ChatGPT en cabinet : pourquoi c'est illégal en France
Article 226-13, RGPD, déontologie : pourquoi l'usage de ChatGPT public viole le secret professionnel des experts-comptables.
L’essor des IA génératives dans les cabinets : une révolution… ou un risque juridique majeur ?
Depuis fin 2022, les outils d’intelligence artificielle générative comme ChatGPT (OpenAI), Bard (Google) ou Claude (Anthropic) ont envahi les discussions dans les cabinets d’expertise comptable. Entre la promesse d’un gain de temps sur les recherches fiscales, la rédaction de courriers types ou l’analyse rapide de textes juridiques, l’attrait est évident. Pourtant, leur utilisation dans le cadre professionnel soulève des problèmes juridiques critiques – au point que certains usages pourraient être considérés comme illégaux au regard du droit français.
Pour un expert-comptable, le risque n’est pas seulement théorique : il engage la responsabilité civile, pénale et déontologique du professionnel. Le secret professionnel (art. 226-13 du Code pénal), la protection des données clients (RGPD) et les obligations déontologiques (Ordre des Experts-Comptables) forment un cadre strict qui rend l’utilisation de ChatGPT public (version gratuite ou payante grand public) incompatible avec l’exercice de la profession.
Dans cet article, nous détaillons pourquoi et comment ces outils violent la législation française, quels sont les risques encourus, et quelles alternatives légales et souveraines existent pour les cabinets.
1. Le secret professionnel de l’expert-comptable : une obligation absolue (art. 226-13 du Code pénal)
Un principe intangible, sous peine de sanctions pénales
L’article 226-13 du Code pénal dispose que :
« La révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire, est punie d’un an d’emprisonnement et de 15 000 € d’amende. »
Pour les experts-comptables, cette obligation est renforcée par :
- L’article 5 du Code de déontologie de la profession (décret n°2012-432 du 30 mars 2012) :
« L’expert-comptable est tenu au secret professionnel pour tous les faits, actes et renseignements dont il a pu avoir connaissance en raison de ses fonctions. »
- L’article L. 822-1 du Code de commerce, qui étend cette obligation aux collaborateurs du cabinet.
ChatGPT : un tiers non autorisé à recevoir des données confidentielles
Lorsque vous saisissez une question dans ChatGPT (ex. : « Comment optimiser fiscalement une SCI avec des revenus fonciers de 120 000 € ? »), plusieurs problèmes se posent :
- Transmission à un acteur étranger : OpenAI (société américaine) stocke et traite les données sur des serveurs hors UE, sans garantie de conformité au RGPD.
- Utilisation des données pour l’entraînement : Selon les Conditions d’utilisation de ChatGPT (dernière mise à jour : août 2023), toutes les saisies peuvent être utilisées pour améliorer le modèle, sauf si l’option “Ne pas utiliser mes données pour l’entraînement” est activée (disponible uniquement pour les comptes payants, et sans certitude juridique sur son efficacité).
- Absence de contrôle sur la destination des données : Une fois transmises, les informations ne peuvent plus être supprimées à la demande de l’utilisateur (contrairement à l’article 17 du RGPD, dit « droit à l’oubli »).
➡️ Conséquence : En partageant des données clients (même anonymisées) avec ChatGPT, l’expert-comptable viole son obligation de secret professionnel, avec un risque de sanction pénale (1 an de prison + 15 000 € d’amende).
2. Le RGPD et le transfert de données hors UE : un non-respect flagrant
Le RGPD interdit les transferts non encadrés vers les États-Unis
Le Règlement Général sur la Protection des Données (RGPD, UE 2016/679) impose que les données personnelles des citoyens européens ne soient transférées hors UE que sous des garanties strictes.
Or, ChatGPT est hébergé par OpenAI (Siège : San Francisco, États-Unis), un pays non reconnu comme offrant un niveau de protection adéquat par la Commission européenne (décision « Privacy Shield » invalidée par la CJUE en 2020, affaire « Schrems II », C-311/18).
