AI Act et LegalTech : comment les cabinets d'avocats sont impactés.
Le 2 novembre 2026, les obligations de transparence de l'AI Act entreront en vigueur. Pour les avocats et les éditeurs LegalTech, cela signifie une classification précise des outils utilisés et une documentation adaptée. Voici ce qui change, ce qui est interdit, et comment se préparer.
Avocats et LegalTech : deux rôles, deux responsabilités
L'AI Act distingue deux catégories d'acteurs : les fournisseurs et les déployeurs. Pour les cabinets d'avocats et les éditeurs LegalTech, cette distinction est cruciale.
Les éditeurs LegalTech, comme les développeurs d'outils d'analyse prédictive ou de rédaction assistée, sont considérés comme des fournisseurs de systèmes d'IA. À ce titre, ils doivent respecter les obligations de l'AI Act, notamment en matière de documentation technique, de transparence et de gestion des risques. Les cabinets d'avocats, en revanche, sont des déployeurs lorsqu'ils utilisent ces outils. Leur responsabilité porte sur le choix des systèmes, leur supervision et leur conformité aux règles déontologiques.
Cette dualité implique une collaboration étroite entre éditeurs et utilisateurs. Les fournisseurs doivent fournir une documentation claire sur les capacités et les limites de leurs outils, tandis que les avocats doivent s'assurer que ces outils respectent les principes de confidentialité et de secret professionnel. Le Règlement UE 2024/1689 précise que les déployeurs doivent vérifier que les systèmes utilisés sont conformes aux exigences applicables.
Quels outils LegalTech sont concernés par l'AI Act ?
Tous les outils LegalTech intégrant de l'IA ne sont pas soumis aux mêmes obligations. Leur classification dépend de leur usage et de leur impact potentiel.
Les outils de recherche documentaire, comme Lexis+ AI ou Doctrine, sont généralement considérés comme à risque limité. Leur usage ne nécessite pas de documentation lourde, mais ils doivent respecter les obligations de transparence, notamment en informant les utilisateurs qu'ils interagissent avec une IA. En revanche, les outils d'analyse prédictive des litiges ou d'aide à la décision judiciaire peuvent être classés comme haut risque si leur usage influence directement une décision juridique ou judiciaire.
Le glossaire AI Act d'AiActo précise que les systèmes haut risque doivent faire l'objet d'une évaluation des risques, d'une documentation technique approfondie et d'une supervision humaine continue. Pour les avocats, cela signifie qu'un outil comme Harvey AI, utilisé pour la rédaction d'actes, pourrait être à risque limité, tandis qu'un outil prédisant l'issue d'un litige nécessiterait une conformité plus stricte.
Systèmes haut risque : ce que dit l'Annexe III.8
L'Annexe III du Règlement AI Act liste les systèmes d'IA considérés comme haut risque. Le point 8 vise spécifiquement les outils utilisés dans le domaine judiciaire.
Selon l'Annexe III.8, sont considérés comme haut risque les systèmes d'IA utilisés par les autorités judiciaires ou en leur nom pour :
- rechercher des faits ou des preuves,
- interpréter la loi,
- appliquer la loi à une situation factuelle.
Cette définition s'applique également aux outils utilisés par les avocats si leur usage influence directement une décision judiciaire. Par exemple, un outil prédisant l'issue d'un litige et utilisé pour conseiller un client sur une stratégie contentieuse pourrait être classé comme haut risque. Les éditeurs de tels outils doivent se conformer aux obligations strictes de l'AI Act, notamment en matière de documentation, de traçabilité et de supervision humaine.
Le Conseil National des Barreaux (CNB) a publié en 2024 un guide sur l'IA et la déontologie des avocats, soulignant la nécessité d'une vigilance accrue sur les outils utilisés. Ce guide rappelle que les avocats restent responsables des conseils donnés, même lorsqu'ils s'appuient sur des outils d'IA.
Secret professionnel et souveraineté des données
Les données confiées par les clients à un avocat bénéficient d'une protection particulière. Leur traitement par des outils d'IA soulève des questions juridiques et éthiques.
Le secret professionnel et le RGPD imposent aux avocats de garantir la confidentialité des données de leurs clients. L'utilisation d'outils d'IA hébergés hors de l'Union européenne, comme certains services cloud américains, expose à des risques juridiques. Le Cloud Act américain permet en effet aux autorités américaines d'accéder aux données stockées par des entreprises américaines, même si ces données sont hébergées en Europe.
Pour se conformer à l'AI Act et au RGPD, les cabinets d'avocats doivent privilégier des solutions souveraines, hébergées dans l'UE et respectant les normes européennes de protection des données. Les éditeurs LegalTech doivent également documenter les mesures prises pour garantir la confidentialité des données traitées par leurs outils. La CNIL recommande notamment :
- le chiffrement des données,
- l'anonymisation ou la pseudonymisation des données sensibles,
- l'utilisation de serveurs localisés dans l'UE.
