Lors d’un récent webinaire consacré à l’automatisation des processus, plus de sept cents personnes, pour l’essentiel dépourvues de bagage technique, écoutaient un avocat se présentant comme « expert en IA » expliquer comment installer des agents autonomes afin de disposer d’un « assistant disponible vingt-quatre heures sur vingt-quatre » capable de piloter leur entreprise. La salle suivait, conquise. Je suivais, gagné par une inquiétude croissante : car ce que l’on enseignait là n’était pas de la technologie, c’était de la pensée magique.
Or, pour un juriste, recommander la pensée magique à sept cents confrères n’est pas une étourderie sans conséquence ; cela confine au manquement professionnel. Ce qui se vendait comme une modernisation était, en vérité, une leçon magistrale de négligence numérique. J’en détaille ici les quatre points par lesquels la confidentialité des clients se trouvait exposée.
Le mirage du « bac à sable » sécurisé
L’argument vedette se voulait rassurant : « c’est sûr, puisque cela tourne sur un serveur AWS vierge ». La formule sonne bien et ne dit rien. Isoler le traitement n’est pas isoler la donnée.
Dès l’instant où l’on relie cet agent à son Drive, à sa messagerie ou à son agenda, ou qu’on lui attribue une adresse à laquelle les clients peuvent écrire, le serveur prétendument clos se mue en couloir ouvert sur la confidentialité. Si l’agent vient à être compromis, ce qui s’évapore n’est pas une machine virtuelle : c’est le secret professionnel. Le bac à sable protège l’infrastructure du fournisseur, non le dossier du client.
La courtoisie du modèle n’est pas de la cybersécurité
L’intervenant se targuait d’avoir éprouvé son système : on l’avait, disait-il, menacé par courriel de tuer le dirigeant d’Anthropic si le robot ne livrait pas ses données, et le robot avait refusé. D’où cette conclusion triomphante : « il est inviolable ».
C’est confondre la courtoisie du modèle avec la sécurité du système. Un modèle de langage est entraîné à repousser les insultes et les chantages grossiers ; il n’est nullement conçu pour parer une injection indirecte de prompt. Un courriel d’apparence anodine, porteur d’un texte invisible à l’œil humain, peut lui ordonner d’exfiltrer l’ensemble des fichiers sans que la moindre alerte ne parvienne à son propriétaire. Évaluer la sécurité d’un agent autonome à l’aune du « chantage affectif » ne constitue pas un test d’intrusion : c’est une plaisanterie.
Une infrastructure bâtie sur des contournements
Le troisième écueil tient à la méthode, et c’est le plus embarrassant pour un avocat. L’essentiel de ce qui était ouvertement préconisé revenait à enfreindre les conditions générales du fournisseur lui-même : détourner des sessions prévues pour un « utilisateur » afin de les recycler en automatisations que le contrat prohibe.
Le paradoxe se commente de lui-même. Comment vendre de la « sécurité » lorsque l’infrastructure tout entière repose sur des contournements instables et sur la violation des contrats qui la font fonctionner ? Qui bâtit de la sorte ne réduit pas le risque de ses clients : il l’accumule, et sur des fondations que la prochaine mise à jour du fournisseur peut faire disparaître.
La « shadow AI » à bas coût
Le dernier point bouclait la démonstration. Pour comprimer les coûts, on proposait de dresser une instance dépourvue de clés SSH et de confier le traitement de données clients confidentielles à des modèles bon marché, choisis pour leur prix et non pour leurs garanties. Le tout « parce que cela revient moins cher ».
C’est le degré zéro de la conformité. Économiser quelques centimes de calcul aux dépens de la confidentialité des clients n’a rien d’une optimisation : c’est livrer des informations couvertes par le secret professionnel à des prestataires sans contrat, sans traçabilité et sans la moindre garantie de traitement. La « shadow AI », ces outils adoptés en marge de toute politique interne, est précisément la brèche que, l’incident venu, nul ne sait plus expliquer.
Le terminal n’est pas un jouet
Un fil unique relie ces quatre points : l’IA ne produit pas de discernement. Confier un accès d’administrateur à un agent probabiliste et vulnérable, ce n’est pas faire de la « legal tech » ; c’est jouer à la roulette russe avec les dossiers de ses clients.
La question que le juriste doit se poser avant d’installer quoi que ce soit n’est pas « cela me fera-t-il gagner du temps ? », mais « qu’advient-il du secret professionnel si cela vient à défaillir ? ». Et nul ne répond à pareille question par une démonstration enthousiaste un vendredi après-midi : on y répond par la gouvernance : inventaire des outils, critères d’approbation, traçabilité des données, contrats de traitement, plan de réponse aux incidents. La technologie n’est pas une excuse à l’inconscience.
Cette réflexion se prolonge dans d’autres textes du Ratio : la gouvernance de l’IA dans les équipes juridiques et, plus largement, la transformation digitale des cabinets et directions juridiques. Pour qui souhaite l’inscrire dans une démarche ordonnée, le point de départ demeure toujours le problème concret du cabinet, jamais l’outil à la mode (services).