Quelles sont les données concernées ?
Même si vous ne mentionnez pas explicitement le nom d’un client, des informations comme :
- Un numéro de SIRET,
- Un montant de chiffre d’affaires,
- Une structure juridique spécifique (holding, SCI, etc.),
- Un problème fiscal ou social précis (ex. : « comment gérer un redressement URSSAF de 50 000 € ? »),
… peuvent être considérées comme des données indirectement identifiantes (art. 4 du RGPD).
Les clauses contractuelles d’OpenAI sont-elles suffisantes ?
OpenAI propose des Clauses Contractuelles Types (CCT) pour encadrer les transferts, mais :
- La CNIL a rappelé dans ses lignes directrices (2023) que les CCT ne suffisent pas pour les transferts vers les États-Unis, en raison des lois américaines (FISA 702, Cloud Act) qui permettent aux autorités d’accéder aux données sans notification.
- La jurisprudence récente (décision de la CNIL contre Google Analytics, février 2022) confirme que les outils américains ne respectent pas le RGPD sans mesures supplémentaires (anonymisation irréversible, chiffrement strict, etc.), impossibles à garantir avec ChatGPT.
➡️ Risque : Sanction administrative par la CNIL (jusqu’à 4 % du chiffre d’affaires mondial du cabinet, art. 83 du RGPD) + responsabilité civile en cas de fuite de données.
3. La déontologie de l’expert-comptable : indépendance et loyauté incompatibles avec une IA publique
L’obligation d’indépendance (art. 6 du Code de déontologie)
L’expert-comptable doit conserver une totale indépendance dans ses conseils. Or, ChatGPT :
- Ne cite pas ses sources (contrairement à une recherche sur Legifrance ou BOFiP).
- Peut générer des erreurs (hallucinations, données obsolètes).
- Est influencé par des biais algorithmiques (ex. : optimisation fiscale agressive non conforme à la jurisprudence française).
➡️ Problème : Un conseil basé sur une réponse de ChatGPT non vérifiée pourrait être considéré comme une faute professionnelle (art. L. 822-17 du Code de commerce).
L’obligation de loyauté envers le client
L’article 7 du Code de déontologie impose à l’expert-comptable d’agir « avec loyauté et probité ». Utiliser un outil qui :
- Stocke les données sans transparence,
- Peut les réutiliser à des fins commerciales (ex. : entraînement pour des clients concurrents),
- N’offre aucune garantie de confidentialité,
… porte atteinte à cette obligation.
➡️ Exemple concret : Si un client découvre que ses données fiscales ont été transmises à une IA américaine, il pourrait engager la responsabilité civile du cabinet pour manquement au devoir de conseil (art. 1240 du Code civil).
4. Les alternatives légales : comment utiliser l’IA en cabinet sans risque ?
| Critère | ChatGPT (OpenAI) ❌ | Konfid (IA souveraine) ✅ | Autres solutions (à vérifier) |
|---|---|---|---|
| Hébergement des données | États-Unis (Cloud Act) | France (RGPD conforme) | UE (vérifier le prestataire) |
| Secret professionnel | Violation (art. 226-13) | Respecté (chiffrement, pas de réutilisation) | À valider cas par cas |
| RGPD | Non conforme (transferts USA) | Conforme (CNIL compatible) | Clauses contractuelles insuffisantes |
| Sources juridiques | Non citées (risque d’erreur) | Intégration BOFiP, Legifrance | Dépend de l’outil |
| Traçabilité | Aucune | Historique auditable | Variable |
Les solutions souveraines et conformes
Pour bénéficier de l’IA sans enfreindre la loi, les cabinets doivent se tourner vers des outils :
- Hébergés en France ou dans l’UE (ex. : Konfid, qui utilise des serveurs certifiés HDS et RGPD).
- Sans réutilisation des données pour l’entraînement.
