Les cabinets d'avocats français qui intègrent des systèmes d'intelligence artificielle dans leurs activités entrent dans le périmètre du Règlement (UE) 2024/1689, dit AI Act. À compter du 2 août 2026, la majorité des obligations deviennent pleinement applicables. Pour une PME juridique de 10 à 250 collaborateurs, cela signifie cartographier les outils utilisés, qualifier leur niveau de risque et tenir une documentation opposable aux autorités.
Ce guide opérationnel détaille les responsabilités spécifiques d'un cabinet d'avocats sous l'AI Act, les sanctions encourues, et les étapes concrètes pour se mettre en conformité avant 2026.
TL;DR
L'essentiel en 30 secondes
- L'AI Act s'applique à tout cabinet d'avocats déployant ou fournissant des systèmes d'IA dans ses services (Article 1 du Règlement (UE) 2024/1689).
- Sanctions maximales : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les infractions les plus graves (Art. 99).
- Évaluation d'impact sur les droits fondamentaux obligatoire pour les systèmes classés haut risque (Art. 27).
- Tenue d'un registre interne des systèmes d'IA déployés, mis à jour et opposable aux autorités (Art. 26).
- Obligation de littératie IA : formation continue des avocats et collaborateurs en contact avec des outils d'IA (Art. 4).
- Sources de référence : EUR-Lex, CNIL, AI Office EU, Service Desk de l'AI Act.
1. Contexte réglementaire : l'AI Act en 2026 pour les cabinets d'avocats
Le Règlement (UE) 2024/1689 a été publié au Journal officiel de l'Union européenne le 12 juillet 2024. Son entrée en vigueur est progressive. Les interdictions de l'Article 5 s'appliquent depuis le 2 février 2025. Les obligations relatives aux modèles d'IA à usage général sont effectives depuis le 2 août 2025. La pleine application aux systèmes à haut risque, qui concerne directement les cabinets d'avocats, est fixée au 2 août 2026 (Art. 113).
1.1 Qui est concerné dans un cabinet d'avocats ?
L'AI Act distingue plusieurs rôles : fournisseur, déployeur, importateur et distributeur (Art. 3). Un cabinet d'avocats français utilisant un outil d'analyse documentaire alimenté par IA est, dans la quasi-totalité des cas, un déployeur au sens de l'Art. 3, point 4. Si le cabinet développe en interne un outil d'IA pour ses clients — par exemple un assistant juridique commercialisé en marque blanche — il devient également fournisseur, avec des obligations bien plus lourdes.
| Rôle | Définition | Cas typique d'un cabinet |
|---|---|---|
| Déployeur (Art. 3.4) | Utilisateur professionnel d'un système d'IA | Cabinet utilisant un outil de legal research IA |
| Fournisseur (Art. 3.3) | Développe ou met sur le marché un système d'IA | Cabinet éditant un assistant juridique propriétaire |
| Importateur (Art. 3.6) | Met à disposition un système d'un fournisseur tiers UE | Rare pour un cabinet |
| Distributeur (Art. 3.7) | Met à disposition sans modifier | Rare pour un cabinet |
1.2 Articulation avec les règles déontologiques
L'AI Act ne se substitue ni au secret professionnel (Art. 66-5 de la loi du 31 décembre 1971), ni au RGPD, ni au Règlement intérieur national de la profession d'avocat. Il s'y ajoute. Une PME juridique doit donc concilier trois niveaux de conformité : déontologique, données personnelles et IA. Pour une vue d'ensemble du cadre applicable aux PME françaises, consultez notre guide AI Act PME France.
2. Obligations principales pour les cabinets d'avocats
Les obligations dépendent du classement du système d'IA. Trois catégories structurent le règlement : risque inacceptable (interdit), haut risque (encadré), risque limité (transparence) et risque minimal (libre).
2.1 Identifier les systèmes à haut risque
L'Annexe III liste les systèmes à haut risque. Plusieurs cas touchent les cabinets d'avocats :
- Systèmes utilisés par une autorité publique judiciaire pour interpréter le droit ou les faits (Annexe III, point 8.a) — concerne les cabinets travaillant en délégation pour ces autorités.
- Systèmes d'évaluation de risque dans le cadre de l'application de la loi (Annexe III, point 6).
- Outils RH utilisés en interne pour le recrutement ou l'évaluation des collaborateurs (Annexe III, point 4).
