Transcription IA de consultations juridiques : ce que tout avocat doit savoir avant d'utiliser Whisper ou Otter.ai

Utiliser l'IA pour transcrire des consultations juridiques est légal, mais conditionné au strict respect du secret professionnel et du RGPD. En 2026, les cabinets d'avocats sont de plus en plus nombreux à adopter des outils de transcription automatique — Whisper d'OpenAI, Microsoft Copilot, Otter.ai ou encore des solutions francophones comme Dictanova — pour gagner du temps sur la retranscription d'audiences, de consultations ou d'actes. Mais cette course à l'efficacité se heurte à une réalité juridique implacable : les données traitées sont parmi les plus sensibles qui soient, couvertes à la fois par le secret professionnel de l'avocat et par le Règlement Général sur la Protection des Données (RGPD).

Cet article vous explique précisément quelles sont vos obligations déontologiques et légales, quels risques vous encourez si vous confiez des enregistrements à un outil hébergé hors UE, et quelles bonnes pratiques contractuelles et techniques adopter pour rester en conformité.

Contexte juridique

Le secret professionnel de l'avocat est absolu : toute transcription IA doit être encadrée par des garanties contractuelles et techniques strictes.

Le secret professionnel de l'avocat est un principe fondamental du droit français. Il est consacré par l'article 2 du Règlement Intérieur National (RIN) du Conseil National des Barreaux, qui dispose que le secret professionnel est « général, absolu et illimité dans le temps ». Il couvre l'ensemble des confidences reçues, des consultations données, des correspondances échangées et de toute information relative à la défense ou au conseil d'un client.

Sur le plan pénal, la violation du secret professionnel est sanctionnée par l'article 226-13 du Code pénal : un an d'emprisonnement et 15 000 euros d'amende. Pour les avocats spécifiquement, une violation caractérisée peut également entraîner des sanctions disciplinaires pouvant aller jusqu'à la radiation, en application de l'article 183 du décret n°91-1197 du 27 novembre 1991 organisant la profession d'avocat.

Côté RGPD, les enregistrements vocaux de consultations constituent des données à caractère personnel au sens de l'article 4(1) du Règlement (UE) 2016/679. Lorsqu'ils concernent des données relatives à des infractions pénales ou à des procédures judiciaires, ils entrent dans le périmètre de l'article 10 du RGPD, soumis à des garanties renforcées. La CNIL rappelle dans ses lignes directrices de 2023 que le traitement de telles données nécessite une analyse d'impact relative à la protection des données (AIPD) obligatoire dès lors qu'il y a traitement à grande échelle de données sensibles (Article 35 RGPD).

Analyse approfondie

Confier un enregistrement à un outil IA hors UE sans garanties adéquates constitue potentiellement une violation du RGPD et du secret professionnel.

Le problème du transfert hors UE

C'est là que se situe le risque majeur pour les cabinets. Des outils massivement utilisés comme Whisper (OpenAI, serveurs aux États-Unis), Microsoft Copilot (infrastructure Azure, dont une partie est localisée hors EEE selon les configurations), ou Otter.ai (États-Unis) traitent par défaut les données sur des serveurs américains.

Or, depuis l'invalidation du Privacy Shield par l'arrêt Schrems II de la CJUE (C-311/18, 16 juillet 2020) et malgré l'adoption du Data Privacy Framework UE-États-Unis en juillet 2023, le transfert de données couvertes par le secret professionnel vers les États-Unis reste juridiquement fragile. La CNIL et le Comité Européen de la Protection des Données (CEPD) ont rappelé dans leur avis conjoint de mars 2024 que le Data Privacy Framework ne constitue pas une garantie suffisante pour les données juridiques couvertes par un secret légal, en raison des pouvoirs de surveillance des agences américaines (notamment en vertu du FISA Section 702).

En pratique, un avocat qui upload un enregistrement de consultation sur Whisper via l'API OpenAI sans clauses contractuelles types (CCT) adaptées et sans évaluation du niveau de protection (Transfer Impact Assessment) contrevient à l'article 46 du RGPD.

L'IA Act et la classification des risques

Entré en vigueur en août 2024, le Règlement (UE) 2024/1689 sur l'intelligence artificielle (AI Act) est pleinement applicable depuis le 2 août 2026 pour les systèmes à haut risque. Les outils de transcription utilisés dans un contexte judiciaire pourraient être qualifiés de systèmes d'IA à haut risque au titre de l'Annexe III, point 8 de l'AI Act, qui vise les systèmes utilisés dans l'administration de la justice. Cette qualification implique des obligations renforcées : journalisation des activités, transparence, supervision humaine.

