Bonjour,

Tu utilises sans doute ChatGPT, Claude ou Mistral plusieurs fois par semaine en cabinet. Pour rédiger un mail client, préparer une note de synthèse, reformuler un courrier complexe. Peut-être même pour analyser un grand-livre quand le délai est court.

Dès que tu colles une donnée client identifiable dans un de ces outils, tu effectues un traitement de données personnelles dont tu es responsable, vis-à-vis de ton client final. Et depuis février 2025, l'AI Act ajoute une obligation de formation à l'IA pour tout cabinet qui en déploie. Deux obligations bien réelles, que presque personne n'a encore écrites noir sur blanc dans son cabinet.

Pour situer l'enjeu : plus de 5 000 experts-comptables, soit un quart de la profession, utilisent déjà les ressources de la CNIL sur la protection des données (convention CNIL / Conseil supérieur de l'Ordre). La conformité RGPD générale avance. Mais le cas précis du grand-livre collé dans ChatGPT, lui, reste presque partout dans l'angle mort.

Cette édition n'est pas un cours de droit. C'est un protocole opérationnel pour utiliser l'IA générative en cabinet sans te mettre en risque vis-à-vis de tes clients ni de la CNIL. 7 questions à te poser, 1 grille de décision en 4 cas, 5 actions concrètes à mettre en place cette semaine.

On y va.

Le cadre rappelé en 30 secondes

RGPD (règlement UE 2016/679) : tu es "responsable de traitement" dès lors que tu détermines les finalités et les moyens d'un traitement de données personnelles. Quand tu colles un grand-livre client dans ChatGPT pour gagner du temps sur une analyse de marge, tu effectues un traitement de données personnelles dont tu es responsable - vis-à-vis de ton client final.

AI Act (règlement UE 2024/1689) : ajoute depuis 2026 une couche transparence, audit et gouvernance pour l'usage de systèmes d'IA. L'usage en cabinet relève principalement du "risque limité" (transparence sur l'usage IA aux clients) mais certains cas peuvent basculer en "risque élevé" (notation, scoring, décision automatisée).

Les sanctions :

  • RGPD : jusqu'à 4% du CA mondial annuel OU 20M€ (le plus élevé)

  • AI Act : jusqu'à 7% du CA mondial pour usages interdits, 3% pour non-conformité grave

Pour un cabinet de 5 collaborateurs à 800K€ de CA, on parle d'une sanction théorique max à 32 000€. Pour un cabinet à 5M€, 200 000€. Pas symbolique.

Les 7 questions à te poser AVANT le premier prompt

Question 1 - Les données que je vais coller, sont-elles personnelles ?

Si la donnée permet d'identifier directement ou indirectement une personne physique, elle est personnelle. Test rapide : un nom, un email, un IBAN, un SIREN d'entreprise individuelle, un numéro de sécu, une adresse, une date de naissance, un montant de salaire identifiable. Toutes ces données déclenchent le RGPD.

Une note de synthèse anonymisée sur un secteur d'activité : pas de RGPD.
Le PDF d'une lettre de mission avec le nom du client : RGPD.
Le grand-livre d'un client : 100% RGPD (fournisseurs, clients du client, salariés tous identifiables).

Question 2 - Suis-je responsable de traitement vis-à-vis de mon client sur ces données ?

Quasi-toujours oui en cabinet EC. La lettre de mission t'établit comme prestataire qui traite des données pour le compte du client. Quand tu décides "je colle ces données dans ChatGPT", tu décides d'un moyen de traitement - tu deviens responsable du traitement spécifique à l'IA, en plus de ton traitement principal (tenue, révision, etc.).

Conséquence : tu dois pouvoir justifier ce traitement à ton client SI il pose la question, et SI la CNIL pose la question.

Question 3 - L'outil IA que j'utilise, où sont stockées les données ?

Outil

Stockage par défaut

Transfert hors UE

ChatGPT (OpenAI)

États-Unis

Oui (clauses contractuelles types nécessaires)

Claude (Anthropic)

États-Unis

Oui (clauses contractuelles types nécessaires)

Mistral (Le Chat)

France / UE

Non

Gemini (Google)

États-Unis

Oui

Copilot M365 (Microsoft)

Selon contrat - peut être UE

Variable

Pennylane Copilot (basé Mistral)

France / UE

Non

Tiime IA

France / UE

Non

Pour un transfert hors UE, tu as besoin de clauses contractuelles types (CCT) signées avec le fournisseur. ChatGPT Plus inclut des CCT dans ses CGU pour les pros depuis 2023. Mais ce n'est pas automatique - il faut souscrire à l'offre Team/Enterprise pour avoir la couverture pleine.

Question 4 - L'outil utilise-t-il mes données pour entraîner ses modèles ?

