Comment les cabinets d'avocats doivent-ils encadrer l'usage de l'IA ? (Commencez ici)
Les cabinets d'avocats devraient encadrer l'usage de l'IA comme ils encadrent tout traitement d'informations clients confidentielles : décider quels outils sont approuvés, définir ce qui peut ou non y être saisi, et superviser le résultat avant qu'il ne parvienne à un client ou à un tribunal. En pratique, cela signifie un ensemble de règles court et applicable.
La réponse en six règles
1. Limitez l'IA approuvée aux déploiements d'entreprise qui, par contrat, gardent les données de votre cabinet hors de l'entraînement des modèles et offrent une isolation des données. Évitez l'IA grand public ou gratuite pour tout ce qui touche à un dossier. 2. Ne collez jamais de communications privilégiées, d'instructions clients, de stratégie d'affaire ou de conditions commerciales confidentielles dans un outil qui n'offre pas cette protection contractuelle. La divulgation à un tiers peut mettre en péril la confidentialité, et dans certaines circonstances le secret professionnel. 3. Vérifiez chaque citation et chaque affirmation factuelle générée par l'IA dans une source faisant autorité avant qu'elle n'apparaisse dans une pièce de procédure ou un avis. Les outils d'IA peuvent fabriquer des affaires qui n'existent pas. 4. Maintenez une politique d'IA écrite avec un registre des outils approuvés, des usages interdits et des responsables nommés. Traitez tout outil non approuvé touchant des données clients comme un incident. 5. Faites appliquer la politique par des contrôles techniques, et non par la seule bonne volonté : découvrez quels outils d'IA le personnel utilise réellement, surveillez le trafic vers les services d'IA, et appliquez la prévention des pertes de données aux modèles de documents juridiques. 6. Conservez une trace. Consignez quel outil a été utilisé, par qui et sur quel dossier, afin de pouvoir répondre à un client, à un régulateur ou à un tribunal qui en ferait la demande.
Ces principes s'appliquent à tout cabinet de common law. Les sections ci-dessous exposent d'abord le cadre général de gouvernance, résument la manière dont les concepts sous-jacents de secret professionnel se transposent aux États-Unis, au Royaume-Uni et au Canada, puis fournissent une section détaillée propre à l'Australie couvrant les orientations de la Law Council of Australia, les Australian Solicitors' Conduct Rules et le Privacy Act.
Pour une vue produit de la manière dont cela fonctionne dans un cabinet, consultez la solution Aona gouvernance de l'IA pour les équipes juridiques. Ce guide constitue des informations générales et non un conseil juridique ; vérifiez vos obligations au regard des règles de votre propre juridiction et de votre régulateur.
Principes fondamentaux de gouvernance de l'IA pour tout cabinet d'avocats
Quelle que soit la juridiction dans laquelle un cabinet exerce, les fondamentaux de la gouvernance sont constants parce que les devoirs sous-jacents le sont : protéger les confidences des clients, préserver tout secret professionnel applicable, superviser le produit du travail et rester compétent dans les outils que vous utilisez.
Approuvez les outils délibérément, et consignez-le par écrit
Décidez quels outils d'IA sont autorisés, pour quelles tâches et dans quelles conditions. Évaluez chaque outil pour déterminer s'il garde les données du cabinet hors de l'entraînement, où les données sont stockées, si le fournisseur signera un accord de traitement des données, et s'il respecte votre socle de sécurité. Consignez le résultat dans un registre d'IA avec les cas d'usage approuvés et un responsable désigné. Tout ce qui ne figure pas dans le registre ne devrait pas toucher aux données clients.
Séparez les outils d'entreprise des outils grand public
La distinction la plus utile en matière de gouvernance de l'IA juridique est celle entre les déploiements d'entreprise avec isolation contractuelle des données et les outils grand public ou gratuits qui peuvent conserver les requêtes et les utiliser pour améliorer les modèles. Les accords d'entreprise avec les grands fournisseurs s'engagent généralement à ce que vos données ne servent pas à entraîner des modèles partagés et soient soumises à des clauses de confidentialité. Les outils grand public ne prennent généralement aucun tel engagement. L'usage approuvé devrait se limiter aux premiers.
