Conformité8 min de lecture

Guidance de la SRA sur l'IA : ce que les solicitors doivent savoir

La SRA n'a pas de règles propres à l'IA : vos obligations existantes s'appliquent. La confidentialité (§ 6.3) est le nœud. Anonymisez avant le prompt.

Par Pierre de ONYRI

La SRA (Solicitors Regulation Authority) n'a pas écrit de règlement propre à l'IA. Sa position publiée est plus simple. Les SRA Standards and Regulations existants s'appliquent déjà quand un outil entre dans la boucle. La bonne question n'est donc pas « quelles sont les règles IA ? ». C'est « comment mes obligations s'appliquent-elles ici ? ». Le cœur du sujet est la confidentialité. Le paragraphe 6.3 du Code of Conduct vous impose de garder confidentielles les affaires de vos clients. Coller le détail d'un dossier dans une IA publique est une divulgation à un tiers. Le UK GDPR s'ajoute par-dessus. La parade est concrète : retirez noms, parties et détails identifiants avant le prompt.

Il n'existe pas de règlement IA distinct

La SRA régule les solicitors d'Angleterre et du pays de Galles. Elle ne couvre ni l'Écosse ni l'Irlande du Nord. Elle n'a publié aucune règle spécifique à l'IA. Son rapport Risk Outlook sur l'usage de l'IA dans le marché du droit est une publication de recherche et d'alerte sur les risques. Ce n'est pas un code de pratique. Il ne crée aucune obligation nouvelle.

Ce cadrage change votre travail en pratique. Vous n'attendez pas un nouveau rulebook. Vous appliquez des devoirs que vous connaissez déjà. Confidentialité. Compétence. Supervision. Responsabilité. Le Risk Outlook liste d'ailleurs ses propres têtes de chapitre : biais, erreurs, échelle, confidentialité et vie privée, responsabilité, divergence réglementaire et criminalité.

La confidentialité : le paragraphe 6.3 est le nœud

Le paragraphe 6.3 du Code of Conduct porte le devoir de confidentialité. Il figure dans les deux codes. Celui des solicitors, RELs et RFLs. Et celui des cabinets, le Code for Firms. Sa formulation est directe. Vous gardez confidentielles les affaires de vos clients actuels et anciens. Trois exceptions seulement : la loi l'exige, la loi le permet, ou le client y consent.

La guidance de la SRA sur la confidentialité traite la divulgation à un tiers de front. Le consentement du client doit être assez clair. Le client doit comprendre à qui son information sera rendue accessible. Quand. Et pour quoi faire. La SRA invite les cabinets à refléter ces arrangements dans leurs lettres de mission.

C'est là que l'IA bascule. Coller le détail d'un dossier dans un outil externe n'est pas un geste interne. C'est une divulgation à un tiers. Le fournisseur de l'IA est ce tiers.

Un mot sur le manquement. La guidance de la SRA traite la divulgation non autorisée comme un manquement. Une justification convaincante peut l'atténuer. Elle ne l'efface pas rétrospectivement. La nuance compte.

Ce que le Risk Outlook nomme vraiment

Le rapport Risk Outlook de la SRA nomme le scénario exact qui vous inquiète.

  • Des collaborateurs versent des informations de dossiers clients dans des outils d'IA publics, comme ChatGPT.
  • Des données confidentielles sont exposées lors de leur transfert à un fournisseur d'IA pour l'entraînement.
  • Les détails sensibles d'un client ressurgissent dans une réponse générée pour un autre client.
  • La responsabilité ne se délègue pas : le cabinet répond des sorties des fournisseurs d'IA tiers.

Le dernier point mérite qu'on s'y arrête. Le Risk Outlook est explicite. Un cabinet reste comptable des productions de son fournisseur d'IA. Vous ne transférez pas votre responsabilité à un éditeur de logiciel. Les compliance tips de la SRA ajoutent deux précisions. Le COLP (Compliance Officer for Legal Practice) répond de la conformité réglementaire quand une technologie nouvelle est introduite. Et la supervision du conseil est critique, à l'achat comme à l'usage.

La vérification : l'arrêt Ayinde

En juin 2025, la Divisional Court a tranché une question voisine. L'affaire s'appelle Ayinde v London Borough of Haringey et Al-Haroun v Qatar National Bank [2025] EWHC 1383 (Admin). Elle date du 6 juin 2025. Elle vient de la présidente de la King's Bench Division et du juge Johnson.

La règle posée est nette. Qui utilise l'IA pour de la recherche juridique a le devoir professionnel d'en vérifier l'exactitude. Le contrôle se fait contre des sources faisant autorité. La cour en a nommé trois. La base de jurisprudence des National Archives. Les bases gouvernementales de législation. Et les Law Reports officiels. Le contrôle précède tout usage professionnel.

Les faits donnent la mesure du problème. Dans Ayinde, cinq autorités citées n'existaient pas. Dans Al-Haroun, 45 citations posaient problème et 18 étaient entièrement inventées. Aucune procédure pour contempt n'a été engagée. Mais des signalements ont été faits à la SRA et au BSB (Bar Standards Board).

Deux précisions honnêtes. Ce devoir-là est un devoir envers la cour. Il ne vient pas du régulateur. C'est une source d'obligation distincte de celle de la SRA. Et Ayinde porte sur la vérification, pas sur la confidentialité. Les deux problèmes sont réels, mais ils sont séparés.

Le UK GDPR ajoute une seconde couche

Le UK GDPR se cumule au devoir déontologique. Il ne le remplace pas. Les données personnelles d'un client dans un prompt engagent vos obligations de responsable de traitement. Le régulateur n'est pas le même. La SRA d'un côté. L'ICO (Information Commissioner's Office) de l'autre.

