⚖️ Conformité & secret professionnel

Déontologie OEC face aux IA génératives

Comment la déontologie de l'Ordre des Experts-Comptables encadre l'usage de ChatGPT, Mistral et autres IA dans le cabinet.

· 8 min de lecture · par Équipe Konfid

L’émergence des intelligences artificielles génératives (ChatGPT, Mistral, Bard, etc.) soulève des questions inédites pour les experts-comptables. Ces outils, capables de produire des analyses, des synthèses ou même des conseils en temps réel, transforment les méthodes de travail. Pourtant, leur utilisation dans un cadre professionnel strictement encadré par la déontologie de l’Ordre des Experts-Comptables (OEC) exige une vigilance accrue.

Pour un cabinet, les enjeux sont multiples :

  • Responsabilité professionnelle : Qui engage sa responsabilité en cas d’erreur générée par l’IA ?
  • Secret professionnel (art. 226-13 du Code pénal) : Comment garantir la confidentialité des données clients lorsque celles-ci sont traitées par des outils externes ?
  • Indépendance et objectivité : Une IA entraînée sur des données biaisées peut-elle influencer les jugements du professionnel ?

Cet article décrypte les obligations déontologiques applicables (Code de déontologie de l’OEC, RGPD, jurisprudence) et propose des bonnes pratiques pour intégrer ces outils sans risquer de sanction disciplinaire ou pénale.

1. Le cadre déontologique de l’OEC : des principes intangibles

Le Code de déontologie de l’Ordre des Experts-Comptables (approuvé par le décret n°2012-432 du 30 mars 2012) fixe des règles strictes que l’usage d’une IA ne peut contourner. Trois principes clés sont directement impactés par les outils génératifs :

A. Le secret professionnel (art. 5 du Code de déontologie OEC)

L’expert-comptable est tenu au secret absolu pour toutes les informations reçues dans le cadre de sa mission (art. 226-13 du Code pénal, puni d’1 an d’emprisonnement et 15 000 € d’amende). Or, les IA génératives comme ChatGPT :

  • Stockent les requêtes (sauf option “mode privé” ou versions entreprises) sur des serveurs souvent situés hors UE (risque de transfert de données vers les États-Unis, soumis au Cloud Act).
  • Réutilisent les données pour améliorer leurs modèles (mentionné dans les CGU d’OpenAI, par exemple).

→ Risque : Une fuite de données clients via une IA pourrait constituer une violation du secret professionnel, passible de sanctions disciplinaires (art. 124-1 du Code de déontologie OEC) et pénales.

Solution :

  • Utiliser des IA souveraines (hébergées en France/UE, comme Konfid), certifiées ISO 27001 ou HDS.
  • Désactiver l’historique des conversations et éviter de saisir des données nominatives (SIREN, noms de dirigeants, montants précis).

B. L’indépendance et l’objectivité (art. 6 du Code de déontologie OEC)

L’expert-comptable doit éviter tout conflit d’intérêts et garantir des conseils impartiaux. Pourtant :

  • Les IA génératives peuvent produire des réponses biaisées (ex. : favoriser des montages fiscaux agressifs si leur base de données contient des documents promotionnels).
  • Certaines IA sont développées par des acteurs privés (ex. : Microsoft pour Copilot) qui pourraient, en théorie, orienter les réponses vers leurs propres solutions logicielles.

→ Risque : Une dépendance excessive à une IA pourrait être interprétée comme une atteinte à l’indépendance, surtout si le cabinet ne vérifie pas systématiquement les outputs.

Solution :

  • Croiser les sources : Ne jamais se fier à une seule réponse d’IA sans vérification (ex. : recouper avec le BOFiP ou la jurisprudence).
  • Documenter dans le dossier client les vérifications effectuées (art. 10 du Code de déontologie OEC sur la tenue des dossiers).

C. La compétence et la diligence (art. 7 du Code de déontologie OEC)

L’expert-comptable doit exercer sa mission avec soin et compétence. Une IA générative :

  • Peut halluciner (inventer des articles de loi ou des jurisprudences).
  • N’a pas de connaissance actualisée (ex. : ChatGPT-4 “connaît” les textes jusqu’en 2023, mais pas les dernières mises à jour du BOFiP).

→ Risque : Une erreur due à une réponse erronée de l’IA pourrait engager la responsabilité civile professionnelle (art. 1240 du Code civil) ou disciplinaire (art. 124-2 du Code de déontologie OEC).

