Ce que le RGPD impose vraiment aux IA dans un cabinet
On lit beaucoup de choses imprécises sur ce sujet. Voici ce que le texte demande, sans vernis, et ce que ça implique pour un cabinet qui veut déployer des agents.
Les articles sur le RGPD et l'IA dans les cabinets se ressemblent tous : du vague, des formules incantatoires, des conseils impossibles à appliquer. Le texte du règlement, lui, est précis. Voici ce qu'il demande vraiment, et ce que ça implique pour un cabinet qui veut déployer des agents.
Le cabinet est responsable de traitement. L'agent est un sous-traitant.
Quand un cabinet déploie une infrastructure d'agents IA pour traiter ses propres données clients, il reste responsable de traitement au sens du RGPD. Le prestataire qui opère l'infrastructure est sous-traitant au sens de l'article 28. Cette répartition n'est pas une option, c'est une conséquence du fait que c'est le cabinet qui décide de la finalité du traitement.
Concrètement, ça veut dire qu'un contrat de sous-traitance doit être signé. Il décrit la nature et la durée du traitement, les types de données concernées, les engagements de chaque partie. C'est un point dur : un prestataire qui refuse de signer ce contrat est éliminatoire.
Les modèles tiers ne doivent pas s'entraîner sur vos données
Sur le papier, le RGPD n'interdit pas l'entraînement de modèles à partir de données clients. Mais il impose une base légale et une finalité compatibles. Or la finalité d'un cabinet quand il fait traiter ses dossiers, c'est traiter ces dossiers, pas alimenter un modèle tiers. Toute utilisation des données pour entraîner un modèle commercial doit être formellement écartée par contrat.
C'est techniquement faisable avec les fournisseurs de modèles sérieux : ils proposent des modes opt-out d'entraînement, ou des contrats commerciaux qui l'excluent par défaut. C'est une question à poser explicitement au prestataire, pas à supposer.
Le secret professionnel se superpose au RGPD
Pour un cabinet d'expertise comptable, le secret professionnel n'est pas une politique interne. C'est une obligation déontologique qui survit à toutes les formes de sous-traitance. Le prestataire qui exécute les agents doit pouvoir s'engager contractuellement sur le respect de ce secret, et démontrer techniquement qu'il l'applique : isolation par client, accès en moindre privilège, traçabilité.
Ces engagements ne sont pas des cases à cocher. Ils se vérifient au cadrage, ils se documentent au contrat, ils se contrôlent en production.
Ce qu'il faut exiger d'un prestataire
Quatre points à demander avant de signer : la zone géographique de traitement (UE ou pas), l'exclusion contractuelle d'entraînement de modèles tiers sur vos données, l'isolation logique entre clients, et la liste des sous-traitants secondaires avec droit d'objection sur tout changement. Si l'une des quatre n'est pas claire, le dossier n'est pas prêt.