Les avocats doivent également informer leurs clients de l'utilisation d'outils d'IA dans le traitement de leur dossier, conformément aux obligations de transparence de l'AI Act et du RGPD.
Responsabilité de l'avocat : un nouveau risque juridique
L'utilisation d'outils d'IA dans un cabinet d'avocats introduit de nouvelles responsabilités et expose à des risques juridiques inédits.
Un avocat qui s'appuie sur une IA pour conseiller un client engage sa responsabilité professionnelle. Si l'outil commet une erreur ou fournit une analyse erronée, l'avocat peut être tenu pour responsable, surtout si l'usage de l'IA n'a pas été clairement documenté et supervisé. L'AI Act renforce cette responsabilité en imposant aux déployeurs de systèmes haut risque une obligation de supervision humaine et de traçabilité des décisions prises avec l'aide de l'IA.
Les éditeurs LegalTech ne sont pas en reste. En tant que fournisseurs, ils doivent garantir que leurs outils respectent les obligations de l'AI Act, notamment en matière de transparence et de gestion des risques. En cas de défaillance, leur responsabilité civile ou pénale pourrait être engagée. Les contrats entre éditeurs et cabinets doivent donc préciser les rôles et responsabilités de chacun, ainsi que les garanties offertes par le fournisseur.
Pour limiter ces risques, les cabinets d'avocats doivent mettre en place une politique d'utilisation des outils d'IA, incluant une formation des équipes, une évaluation régulière des outils utilisés et une documentation des processus de supervision. Les éditeurs LegalTech, quant à eux, doivent intégrer la conformité AI Act dès la conception de leurs outils, en adoptant une approche privacy by design et security by design.
Votre cabinet utilise-t-il des outils LegalTech conformes ?
Identifiez vos obligations AI Act en 3 minutes avec notre diagnostic gratuit. Adapté aux avocats et aux éditeurs LegalTech.
Questions fréquentes
Réponses aux interrogations des avocats et des éditeurs LegalTech sur l'AI Act.
Un outil de rédaction assistée comme Harvey AI est généralement considéré comme à risque limité au sens de l'AI Act. Il doit respecter les obligations de transparence, notamment en informant l'utilisateur qu'il interagit avec une IA. En revanche, il n'est pas soumis aux exigences strictes applicables aux systèmes haut risque, comme l'évaluation des risques ou la documentation technique approfondie. Cependant, les avocats doivent s'assurer que l'outil respecte les règles déontologiques, notamment en matière de confidentialité des données.
Un outil d'analyse prédictive des litiges peut être classé comme haut risque si son usage influence directement une décision judiciaire ou stratégique. Dans ce cas, l'avocat engage sa responsabilité professionnelle en cas d'erreur ou de biais dans les prédictions. L'AI Act impose une supervision humaine et une traçabilité des décisions prises avec l'aide de l'outil. De plus, si l'outil est hébergé hors de l'UE, l'avocat s'expose à des risques liés au secret professionnel et au RGPD, notamment en cas d'accès aux données par des autorités étrangères.
Un éditeur LegalTech doit d'abord classifier ses outils selon les catégories de l'AI Act (risque limité, haut risque, interdit). Pour les systèmes haut risque, il doit mettre en place une documentation technique conforme à l'Annexe IV du Règlement, réaliser une évaluation des risques, et garantir une supervision humaine des décisions prises avec l'outil. Les éditeurs doivent également respecter les obligations de transparence, notamment en informant les utilisateurs des limites de l'IA. Enfin, ils doivent s'assurer que leurs outils respectent le RGPD et les règles de confidentialité, en privilégiant des solutions souveraines et hébergées dans l'UE.
Les avocats utilisant des outils d'IA doivent informer leurs clients de l'utilisation de ces outils dans le traitement de leur dossier, conformément aux obligations de transparence de l'Article 50 de l'AI Act. Cette information doit être claire et accessible, sans jargon technique. Pour les systèmes haut risque, les avocats doivent également documenter les décisions prises avec l'aide de l'IA et garantir une supervision humaine. Enfin, ils doivent s'assurer que les outils utilisés respectent les règles déontologiques, notamment en matière de confidentialité et de secret professionnel.
L'utilisation d'outils d'IA hébergés aux États-Unis expose les cabinets d'avocats à des risques juridiques liés au Cloud Act américain. Ce texte permet aux autorités américaines d'accéder aux données stockées par des entreprises américaines, même si ces données sont hébergées en Europe. Pour les avocats, cela pose un problème majeur en matière de secret professionnel et de confidentialité des données clients. La CNIL recommande de privilégier des solutions souveraines, hébergées dans l'UE et respectant les normes européennes de protection des données. En cas d'utilisation d'outils américains, les avocats doivent informer leurs clients des risques et obtenir leur consentement éclairé.