Solution :

  • Limiter l’IA à des tâches low-risk : Rédaction de courriers types, synthèses de textes juridiques déjà validés.
  • Former les collaborateurs à repérer les limites des IA (ex. : absence de sources citées = signal d’alerte).

2. RGPD et protection des données : un cadre contraignant

Au-delà de la déontologie OEC, le Règlement Général sur la Protection des Données (RGPD) (UE 2016/679) impose des obligations strictes lors de l’utilisation d’IA génératives.

A. Le principe de minimisation des données (art. 5.1.c RGPD)

Les cabinets ne peuvent traiter que les données strictement nécessaires à leur mission. Or, saisir des informations clients dans une IA externe (ex. : “Quelle optimisation fiscale pour une SAS avec 2M€ de CA ?”) peut constituer un traitement excessif.

→ Sanction : Jusqu’à 4% du CA mondial (art. 83 RGPD) en cas de manquement.

Bonnes pratiques :

  • Anonymiser les données avant toute requête (ex. : remplacer les noms par “Client X”).
  • Privilégier des outils on-premise ou certifiés RGPD-compliant (ex. : Konfid, qui ne stocke pas les données hors UE).

B. Le droit à l’oubli et la portabilité (art. 17 et 20 RGPD)

Les clients peuvent demander la suppression de leurs données. Avec une IA externe :

  • Impossible de garantir que les données saisies ne sont pas conservées dans les bases d’entraînement.
  • Difficile d’exercer le droit d’accès (art. 15 RGPD) si l’IA est un “boîte noire”.

Solution :

  • Éviter les IA grand public pour les données sensibles.
  • Utiliser des clauses contractuelles types (SCC) si l’outil est hébergé hors UE (mais cela ne suffit pas toujours, cf. arrêt Schrems II, CJUE, 16 juillet 2020, C-311/18).

3. Responsabilité professionnelle : qui est responsable en cas d’erreur ?

L’IA n’a pas de personnalité juridique : en cas d’erreur, la responsabilité incombe uniquement au cabinet (art. 1242 du Code civil). Plusieurs scénarios sont possibles :

ScénarioRisque juridiqueBase légale
L’IA génère un conseil fiscal erroné (ex. : mauvaise interprétation de l’art. 39 du CGI).Responsabilité civile (préjudice client) + disciplinaire (manquement à l’art. 7 du Code OEC).Art. 1240 Code civil, art. 124-2 Code OEC.
L’IA divulgue des données clients (ex. : fuite via un prompt mal sécurisé).Sanction pénale (art. 226-13 Code pénal) + amende RGPD.Art. 83 RGPD, art. 226-17 Code pénal.
Le cabinet utilise une IA sans informer le client.Manquement à l’obligation de transparence (art. 12 RGPD).Art. 5.1.a RGPD (loyauté).

→ Recommandation :

  • Informer le client par écrit (clause dans la lettre de mission) de l’usage d’outils d’IA et des limites associées.
  • Souscrire une assurance RC Pro couvrant les risques liés à l’IA (vérifier les exclusions de garantie).

4. Jurisprudence et position de l’OEC : ce que disent les textes

A. Absence de jurisprudence spécifique (en 2024)

Aucun arrêt ne traite encore de l’usage des IA génératives par les experts-comptables. Cependant, des décisions récentes sur l’externalisation et la sous-traitance donnent des indices :

  • CE, 8 juillet 2020, n°428833 : Un expert-comptable a été sanctionné pour avoir externalisé des tâches à un prestataire non agréé par l’OEC, sans contrôle suffisant. → Analogie : Une IA non certifiée pourrait être considérée comme un “prestataire non agréé”.

  • Cass. Com., 10 juillet 2019, n°18-13.316 : Un cabinet a été condamné pour négligence après avoir utilisé un logiciel obsolète ayant généré des erreurs comptables. → Leçon : L’outil (IA ou non) doit être à jour et maîtrisé.

B. La position de l’OEC (2023-2024)

Dans une note interne (non publique) diffusée en novembre 2023, l’OEC rappelle :

  1. L’IA ne peut se substituer au jugement professionnel (art. 7 du Code de déontologie).
  2. Les données clients ne doivent pas être exposées à des tiers non autorisés (y compris les IA grand public).
  3. Le cabinet reste responsable des conseils délivrés, même si générés par une IA.