Supervisez le résultat et vérifiez les citations
Un avocat reste responsable du travail, quelle que soit l'assistance de l'IA. Exigez que les recherches, la rédaction et l'analyse générées par l'IA soient revues par un avocat compétent, et que chaque citation soit confirmée dans une base de données juridique faisant autorité avant qu'on s'y fie. C'est le contrôle qui prévient les défaillances de citations fabriquées qui ont attiré la critique des juges dans plusieurs pays.
Faites appliquer par la technologie et conservez des preuves
Une politique qui dépend de la bonne volonté individuelle échoue sous la pression des délais. Découvrez les outils d'IA que le personnel utilise réellement, surveillez ou bloquez le trafic vers les services non approuvés, et appliquez des règles de prévention des pertes de données qui reconnaissent les modèles de documents juridiques. Consignez l'usage afin que le cabinet puisse démontrer, preuves à l'appui, que son cadre a fonctionné comme prévu.
Mettez à jour les conditions de mission et préparez-vous aux incidents
Indiquez aux clients, dans les conditions de mission, comment le cabinet utilise l'IA lorsque cet usage est important pour leur dossier. Maintenez une procédure de réponse aux incidents pour le cas où un outil non approuvé serait utilisé avec des données clients : évaluez ce qui a été exposé, déterminez d'éventuelles obligations de notification, remédiez et renforcez les contrôles.
Concepts de secret professionnel de common law qui se généralisent (États-Unis, Royaume-Uni, Canada)
Les cabinets hors d'Australie sont confrontés à la même question centrale : la saisie de documents clients dans un outil d'IA menace-t-elle la confidentialité dont dépend le secret professionnel ? La terminologie diffère selon la juridiction, mais le principe selon lequel le secret professionnel exige que la confidentialité soit maintenue est commun aux systèmes de common law.
États-Unis
Les cabinets américains travaillent avec l'attorney-client privilege et la work product doctrine. Les orientations des barreaux, y compris l'ABA Formal Opinion 512 (2024) sur l'IA générative, traitent de la compétence, de la confidentialité et du devoir de protéger les informations clients lors de l'utilisation d'outils d'IA, et plusieurs barreaux d'État ont publié leurs propres avis. L'enseignement pratique est le même qu'ailleurs : les informations clients confidentielles ne devraient pas être saisies dans des outils qui n'offrent pas une protection adéquate de la confidentialité, et les avocats restent responsables de la vérification du résultat de l'IA.
Royaume-Uni
En Angleterre et au Pays de Galles, le legal professional privilege couvre le legal advice privilege et le litigation privilege, et les solicitors sont liés par les SRA Standards and Regulations, y compris le devoir de confidentialité. Les tribunaux ont critiqué l'usage de citations fabriquées, générées par l'IA, renforçant le devoir de ne pas induire le tribunal en erreur. La réponse de gouvernance, des outils d'entreprise approuvés assortis d'une vérification obligatoire, reflète le cadre exposé ci-dessus.
Canada
Les cabinets canadiens travaillent avec le solicitor-client privilege, l'un des secrets les plus fortement protégés du droit canadien, et sont régis par les règles des law societies provinciales fondées sur le Federation of Law Societies Model Code of Professional Conduct, qui traite de la confidentialité, de la compétence et de la technologie. Les mêmes contrôles s'appliquent : gardez les éléments privilégiés et confidentiels hors des outils qui ne les protègent pas par contrat, et vérifiez le résultat de l'IA avant de vous y fier.