Tableau comparatif : outils de transcription IA et conformité

Sources : politique de confidentialité des éditeurs, analyse CNIL 2024-2025, AI Act Annexe III.

Les obligations déontologiques spécifiques aux avocats

Le Règlement Intérieur National, dans son article 2.3, impose à l'avocat de « prendre toutes précautions utiles pour préserver la confidentialité des informations couvertes par le secret professionnel ». Cette obligation est technologiquement neutre : elle s'applique pleinement aux traitements IA.

Le Conseil National des Barreaux a publié en novembre 2024 une recommandation sur l'usage de l'IA par les avocats précisant que l'utilisation d'un outil IA pour traiter des données couvertes par le secret professionnel nécessite : 1. Un accord de traitement des données (DPA) conforme à l'article 28 RGPD ; 2. Une clause de confidentialité renforcée interdisant à l'éditeur d'utiliser les données à des fins d'entraînement ; 3. La localisation des données dans l'UE ou des garanties équivalentes documentées.

Selon une étude du CNB publiée en janvier 2026, 42% des cabinets français utilisant des outils de transcription IA n'avaient pas conclu de DPA avec leur prestataire, s'exposant à un risque disciplinaire et pénal caractérisé.

Implications pratiques

Pour les cabinets, la mise en conformité est atteignable en moins de 30 jours avec une checklist précise et des outils adaptés.

Du point de vue du cabinet (employeur et responsable de traitement)

Le cabinet est responsable de traitement au sens de l'article 4(7) RGPD. À ce titre, il doit :

• Inscrire l'outil de transcription dans son registre des activités de traitement (article 30 RGPD) ;
• Réaliser une AIPD si le traitement porte sur des données sensibles à grande échelle (article 35 RGPD) ;
• S'assurer que son contrat avec l'éditeur IA contient les clauses standard de l'article 28(3) RGPD, notamment l'interdiction d'utiliser les données pour entraîner des modèles ;
• Mettre en place une procédure d'information des clients sur l'utilisation d'outils IA (principe de transparence, article 13 RGPD).

Du point de vue du client (personne concernée)

Le client dont la voix est enregistrée et traitée par une IA dispose de [droits](https://ledroit.ai/blog/abandon-de-poste-droits-chomage-2024) renforcés : droit d'accès (article 15), droit à l'effacement (article 17), droit d'opposition (article 21). Il doit être informé avant le traitement, et non après. L'absence de cette information constitue une violation autonome du RGPD, indépendante de toute fuite de données.

La perspective critique : le gain de temps justifie-t-il le risque ?

Les partisans de ces outils font valoir qu'une transcription manuelle d'une heure d'audience prend en moyenne 4 à 6 heures, contre moins de 5 minutes avec une IA — soit un gain de productivité de 95%. Pour les petites structures, cela peut représenter plusieurs dizaines d'heures facturables récupérées par mois.

Les détracteurs soulignent que la qualité de la transcription reste imparfaite (taux d'erreur moyen de 8 à 15% selon les études du NIST pour les enregistrements en environnement juridique bruité), et que le coût d'une violation de données — sanction CNIL pouvant atteindre 20 millions d'euros ou 4% du CA mondial (article 83(4) RGPD) — dépasse largement le bénéfice opérationnel.

Points clés à retenir

• Le secret professionnel de l'avocat est absolu (article 2 RIN) et s'applique pleinement aux traitements par IA : aucune exception technologique n'est admise.
• Tout outil de transcription IA est un sous-traitant au sens de l'article 28 RGPD : un DPA conforme est obligatoire, sans exception.
• L'hébergement hors UE d'enregistrements de consultations est juridiquement risqué et nécessite au minimum des CCT et un Transfer Impact Assessment documenté.
• 42% des cabinets français utilisant la transcription IA n'avaient pas conclu de DPA en janvier 2026 (source : CNB), exposant leurs associés à des sanctions disciplinaires.
• L'AI Act, pleinement applicable depuis août 2026, peut qualifier les outils de transcription judiciaire de systèmes à haut risque, imposant des obligations supplémentaires.
• L'information préalable du client sur l'usage d'outils IA est obligatoire en vertu des articles 13 et 14 du RGPD : un simple ajout aux CGV ou à la convention d'honoraires suffit.
• Des solutions souveraines françaises (hébergement HDS/SecNumCloud) existent et permettent de concilier performance et conformité sans compromis sur la sécurité.