Outil

Training par défaut

Détail (vérifié le 15 juin 2026)

ChatGPT Free / Plus / Pro (perso)

OUI sauf opt-out

Désactiver via "Improve the model for everyone" (Data Controls)

ChatGPT Team / Enterprise / API

NON

Exclu par contrat (DPA)

Claude Free / Pro / Max

OUI sauf opt-out (depuis sept. 2025)

Opt-in = données conservées 5 ans ; opt-out = 30 jours

Claude for Work / API

NON

Exclu (Commercial Terms, y compris via Bedrock / Vertex)

Mistral Le Chat (free / pro perso)

OUI sauf opt-out

Désactiver dans la console

Mistral Le Chat Teams / Enterprise

NON

Opt-out par défaut

Le piège : un EC qui utilise Claude ou ChatGPT en version perso (Free/Pro/Plus) sans avoir désactivé le training donne ses données client au fournisseur pour entraîner les prochains modèles. Pas illégal en soi, mais difficile à justifier devant un client soucieux, et impossible à justifier devant la CNIL en cas de plainte. À noter pour Claude : la politique a changé en septembre 2025, ce qui était exclu par défaut avant ne l'est plus, il faut désactiver soi-même.

Action minute : va dans les paramètres de confidentialité de Claude ET de ChatGPT maintenant, et vérifie le réglage training (à désactiver pour un usage cabinet).

Question 5 - Mon client a-t-il été informé que j'utilise une IA générative sur ses données ?

Réponse honnête dans 95% des cabinets : non.

La lettre de mission standard ne mentionne quasi jamais l'usage d'IA générative. Or le RGPD article 13/14 t'impose d'informer le client des moyens de traitement, et l'AI Act article 50 ajoute une obligation de transparence sur l'usage d'IA.

Action minute : prévoir une clause IA dans la prochaine révision de tes lettres de mission. Modèle proposé en lead magnet (voir fin de l'édition).

Question 6 - Ai-je un protocole interne (qui peut faire quoi avec quel outil) ?

Cas réel observé sur terrain : un cabinet de 12 personnes avec ChatGPT Plus partagé sur 1 compte. Aucune règle écrite. Trois collaborateurs ont collé des extraits de balance dans ChatGPT pour gagner du temps sur de la révision, sans savoir que le training n'était pas désactivé. Le DPO du cabinet (rôle attribué au comptable confirmé senior, sans formation spécifique) découvre la situation 4 mois plus tard.

Sans protocole, la responsabilité reste collective et chaotique. Avec protocole, elle est cadrée et défendable.

Le minimum : 1 page A4 qui dit "Outils autorisés : X, Y. Outils interdits : Z. Données autorisées sur outils généralistes : aucune donnée nominative client. Données autorisées sur outils spécialisés UE : grand-livre, balance, mais pas notes de frais ni paie. Validation humaine obligatoire avant envoi externe."

Question 7 - Que se passe-t-il si la CNIL me contrôle demain matin ?

Test ultime. Peux-tu produire en 24h :

  • Ton registre des traitements (RGPD article 30 - obligation existante pour tout cabinet de plus de 250 personnes, recommandée en dessous)

  • Une trace des outils IA utilisés et de leur configuration (training opt-out activé ou non)

  • Les CGU des outils utilisés et leur conformité RGPD

  • La preuve d'information de tes clients sur l'usage IA

  • Ton protocole interne signé par les collaborateurs

Si tu réponds "non" à 3 questions ou plus, tu es en zone de risque réel.

La grille de décision en 4 cas

Le débat "IA généraliste vs IA spécialisée" n'a pas grand sens en soi. Ce qui compte, c'est l'adéquation outil-tâche-données.

Cas

Données impliquées

Outil utilisé

Décision

A

Aucune donnée client (brainstorm, méthodo générale, exemple anonyme)

Généraliste (ChatGPT, Claude, Mistral)

OK - usage libre, pas de RGPD déclenché

B

Données client anonymisées (noms remplacés, montants arrondis)

Généraliste avec opt-out training activé

À cadrer - protocole interne + clause lettre de mission

C

Données client identifiables (grand-livre, balance, factures)

Spécialisée hébergée UE (Pennylane Copilot, Tiime IA, Mistral Pro via API)

À cadrer - protocole + audit fournisseur + information client

D

Données client identifiables (grand-livre, balance, factures, paie)

Généraliste sans garanties (ChatGPT free, Gemini perso, Claude perso sans CCT)

NON - risque RGPD majeur, sanction probable en cas de contrôle

Symétrie utile à retenir : utiliser ChatGPT pour un sujet sensible et utiliser Pennylane Copilot pour un sujet hors de sa scope sont deux erreurs miroirs. Le bon outil pour la bonne tâche pour les bonnes données.