Un outil de legal research, à lui seul, n'est généralement pas haut risque. Mais un système qui automatise l'analyse de risque contentieux pour informer une décision juridictionnelle peut basculer dans cette catégorie.
2.2 Obligations du déployeur (Art. 26)
L'Article 26 du Règlement (UE) 2024/1689 impose au déployeur d'un système à haut risque :
- Utiliser le système conformément aux instructions du fournisseur.
- Assigner la supervision humaine à des personnes compétentes.
- Veiller à la pertinence des données d'entrée sous son contrôle.
- Surveiller le fonctionnement et signaler tout incident grave.
- Conserver les journaux générés automatiquement pendant au moins six mois.
- Informer les travailleurs concernés avant la mise en service.
2.3 Obligations de transparence (Art. 50)
Tout système d'IA qui interagit directement avec une personne physique — un client par exemple — doit l'informer qu'elle communique avec une IA, sauf si c'est manifeste. Les contenus générés (texte juridique, synthèse) doivent être identifiables comme produits par IA, en particulier lorsqu'ils sont diffusés au public.
Évaluer la conformité de votre cabinet en 30 minutes
Recevez le pack documentaire regulia : registre des systèmes d'IA, modèle d'évaluation d'impact, charte d'usage interne et matrice de classification des risques. Conçu pour les PME juridiques françaises.
Demander le pack documentaire3. Les sanctions et risques financiers
L'Article 99 du Règlement (UE) 2024/1689 fixe le régime des sanctions. Pour une PME, le règlement précise que le montant retenu est le plus faible entre le pourcentage du chiffre d'affaires et le plafond en euros (Art. 99, point 6).
| Type d'infraction | Plafond entreprise standard | Référence |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial annuel | Art. 99.3 |
| Non-conformité haut risque (Art. 16, 26…) | 15 M€ ou 3 % du CA mondial annuel | Art. 99.4 |
| Information inexacte aux autorités | 7,5 M€ ou 1 % du CA mondial annuel | Art. 99.5 |
Pour le détail des montants, la méthode de calcul et un simulateur, consultez notre article dédié AI Act sanctions PME et amendes.
3.1 Risques au-delà de l'amende
Une condamnation publique entraîne un risque réputationnel majeur pour un cabinet d'avocats. La déontologie impose par ailleurs au bâtonnier de connaître des manquements aux règles professionnelles. Un usage non conforme de l'IA peut nourrir une plainte disciplinaire distincte de la sanction administrative AI Act.
3.2 Articulation avec le RGPD
Les autorités peuvent cumuler une sanction AI Act et une sanction RGPD si les manquements sont distincts. La CNIL, désignée comme l'une des autorités compétentes en France (projet de loi en cours), peut ainsi traiter les deux dossiers en parallèle.
4. Évaluation d'impact sur les droits fondamentaux (Art. 27)
L'Article 27 du Règlement (UE) 2024/1689 impose une analyse d'impact sur les droits fondamentaux (FRIA — Fundamental Rights Impact Assessment) aux déployeurs de certains systèmes à haut risque, en particulier ceux relevant des services publics, du crédit ou de l'assurance-vie.
4.1 Contenu obligatoire de la FRIA
L'Art. 27.1 liste les éléments minimaux :
- Description des processus dans lesquels le système sera utilisé.
- Durée et fréquence prévues d'utilisation.
- Catégories de personnes susceptibles d'être affectées.
- Risques spécifiques de préjudice pour ces personnes.
- Description des mesures de supervision humaine.
- Mesures à prendre en cas de matérialisation des risques.
4.2 Articulation avec l'AIPD du RGPD
L'Art. 27.4 prévoit explicitement la possibilité de compléter une AIPD existante (Art. 35 du RGPD) plutôt que de produire deux documents distincts. Pour un cabinet qui a déjà cartographié ses traitements, cela représente un gain de temps significatif. Consultez notre glossaire pour la définition complète de la FRIA et de l'AIPD.
4.3 Notification à l'autorité
Une fois la FRIA réalisée, le déployeur doit notifier l'autorité de surveillance du marché en utilisant le modèle qui sera publié par l'AI Office (Art. 27.3). Le défaut de notification expose à la sanction de l'Art. 99.4.
5. Documentation et registre obligatoire
La conformité AI Act repose sur une logique documentaire. Sans documents, pas de preuve. Sans preuve, pas de défense en cas de contrôle.
