Médecins, avocats, comptables : ce que l'IA fait vraiment de vos données sensibles

Quand vos secrets les mieux gardés entrent dans une machine

Imaginez ceci. Vous consultez votre médecin pour un problème de santé délicat. Votre avocat rédige votre contrat de divorce. Votre expert-comptable finalise votre déclaration fiscale. Dans ces trois cabinets, il se passe désormais quelque chose que vous ne voyez pas : une intelligence artificielle traite, analyse, et parfois stocke des informations qui vous appartiennent. Des informations que vous n'avez communiquées à personne d'autre.

Ce n'est pas de la science-fiction. C'est le quotidien de millions de Français en 2025. L'IA s'est installée dans les professions réglementées à une vitesse que peu d'observateurs avaient anticipée, et cette adoption massive soulève une question fondamentale que beaucoup évitent encore de poser franchement : vos données les plus intimes sont-elles vraiment en sécurité ?

La réponse courte est : pas toujours. Et la raison est plus structurelle que technique. Les outils existent pour protéger vos données. Le cadre juridique aussi. Mais l'articulation entre les deux reste fragile, inégale selon les professions, et souvent mal comprise par les professionnels eux-mêmes. Voici ce que vous devez savoir, profession par profession.

Ce que la loi appelle "données sensibles" — et pourquoi cela change tout

Avant d'entrer dans le détail des risques, il faut poser un cadre. Toutes vos données ne se valent pas aux yeux de la loi. Certaines bénéficient d'une protection renforcée parce que leur divulgation peut causer des préjudices particulièrement graves : discrimination, stigmatisation, atteinte à la vie privée irréversible.

Selon la définition établie par la CNIL, les données sensibles regroupent notamment les données de santé, les données génétiques, les convictions religieuses ou politiques, l'origine ethnique, et les données relatives à la vie sexuelle. Ces catégories sont encadrées par le Règlement général sur la protection des données (RGPD), entré en vigueur en 2018, qui impose des obligations bien plus strictes à quiconque les traite.

Concrètement, cela signifie quoi ? Un professionnel qui utilise un outil d'IA pour traiter vos données de santé ne peut pas simplement s'en remettre à la politique de confidentialité du logiciel. Il doit s'assurer que le traitement repose sur une base légale explicite, que les données sont minimisées, que des mesures techniques robustes sont en place, et qu'aucune réutilisation non autorisée n'est possible. La responsabilité est personnelle. Elle engage le médecin, l'avocat, l'expert-comptable — pas seulement l'éditeur du logiciel.

Le problème central tient à une réalité simple. Beaucoup de professionnels adoptent des outils d'IA sans procéder à cette vérification. Ils utilisent des assistants de rédaction, des plateformes d'analyse documentaire, ou des logiciels de transcription qui envoient des données vers des serveurs étrangers, parfois situés hors de l'Union européenne, sans que ni eux ni leurs clients ne le sachent vraiment.

La notion de secret professionnel face à l'IA générative

Le secret professionnel est l'une des pierres angulaires des professions réglementées. Un avocat ne peut pas divulguer ce que vous lui confiez. Un médecin est soumis au secret médical. Un expert-comptable est tenu à la discrétion professionnelle. Ces obligations existent depuis des décennies et font l'objet de sanctions pénales en cas de violation.

Mais ces règles ont été conçues pour un monde sans IA générative. Quand un avocat copie un mémorandum confidentiel dans ChatGPT pour qu'il soit reformulé, ce contenu alimente potentiellement les bases d'entraînement futures du modèle. Quand un médecin dicte une anamnèse à un outil de transcription automatique, à qui appartient l'enregistrement ? Ces questions ne sont pas encore tranchées avec netteté par la jurisprudence française, et c'est précisément là que le risque est le plus élevé.

Dans les cabinets médicaux : quand l'IA touche à l'intime

La santé est probablement le secteur où l'IA progresse le plus vite, et où les enjeux de confidentialité sont les plus lourds. Les données de santé sont qualifiées par le RGPD de "catégorie particulière" précisément parce que leur exposition peut affecter l'emploi, l'assurance, les relations familiales — toute une vie, parfois.

La CNIL a publié un cadre de référence détaillé sur l'usage de l'IA dans le secteur de la santé. Ce document identifie plusieurs risques majeurs : la réutilisation non autorisée des données par les fournisseurs d'IA, les biais algorithmiques susceptibles d'affecter des populations vulnérables, et l'absence de traçabilité sur qui a accès à quoi et dans quel but. La CNIL insiste sur la nécessité d'une gouvernance des données rigoureuse, d'une anonymisation systématique lorsque c'est possible, et d'une robustesse technique sans compromis.

