C’est l’objection numéro un, et elle est saine : un cabinet manipule des bilans, des bulletins de paie, des relevés bancaires, des données qui n’appartiennent pas au cabinet. Avant de coller un FEC dans une IA, la vraie question n’est pas “est-ce que j’ai le droit”, c’est “comment je le fais proprement”. Voici la procédure, pas les bonnes intentions.

L’IA n’est pas un coffre-fort, ce n’est pas non plus un repoussoir. C’est un sous-traitant comme un autre, et le RGPD sait très bien encadrer les sous-traitants depuis 2018. Ce qu’elle fait pour toi : lire, classer, résumer, reformuler. Ce qu’elle ne fait pas : décider à ta place, ni te dispenser de tes obligations de responsable de traitement.

Le bon cadre juridique : tu es responsable, l’IA est sous-traitant

Quand tu envoies des données clients à un outil d’IA, tu restes le responsable de traitement et l’éditeur devient ton sous-traitant. L’article 28 du RGPD impose alors un contrat écrit (souvent appelé DPA, data processing agreement) qui encadre ce que le sous-traitant a le droit de faire. Pas de DPA, pas d’usage de données personnelles. C’est la première chose à vérifier, avant même de parler d’outil.

À éviter Coller un grand livre, un FEC ou un bulletin de paie dans la version gratuite grand public d'un chatbot. Ces versions peuvent réutiliser tes saisies pour entraîner le modèle, et tu n'as aucun accord de sous-traitance. C'est la faute classique.

La méthode en quatre étapes

1. Cartographie ce que tu t’apprêtes à envoyer

Avant tout, classe : données non personnelles (un plan comptable, une question de méthode) tu peux les envoyer librement. Données personnelles (noms, SIREN d’entrepreneurs individuels, IBAN, salaires) tu passes par les étapes suivantes. Données sensibles (santé, opinions) tu ne les envoies pas, point.

2. Pseudonymise avant l’envoi

La pseudonymisation n’est pas “anonymiser vaguement”, c’est remplacer les identifiants par des jetons et garder la table de correspondance de ton côté. Un prompt suffit à le faire sur un texte, et tu réintègres les vrais noms à la fin, en local.

Tu prépares un document avant analyse, tu ne l'analyses pas encore.
Dans le texte ci-dessous, remplace chaque donnée identifiante par un jeton :
- noms de personnes : [CLIENT_1], [CLIENT_2]...
- raisons sociales : [SOCIETE_1]...
- SIREN, IBAN, adresses, emails, téléphones : [SIREN_1], [IBAN_1]...
Donne à la fin une table de correspondance jeton / valeur, que je garde de mon côté.
Ne modifie rien d'autre, ne commente pas.
Texte : [COLLE ICI]
Outil recommandé Pour les données qui restent identifiantes malgré tout, travaille dans ChatGPT Team / Enterprise, Claude Team ou Mistral Le Chat Pro : ces offres n'entraînent pas leurs modèles sur tes contenus par défaut et proposent un accord de sous-traitance. Pas la version gratuite.

3. Choisis un outil qui te donne des garanties écrites

C’est ici que la plupart des articles s’arrêtent à “posez les bonnes questions”. Voici les clauses précises à exiger, par écrit, avant d’adopter un outil :

  • Non-entraînement : l’éditeur s’engage à ne pas réutiliser tes contenus pour entraîner ses modèles.
  • Accord de sous-traitance (article 28) : un DPA signé, avec la liste des sous-traitants ultérieurs.
  • Localisation et transferts : hébergement UE, ou à défaut des clauses contractuelles types (CCT) pour le transfert hors UE.
  • Durée de conservation : combien de temps tes échanges sont stockés, et comment les supprimer.
  • Journalisation et accès : qui, dans ton cabinet, accède à quoi.

Une réponse écrite et datée sur ces cinq points, c’est un éditeur sérieux. Un commercial qui répond “ne vous inquiétez pas, c’est sécurisé”, c’est un non.