Dans ces trois cas, la conclusion de gouvernance est identique. Cantonnez l'IA aux outils qui préservent la confidentialité par contrat, ne présumez jamais qu'un outil grand public garde les données privées, et supervisez et vérifiez tout avant de vous y fier. La section détaillée qui suit applique ces principes à l'Australie, où la Law Council of Australia, les Australian Solicitors' Conduct Rules et le Privacy Act fournissent des obligations spécifiques.
Australie : pourquoi la gouvernance de l'IA est désormais une priorité pour les cabinets d'avocats
L'intelligence artificielle est arrivée dans la pratique juridique australienne plus vite que la plupart des associés gérants ne l'avaient anticipé. De la recherche juridique assistée par l'IA et de l'analyse de contrats à la revue automatisée de documents dans les procédures de discovery à grande échelle, les outils sont séduisants, mais les cadres de gouvernance censés les accompagner ont pris un retard considérable.
En 2024, le Technology and the Law Committee de la Law Council of Australia a publié des orientations formelles reconnaissant que l'adoption de l'IA dans la pratique juridique soulève des questions fondamentales de déontologie, de secret professionnel et de compétence. Les associations du barreau d'État de Nouvelle-Galles du Sud, du Victoria, du Queensland et d'Australie-Occidentale ont chacune publié des avis déontologiques signalant des risques propres à l'IA. Pourtant, les enquêtes montrent systématiquement que moins d'un tiers des cabinets d'avocats australiens disposent d'une politique d'IA documentée, ce qui expose les praticiens à des risques réglementaires, déontologiques et réputationnels.
L'urgence est réelle. Les avocats de Nouvelle-Galles du Sud et du Victoria sont déjà tenus de démontrer une compétence technologique en vertu de règles déontologiques mises à jour. Les réformes du Privacy Act qui progressent au Parlement renforceront sensiblement les obligations relatives au traitement des données clients. Et un nombre croissant de tribunaux australiens, dont la Federal Court, ont introduit ou envisagent des ordonnances permanentes exigeant une divulgation lorsque l'IA est utilisée pour préparer des documents judiciaires.
Pour les associés gérants et les DSI, la fenêtre permettant d'établir une gouvernance proactive se referme. Les cabinets qui agissent maintenant maîtriseront le récit ; ceux qui attendent risquent un incident de secret professionnel, une décision réglementaire ou un gros titre qui anéantit des années de confiance des clients.
Secret professionnel et IA : le risque critique pour les avocats australiens
Le secret professionnel de l'avocat, équivalent de l'attorney-client privilege dans d'autres juridictions, compte parmi les protections les plus sacrées du droit australien. Il permet aux clients de communiquer ouvertement avec leurs avocats, dans la confiance que ces communications ne pourront être contraintes dans une procédure. Le risque que les outils d'IA puissent par inadvertance lever ou compromettre ce secret est le problème de gouvernance le plus grave auquel font face les cabinets d'avocats australiens aujourd'hui.
Comment l'usage de l'IA peut compromettre le secret professionnel
Lorsqu'un avocat copie des communications privilégiées, des instructions clients, une stratégie d'affaire ou des conseils confidentiels dans un outil d'IA tiers, la question de la subsistance du secret professionnel se pose réellement. Le critère établi par Esso Australia Resources v Commissioner of Taxation et les décisions ultérieures exige que l'objet dominant de la communication soit d'obtenir ou de donner un conseil juridique, et que la confidentialité soit maintenue. La divulgation à un tiers, y compris à un service d'IA qui stocke, journalise ou utilise les données pour l'entraînement des modèles, peut constituer une renonciation.
Le risque n'est pas hypothétique. Les outils d'IA grand public tels que la version gratuite de ChatGPT se réservent explicitement le droit d'utiliser les données de conversation pour l'entraînement des modèles. Les requêtes soumises à ces outils, même celles ne contenant que des extraits de documents privilégiés, peuvent être conservées, consultées par le personnel du fournisseur d'IA et potentiellement utilisées pour améliorer les sorties futures du modèle. En droit australien, cette divulgation volontaire à un tiers crée un risque significatif de renonciation au secret professionnel.
