Le secret professionnel suisse s'applique indépendamment de votre politique IA
L'exposition pénale vise l'avocat individuellement, d'où la nécessité de contrôles documentés sur l'usage des outils IA.
Voici le scénario qui se répète dans les cabinets suisses : un associé découvre ChatGPT, commence à l'utiliser pour rédiger des notes à ses clients, et n'en informe personne. Trois mois plus tard, le cabinet se trouve exposé à une violation de l'Art. 321 CP — violation du secret professionnel — sans processus documenté à présenter à un régulateur ou à un plaignant.
Ce n'est pas un problème de conformité. C'est un problème de responsabilité. Et il est entièrement évitable avec quatre semaines de travail structuré.
Ce guide est rédigé pour un cabinet de dix avocats sans responsable de la conformité.
Votre référence suisse : les directives FSA, pas seulement le règlement sur l'IA
La plupart des guides de gouvernance pour les cabinets commencent par le règlement européen sur l'IA. C'est le bon cadre pour la classification des risques et les obligations des déployeurs. Mais pour un cabinet suisse, les directives IA de la FSA (Fédération Suisse des Avocats), adoptées le 14 juin 2024, constituent votre référence opérationnelle immédiate — des règles professionnelles contraignantes, non une réglementation aspirationnelle.
Les directives FSA définissent trois voies de conformité pour tout outil d'IA traitant des données de clients :
Voie 1 — Déploiement interne/local. L'IA fonctionne au sein du réseau du cabinet. Les données des clients ne quittent jamais l'infrastructure. C'est la voie la plus solide.
Voie 2 — Externalisation conforme. Vous utilisez un outil hébergé dans le cloud, mais le prestataire respecte les recommandations FSA sur le cloud et se qualifie comme auxiliaire au sens de l'Art. 321 CP. L'avocat reste personnellement responsable. Le prestataire ne peut pas sous-déléguer le traitement des données — le Tribunal fédéral (ATF 145 II 229) a confirmé que la sous-délégation rompt la chaîne des auxiliaires.
Voie 3 — Consentement éclairé du client. Le client renonce expressément à ses protections du secret pour l'utilisation spécifique de l'IA. Le Tribunal fédéral a exprimé des réserves sur la possibilité d'obtenir un consentement véritablement « éclairé » compte tenu du caractère « boîte noire » des systèmes d'IA. C'est la voie la plus faible.
Le point de départ sécurisé : les outils hébergés en Suisse
Trois outils ont été conçus spécifiquement pour la conformité suisse et constituent un point de départ sûr :
- CASUS — Assistant IA hébergé en Suisse pour la rédaction et la revue de contrats
- Omnilex — Espace de recherche juridique hébergé en Suisse, plus de 700 000 décisions de justice suisses
- DeepLaw — Recherche juridique hébergée en Suisse, certifié ISO 27001:2022, conforme à la LPD, requêtes non utilisées pour l'entraînement
Un cabinet qui utilise uniquement ces trois outils pour le travail client n'a pas besoin d'effectuer une analyse LPD complète par outil. La complexité surgit avec chaque autre outil de votre environnement : Microsoft Copilot, ChatGPT général, plateformes d'automatisation documentaire avec traitement hébergé aux États-Unis.
Le plan d'implémentation en 4 semaines
Semaine 1 — Inventaire
Créez un tableau avec une ligne par outil d'IA :
| Champ | Intérêt |
|---|---|
| Nom de l'outil | Identification |
| Prestataire et entité juridique | Pays d'incorporation |
| Cas d'usage | Quelle tâche l'outil accomplit-il ? |
| Données traitées | Catégories : personnelles, confidentielles, couvertes par le secret |
| Données client oui/non | L'outil reçoit-il des informations clients ? |
| Hébergement Suisse/UE | Question de souveraineté des données |
| Voie FSA | Laquelle des 3 voies est suivie ? |
| Responsable | Associé nommément désigné |
| Date de révision | Prochaine évaluation planifiée |
Incluez tout : l'outil de recherche, l'extension de revue contractuelle, le service de transcription pour les appels clients, l'outil de facturation assisté par IA.