Les usages de l'IA en médecine sont pourtant séduisants et souvent légitimes. Aide au diagnostic, détection précoce de certaines pathologies, gestion administrative allégée, transcription automatique des consultations. Ces outils peuvent améliorer la qualité des soins et réduire la charge cognitive des médecins. Mais leur déploiement pose une question concrète que peu de patients se posent encore : où vont mes données ?

Les recommandations d'ONYRI Sanitize sur la protection des données de santé dans le cloud soulignent trois piliers techniques indispensables : le chiffrement de bout en bout, l'anonymisation avant tout traitement par un système d'IA, et une gouvernance stricte des accès. Ces exigences ne sont pas optionnelles. Elles constituent le minimum requis pour toute solution déployée dans un cabinet médical qui se veut conforme au RGPD.

Le constat est pourtant nuancé. Plusieurs établissements hospitaliers français ont développé des partenariats avec des éditeurs de logiciels qui hébergent les données sur des serveurs situés aux États-Unis, sous couvert de l'accord Data Privacy Framework. Ce cadre juridique transatlantique reste contesté par plusieurs organismes européens de protection des données, ce qui crée une zone de vulnérabilité réelle pour les patients.

Les transcriptions automatiques : un angle mort inquiétant

Un cas concret mérite d'être signalé. De nombreux médecins généralistes utilisent désormais des outils de dictée médicale alimentés par l'IA pour rédiger leurs comptes rendus de consultation. Ces outils, souvent pratiques et bien conçus, enregistrent la voix du praticien — et parfois celle du patient — pour produire un texte structuré.

Ce qui se passe ensuite est moins transparent. Certains de ces enregistrements sont traités en temps réel sur des serveurs distants. D'autres sont conservés temporairement pour améliorer les modèles. La plupart des patients ignorent totalement que leur consultation a été, en partie, traitée par un système automatisé tiers. Ce n'est pas nécessairement illégal. Mais cela pose une question de consentement éclairé que les professionnels de santé ne peuvent plus ignorer.

Dans les cabinets d'avocats : le secret professionnel à l'épreuve de l'algorithme

Le secret professionnel de l'avocat est absolu, au sens juridique du terme. Il protège toutes les informations confiées dans le cadre de la relation client, sans exception ni limitation dans le temps. C'est l'un des fondements de l'État de droit : sans confidentialité garantie, personne ne peut se défendre librement.

L'intelligence artificielle arrive donc dans un espace particulièrement sensible. Et les avocats, comme beaucoup de professionnels, ont commencé à adopter des outils d'IA pour des tâches concrètes : recherche juridique, analyse de contrats, rédaction de conclusions, veille réglementaire. La productivité gagnée est réelle. Les risques associés le sont tout autant.

Le Conseil national des barreaux a publié un guide pratique sur l'IA dans la profession d'avocat. Ce document identifie clairement le problème central : lorsqu'un avocat utilise une plateforme d'IA généraliste pour travailler sur un dossier client, il transfère potentiellement des informations couvertes par le secret professionnel à un tiers — l'éditeur du logiciel — sans base contractuelle solide ni garantie de confidentialité équivalente à celle qui lie l'avocat à son client.

La recommandation du CNB est claire. Les avocats doivent privilégier des solutions d'IA déployées en environnement sécurisé et cloisonné, idéalement hébergées en Europe, avec des contrats de sous-traitance conformes au RGPD. Ils doivent également informer leurs clients de l'utilisation de ces outils et obtenir leur consentement explicite lorsque des données couvertes par le secret professionnel sont impliquées.

La réalité du terrain est plus contrastée. Une partie significative des cabinets, en particulier les structures de taille moyenne, utilise des outils grand public sans avoir procédé à cette vérification. Non par négligence délibérée, mais par manque de formation et de ressources dédiées à la conformité numérique. C'est un angle mort structurel que la profession est en train de combler, lentement.

L'IA et le risque de fuite documentaire involontaire

Un risque spécifique mérite d'être mentionné : la fuite documentaire par apprentissage automatique. Certains modèles d'IA en ligne apprennent de ce qu'on leur soumet. Un avocat qui interroge un assistant IA sur les termes d'un accord de confidentialité en copiant des extraits du document réel contribue potentiellement à alimenter la base d'apprentissage de ce modèle. Ce risque varie selon les plateformes et leurs conditions d'utilisation — raison pour laquelle lire les conditions générales d'un outil d'IA n'est pas un luxe, mais une obligation professionnelle.

Dans les cabinets comptables : des données fiscales qui valent de l'or

Les données fiscales et comptables ne sont pas, au sens strict du RGPD, des "données sensibles" au même titre que les données de santé. Mais elles sont extrêmement précieuses : elles révèlent vos revenus, votre patrimoine, vos habitudes de consommation, votre situation professionnelle et parfois personnelle. Pour un acteur malveillant, accéder aux données comptables d'une entreprise ou d'un particulier fortuné peut valoir des millions.