Déploiements d'entreprise vs outils grand public
La réponse de gouvernance réside dans la distinction entre déploiements d'IA de niveau entreprise et outils d'IA grand public. Les accords d'entreprise avec les grands fournisseurs d'IA (dont Microsoft Azure OpenAI, Google Workspace avec Gemini et les accords d'API Anthropic d'entreprise) comportent généralement des clauses d'isolation des données : les données de votre cabinet ne servent pas à entraîner des modèles partagés, ne sont pas stockées au-delà de la session et sont soumises à une confidentialité contractuelle. Ces dispositifs d'entreprise offrent une préservation du secret professionnel nettement supérieure à celle des outils grand public.
Les cabinets devraient adopter une interdiction absolue de saisir des contenus privilégiés dans des services d'IA grand public, et limiter l'usage approuvé de l'IA aux déploiements d'entreprise assortis d'accords de traitement des données appropriés.
Produit du travail et stratégie confidentielle
Au-delà du secret professionnel, la work product doctrine protège les impressions mentales, conclusions et théories juridiques des avocats. Les outils d'IA qui traitent le produit du travail, projets de conclusions, notes de conseil, documents de stratégie contentieuse, doivent traiter ce matériel avec la même protection. Le risque de divulgation par inadvertance est accru lorsque le personnel travaille sous la pression du temps, comme c'est fréquent dans les affaires contentieuses et les clôtures de transactions.
Les Australian Solicitors' Conduct Rules et les obligations liées à l'IA
Les Australian Solicitors' Conduct Rules (ASCR), adoptées sous une forme substantiellement uniforme dans toutes les juridictions au sein du cadre de la Legal Profession Uniform Law, imposent des obligations spécifiques qui régissent directement la manière dont les avocats peuvent utiliser les outils d'IA.
Rule 9, Confidentialité
La Rule 9 des ASCR impose aux solicitors de maintenir en permanence la confidentialité des informations clients, y compris après la fin du mandat. L'obligation s'applique à toutes les informations qu'un solicitor obtient au cours d'un mandat, et non aux seules communications formellement privilégiées. Lorsque le personnel utilise des outils d'IA qui transmettent des informations clients à des serveurs externes, les cabinets peuvent enfreindre la Rule 9 à moins d'avoir pris des mesures raisonnables pour s'assurer que les données sont protégées.
Les mesures raisonnables en 2025 incluent : sélectionner des outils d'IA assurant une résidence des données en Australie ou une isolation des données vérifiable ; conclure des accords de traitement des données avec les fournisseurs d'IA ; mettre en place des contrôles d'accès empêchant les outils d'IA d'accéder aux dossiers sans autorisation appropriée ; et former le personnel aux implications de l'usage de l'IA pour la confidentialité.
Rule 4, Honnêteté et loyauté envers les tribunaux
L'obligation de loyauté envers le tribunal, la Rule 4.1 des ASCR, a été directement mise à l'épreuve par les hallucinations de l'IA. Plusieurs affaires australiennes, à la suite de décisions similaires aux États-Unis et au Royaume-Uni, ont impliqué des avocats soumettant des conclusions écrites citant des affaires qui n'existent pas ou dénaturant la portée d'affaires réelles, l'erreur provenant de recherches générées par l'IA. Les conséquences ont inclus des condamnations aux dépens défavorables, des renvois devant des organismes de réglementation et, dans certaines juridictions, une censure formelle.
Les cabinets doivent mettre en place des processus de vérification exigeant que toute citation juridique générée par l'IA soit confirmée de manière indépendante dans des bases de données faisant autorité (AustLII, LexisNexis AU, Westlaw AU) avant son inclusion dans des documents judiciaires. Ce n'est pas facultatif : c'est une obligation professionnelle de base que les outils d'IA ne supplantent pas.
