IA et Secret Professionnel : Où se Trouve la Limite à Ne Pas Franchir ?

Quand l'intelligence artificielle entre dans la salle de réunion confidentielle

Un avocat rédige un mémoire. Pour gagner du temps, il colle l'intégralité du dossier de son client dans une interface de chat IA. En quelques secondes, la synthèse est prête. Pratique. Efficace. Et potentiellement catastrophique.

Ce scénario n'est pas hypothétique. Il se joue chaque jour dans des cabinets juridiques, des services RH, des équipes médicales ou des directions financières à travers la France et l'Europe. L'intelligence artificielle générative — ces outils capables de rédiger, analyser, résumer et répondre en langage naturel — a pénétré les environnements professionnels à une vitesse que les cadres juridiques peinent à suivre. Et avec elle, une question s'est imposée avec une acuité nouvelle : jusqu'où peut-on aller sans franchir la ligne rouge du secret professionnel ?

La réponse courte : cette ligne existe, elle est ferme, et beaucoup d'organisations ne savent pas encore où elle se situe. La réponse longue mérite qu'on s'y attarde sérieusement.

---

Ce que le secret professionnel recouvre vraiment à l'ère numérique

Le secret professionnel n'est pas une notion abstraite réservée aux cabinets d'avocats ou aux médecins. C'est une obligation légale qui s'impose à un large spectre de professionnels : juristes, experts-comptables, notaires, soignants, psychologues, conseillers financiers, et bien d'autres encore. En France, l'article 226-13 du Code pénal punit sa violation d'un an d'emprisonnement et de 15 000 euros d'amende.

Ce que l'on oublie souvent, c'est que ce secret ne protège pas seulement les informations explicitement marquées "confidentiel". Il couvre tout ce qu'un professionnel apprend dans le cadre de sa mission, y compris ce qu'il déduit, ce qu'il observe, ou ce qui lui est transmis de manière informelle. Un email, une note interne, un document de travail partagé lors d'un échange client : tout cela peut relever du secret professionnel.

Le problème avec l'IA générative, c'est qu'elle ne fait pas cette distinction. Elle ingère tout ce qu'on lui donne.

Comme le rappelle le Conseil national des barreaux dans son analyse sur la déontologie et l'IA, lorsqu'un avocat utilise un service d'IA hébergé par un prestataire tiers, il transfère potentiellement des données couvertes par le secret professionnel à des tiers non autorisés. Ce transfert, même involontaire, peut constituer une violation caractérisée de ses obligations déontologiques. Et cela vaut pour l'ensemble des professionnels soumis à des obligations similaires.

La numérisation n'a pas créé ce risque. Elle l'a amplifié à une échelle que les régulateurs n'avaient pas anticipée.

Le RGPD : un filet de protection qui ne couvre pas tout

Le Règlement général sur la protection des données (RGPD) est souvent présenté comme le garde-fou ultime. C'est une erreur de simplification.

Le RGPD encadre le traitement des données personnelles. Il impose notamment que toute transmission de données à un prestataire — y compris une plateforme d'IA — soit encadrée par un contrat de sous-traitance précis, avec des garanties explicites sur l'usage, le stockage et la durée de conservation des données.

Mais le secret professionnel va plus loin. Il couvre aussi des informations qui ne sont pas nominatives au sens strict : une stratégie d'entreprise, une situation financière, une procédure judiciaire en cours. Ces données peuvent être traitées par une IA sans déclencher les mécanismes de protection du RGPD, tout en constituant une violation grave du secret professionnel.

La CNIL elle-même l'a explicité dans son analyse sur l'IA et les données de santé : la ré-identification de données supposément anonymisées, la centralisation des informations et les usages secondaires non prévus constituent des risques réels que les professionnels de santé — et au-delà — doivent impérativement anticiper. Un modèle d'IA entraîné sur des données médicales peut, dans certaines conditions, reconstituer des profils individuels à partir d'informations apparemment anodines.

Deux régimes juridiques, deux logiques de protection. Et entre les deux, une zone grise que l'IA générative occupe avec une aisance déconcertante.