Le minimum vital de conformité - checklist 5 actions

  1. Mettre à jour ta lettre de mission avec une clause IA (modèle en lead magnet). Délai : à la prochaine émission ou révision de lettre, sans attendre.

  2. Choisir 1 ou 2 outils autorisés en cabinet + interdire le reste (politique IT écrite). Délai : 1h de réunion d'associés, à programmer ce mois-ci.

  3. Activer les opt-out de training partout où c'est possible (ChatGPT, Mistral free). Délai : 15 minutes par compte, à faire aujourd'hui.

  4. Tenir un registre des traitements IA (obligation RGPD article 30, simple tableur). Délai : 1h pour démarrer, à enrichir à chaque nouvel outil.

  5. Former les collaborateurs au protocole (réunion 30 min/an minimum). Délai : à programmer dans les 30 prochains jours.

Coût total : 4 à 5 heures de travail réparties. Bénéfice : tu sors de la zone grise et tu deviens contrôlable sans risque.

Ce que la CNIL n'a pas encore tranché (et que ça change pour toi)

La CNIL et le Conseil supérieur de l'Ordre des experts-comptables ont une convention de partenariat active, et plus de 5 000 EC utilisent déjà leurs ressources RGPD. Mais au 15 juin 2026, aucune fiche dédiée à l'usage de l'IA générative par les professions réglementées n'a été publiée. Le guide CNIL "IA et RGPD" existant traite des questions générales sans descendre au cas concret du cabinet EC qui injecte un grand-livre dans ChatGPT.

J'ai posé publiquement la question à la CNIL le 27 mai sur LinkedIn (lien dans les sources). Pas de réponse à ce jour. Si elle vient, je la relaierai dans une veille du jeudi.

En attendant : principe de précaution, on documente tout, et on suit le référentiel CNIL sur l'AI Act attendu fin 2026.

Pour aller plus loin

Réponds simplement "RGPD" à cet email, je t'envoie le Kit conformité IA Saisie Zéro :

  • La checklist en PDF (1 page, imprimable, à afficher dans la salle de réunion)

  • Un modèle de clause IA pour ta lettre de mission (Word, prêt à coller)

  • Un modèle de registre des traitements IA (Excel, simplifié, conforme RGPD article 30)

Gratuit. Pas de spam.

Sources et fact-check

Textes officiels

  • RGPD - Règlement (UE) 2016/679 du 27 avril 2016 : eur-lex.europa.eu/eli/reg/2016/679 (responsable de traitement art. 4 et 24 ; information art. 13-14 ; registre art. 30 ; sanctions art. 83 : jusqu'à 20 M€ ou 4% du CA mondial)

  • AI Act - Règlement (UE) 2024/1689 du 13 juin 2024 : eur-lex.europa.eu/eli/reg/2024/1689 (obligation de formation "AI literacy" art. 4, en application depuis le 2 février 2025 ; transparence art. 50 ; sanctions art. 99 : jusqu'à 35 M€ ou 7% pour pratiques interdites, 3% pour non-conformité)

  • Secret professionnel de l'expert-comptable : article 226-13 du code pénal (1 an d'emprisonnement et 15 000 € d'amende pour la révélation d'une information à caractère secret par une personne qui en est dépositaire par profession)

Sources institutionnelles

Sources humaines et publiques

  • Échanges publics LinkedIn (mai 2026) sur les frameworks de contrôle interne de l'IA (ISO 42001, CNIL, AI Act)

  • Post public de Florian Dufour (12 juin 2026) relayant l'obligation de formation AI Act (art. 4) et l'épisode 2 du podcast CodEC avec Me Romain Mirabile, avocat. Obligation recoupée sur le texte officiel.

Documentation fournisseurs IA vérifiée au 15 juin 2026

  • Anthropic Claude : training opt-out par défaut sur consumer (Free/Pro/Max) depuis sept. 2025, rétention 5 ans si opt-in ; exclu sur Work/API - anthropic.com/news/updates-to-our-consumer-terms

  • OpenAI ChatGPT : training par défaut sur comptes perso, opt-out via Data Controls ; exclu sur Team/Enterprise/API - openai.com

  • Mistral Le Chat : training sauf opt-out (free/pro perso), opt-out par défaut sur Teams/Enterprise - help.mistral.ai

  • Google Gemini, Microsoft Copilot M365, Pennylane Copilot, Tiime IA : politiques sur leurs sites officiels respectifs

Données contextuelles Saisie Zéro

  • Observations terrain cabinets pilotes Saisie Zéro depuis le lancement (mai 2026)

À jeudi pour la veille.

Julien

Keep Reading