Rule 37, Compétence
Le devoir de compétence exige que les avocats se tiennent au fait des évolutions du droit et des changements de pratique, y compris l'utilisation de la technologie. Le Technology and the Law Committee de la Law Council a déclaré que la compétence en 2025 inclut la compréhension des capacités et des limites des outils d'IA utilisés en pratique. Les avocats qui utilisent l'IA sans comprendre son fonctionnement, y compris sa tendance à halluciner, ses dates de coupure des données d'entraînement et ses limites dans les contextes juridiques propres à l'Australie, risquent de tomber en deçà du niveau de compétence requis.
Les AI Guidelines de la Law Council of Australia
En 2024, la Law Council a publié des orientations sur l'IA dans la pratique juridique. Les points clés de ces orientations incluent : les avocats restent personnellement responsables de tout produit du travail, quelle que soit l'assistance de l'IA ; le consentement du client devrait être obtenu avant d'utiliser des outils d'IA pour traiter ses informations d'une manière qui dépasse la pratique courante ; le travail généré par l'IA doit être revu et approuvé par un avocat compétent avant remise à un client ou soumission à un tribunal ; et les cabinets devraient élaborer des politiques d'IA écrites traitant des outils approuvés, des usages interdits et des exigences de supervision.
La Law Council a également signalé que les obligations de divulgation aux clients concernant l'usage de l'IA deviendront probablement plus explicites à mesure que la profession élaborera des normes : une divulgation proactive est l'approche prudente.
Scénarios de risque spécifiques : ChatGPT, rédaction de contrats et discovery
Comprendre les risques de gouvernance dans des scénarios concrets aide les cabinets à concevoir des contrôles ciblés.
Scénario 1 : utiliser ChatGPT pour la recherche juridique
Le scénario : un jeune collaborateur, sous la pression du temps avant une échéance de dépôt, utilise la version gratuite de ChatGPT pour rechercher un point de droit en droit australien des contrats. ChatGPT renvoie un résumé assuré citant plusieurs affaires, dont Renard Constructions (ME) Pty Ltd v Minister for Public Works et plusieurs autres.
Les risques : premièrement, le collaborateur peut ne pas vérifier les citations, et ChatGPT peut avoir fabriqué un ou plusieurs des noms d'affaires ou de leurs portées. Si les conclusions citent une affaire inexistante, le collaborateur et l'associé superviseur font face à un problème de loyauté envers le tribunal. Deuxièmement, si le collaborateur a inclus le moindre contexte client ou détail du dossier dans la requête (« mon client est poursuivi pour rupture de contrat et la question clé est… »), cette information a été transmise aux serveurs d'OpenAI selon des conditions grand public qui n'offrent pas une isolation des données de niveau entreprise. C'est un problème de confidentialité au regard de la Rule 9.
Réponse de gouvernance : interdire l'usage de ChatGPT grand public pour toute recherche liée à un dossier. Fournir l'accès à des outils de recherche assistés par l'IA de niveau entreprise (Westlaw AI, LexisNexis AU avec IA, ou similaires) qui opèrent sous des accords de traitement des données appropriés. Exiger que toutes les citations générées par l'IA soient vérifiées avant inclusion dans tout document.
Scénario 2 : rédaction de contrats assistée par l'IA
Le scénario : une équipe transactionnelle utilise un outil de rédaction de contrats par IA pour accélérer la négociation d'un bail commercial. Un membre de l'équipe colle les conditions de bail proposées par le client, y compris des dispositions de loyer commercialement sensibles, des clauses de résiliation et des conditions de développement, dans l'outil d'IA pour générer des annotations.
Les risques : selon l'outil d'IA utilisé, ces informations clients commercialement sensibles peuvent être stockées sur les serveurs du fournisseur, utilisées pour l'entraînement des modèles ou accessibles au personnel du fournisseur. Au regard des ASCR et potentiellement de toute clause de confidentialité du mandat, le cabinet peut avoir manqué à ses obligations. Il existe aussi un risque de propriété intellectuelle : les conditions de bail peuvent inclure des structures commerciales propriétaires que le client ne souhaite pas divulguer.