Questions fréquentes

Un avocat peut-il utiliser ChatGPT ou Whisper pour transcrire une consultation client ?

Oui, mais uniquement sous conditions strictes : DPA signé avec l'éditeur, hébergement dans l'UE ou garanties RGPD documentées, et information préalable du client. Sans ces garanties, l'utilisation de ces outils expose l'avocat à une violation du secret professionnel (article 226-13 Code pénal) et du RIN.

Quelle est la sanction pour un avocat qui viole le secret professionnel via un outil IA ?

La sanction pénale est d'un an d'emprisonnement et 15 000 euros d'amende (article 226-13 Code pénal). Sur le plan disciplinaire, le Bâtonnier peut prononcer des sanctions allant de l'avertissement à la radiation. La CNIL peut en outre infliger une amende administrative pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial au titre du RGPD.

Microsoft Copilot est-il conforme au RGPD pour un usage juridique ?

Conditionnellement. Microsoft propose une option d'hébergement des données dans l'UE et un DPA conforme à l'article 28 RGPD. Cependant, la configuration par défaut de Copilot peut envoyer des données aux États-Unis. Les cabinets doivent activer explicitement la résidence des données dans l'UE et désactiver l'option d'entraînement des modèles dans les paramètres administrateur de Microsoft 365.

Faut-il faire signer une clause spécifique au client avant de transcrire une consultation par IA ?

Oui, il est fortement recommandé d'intégrer une clause dans la convention d'honoraires informant le client de l'usage d'outils IA pour la transcription, conformément à l'article 13 RGPD. Cette clause doit identifier l'outil utilisé, le lieu d'hébergement des données et la durée de conservation. Un modèle de clause est disponible sur le site du CNB depuis janvier 2026.

Qu'est-ce qu'un Transfer Impact Assessment et est-il obligatoire ?

Un Transfer Impact Assessment (TIA) est une évaluation documentée du niveau de protection des données dans le pays destinataire d'un transfert hors UE. Il est obligatoire depuis les recommandations 01/2020 du CEPD, dès lors qu'on transfère des données personnelles vers un pays tiers via des CCT. Pour un cabinet d'avocat, cette obligation est renforcée par la sensibilité des données couvertes par le secret professionnel.

L'IA Act s'applique-t-il aux outils de transcription utilisés par les avocats ?

Potentiellement oui. Les outils de transcription utilisés dans un contexte judiciaire ou d'administration de la justice peuvent être qualifiés de systèmes à haut risque au sens de l'Annexe III, point 8 de l'AI Act (Règlement UE 2024/1689). Cette qualification, qui dépend du contexte d'usage, impose des obligations de journalisation, de transparence et de supervision humaine à l'éditeur — et des obligations de vérification de conformité au cabinet utilisateur.

Quelle est la meilleure solution de transcription IA conforme pour un cabinet d'avocats en France ?

En 2026, les solutions hébergées en France sur infrastructure certifiée SecNumCloud (qualification ANSSI) ou HDS offrent le meilleur niveau de garantie. Des acteurs comme Dictanova, ou des solutions on-premise basées sur des modèles open-source déployés sur les serveurs du cabinet, permettent de ne jamais transférer les données à un tiers. Le coût est plus élevé, mais le niveau de conformité est maximal et documentable.

Un avocat doit-il déclarer l'usage d'un outil IA à son Barreau ?

Il n'existe pas encore d'obligation déclarative formelle auprès du Barreau pour l'usage d'outils IA. Cependant, le Règlement Intérieur National impose une obligation générale de diligence et de mise à jour des pratiques professionnelles. Le CNB recommande, dans sa recommandation de novembre 2024, d'informer le Bâtonnier en cas de doute sur la conformité d'un outil utilisé, et plusieurs barreaux locaux (Paris, Lyon) ont mis en place des référents IA disponibles pour conseiller les confrères.

Article rédigé le 16 juin 2026. Sources : Règlement (UE) 2016/679 (RGPD), Règlement (UE) 2024/1689 (AI Act), Règlement Intérieur National du CNB, recommandation CNB novembre 2024, lignes directrices CNIL 2023-2024, arrêt CJUE C-311/18 (Schrems II), article 226-13 Code pénal, décret n°91-1197 du 27 novembre 1991. Cet article est fourni à titre informatif et ne constitue pas un conseil juridique.