- Avec des sources vérifiables (intégration directe du BOFiP, Legifrance, jurisprudence).
- Audités par un tiers indépendant (ex. : certification ISO 27001 pour la sécurité).
➡️ Exemple : Konfid est une IA spécialisée pour les experts-comptables, conçue pour :
- Ne jamais stocker les données clients en dehors du cabinet.
- Citer systématiquement les sources légales (articles du CGI, BOFiP, etc.).
- Être compatible avec le secret professionnel (chiffrement de bout en bout).
5. Que risque un cabinet qui utilise ChatGPT malgré tout ?
| Type de risque | Base légale | Sanction possible |
|---|---|---|
| Violation du secret professionnel | Art. 226-13 Code pénal | 1 an de prison + 15 000 € d’amende |
| Non-respect du RGPD | Art. 83 RGPD | Jusqu’à 4 % du CA mondial (ou 20 M€) |
| Manquement déontologique | Art. L. 822-17 Code de commerce | Radiation de l’Ordre + responsabilité civile |
| Erreur de conseil | Art. 1240 Code civil | Dommages et intérêts pour préjudice client |
| Atteinte à la réputation | – | Perte de clients, difficulté à souscrire une assurance RC Pro |
Cas réel : un cabinet sanctionné pour usage de Google Drive non sécurisé
En 2021, la CNIL a sanctionné un cabinet d’expertise comptable (délibération n° SAN-2021-020) pour avoir stocké des données clients non chiffrées sur Google Drive. Bien que moins grave qu’un transfert vers une IA, ce cas illustre la rigueur de la CNIL sur les transferts hors UE.
➡️ Leçon : Les autorités ne font pas de distinction entre une négligence et une méconnaissance – la responsabilité du cabinet est engagée dès lors que les données quittent un environnement sécurisé.
Conclusion : l’IA en cabinet, oui… mais pas n’importe laquelle
L’intelligence artificielle représente une opportunité majeure pour les experts-comptables : gain de temps, réduction des erreurs, meilleure analyse des données. Mais son utilisation doit impérativement respecter le cadre légal français, sous peine de sanctions pénales, administratives et déontologiques.
ChatGPT et les IA grand public sont incompatibles avec : ✅ Le secret professionnel (art. 226-13 Code pénal), ✅ Le RGPD (transferts hors UE non sécurisés), ✅ La déontologie de la profession (indépendance, loyauté).
Les alternatives existent : des outils souverains, conformes et spécialisés comme Konfid permettent d’exploiter l’IA sans risque juridique, avec :
- Un hébergement 100 % français,
- Une intégration directe des sources officielles (BOFiP, Legifrance),
- Une garantie de confidentialité absolue.
Prochaine étape pour votre cabinet
- Auditez vos outils : Identifiez si des collaborateurs utilisent ChatGPT ou des solutions non conformes.
- Formez vos équipes sur les risques juridiques (RGPD, secret professionnel).
- Passez à une IA souveraine : Découvrez Konfid ou réservez une démo pour une solution légale, sécurisée et adaptée aux experts-comptables.
⚠️ Attention : La législation évolue rapidement (ex. : AI Act européen, en cours d’adoption). Restez informé via les publications de la CNIL et de l’Ordre des Experts-Comptables pour éviter tout risque.
Vous voulez tester Konfid sur votre cabinet ?
Une démo de 30 minutes en visio. On vous montre l'IA Konfid sur des cas réels du métier comptable.
Réserver une démoAudit IA dans un cabinet : 10 questions à se poser
Grille d'auto-évaluation : exposition au risque, conformité, ROI, formation. À utiliser avant tout déploiement IA.
Former vos collaborateurs à l'IA : programme type
Plan de formation IA pour une équipe de cabinet. Modules, durées, livrables, indicateurs de succès.
Démystifier les hallucinations d'IA en contexte comptable
Pourquoi les IA inventent parfois des articles de loi ou des chiffres. Comment détecter et minimiser le risque.