Réponse de gouvernance : n'utiliser que des outils de rédaction par IA de niveau entreprise dotés d'une isolation des données documentée. Confirmer que l'accord de traitement des données du fournisseur couvre les informations commerciales confidentielles. Informer le client, dans les lettres de mission, de l'usage d'outils d'IA dans le travail transactionnel.
Scénario 3 : l'IA dans l'e-discovery et la revue documentaire
Le scénario : une équipe contentieuse engagée sur un litige commercial de grande ampleur utilise une revue documentaire assistée par l'IA pour traiter 200,000 documents lors de la discovery. L'outil d'IA est un service cloud contracté directement par le cabinet sans revue de sécurité informatique.
Les risques : les documents dans la discovery contentieuse incluent couramment des éléments privilégiés, du produit du travail et des communications clients confidentielles. Un outil de revue par IA mal configuré peut exposer des documents privilégiés à la partie adverse (par production par inadvertance) ou aux serveurs du fournisseur d'IA. Dans le contentieux australien, la production par inadvertance de documents privilégiés peut déclencher des demandes de clawback en vertu de l'Evidence Act, mais le secret professionnel peut être levé s'il est jugé que la divulgation n'était pas due à une inadvertance.
Réponse de gouvernance : exiger une revue de sécurité informatique et juridique de tous les outils d'IA d'e-discovery avant engagement. Vérifier les conditions de traitement des données et de confidentialité. Mettre en place des protocoles de revue du secret professionnel avant que les documents traités par l'IA ne soient produits. Documenter la méthodologie d'IA employée dans la revue documentaire à des fins de défendabilité en cas de contestation.
Construire un cadre de gouvernance de l'IA pour votre cabinet d'avocats australien
Un cadre concret de gouvernance de l'IA pour un cabinet d'avocats australien devrait reposer sur cinq piliers fondamentaux.
Pilier 1 : processus d'approbation des outils d'IA
Établissez un processus formel d'approbation des outils d'IA exigeant que tout nouvel outil d'IA soit évalué selon des critères définis avant son utilisation sur des dossiers clients. L'évaluation devrait porter sur : la résidence des données (les données sont-elles stockées en Australie ou soumises au droit australien ?) ; l'isolation des données (les données du cabinet sont-elles tenues à l'écart des données d'entraînement ?) ; les protections contractuelles (le fournisseur signe-t-il un accord de traitement des données ?) ; la compatibilité avec le secret professionnel et la confidentialité ; et la conformité réglementaire.
Les outils approuvés devraient figurer dans un registre d'IA du cabinet avec les cas d'usage approuvés, les restrictions et les responsables désignés. Les outils d'IA non approuvés ne doivent être utilisés avec aucune donnée client : cela devrait être une règle absolue à l'échelle du cabinet, appliquée techniquement lorsque c'est possible.
Pilier 2 : formation du personnel et politique
Élaborez une politique d'usage de l'IA couvrant : quels outils sont approuvés et pour quelles tâches ; quelles informations peuvent ou non être saisies dans les outils d'IA ; l'obligation de vérifier toutes les citations et affirmations factuelles générées par l'IA ; les exigences de supervision et de revue avant que le travail généré par l'IA ne soit remis aux clients ou aux tribunaux ; et les procédures de signalement d'incident si un membre du personnel pense avoir utilisé par inadvertance un outil non approuvé avec des données clients.
Tous les membres du personnel, des associés seniors au personnel administratif, devraient suivre une formation à la politique d'IA à l'intégration puis chaque année. La formation devrait s'appuyer sur des exemples fondés sur des scénarios tirés de la pratique juridique australienne.
