6 min readSanitized AI Team

Ce que le devoir de compétence technologique exige désormais lorsque votre cabinet utilise ChatGPT

AI GovernanceComplianceData PrivacyRisk

Un étudiant en stage résume la position confidentielle d'un client en matière de règlement dans ChatGPT pour rédiger une note plus rapidement. Un parajuriste téléverse une ébauche d'entente de confidentialité pour vérifier la formulation de la clause d'indemnisation. Ni l'un ni l'autre n'a l'impression d'envoyer des données de client où que ce soit — cela ressemble à l'utilisation d'un moteur de recherche plus intelligent. Mais dès l'instant où cette requête est soumise, le contenu devient assujetti aux conditions d'utilisation du fournisseur, qui peuvent accorder de vastes droits de conservation, de traitement et d'entraînement sur celui-ci. Il ne peut être récupéré. Et l'avocat dont le nom figure au dossier en assume les conséquences.

Le devoir de compétence technologique est souvent abordé comme s'il s'agissait de savoir faire fonctionner un système de gestion documentaire. Il est plus exigeant que cela. Comprendre la technologie que l'on utilise, c'est comprendre ce qu'il advient de l'information d'un client lorsqu'elle transite par un outil — y compris les outils d'IA grand public gratuits vers lesquels votre personnel se tourne déjà, que votre cabinet ait ou non une politique à ce sujet.

La compétence inclut désormais de savoir où vont les données

Les barreaux canadiens ont intégré la compétence technologique aux devoirs plus larges que porte déjà tout avocat : la confidentialité et le secret professionnel de l'avocat. Le CPATA soumet les agents de brevets et de marques à des normes parallèles. L'obligation n'est pas d'être ingénieur. Elle est de prendre des décisions éclairées quant aux outils qui touchent l'information des clients — ce qui signifie être capable de répondre à une question de base : si je saisis ceci dans cet outil, qui d'autre peut le voir, et puis-je le récupérer ?

Pour les outils d'IA publics, la réponse honnête est inconfortable. Une fois qu'une requête est soumise, le contrôle est perdu. Elle peut être conservée, examinée par les sous-traitants du fournisseur, ou utilisée pour améliorer le modèle. Un tribunal américain, dans l'affaire U.S. v. Heppner (S.D.N.Y., févr. 2026), a jugé que des documents créés avec un outil d'IA générative public n'étaient pas protégés par le secret professionnel de l'avocat. Dans Trinidad v. OpenAI (N.D. Cal., janv. 2026), une réclamation pour secret commercial a échoué parce que le fait de développer les prétendus secrets au moyen de ChatGPT constituait une divulgation volontaire — le caractère secret qui les rendait protégeables avait déjà disparu. Ce sont des décisions préliminaires rendues dans une autre juridiction, et elles constituent des signaux plutôt qu'un droit établi. Mais la tendance est suffisamment claire pour qu'un avocat compétent ne puisse pas traiter un outil d'IA public comme un bloc-notes privé.

La nuance juridictionnelle compte aussi. Ce qui constitue une donnée sensible de client au Canada n'est pas identique à la définition américaine. Un cabinet ayant des clients transfrontaliers ne peut pas présumer qu'une norme mondiale unique le protège partout.

L'exposition est la même dans tous les domaines de pratique

On est tenté de traiter cela comme un problème de litige, ou un problème de droit des sociétés, et de présumer que les autres domaines de pratique présentent un risque moindre. Ce n'est pas le cas. Les avocats en droit de la famille, en immigration, en immobilier, en droit des sociétés et en litige font tous de la recherche juridique, de la révision de documents, de la rédaction de contrats et d'ententes de confidentialité, et de la vérification diligente — et tout cela met en jeu de l'information de client assortie d'obligations de confidentialité et de secret professionnel. L'exposition suit les données, non le domaine de pratique.

Ce qui rend cela difficile à gérer, c'est que les personnes qui créent l'exposition sont souvent les plus juniors. Les règles de déontologie traitent un système d'IA un peu comme un avocat junior : quoi que produise un stagiaire, un étudiant en stage ou un adjoint, l'avocat superviseur le signe et en assume le risque. Les données de Cyberhaven de 2025 ont révélé que 82,8 % des documents juridiques saisis dans des outils d'IA aboutissaient dans des comptes non professionnels — des connexions personnelles, hors de toute surveillance du cabinet. Le sondage de Gartner de 2026 rapportait que 88 % des employés ayant accès à une IA d'entreprise utilisent aussi des outils d'IA personnels pour le travail. Une politique de cabinet qui dit « n'utilisez pas ChatGPT » ne touche en rien le compte personnel que quelqu'un ouvre sur son propre ordinateur portable.

Pour être précis sur le risque décrit : il s'agit de la divulgation de données confidentielles de client, et non des histoires de citations fabriquées qui font les manchettes. Vérifier qu'une citation de jurisprudence est authentique est un problème distinct. La défaillance plus discrète et plus courante est celle où de l'information privilégiée ou confidentielle quitte le contrôle du cabinet à l'instant même où une requête est envoyée — et personne ne le remarque, parce que l'outil retourne une réponse utile et que le travail avance plus vite.

La diligence démontrable est l'objectif, pas l'interdiction

Interdire les outils ne fonctionne pas ; cela pousse leur utilisation vers des comptes personnels où le cabinet n'a aucune visibilité. La posture la plus défendable est la gouvernance : savoir où l'IA est utilisée, garder les données de client hors des requêtes qui quittent le cabinet, et transformer chaque quasi-incident en un moment d'apprentissage pour que les gens deviennent mesurablement meilleurs dans un usage sécuritaire.

Cela correspond aussi à la façon dont la discipline et la responsabilité se jouent réellement. Les sanctions sont souvent réduites lorsqu'un avocat peut démontrer qu'il a pris des mesures adéquates pour prévenir le préjudice. Une trace attestant qu'une donnée sensible a été interceptée avant qu'une requête ne soit soumise constitue une preuve de garanties raisonnables — présentée à titre indicatif, non comme une garantie de résultat. Et il y a un avantage au-delà de la défense : les cabinets divulguent de plus en plus leur usage de l'IA à leurs clients et en sollicitent le consentement. Pouvoir dire à un client « nous appliquons un contrôle qui garde vos données hors des outils d'IA publics » est un signal de confiance, pas seulement un bouclier.

Le contrôle doit agir avant la soumission, car après la soumission il ne reste plus rien à contrôler. C'est le principe sur lequel repose Sanitized AI : intercepter le contenu confidentiel et privilégié dans une requête et le caviarder ou le bloquer avant qu'il n'atteigne l'outil d'IA, puis expliquer à la personne, en langage clair, ce qui a été signalé et pourquoi — afin que la requête suivante soit plus sûre.

La question à se poser ce trimestre

Savez-vous quels outils d'IA votre personnel — y compris les étudiants et les adjoints — utilise sur les dossiers de clients, et si des données de client quittent le cabinet à l'intérieur de ces requêtes ? Si vous ne pouvez pas y répondre, votre devoir de compétence technologique comporte une lacune exactement là où un comité de discipline regarderait en premier. Commencez par rendre cet usage visible, puis par garder les données de client hors de la boîte de requête.

Si vous souhaitez voir à quoi cela ressemble pour votre cabinet, demandez une démonstration ou une prise en charge auprès de notre équipe.

See how Sanitized AI stops sensitive data from leaving the prompt box.