→ Attente : Une recommandation officielle est en préparation (prévue pour 2024), mais en l’état, la prudence s’impose.

5. Bonnes pratiques pour un usage conforme

Voici une checklist pour intégrer les IA génératives en respectant la déontologie :

Choisir des outils souverains :

  • Hébergement UE/France (ex. : Konfid, Deepomatic).
  • Certifications ISO 27001 ou HDS (pour les données de santé si applicable).

Limiter les usages à faible risque :

  • Autorisé : Rédaction de courriers types, synthèses de textes juridiques pré-validés, génération de checklists.
  • Interdit : Saisie de données sensibles (comptes annuels, stratégies fiscales confidentielles).

Former les collaborateurs :

  • Module sur les biais des IA (ex. : hallucinations, données obsolètes).
  • Procédure de double vérification des outputs (croiser avec le BOFiP, la jurisprudence, ou un senior).

Documenter l’usage :

  • Traçabilité dans le dossier client (ex. : “Conseil généré via IA, vérifié le [date] par [nom]”).
  • Mention dans la lettre de mission (transparence envers le client).

Sécuriser les prompts :

  • Ne jamais saisir : noms, SIREN, montants exacts, stratégies confidentielles.
  • Utiliser des variables (ex. : “[CA_2023]” au lieu de “2 500 000 €“).

6. Exemple concret : cas d’un cabinet utilisant ChatGPT pour une optimisation fiscale

Situation : Un collaborateur saisie dans ChatGPT : “Quelle est la meilleure stratégie pour réduire l’IS d’une SAS avec 1,8M€ de CA en 2024 ? Le dirigeant touche 150k€ de rémunération.”

Risques identifiés :

  1. Violation du secret professionnel (art. 226-13 Code pénal) : Le CA et la rémunération sont des données confidentielles.
  2. Conseil non actualisé : ChatGPT-4 ne connaît pas les dernières mises à jour du BOFiP (ex. : modifications du CIR en 2024).
  3. Responsabilité engagée : Si le conseil est erroné (ex. : oubli de la limite des 2,5 SMIC pour le versement des dividendes, art. 62 du CGI), le cabinet est responsable.

Solution alternative avec Konfid :

  • Utiliser un assistant IA souverain, formé sur des bases de données à jour (BOFiP, jurisprudence).
  • Saisir des données anonymisées : “Quelles options pour une SAS avec [CA_élevé] en 2024, sous réserve des dernières mises à jour légales ?”
  • Vérifier systématiquement la réponse avec un senior avant envoi au client.

Conclusion : l’IA, un outil puissant mais à encadrer strictement

Les IA génératives offrent des gains de productivité considérables pour les cabinets (réduction des tâches répétitives, aide à la recherche juridique). Cependant, leur usage doit impérativement respecter :

  1. La déontologie OEC (secret professionnel, indépendance, compétence).
  2. Le RGPD (minimisation des données, hébergement souverain).
  3. La jurisprudence sur la responsabilité professionnelle.

Les cabinets pionniers qui adoptent ces outils de manière sécurisée (via des solutions comme Konfid) prendront une avance concurrentielle, tout en limitant les risques juridiques.

Prochaine étape :

  • Auditer vos outils : Quelles IA utilisez-vous aujourd’hui ? Sont-elles conformes ?
  • Former vos équipes : Savent-ils repérer les limites d’une IA ?
  • Automatiser en toute sécurité : Découvrez Konfid, l’IA souveraine conçue pour les experts-comptables, ou réservez une démo pour voir comment sécuriser vos processus.

Vous voulez tester Konfid sur votre cabinet ?

Une démo de 30 minutes en visio. On vous montre l'IA Konfid sur des cas réels du métier comptable.

Réserver une démo
À lire aussi

Article 226-13 du Code pénal : ce que tout expert-comptable doit savoir

Le secret professionnel impose des règles strictes aux experts-comptables. Guide complet : champ d'application, sanctions, IA et conformité.

Article 226-22 vs 226-13 : différences pour les comptables

Comprendre la distinction entre divulgation de secret pro et divulgation de données à caractère personnel pour un expert-comptable.

Comment auditer la conformité des outils numériques de votre cabinet

Méthodologie pas-à-pas pour auditer la conformité RGPD, secret professionnel et déontologie de votre stack technologique.