possible pour son ou sa client.e, « nourrit » l’outil avec des documents non anonymisés ou des éléments directement liés à l’identité de son ou sa client.e[5].

Dans ce contexte, l’avocat.e détermine les moyens et les finalités du traitement en choisissant les données transmises et l’objectif poursuivi. Il ou elle doit donc être considéré.e comme le ou la « responsable du traitement »[6]. Le fournisseur de la solution d’IA, quant à lui, se limite à fournir l’outil technique : il n’intervient ni dans le choix des données, ni dans la définition des finalités. Il sera donc, en principe, qualifié de « sous-traitant »[7].

Autrement dit, c’est l’avocat.e qui devra être en mesure de démontrer qu’il ou elle respecte le RGPD, en cas d’audit[8]. C’est aussi contre lui ou elle que pourrait se retourner le ou la justiciable insatisfait.e si le traitement n’est pas conforme au RGPD. Il faut donc être attentif à deux choses : (1) choisir l’outil que l’on utilise avec soin et (2) garder des traces documentaires, encore et toujours.

2. Les réflexes à avoir quant au choix de l’outil

Avant de sélectionner un outil d’IA pour votre cabinet ou votre pratique, il convient de vous interroger sur plusieurs points essentiels.

Premièrement, la question des flux transfrontières de données mérite une attention particulière. La plupart des solutions d’IA générative actuellement sur le marché sont développées par des entreprises américaines : il est donc fréquent que les données ingérées par le système soient transférées hors de l’Union européenne.

Il vous appartient de pouvoir justifier ce transfert. Si les données sont envoyées vers les États-Unis, la situation est aujourd’hui relativement simple : le Tribunal de l’Union européenne a confirmé, pour l’heure, la décision d’adéquation rendue par la Commission au bénéfice du pays de l’Oncle Sam[9]. Juridiquement (bien qu’on puisse peut-être émettre des doutes sur le fait que cela soit le cas en pratique), on considère donc que les données transitant par les Etats-Unis bénéficient d’un niveau de protection équivalent à celui qui est le leur au sein de l’Espace Economique Européen[10]. Il reste toutefois recommandé de vérifier si le fournisseur propose également la signature des clauses contractuelles types (« Standard Conctractual Clauses » ou « SCCs ») de la Commission européenne[11], ou la possibilité de stocker les données sur des serveurs exclusivement localisés en Europe, dans ses conditions générales.

Deuxièmement, le choix de la version de l’outil d’IA est déterminant. Certains outils prévoient, par défaut, que les données transmises ne seront pas utilisées pour réentraîner le modèle : il s’agit généralement des versions payantes ou professionnelles. D’autres, en revanche, réutilisent les données pour améliorer leurs performances, ce qui pose un problème évident de confidentialité et de conformité. Il est donc essentiel de privilégier une version qui garantit que les données ne seront pas exploitées à des fins de réentraînement (évitez, par exemple, la version gratuite de ChatGPT, qui ne propose pas cette garantie). Concrètement, cela signifie que les données que vous transmettez à l’outil restent cantonnées à votre usage et ne servent pas à enrichir le modèle pour d’autres utilisateur.ices.

3. Garder des traces

Enfin, l’utilisation d’un outil d’IA générative ne dispense évidemment pas le ou la responsable du traitement de respecter l’ensemble des obligations prévues par le RGPD lorsqu’il ou elle envisage un nouveau traitement de données à caractère personnel. Plusieurs réflexes s’imposent également, à ce titre.

D’abord, la réalisation d’une analyse d’impact relative à la protection des données (« AIPD ») s’avère, en pratique, incontournable avant toute première utilisation d’un outil d’IA générative. L’usage de l’IA par un.e avocat.e remplit, en effet, plusieurs critères de la liste de l’Autorité de protection des données (« APD ») qui permet de déterminer si, oui ou non, une telle analyse est requise : recours à une technologie innovante, traitement de données sensibles ou relatives à des personnes vulnérables, etc[12].

Rassurez-vous, l’exercice est relativement accessible, d’autant que l’équipe RGPD d’Avocats.be a déjà balisé le terrain : n’hésitez pas à vous appuyer sur la fiche 09, disponible sur l’extranet (ici : https://extranet.avocats.be/sites/extranet/files/2024-06/Fiche%209%20-%20Analyse%20d%20impact%20%28AIPD%29.pdf) afin de réaliser votre analyse d’impact IA.

Ensuite, il convient de respecter le principe de « privacy by design and by default »[13], en veillant à ce que l’outil soit utilisé de la manière la plus respectueuse possible de la vie privée, conformément aux grands principes de l’article 5 du RGPD. Cela implique, par exemple, de choisir une version d’IA adaptée, de limiter les données transmises à l’outil, et d’être en mesure d’expliquer à son ou sa client.e quelles données le ou la concernant ont été traitées et dans quelles conditions.

Enfin, il ne faut pas négliger la documentation : chaque nouveau traitement doit être consigné dans le registre des activités de traitement[14] et, le cas échéant, vous devez mettre à jour votre notice vie privée pour inclure une explication relative aux traitements de données personnelles que vous effectuez à l’aide de l’IA.