5.1 Registre interne des systèmes d'IA
Bien que le règlement n'impose pas formellement un « registre » au déployeur PME comme le fait le RGPD à l'Art. 30, la pratique professionnelle et les guides de la CNIL convergent vers la tenue d'un inventaire actualisé. Ce registre doit recenser :
| Champ | Contenu attendu |
|---|---|
| Nom du système | Désignation commerciale et version |
| Fournisseur | Identité et coordonnées |
| Catégorie de risque | Inacceptable / haut / limité / minimal |
| Finalité d'usage | Description précise dans le cabinet |
| Données traitées | Nature, sources, base légale RGPD |
| Référent interne | Personne désignée pour la supervision |
| Date de mise en service | Horodatage |
| Date de dernière revue | Réévaluation annuelle minimum |
5.2 Conservation des journaux
L'Art. 19 (fournisseur) et l'Art. 26.6 (déployeur) imposent la conservation des logs générés automatiquement par les systèmes à haut risque, pendant une durée appropriée — au minimum six mois, sauf disposition contraire. Pour un cabinet, ces journaux constituent à la fois une obligation et un outil de preuve en cas de litige avec un client.
5.3 Documentation technique du fournisseur
Si le cabinet a la qualité de fournisseur (Art. 3.3), il doit produire la documentation technique listée à l'Annexe IV : description du système, données d'entraînement, mesures de cybersécurité, procédures de gestion de la qualité. Cette documentation doit être tenue à disposition pendant dix ans après la mise sur le marché (Art. 18).
6. Formation et compétences : l'obligation de littératie IA (Art. 4)
L'Article 4 du Règlement (UE) 2024/1689 est entré en application le 2 février 2025. Il impose aux fournisseurs et aux déployeurs de prendre des mesures pour garantir « un niveau suffisant de littératie en IA » de leur personnel et de toute personne agissant pour leur compte.
6.1 Ce que recouvre la littératie IA
Le règlement ne fixe pas de format ni de volume horaire. Il exige un résultat : la capacité des personnes concernées à utiliser les systèmes d'IA en connaissance de cause et à en comprendre les risques. Les supports doivent être adaptés au niveau technique, au contexte d'usage et au public visé.
6.2 Programme type pour un cabinet d'avocats
| Module | Contenu | Public |
|---|---|---|
| Cadre juridique | AI Act, RGPD, déontologie | Tous |
| Risques | Biais, hallucinations, fuites de secret professionnel | Tous |
| Usage encadré | Charte interne, validation humaine | Avocats, juristes |
| Supervision | Détection des dérives, signalement | Référents IA |
| Sécurité | Bonnes pratiques avec données clients | Tous |
6.3 Traçabilité de la formation
Comme pour le RGPD, la preuve de la mise en œuvre vaut conformité. Le cabinet doit conserver les feuilles d'émargement, supports utilisés et résultats des évaluations. Une revue annuelle du programme est recommandée pour intégrer les évolutions techniques et réglementaires.
7. Audits et vérifications
Les autorités de surveillance du marché disposent de pouvoirs d'investigation étendus (Art. 74 et suivants). Une PME juridique doit anticiper ces contrôles.
7.1 Contrôles internes réguliers
Une revue semestrielle minimum permet de vérifier la cohérence du registre, l'actualité des FRIA et le respect des règles de supervision humaine. Cette revue gagne à être pilotée par un binôme associé-référent technique.
7.2 Audits externes
Le règlement ne rend pas obligatoire l'audit externe pour la majorité des déployeurs. En revanche, l'évaluation de conformité par un organisme notifié est exigée pour certains systèmes à haut risque (Art. 43). Un cabinet qui fournit un outil tombant dans l'Annexe III devra passer par cette étape avant mise sur le marché.
7.3 Coopération avec les autorités
L'Art. 74.5 impose une obligation de coopération pleine avec les autorités de surveillance, y compris la transmission de la documentation technique, des journaux et de tout élément utile à l'enquête. Le secret professionnel de l'avocat reste opposable, mais doit être articulé avec cette obligation — un sujet à anticiper en amont avec le bâtonnier en cas de contrôle.
8. Conformité et avantages pour les cabinets
La conformité n'est pas qu'une contrainte. Elle constitue un actif commercial et un facteur différenciant sur un marché juridique en transformation.
8.1 Confiance client renforcée
Les directions juridiques de grands comptes intègrent désormais des clauses IA dans leurs RFP (appels d'offres). Un cabinet qui peut démontrer sa conformité AI Act, fournir son registre des systèmes et sa charte d'usage interne, se positionne favorablement.
