Le secret professionnel à l'ère de l'IA : où sont les lignes rouges ?

L'IA générative n'a pas changé les règles du secret professionnel. Elle les a juste rendues plus difficiles à tenir. Voici ce que disent les textes, ce que les ordres ont commencé à juger, et où un outil comme Hexagone AI s'inscrit vraiment.

1. La règle n'a pas bougé

L'article 226-13 du Code pénal est bref et ancien : révéler une information à caractère secret, par une personne qui en est dépositaire de par son état ou sa profession, est puni d'un an d'emprisonnement et de 15 000 € d'amende. Le RIN va plus loin : le secret est général, absolu, illimité dans le temps. Il couvre tout, les consultations, la correspondance, les notes de dossier, les rendez-vous, le nom même des clients, et le fait que vous les conseillez.

Aucune innovation technologique n'a créé d'exception. Envoyer une note à un collaborateur, à un confrère ou à ChatGPT, dans les trois cas vous déplacez de l'information. Sur ces trois destinataires, un seul est tenu au secret.

2. Ce qui a changé : la destination

Un LLM grand public est, par défaut, un tiers sans obligation professionnelle envers votre client. Le fournisseur peut lire les prompts pour améliorer les modèles, les conserver pour la détection d'abus, et les héberger hors UE. Même quand l'entraînement est désactivable, le prompt est toujours traité sur une infrastructure que vous ne maîtrisez pas.

Le Barreau de Paris l'a rappelé à ses membres fin 2024 : l'usage des outils d'IA générative impose la même prudence que toute externalisation. Une autorisation spécifique du client ne suffit pas en soi, l'avocat reste personnellement responsable des conditions dans lesquelles la donnée quitte le cabinet.

3. Les lignes rouges

Des discussions disciplinaires récentes et des notes de déontologie les plus explicites, quatre lignes rouges se dégagent :

• Coller des noms, adresses ou montants clients bruts dans une interface de chat grand public. Même pour une simple reformulation. Cela transmet l'information à un tiers non tenu.
• Téléverser un contrat ou des écritures en l'état pour les résumer. Même problème, amplifié par le volume. Un seul PDF peut contenir des dizaines d'identifiants.
• Laisser un assistant générique accéder à votre boîte mail sans filtrage. La chaîne de raisonnement finit par tout voir : correspondance client, ébauches de stratégie, discussions d'honoraires.
• Partager des dossiers dans un espace équipe sur un SaaS hébergé aux États-Unis. La localisation de l'hébergement compte. L'exposition au CLOUD Act est une question réelle et documentée.

4. Ce que la déontologie autorise vraiment

Utilisée avec précaution, l'IA n'est pas interdite. Les codes ont toujours toléré l'usage d'outils tiers, dès lors que le secret est préservé. Trois garde-fous rendent la pratique défendable :

• La donnée qui sort de votre machine n'identifie plus personne, directement ou indirectement.
• La transformation est auditable : vous pouvez démontrer, a posteriori, ce qui a été envoyé et ce qui a été conservé.
• La correspondance entre marqueurs et valeurs réelles reste locale, sous votre contrôle.

5. Où Hexagone AI s'inscrit

Hexagone AI n'est pas un chatbot. C'est une couche qui s'intercale entre vos fichiers et l'outil d'IA que vous utilisez déjà. Avant qu'un prompt ou un fichier n'atteigne Claude, ChatGPT ou Cursor, les identifiants sont remplacés par des marqueurs stables. La correspondance reste sur votre machine. L'IA reçoit une version protégée, raisonne dessus, et vous récupérez la réponse en clair.

6. L'avertissement honnête

Aucun outil ne dispense un professionnel de son propre jugement. Le devoir de secret reste personnel. Un flux protégé rend la ligne plus facile à tenir, il n'efface pas la ligne. Nous publions une page sécurité, la liste des catégories de substitution et un échantillon d'audit trail précisément pour que votre RSSI, votre DPO et votre bâtonnier puissent se faire leur propre opinion.