Ne confondez pas les deux consentements. Le consentement du client au sens du 6.3 n'est pas une base légale au sens du UK GDPR. Ce sont deux analyses distinctes. Les compliance tips de la SRA renvoient d'ailleurs à vos obligations de protection des données. Expliquer aux personnes comment leurs données seront traitées. Respecter les règles sur la décision automatisée et le profilage, selon la guidance de l'ICO.

L'ICO publie des ressources dédiées. Une guidance sur l'application des principes du UK GDPR aux informations utilisées dans les systèmes d'IA. Et une boîte à outils d'analyse de risque, l'AI and data protection risk toolkit.

L'obligationSa sourceCe que ça change pour un prompt
ConfidentialitéSRA Code of Conduct, paragraphe 6.3Coller le détail d'un dossier dans une IA publique est une divulgation à un tiers.
Gouvernance, systèmes et contrôlesSRA Code for Firms, paragraphe 2.1(a)Le COLP répond de la conformité quand un nouvel outil est introduit.
Vérification de la recherche IADevoir envers la cour (Ayinde [2025] EWHC 1383)Chaque sortie se contrôle contre des sources faisant autorité avant usage.
Données personnellesUK GDPR, appliqué par l'ICOLes données personnelles du client dans un prompt engagent le responsable de traitement.
ResponsabilitéRisk Outlook de la SRA sur l'IAElle reste au cabinet. Elle ne passe pas au fournisseur d'IA.
Cinq obligations, quatre sources distinctes. Aucune n'a été créée par l'IA — toutes s'y appliquent.

La parade : anonymiser avant le prompt

La bonne nouvelle est que l'IA reste utile. Elle rédige. Elle structure. Elle raisonne sur une trame. Pour cela, elle n'a besoin d'aucun nom de client. Ni du nom des parties. Ni des détails identifiants du dossier. Retirez-les avant le prompt et l'aide reste entière.

L'anonymisation supprime la divulgation sans supprimer l'utilité. Le matériau qui déclenche le 6.3 n'atteint jamais le tiers. Les données personnelles qui déclenchent le UK GDPR non plus. Un seul geste répond aux deux régulateurs.

Schéma en deux voies : en haut, un dossier juridique dont la ligne du nom de client et les lignes de dossier sont en clair (ambre) passe devant une balance de la justice vers une carte IA qui reçoit le dossier exposé, avec une alerte de risque ambre ; en bas, le même dossier anonymisé montre des jetons cobalt et un sceau de confidentialité intact, et la carte IA ne reçoit que des jetons avec une coche.
D'après le rapport Risk Outlook de la SRA sur l'IA dans le marché du droit, la guidance de la SRA sur la confidentialité (paragraphe 6.3) et l'arrêt de la Divisional Court dans Ayinde [2025] EWHC 1383 (Admin).
  1. 1Lisez la guidance en vigueur de la SRA avant d'ouvrir un outil d'IA.
  2. 2Retirez du prompt les noms, les parties et les détails identifiants du dossier.
  3. 3Travaillez sur des outils approuvés par le cabinet, avec un DPA et une clause de non-entraînement.
  4. 4Vérifiez chaque sortie contre des sources faisant autorité, comme l'exige Ayinde.
  5. 5Consignez votre approche : l'outil, les contrôles, la supervision.

Une réserve, par honnêteté. L'anonymisation ne vous décharge pas du devoir. Un dossier restreint peut rester identifiable. Une trame de faits distinctive aussi. Le risque résiduel de ré-identification demeure. C'est pourquoi l'outil approuvé, le DPA et la supervision restent indispensables. L'anonymisation réduit l'exposition. Elle ne remplace pas la gouvernance.

C'est le rôle d'ONYRI Sanitize. Le moteur détecte les données sensibles — noms, parties, coordonnées, montants, références de dossier — et les remplace par des jetons réversibles. La détection et le mapping restent dans votre navigateur. Seul un texte anonymisé atteint le modèle. Vous restaurez les vraies valeurs en local, après la réponse. L'IA vous aide sur la rédaction et le raisonnement. Le détail qui déclenche le paragraphe 6.3 et le UK GDPR, lui, ne quitte pas votre poste.

Questions fréquentes

Que dit la guidance de la SRA sur l'IA ?
La SRA n'a publié aucune règle propre à l'IA. Sa position est que les SRA Standards and Regulations existants s'appliquent déjà. Le paragraphe 6.3 du Code of Conduct impose de garder confidentielles les affaires du client. Coller le détail d'un dossier dans une IA publique est une divulgation à un tiers. Le rapport Risk Outlook de la SRA nomme ce risque, sans créer d'obligation nouvelle. La parade : anonymiser avant le prompt.
Un solicitor peut-il mettre des informations client dans ChatGPT ?
Pas le détail identifiant. Le paragraphe 6.3 n'autorise la divulgation que si la loi l'exige, si la loi le permet, ou si le client y consent. Et le consentement doit être assez clair pour que le client comprenne à qui, quand et pour quoi. Le Risk Outlook de la SRA cite justement le versement d'informations de dossiers dans des outils publics comme ChatGPT. Retirez noms, parties et détails du dossier, et travaillez sur un outil approuvé par le cabinet.
L'usage d'un outil d'IA transfère-t-il ma responsabilité ?
Non. Le Risk Outlook de la SRA est explicite : le cabinet reste comptable des sorties de ses fournisseurs d'IA tiers. Les compliance tips ajoutent que le COLP répond de la conformité réglementaire quand une technologie nouvelle est introduite. Et dans Ayinde [2025] EWHC 1383 (Admin), la Divisional Court a confirmé le devoir de vérifier toute recherche IA contre des sources faisant autorité.

Sources et références

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt

À lire aussi