8.2 Accès aux marchés publics
Les administrations publiques, soumises elles-mêmes à l'AI Act en tant que déployeurs, exigent de leurs prestataires un niveau équivalent de conformité. La mise en place d'un système de management de l'IA conforme à la norme ISO/IEC 42001:2023 constitue un atout dans ce contexte.
8.3 Protection contre les litiges
En cas de contestation client sur l'usage d'un outil d'IA — par exemple une erreur dans une note rédigée avec assistance IA — le cabinet qui peut produire sa documentation, ses logs et sa FRIA dispose d'une défense solide. À l'inverse, l'absence de documentation crée une présomption défavorable.
8.4 Ressources pratiques disponibles
La CNIL a publié 13 fiches pratiques IA. L'AI Office EU met à disposition un Service Desk gratuit. Le Cigref a publié en janvier 2025 un guide sectoriel. Numeum a complété cette offre en mars 2025. La consultation systématique de ces ressources avant toute décision opérationnelle est recommandée.
Pour aller plus loin sur les fondements réglementaires, consultez notre page sources officielles qui agrège l'ensemble des textes utiles.
Sécuriser votre conformité AI Act avant le 2 août 2026
Le pack documentaire regulia couvre l'ensemble des modèles dont une PME juridique a besoin : registre des systèmes d'IA, FRIA, charte d'usage interne, programme de littératie IA, procédure de gestion des incidents. Livraison sous 48 heures.
Recevoir le pack documentaire reguliaFAQ
Quelles sont les sanctions maximales pour un cabinet d'avocat non conforme ?
L'Art. 99 du Règlement (UE) 2024/1689 prévoit jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les infractions aux pratiques interdites de l'Art. 5, le montant le plus élevé étant retenu pour les entreprises standard. Pour les PME et les start-up, c'est au contraire le montant le plus faible qui s'applique (Art. 99.6). Les manquements aux obligations relatives aux systèmes à haut risque sont plafonnés à 15 M€ ou 3 % du CA. Une condamnation peut s'accompagner d'une procédure disciplinaire ordinale distincte.
Dois-je effectuer une évaluation d'impact si je n'utilise pas d'IA pour des services juridiques ?
Si le cabinet n'utilise aucun système d'IA, l'AI Act ne crée pas d'obligation. Mais l'usage d'outils internes — tri de CV par IA, scoring de prospects, génération de contenus marketing — peut suffire à déclencher certaines obligations, notamment au titre de l'Annexe III. Une cartographie initiale des outils est indispensable avant toute conclusion. La CNIL met à disposition un guide PME utile à cette première étape.
Quelle formation est obligatoire pour les avocats en contact avec l'IA ?
L'Art. 4 impose un niveau de littératie IA suffisant, sans imposer de volume horaire précis ni de certification obligatoire. C'est une obligation de résultat. En pratique, un programme combinant cadre juridique, risques d'usage, charte interne et supervision humaine, documenté et actualisé annuellement, répond à l'exigence. Les certifications professionnelles peuvent renforcer la démarche mais ne sont pas requises par le règlement.
Comment gérer les audits externes pour l'AI Act ?
Pour la majorité des cabinets déployeurs, l'audit externe n'est pas obligatoire. L'évaluation de conformité par organisme notifié (Art. 43) ne concerne que les fournisseurs de systèmes à haut risque listés à l'Annexe III, et selon des procédures précises. En revanche, tout cabinet doit pouvoir présenter sa documentation à l'autorité de surveillance en cas de contrôle (Art. 74). Un audit interne semestriel est recommandé pour s'y préparer.
Quels documents dois-je conserver pour prouver ma conformité ?
Conservez : le registre interne des systèmes d'IA, les FRIA réalisées (Art. 27), les journaux générés par les systèmes haut risque pendant au moins six mois (Art. 26.6), les supports et émargements de formation, la charte d'usage interne, les procédures de signalement d'incident, et le cas échéant la documentation technique Annexe IV pour les systèmes dont vous êtes fournisseur (à conserver dix ans après mise sur le marché, Art. 18).
Sources officielles
- Règlement (UE) 2024/1689 — texte intégral sur EUR-Lex
- AI Act — portail officiel de la Commission européenne
- AI Act Service Desk — assistance opérationnelle Commission EU
- CNIL — fiches pratiques IA
- ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
- Cigref — Guide AI Act janvier 2025
- Numeum — Guide AI Act mars 2025
Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.