STARTUP-UP
2026-05-05·12 min

AI Act, RGPD, secret professionnel : trois cadres que toute LegalTech doit maîtriser

L'AI Act est entré en application progressivement depuis 2024. Combiné au RGPD et au secret professionnel, il dessine un cadre strict que toute startup IA juridique doit intégrer dès l'architecture initiale.

L'AI Act est entré en application progressivement depuis 2024. Combiné au RGPD et aux exigences déontologiques de la profession d'avocat (secret professionnel, indépendance), il dessine un cadre strict pour toute LegalTech qui prétend transformer le juridique.

Cet article décompose les trois cadres et explique ce qu'ils impliquent concrètement pour une startup IA juridique.

L'AI Act — la classification par risque

AI Act = Règlement (UE) 2024/1689 sur l'intelligence artificielle, adopté le 13 juin 2024.

Application progressive (calendrier confirmé Commission européenne) :

  • 1er août 2024 : entrée en vigueur officielle (publication au JOUE + 20 jours)
  • 2 février 2025 : pratiques interdites applicables (Article 5 — IA à risque inacceptable)
  • 2 août 2025 : règles pour les modèles d'IA à usage général (GPAI)
  • 2 août 2026 : règles pour les systèmes d'IA à haut risque
  • 2 août 2027 : déploiement complet du règlement

Classification par niveau de risque :

  • Risque inacceptable (interdit) : scoring social par les autorités publiques, manipulation comportementale, identification biométrique en temps réel dans l'espace public (sauf exceptions strictes).
  • Risque élevé : justice (aide à la décision juridictionnelle), recrutement (tri de CV), biométrie, infrastructures critiques, éducation, accès aux services essentiels. Obligations lourdes : système de gestion des risques, qualité des données, documentation technique, supervision humaine, robustesse, transparence vers l'utilisateur.
  • Risque limité : chatbots, deepfakes — obligation de transparence (l'utilisateur doit savoir qu'il interagit avec une IA).
  • Risque minimal : la majorité des cas d'usage. Pas d'obligations spécifiques.

Pour une LegalTech : la plupart des outils tombent en risque limité ou élevé selon le positionnement. Un assistant de recherche jurisprudentielle = risque limité. Un système qui produit des décisions juridictionnelles = risque élevé. La frontière compte juridiquement.

Source : Commission européenne, Règlement 2024/1689 (EUR-Lex).

Le RGPD — toujours là, toujours strict

Le RGPD (Règlement UE 2016/679) reste le socle. Pour une LegalTech, plusieurs points sont incontournables.

Données personnelles dans les dossiers contentieux : Une LegalTech traite massivement des données personnelles (parties à un litige, témoins, mineurs, personnes vulnérables). Chaque traitement doit avoir une base légale claire.

Transferts hors UE : Attention aux modèles IA hébergés aux États-Unis (OpenAI, Anthropic, Google). Sans clauses contractuelles types ou décision d'adéquation, le transfert est illégal. Conséquence pratique : pour une LegalTech française, l'hébergement souverain (UE) est fortement recommandé. Cela limite le choix des fournisseurs cloud à Microsoft Azure Europe, OVHcloud, Outscale, ou équivalents.

Droit d'accès et droit à l'oubli : La personne concernée peut demander l'accès aux données traitées et leur suppression. Une LegalTech doit pouvoir exécuter ces demandes sans casser son architecture.

Analyse d'impact (DPIA) obligatoire : Pour les traitements à risque (et un traitement IA appliqué à des données juridiques en est un), une DPIA est obligatoire avant de démarrer le traitement.

Source : CNIL, Règlement 2016/679.

Le secret professionnel et la déontologie avocat

Cadre français spécifique à connaître pour toute LegalTech utilisée par un avocat ou un service juridique d'entreprise.