Quant à la base de licéité, le recours à l’IA pourra généralement être justifié sur pied de votre intérêt légitime, pour autant que les principes et règles évoqué.es ci-avant aient été scrupuleusement respecté.es.

Attention, toutefois : si vous utilisez cette base de licéité, vous devez également réaliser une analyse pour démontrer que vos intérêts à utiliser l’IA ne sont pas contrebalancés par les droits et libertés fondamentaux de vos clients[15]. À nouveau, soyez prudent.e, et gardez des traces de votre raisonnement et de la justification du traitement. S’il y a une chose à retenir de ce Fil RGPD, c’est probablement bien celle-là !

Martin Rappe
Avocat au barreau de Bruxelles, Assistant à la faculté de droit de l’UNamur et Chercheur au CRIDS (NaDI)

[1] Voy., p. ex., Council of Bars and Law Societies in Europe, « CCBE guide on the use of generative AI by lawyers », 2 octobre 2025, disponible sur https://www.ccbe.eu/fileadmin/speciality_distribution/public/documents/IT_LAW/ITL_Guides_recommendations/EN_ITL_20251002_CCBE-guide-on-the-use-of-the-use-of-generative-AI-for-lawyers.pdf, consulté le 26 octobre 2025.

[2] Madame A-S. Lemaire a défendu publiquement sa thèse, portant sur ce sujet, pas plus tard que le 23 octobre dernier, à titre exemplatif.

[3] Sur ce sujet, voy., p. ex., A. Strowel et F. Wéry, « L’intelligence artificielle pour les juristes », Bruxelles, Larcier,2025, pp. 51 et s.

[4] S. Romans, « Les magistrats ploient sous les conclusions générées l’IA », L’Echo, disponible sur https://www.lecho.be/economie-politique/belgique/general/les-magistrats-ploient-sous-les-conclusions-generees-par-l-ia/10630756.html, consulté le 25 octobre 2025.

[5] On rappellera à cet égard les Lignes directrices à l'intention des avocat(e)s sur l'utilisation de l'intelligence artificielle de l’OVB et de l’OBFG qui prévoient à l’art. 1.2 que l’avocat.e s’abstient de saisir des données à caractère personnel dans les prompts, les entrées et autres documents qu'il ou elle saisit dans les outils d'IA.

[6] RGPD, art. 4 (7).

[7] RGPD, art. 4 (8). Notez que si le fournisseur d’IA utilise les données transmises par l’avocat pour réentraîner son modèle ou pour d’autres traitements distincts, il pourrait tout de même être considéré comme responsable conjoint ou séparé pour ce second traitement.

[8] RGPD, art. 5 (2).

[9] Trib. U.E., arrêt Philippe Latombe c. Commission européenne, 3 septembre 2025, T-553/23, EU:T:2025:831.

[10] RGPD, art. 45.

[11] RGPD, art. 46 (2) (C).

[12] Sans plus entrer dans le détail, notez qu’il ne s’agit là que de la troisième étape du raisonnement à tenir afin de déterminer si, oui ou non, une telle analyse est nécessaire. Pour plus d’informations, voy. le Guide de l’Autorité belge de Protection des données, disponible ici : https://www.autoriteprotectiondonnees.be/publications/guide-analyse-d-impact-relative-a-la-protection-des-donnees.pdf.

[13] RGPD, art. 25.

[14] RGPD, art. 30. Voy. aussi, le modèle de registre disponible sur l’extranet : https://extranet.avocats.be/sites/extranet/files/2024-06/OBFG%20RGPD%20-%20Registre%20avocats%20-%20Modele%20CNIL.docx

[15] RGPD, art. 6 (1) (f).

Vous pouvez toujours adresser vos questions à dataprotection@avocats.be. Nous ferons le maximum pour y apporter une réponse claire dans les meilleurs délais.
Rappelons que tous les documents proposés par la Commission RGPD pour vous faciliter la mise en conformité avec le Règlement se trouvent sur l’extranet d’AVOCATS.BE

A propos de l'auteur

Profile picture for user Martin Rappe
Martin
Rappe
Avocat au barreau de Bruxelles, Assistant à la faculté de droit de l’UNamur et Chercheur au CRIDS (NaDI)

Informations pratiques

Jurisprudence professionnelle : textes et arrêts de la CEDH

Vous trouverez sur le site internet de la Délégation des Barreaux de France les résumés en français des principaux arrêts de la Cour européenne des droits de l’homme qui concernent la profession d’avocat.

Rentrées des jeunes barreaux

Catégories

Agenda des formations

Prenez connaissance des formations, journées d'études, séminaires et conférences organisées par les Ordres des avocats et/ou les Jeunes Barreaux en cliquant ici.

Si vous souhaitez organiser une formation et que vous souhaitez l'octroi de points pour celle-ci, veuillez consulter les modalités qui s'appliquent aux demandes d'agrément dans le document suivant et complétez le formulaire de demande.