---

Les risques concrets que les entreprises sous-estiment

Parlons de ce qui se passe réellement sur le terrain. Pas de théorie : des comportements quotidiens, documentés, qui créent des vulnérabilités sérieuses.

Le premier risque est aussi le plus répandu : le copier-coller incontrôlé. Un salarié, sous pression, copie un contrat client, un rapport d'audit ou un compte-rendu de réunion stratégique directement dans le prompt d'un outil d'IA grand public. L'outil répond en quelques secondes. Ce que le salarié ignore souvent, c'est que cette donnée peut être utilisée pour améliorer le modèle sous-jacent, ou stockée sur des serveurs situés hors de l'Union européenne, sans les garanties contractuelles requises.

Village Justice, dans son analyse sur les risques de l'IA générative pour le secret professionnel, identifie plusieurs lignes rouges opérationnelles que juristes et délégués à la protection des données (DPO) doivent intégrer : ne jamais soumettre à une IA générative des informations identifiables sur une partie adverse, un client ou un dossier en cours sans cadre juridique établi au préalable.

Le deuxième risque est plus insidieux : la normalisation progressive. Quand un outil d'IA devient un réflexe de travail — comme l'email ou la messagerie instantanée — les utilisateurs cessent d'interroger la nature des données qu'ils partagent. Le geste devient automatique. La vigilance s'émousse.

Le troisième risque, enfin, est organisationnel. La plupart des entreprises n'ont pas encore de politique formelle d'usage de l'IA. Elles n'ont pas défini ce qui peut être partagé avec un outil externe, ce qui doit rester en interne, et ce qui est tout simplement interdit. En l'absence de cadre, chaque salarié improvise selon sa propre appréciation du risque — c'est-à-dire, le plus souvent, avec une appréciation insuffisante.

Une analyse pédagogique publiée sur le blog d'Onyri Sanitize documente précisément ces comportements : copier-coller de contenus confidentiels, soumission de documents internes en pièces jointes à des interfaces IA, utilisation de prompts révélant des informations stratégiques sur des clients ou des partenaires. Ces pratiques sont courantes. Elles sont risquées. Et elles sont évitables.

Le secteur de la santé, cas d'école d'un risque amplifié

Le secteur médical illustre avec une clarté particulière l'ampleur des enjeux. Les données de santé sont parmi les plus sensibles qui existent. Elles relèvent simultanément du secret médical, du RGPD dans sa catégorie des données dites "sensibles", et d'obligations déontologiques strictes inscrites dans le Code de la santé publique.

Selon l'équipe universitaire qui a publié dans la Revue Risques et Qualité en Santé, le cadre légal français distingue clairement les traitements licites — à des fins de soin direct ou de recherche encadrée — des usages disproportionnés qui portent atteinte au secret médical. L'IA, utilisée sans protocole, peut basculer d'un usage licite à une violation grave sans que le professionnel de santé ne s'en rende compte.

Les algorithmes de diagnostic, les outils d'aide à la décision clinique, les chatbots de triage : tous nécessitent un hébergement conforme, des contrats adaptés, et une gouvernance des données rigoureuse. Ce n'est pas optionnel. C'est une condition de légalité.

---

Les bonnes pratiques pour concilier IA et confidentialité

Admettons-le : l'IA générative ne va pas disparaître des environnements professionnels. Ni le souhait, ni la nécessité. La question n'est donc pas de choisir entre innovation et conformité. C'est de construire un cadre qui permette les deux.

Plusieurs approches concrètes ont émergé des travaux des régulateurs et des praticiens.

La première est l'anonymisation systématique avant toute soumission à un outil d'IA. Avant d'envoyer un document à une interface externe, supprimez ou remplacez tous les éléments identifiants : noms de personnes physiques ou morales, références de dossiers, données financières précises. Ce n'est pas une solution parfaite — une IA très performante peut parfois reconstituer des informations à partir de fragments — mais c'est une barrière raisonnablement efficace pour les usages courants.