Semaine 2 — Classification
Pour chaque outil, répondez à une question : cet outil reçoit-il des données clients identifiables, et si oui, quelle voie FSA suit-il ?
Tout outil qui envoie des données clients à un modèle hébergé aux États-Unis sans accord de traitement des données ni qualification d'auxiliaire documentée constitue un signal d'alarme. Cela inclut l'utilisation gratuite de ChatGPT ou Claude.ai. Le résultat de la classification est simple : Vert (conforme), Orange (nécessite une clarification), Rouge (arrêter l'utilisation avec des données clients jusqu'à résolution).
Semaine 3 — Rédiger la politique d'utilisation acceptable
Votre politique d'utilisation acceptable (PUA) devrait tenir sur deux pages, pas vingt. Une politique de trente pages ne sera pas lue.
Règles essentielles pour tout cabinet suisse :
Pas de données clients dans des outils non approuvés. Les informations confidentielles et les communications couvertes par le secret ne peuvent être saisies que dans des outils approuvés. C'est une obligation au titre de l'Art. 321 CP, pas une recommandation.
Vérification avant livraison. Tout résultat d'IA destiné à un client ou intégré à une conclusion doit être revu par un avocat qualifié. Le résultat de l'IA est un brouillon, pas un produit.
Divulguer l'utilisation de l'IA. Ajoutez une formulation standard à vos lettres de mission : « Nous utilisons des outils d'IA dans la prestation de nos services. Tous les travaux assistés par IA sont révisés et vérifiés par des avocats qualifiés. Un résumé de notre politique de gouvernance de l'IA est disponible sur demande. » Cette formulation convertit votre cadre de gouvernance en credential client.
Un responsable IA. Un associé nommément désigné est responsable de la liste des outils approuvés, des escalades et de la révision trimestrielle. Dans un cabinet de dix avocats, cela représente deux heures par trimestre.
Semaine 4 — Signer, former, documenter
Tous les associés signent la PUA. Puis une session de formation d'une heure pour l'ensemble du personnel : quels sont les outils approuvés, ce que la politique exige, les lignes rouges et comment escalader une question. Documenter les présences.
Cette documentation est matériellement pertinente. La capacité à démontrer que le personnel a été formé et qu'un cadre de gouvernance existait constitue une preuve déterminante si une plainte ou une réclamation survient.
Checklist du cadre de gouvernance IA
0/0Le cadre de gouvernance comme signal client
Selon l'étude Blickstein Group 2025, près des deux tiers des clients de cabinets d'avocats ne pensent pas que leur cabinet est innovant. Votre cadre de gouvernance est l'un des moyens les moins coûteux et les plus rapides de réduire cet écart de perception.
Envoyez proactivement un résumé d'une page à vos cinq clients principaux lorsque la politique est finalisée. La plupart ne demanderont jamais à voir la politique complète. Ce qu'ils enregistrent : le cabinet en a une — et a pris la peine de le signaler.
Le risque de l'inaction
Le risque est concret, pas théorique. Un associé utilisant ChatGPT pour rédiger une note client relative à un litige en cours peut déjà créer une exposition au titre de l'art. 321 CP, avant même l'intervention d'une autorité de protection des données. L'analyse pénale incombe à l'avocat individuellement, pas seulement à l'entité du cabinet.
La LPD révisée (en vigueur depuis septembre 2023) ajoute un régime parallèle : les violations intentionnelles sont passibles d'une amende pouvant atteindre CHF 250 000 pour les personnes physiques responsables.
Le cadre de gouvernance n'est pas de la bureaucratie. C'est la preuve documentée que le cabinet a exercé la diligence professionnelle requise dans son déploiement de l'IA.
Prêt à construire le cadre de gouvernance IA de votre cabinet ? Prenez contact — j'aide les cabinets à concevoir des structures de gouvernance qui fonctionnent en pratique, pas seulement sur le papier.
Quel est le niveau de maturité de la gouvernance IA de votre cabinet ?
0 questions