L'Ordre des experts-comptables a publié des lignes directrices sur l'usage de l'IA dans la profession. Ces recommandations insistent sur trois dimensions : la confidentialité des données clients, la cybersécurité des outils utilisés, et la responsabilité personnelle du professionnel en cas de violation. Un expert-comptable qui confie des données fiscales à une plateforme cloud non conforme engage sa responsabilité professionnelle — et potentiellement pénale.

L'adoption de l'IA dans les cabinets comptables s'est accélérée pour des raisons pratiques. La réconciliation bancaire automatisée, la détection d'anomalies dans les écritures, la génération de rapports financiers : ces fonctions permettent de traiter plus de dossiers avec les mêmes équipes. Mais elles impliquent que des données financières confidentielles circulent entre plusieurs systèmes, parfois sans que le client en soit informé.

Un point technique crucial ici. Les logiciels comptables les plus utilisés en France ont massivement migré vers le cloud. Cette migration est généralement bien encadrée par des hébergeurs certifiés. Mais l'ajout de modules d'IA tiers — souvent proposés en option par des éditeurs indépendants — crée des flux de données supplémentaires qui ne font pas toujours l'objet d'une évaluation d'impact sur la protection des données (EIPD), pourtant obligatoire dans certains cas selon le RGPD.

Que vérifier avant de signer avec un cabinet qui utilise l'IA ?

La question n'est plus de savoir si votre médecin, votre avocat ou votre expert-comptable utilise l'IA. Ils l'utilisent probablement déjà, ou le feront bientôt. La vraie question est de savoir comment.

Quelques vérifications concrètes à effectuer. Demandez à votre professionnel quels outils d'IA il utilise et où les données sont hébergées. Vérifiez si un contrat de sous-traitance conforme au RGPD a été conclu avec le fournisseur de l'outil. Demandez à consulter la politique de confidentialité du logiciel utilisé. Assurez-vous que vos données ne sont pas utilisées pour l'entraînement de modèles IA sans votre consentement explicite. Ces questions peuvent sembler techniques. Elles sont en réalité le strict minimum d'un consommateur informé en 2025.

Ce que vous pouvez faire pour protéger vos données — et pourquoi cela dépend aussi des professionnels

La protection de vos données sensibles ne repose pas uniquement sur vous. Elle est d'abord la responsabilité des professionnels qui les traitent. Mais vous n'êtes pas pour autant un acteur passif de cette équation.

Le RGPD vous confère des droits concrets : droit d'accès à vos données, droit de rectification, droit à l'effacement dans certains cas, droit d'opposition au traitement automatisé. Ces droits s'appliquent y compris dans le contexte d'un cabinet médical ou juridique. Vous pouvez les exercer en écrivant directement au professionnel concerné.

La CNIL, en tant qu'autorité de contrôle française, joue un rôle central dans ce dispositif. Elle peut être saisie en cas de violation supposée, elle publie des recommandations sectorielles, et elle dispose de pouvoirs de sanction significatifs. Une amende peut atteindre 4 % du chiffre d'affaires mondial d'une entreprise, ou 20 millions d'euros — mais ces sanctions restent rares pour les petits cabinets libéraux.

La vraie protection passe par une combinaison de mesures techniques et organisationnelles que les professionnels doivent adopter proactivement. Chiffrement des données au repos et en transit. Pseudonymisation avant tout traitement par une IA externe. Contrats de sous-traitance conformes. Formation des équipes à la sécurité informatique. Audits réguliers des outils utilisés. Ce n'est pas une liste intimidante. C'est le standard minimal d'un professionnel responsable en 2025.

L'enjeu dépasse d'ailleurs le simple respect de la loi. La confiance est le capital immatériel des professions réglementées. Un médecin dont les données patients fuient, un avocat dont les dossiers sont exposés, un comptable dont les fichiers fiscaux sont compromis — ces situations ne sont pas seulement des violations juridiques. Elles sont des catastrophes professionnelles. Et elles sont évitables, à condition de traiter la sécurité des données comme ce qu'elle est réellement : une composante fondamentale de l'exercice de ces métiers, pas un détail administratif.

L'intelligence artificielle va continuer de progresser dans les cabinets professionnels. Personne ne peut ni ne devrait l'arrêter — ses bénéfices sont trop réels. Mais cette progression doit s'accompagner d'une exigence croissante de la part des professionnels eux-mêmes, des régulateurs, et des patients et clients qui leur font confiance au moment où ils sont les plus vulnérables.