Article 226-13 du Code pénal : violation du secret professionnel — un an d'emprisonnement et 15 000 € d'amende. Le secret couvre « tout ce qui leur est confié, mais aussi ce qu'ils ont vu, entendu ou compris dans l'exercice de leur ministère ».

Article 66-5 de la loi du 31 décembre 1971 : étendue au correspondance client-avocat. Toutes les pièces dans les dossiers (consultations, correspondances, notes) sont couvertes.

Règles déontologiques CNB : indépendance de l'avocat, conflit d'intérêts, loyauté envers le client. Un outil qui dépendrait d'un fournisseur extérieur en mode boîte noire crée des risques déontologiques.

Pour une LegalTech utilisée par un avocat :

  • Confidentialité absolue des données traitées — chiffrement au repos et en transit
  • Pas de transmission à des tiers, y compris au fournisseur du modèle IA (clauses contractuelles strictes)
  • Pas de réutilisation pour entraîner d'autres modèles (clause "no training" indispensable)
  • Architecture qui permet de prouver le respect du secret en cas de contrôle (audit trail, logs scellés)

Ce que ça impose concrètement à une startup IA juridique

Aucune startup IA juridique ne peut faire l'impasse sur ces cinq points.

  1. Stack technique souveraine — hébergement UE pour les données et les modèles. Microsoft Azure France, OVHcloud, Outscale ou équivalents.
  2. Modèles IA en mode "non-training" — pas de réutilisation des données client pour améliorer le modèle. Cela ferme la porte à certains modèles publics et oblige à privilégier des déploiements dédiés.
  3. Audit trail complet — qui a accédé à quoi, quand, pourquoi. Capacité à produire la preuve en cas de contrôle déontologique.
  4. Politique de confidentialité claire avec les utilisateurs avocats — pas de petit caractère, des engagements documentés et opposables.
  5. Gouvernance produit qui anticipe l'AI Act — les obligations de risque élevé arrivent en août 2026. Une LegalTech qui n'a pas commencé à structurer sa documentation technique est en retard.

Et c'est précisément pourquoi un fondateur expert métier (avocat ou juriste senior) est mieux placé qu'un ingénieur IA pour les construire correctement dès le départ. Il connaît les exigences déontologiques de l'intérieur, il sait ce qu'un bâtonnier peut demander en contrôle, il anticipe les contentieux à venir.

Synthèse

  • L'AI Act, le RGPD et le secret professionnel forment un triple cadre strict pour toute LegalTech française.
  • Ce cadre n'est pas un frein, c'est un filtre qui élimine les startups mal pensées.
  • Les startups qui réussiront sont celles qui intègrent ces trois cadres dès l'architecture initiale — pas celles qui les découvrent en cours de route, à la première DPIA difficile ou au premier contrôle déontologique.

L'expertise métier d'un avocat ou d'un juriste senior n'est pas un nice-to-have dans la LegalTech. C'est la condition du démarrage.

Vous êtes avocat senior ou directeur juridique avec 15 - 25 ans d'expérience ? Vous savez ce que la profession exige réellement — et où l'IA peut vraiment apporter de la valeur sans franchir les lignes rouges.

Découvrir notre accompagnement juridique →

Soumettre votre projet pour évaluation →

À lire aussi :

CSRD et CS3D : ce que ces directives obligent à mesurer →

Notre stack IA et son architecture souveraine →

À lire aussi

2026-05-05·10 min

Pourquoi 90 % des startups IA échouent — et les 4 facteurs qui inversent la statistique

Le taux d'échec massif des startups n'a pas changé avec l'IA. Mais les causes principales se déplacent. Analyse des 4 facteurs structurels qui réduisent le risque.

2026-05-05·10 min

L'IA générative va transformer l'assurance d'ici 2030 — les 5 chantiers prioritaires

137 milliards d'euros de cotisations en assurance non-vie en 2024, +6,8 % en un an, et un secteur historiquement producteur de données. Cinq chantiers où l'IA changera la donne.

← Retour au blog