Pilier 3 : contrôles techniques
Déployez des contrôles techniques qui appliquent la politique par la technologie plutôt que de s'appuyer uniquement sur la conformité individuelle. Les contrôles clés incluent : le blocage ou la surveillance au niveau réseau des points de terminaison des services d'IA grand public (ChatGPT.com, claude.ai en mode grand public, Gemini.google.com personnel) depuis les appareils du cabinet ; des règles de prévention des pertes de données (DLP) détectant les modèles de documents juridiques dans le trafic sortant vers les services d'IA ; des contrôles de point de terminaison empêchant le téléversement de fichiers de dossier vers des services non approuvés ; et des tableaux de bord de surveillance faisant remonter l'usage des outils d'IA à des fins de sécurité et de conformité.
La plateforme Workforce AI Security d'Aona fournit aux cabinets d'avocats australiens une découverte en temps réel de l'usage des outils d'IA dans tout le cabinet, une application automatisée de la politique et des rapports prêts pour l'audit, permettant aux associés gérants et aux DSI de voir exactement quels outils d'IA sont utilisés, par qui, et si cet usage est conforme à la politique du cabinet.
Pilier 4 : mises à jour des clients et des lettres de mission
Mettez à jour les lettres de mission standard pour traiter de l'usage de l'IA. Les orientations de la Law Council suggèrent que les clients devraient être informés lorsque des outils d'IA seront utilisés pour traiter leurs informations de manière significative. La formulation de la lettre de mission devrait expliquer l'approche de gouvernance de l'IA du cabinet, décrire les catégories d'outils d'IA susceptibles d'être utilisées, s'engager sur les protections en place, et offrir aux clients la possibilité de demander un traitement à IA restreinte de leurs dossiers s'ils ont des préoccupations particulières.
Pilier 5 : réponse aux incidents
Établissez un protocole de réponse aux incidents propre à l'IA. Si un membre du personnel utilise par inadvertance un outil d'IA non approuvé avec des données clients, le cabinet doit agir rapidement : évaluer quelles données étaient concernées et si le secret professionnel ou la confidentialité ont pu être compromis ; déterminer si le client doit être informé au titre du mandat ou du dispositif de notification des violations de données du Privacy Act ; documenter l'incident et les mesures de remédiation ; et mettre à jour les contrôles pour prévenir toute récidive.
Conformité au Privacy Act pour l'IA dans la pratique juridique
Les cabinets d'avocats sont soumis au Privacy Act 1988 (Cth) et aux Australian Privacy Principles (APPs) lorsqu'ils traitent des renseignements personnels, et les dossiers clients en sont saturés. Les outils d'IA qui traitent des données clients engagent le cadre du Privacy Act, créant des obligations de conformité aux côtés des obligations déontologiques évoquées ci-dessus.
APP 11, Sécurité des renseignements personnels
L'APP 11 impose aux cabinets de prendre des mesures raisonnables pour protéger les renseignements personnels contre l'usage abusif, l'interférence, la perte et l'accès non autorisé. Lorsque des outils d'IA traitent des renseignements personnels provenant de dossiers clients, noms, adresses, détails financiers, informations de santé dans les affaires de dommages corporels, détails familiaux dans les affaires de droit de la famille, le cabinet doit s'assurer que l'outil d'IA respecte le standard de sécurité de l'APP 11. Cela suppose d'évaluer la posture de sécurité du fournisseur, de garantir que les données sont chiffrées en transit et au repos, et de vérifier que les contrôles d'accès limitent qui, au sein de l'organisation du fournisseur, peut accéder aux données du cabinet.
APP 8, Divulgation transfrontalière
De nombreux services d'IA sont exploités par des sociétés basées aux États-Unis, et les données soumises à ces services peuvent être traitées sur des serveurs situés aux États-Unis ou dans d'autres juridictions. L'APP 8 impose aux cabinets de prendre des mesures raisonnables pour garantir que les destinataires à l'étranger traitent les renseignements personnels conformément aux APPs, ou d'obtenir le consentement du client. Les accords de traitement des données d'entreprise qui incluent des protections équivalentes aux APP de la part de fournisseurs d'IA étrangers satisfont à cette obligation ; les conditions d'IA grand public, en général, non.