4. Trace, dans ton registre

Ajoute l’outil à ton registre des traitements (finalité, base légale, catégories de données, durée). Vérifie que ta base légale couvre l’usage, mets à jour tes mentions d’information, et pour un traitement à risque élevé, conduis une analyse d’impact (AIPD). La CNIL met à disposition des fiches pratiques IA et un logiciel d’AIPD gratuit pour ça.

Le piège technique : l’IA n’est pas une base de droit

Le risque le plus sournois n’est pas la fuite de données, c’est l’hallucination. Une IA conversationnelle peut inventer un article du CGI ou une référence BOFiP avec un aplomb total. La règle est simple : tu ne lui demandes jamais de réciter le droit, tu lui donnes le texte à digérer.

Voici un extrait que je te fournis : [COLLE LE TEXTE : BOFiP, convention, contrat].
Réponds UNIQUEMENT à partir de ce texte.
Si la réponse ne s'y trouve pas, écris "non couvert par le document fourni".
N'invente aucune référence. Question : [TA QUESTION]

Ce que le RGPD ne déplacera jamais

L’IA et la conformité, ce sont deux choses qui ne bougent pas, quoi qu’il arrive :

  • Ta responsabilité de responsable de traitement. L’outil exécute, tu réponds. Si une donnée fuite via un usage mal cadré, c’est le cabinet qui rend des comptes, pas l’éditeur.
  • Le secret professionnel. Il est pénalement protégé (article 226-13 du code pénal) et il s’impose à toi avant toute considération d’efficacité. Aucun gain de temps ne le relativise.
  • La décision et le jugement. Pseudonymiser, choisir un outil, valider une écriture : ce sont des décisions professionnelles, elles restent les tiennes.
Honnêtement La conformité IA ne se règle pas en cochant une case. Il faut tenir un registre, parfois une AIPD, relire un DPA, et accepter que la mise en place prenne quelques heures au départ. Ce n'est pas un frein, c'est le prix d'un usage que tu pourras défendre devant un client ou un contrôle. La bonne nouvelle : ces heures se font une fois, les gains se répètent ensuite chaque semaine.

La règle tient en une phrase : tu pseudonymises avant, tu contractualises autour, et tu ne demandes jamais à l’IA de réciter le droit.

Sources

Pour aller plus loin

Cet article fait partie du playbook IA de l’expert-comptable. Pour cadrer les outils conformes adaptés à votre cabinet, commencez par un audit IA, ou formez votre équipe aux bons réflexes avec une formation IA.

Cet article donne des repères opérationnels, ce n’est pas un avis juridique. Pour un cas précis, rapprochez-vous de votre conseil ou de votre DPO. Rédigé par IA, validé par humain.

Questions fréquentes

Peut-on utiliser ChatGPT au cabinet sans enfreindre le RGPD ?
Oui, mais pas la version gratuite grand public sur des données clients. Il faut une offre professionnelle (ChatGPT Team ou Enterprise, Claude Team, Mistral Le Chat Pro) qui n'entraîne pas ses modèles sur tes contenus, avec un accord de sous-traitance signé. Et tu pseudonymises ce qui peut l'être avant l'envoi.
Faut-il l'accord du client pour traiter ses données avec une IA ?
Pas systématiquement un consentement séparé : tu traites déjà ses données dans le cadre de ta mission. Mais tu dois mettre à jour ton registre des traitements, vérifier que ta base légale couvre l'usage, et informer (mentions). Pour un traitement à risque élevé, une analyse d'impact (AIPD) peut être requise.
Les données sortent-elles de l'Union européenne ?
Avec ChatGPT ou Claude (éditeurs américains), un transfert hors UE est possible. Il doit être encadré par des clauses contractuelles types (CCT) ou une décision d'adéquation. Des offres avec hébergement UE existent (Mistral à Paris, options entreprise). C'est une question à poser par écrit avant d'adopter l'outil.
Que risque-t-on concrètement ?
Une violation du RGPD expose à des sanctions de la CNIL, mais pour un cabinet le risque le plus immédiat est déontologique : le secret professionnel (article 226-13 du code pénal) et la responsabilité vis-à-vis du client. Une fuite de données via un outil mal cadré, c'est d'abord une perte de confiance.