La deuxième approche est le cloisonnement des cas d'usage. Tout ce qui peut être traité par une IA n'a pas le même niveau de sensibilité. La rédaction d'une FAQ générique, la synthèse d'articles de presse publics, la correction grammaticale d'un document sans données confidentielles : ces tâches présentent un risque minimal. En revanche, l'analyse d'un contrat client, la synthèse d'un dossier médical ou la rédaction d'une argumentation juridique requièrent des précautions incomparablement plus strictes. Définir ces catégories en amont, c'est donner aux équipes un cadre clair pour décider.

La troisième approche est contractuelle. Le Conseil national des barreaux recommande explicitement de vérifier, avant tout usage d'un outil d'IA tiers, que les conditions générales d'utilisation garantissent la non-réutilisation des données soumises pour l'entraînement du modèle, et que la localisation des serveurs est compatible avec les exigences du RGPD. Pour les professionnels soumis au secret, cela devrait même prendre la forme d'un contrat de sous-traitance formalisé.

La quatrième approche, enfin, est organisationnelle : mettre en place une politique interne d'usage de l'IA. Ce document — parfois appelé "charte IA" — définit ce qui est autorisé, ce qui est interdit, les outils validés par la direction informatique ou juridique, et les procédures à suivre en cas de doute. Comme le préconise l'analyse d'Onyri Sanitize, cette politique doit être accompagnée de formations régulières pour que les équipes comprennent concrètement les risques — et pas seulement les règles.

Ce que l'Europe construit pour encadrer demain

Le cadre réglementaire européen évolue. Le règlement européen sur l'IA — l'AI Act — classifie les systèmes d'IA selon leur niveau de risque. Les outils utilisés dans des contextes médicaux, juridiques ou financiers sont généralement considérés comme à "haut risque", ce qui implique des obligations renforcées en matière de transparence, de traçabilité et de surveillance humaine.

Ce cadre ne remplace pas les obligations déontologiques existantes. Il les complète. Et il rappelle une vérité fondamentale : la responsabilité ne disparaît pas parce qu'on délègue une tâche à une machine. Le professionnel qui soumet un dossier confidentiel à un outil d'IA reste responsable de cette décision, juridiquement et déontologiquement.

La CNIL l'a formulé clairement dans son analyse des enjeux liés à l'IA et au secret médical : l'utilisation d'algorithmes ne dispense pas les professionnels de leurs obligations de confidentialité. Elle les oblige, au contraire, à redoubler de vigilance dans le choix de leurs outils et de leurs prestataires.

---

Conclusion : l'IA est un outil, la responsabilité reste humaine

L'intelligence artificielle ne menace pas le secret professionnel par malveillance. Elle le fragilise par commodité. Par rapidité. Par l'absence de cadre structuré dans trop d'organisations.

La ligne à ne pas franchir n'est pas mystérieuse. Elle est définie par le droit, la déontologie, et le bon sens professionnel. Ce qui a toujours été interdit de divulguer à un tiers non autorisé l'est tout autant lorsque ce tiers est un algorithme hébergé à l'autre bout du monde.

Ce que l'IA change, c'est la vitesse à laquelle cette ligne peut être franchie — souvent sans que personne ne s'en rende compte sur le moment. Un prompt rédigé à la va-vite, un document collé sans réflexion, une habitude qui se normalise : c'est ainsi que se construisent les incidents.

La réponse n'est pas de bannir l'IA des environnements professionnels. Ce serait à la fois illusoire et contre-productif. C'est de la gouverner avec la même rigueur qu'on applique à n'importe quelle autre pratique à risque : par des politiques claires, des formations régulières, des outils validés, et une culture de la vigilance qui ne cède pas à la pression de l'efficacité immédiate.

Les organisations qui réussiront cette transition ne seront pas celles qui adoptent l'IA le plus vite. Ce seront celles qui l'adoptent le plus intelligemment, en comprenant que la confiance de leurs clients, patients ou partenaires est une valeur que nul gain de productivité ne saurait compenser.

La technologie avance. La responsabilité, elle, ne se délègue pas.