Notifications de violations de données (Notifiable Data Breaches)
Si un outil d'IA expose les renseignements personnels d'un client, par une violation de données du fournisseur, une mauvaise configuration ou une divulgation par inadvertance, le cabinet peut avoir l'obligation de notifier les personnes concernées et l'Office of the Australian Information Commissioner (OAIC) au titre du dispositif Notifiable Data Breaches. Les cabinets devraient inclure les violations de données liées à l'IA dans leurs procédures de réponse NDB, avec des critères clairs pour évaluer si une violation est susceptible d'entraîner un préjudice grave.
Réforme du Privacy Act
Les réformes du Privacy Act qui progressent actuellement au Parlement renforceront les droits individuels et augmenteront les sanctions en cas de mauvaise gestion des renseignements personnels. Les cabinets d'avocats qui établissent dès maintenant une gouvernance robuste de l'IA, avec des évaluations documentées des outils d'IA, des accords de traitement des données et des contrôles d'accès, seront mieux positionnés lorsque le régime réformé entrera en vigueur.
Comment Aona aide les cabinets d'avocats australiens à encadrer l'IA
Aona est une plateforme Workforce AI Security conçue pour les organisations qui prennent leurs obligations au sérieux. Pour les cabinets d'avocats australiens, Aona résout les trois problèmes les plus difficiles de la gouvernance de l'IA juridique : la visibilité, le contrôle et la preuve.
Visibilité : savoir quelle IA est utilisée
Le Shadow AI, le personnel utilisant des outils d'IA non approuvés à l'insu du cabinet, est la cause profonde de la plupart des défaillances de gouvernance de l'IA juridique. Des collaborateurs utilisant des comptes ChatGPT personnels, des juristes téléversant des documents vers des outils de synthèse d'IA grand public, et des avocats arrivant d'autres cabinets avec leurs habitudes d'IA créent tous une exposition que les associés gérants ne peuvent traiter parce qu'ils ne la voient pas. Aona découvre automatiquement tout l'usage d'outils d'IA sur les appareils et les réseaux du cabinet, offrant aux DSI et aux équipes de sécurité une vue en temps réel de l'empreinte réelle d'IA du cabinet par rapport au registre d'IA approuvé.
Contrôle : appliquer la politique de manière cohérente
Aona applique la politique d'IA du cabinet par des contrôles techniques, et non par une simple politique documentée qui repose sur la conformité individuelle. Les outils approuvés sont autorisés ; les outils non approuvés accédant à des données clients déclenchent des alertes ou des blocages. Des règles DLP configurées pour les modèles de documents juridiques empêchent que des contenus privilégiés soient transmis à des services qui ne respectent pas les standards du cabinet. L'application de la politique est cohérente pour l'ensemble du personnel, quels que soient l'ancienneté ou le groupe de pratique.
Preuve : démontrer la conformité
Lorsqu'un client demande comment ses données ont été traitées, lorsqu'un régulateur mène une enquête, ou lorsqu'un tribunal interroge la méthodologie d'IA employée en discovery, Aona fournit la piste d'audit. Chaque interaction d'IA est journalisée avec horodatage, identification de l'outil, utilisateur et contexte du dossier. Les cabinets peuvent démontrer, preuves à l'appui, que leur cadre de gouvernance de l'IA a fonctionné comme prévu.
Pour voir comment Aona fonctionne pour les cabinets d'avocats australiens, réservez une démonstration avec notre équipe. Nous travaillons spécifiquement avec des organisations juridiques sur des cadres de gouvernance qui répondent aux orientations de la Law Council, aux obligations des ASCR et aux exigences du Privacy Act.
