AI Act européen : ce que les cabinets d'avocats qui utilisent l'IA doivent savoir
Le règlement européen sur l'IA s'applique par paliers, et plusieurs échéances viennent d'être reportées. Voici ce qui s'impose vraiment à un cabinet en 2026.

Le règlement (UE) 2024/1689, dit AI Act, est le premier cadre horizontal au monde dédié à l'intelligence artificielle. Entré en vigueur le 1er août 2024, il s'applique de façon échelonnée. Pour les cabinets d'avocats, deux casquettes coexistent : déployeur d'outils IA dans leur pratique, et conseil de clients confrontés au texte.
Une approche par les risques
L'AI Act ne régule pas l'IA en elle-même mais les usages, classés en quatre niveaux de risque. La même technologie peut être libre, encadrée, lourdement régulée ou interdite selon le contexte.
- Risque inacceptable (interdit) : notation sociale, manipulation cognitive, reconnaissance émotionnelle au travail, évaluation prédictive du risque criminel fondée sur le seul profilage.
- Haut risque : usages listés à l'Annexe III, dont l'administration de la justice et certains processus RH ou biométriques.
- Risque limité : obligations de transparence (chatbots, contenu généré, deepfakes).
- Risque minimal : aucune obligation spécifique.
Le calendrier, et son report
Plusieurs blocs sont déjà pleinement applicables : les interdictions (article 5) et l'obligation de littératie IA (article 4) depuis le 2 février 2025, les règles sur les modèles à usage général (GPAI) depuis le 2 août 2025.
Les obligations les plus lourdes devaient s'appliquer au 2 août 2026. Le paquet « Digital Omnibus », sur lequel le Parlement européen s'est prononcé en juin 2026, les reporte : les systèmes à haut risque de l'Annexe III sont décalés au 2 décembre 2027, ceux intégrés à des produits réglementés (Annexe I) au 2 août 2028.
Un point de vigilance : ce report n'est pas encore définitif à la date de rédaction. Il doit être approuvé par le Conseil et publié au Journal officiel, échéance attendue avant le 2 août 2026. Tant que cette publication n'est pas intervenue, les dates d'origine restent, en droit strict, le texte applicable. La position prudente consiste à retenir le calendrier d'origine, sous réserve de l'entrée en vigueur de l'Omnibus.
L'administration de la justice : un usage à haut risque
L'Annexe III classe comme haut risque les systèmes destinés à assister une autorité judiciaire dans la recherche, l'interprétation des faits et l'application du droit, ainsi que les usages comparables en résolution alternative des litiges. La nuance est importante : le texte vise les organes de décision, pas l'avocat en lui-même.
Un outil utilisé par un cabinet pour rédiger des conclusions, synthétiser un dossier ou rechercher de la jurisprudence n'est pas, par construction, un système à haut risque. En revanche, un outil conçu pour assister un juge ou un arbitre à trancher bascule dans le régime lourd : documentation technique, gestion des risques, supervision humaine, robustesse, cybersécurité. L'AI Act ne fait pas de l'avocat utilisateur d'IA un opérateur à haut risque, mais il l'oblige à comprendre la qualification de chaque outil déployé et à former ses équipes.
IA générative et transparence
Depuis août 2025, les fournisseurs de modèles à usage général (GPT-4, Claude, Mistral Large, Gemini, etc.) supportent des obligations spécifiques : documentation technique, résumé public des données d'entraînement, respect du droit d'auteur de l'Union. Pour un cabinet qui n'entraîne pas ses propres modèles, l'impact direct est limité, mais l'effet indirect est majeur : les contrats signés avec un éditeur d'IA juridique doivent répercuter ces exigences.
S'y ajoutent les obligations de transparence de l'article 50 : information de l'utilisateur d'un chatbot, marquage des contenus générés par IA, étiquetage des deepfakes. En pratique, un courriel généré par IA pour le compte du cabinet n'a pas à être étiqueté vis-à-vis du destinataire, car l'avocat l'endosse et en assume la responsabilité. En revanche, un chatbot public sur le site du cabinet devra indiquer clairement qu'il ne s'agit pas d'un humain.
La littératie IA, déjà en vigueur
Depuis février 2025, l'article 4 impose à tout déployeur d'IA de garantir un niveau suffisant de littératie chez les personnes qui utilisent ces systèmes. Pour un cabinet, cela suppose au minimum :
- une formation documentée des collaborateurs ;
- une politique interne sur les outils autorisés et les usages proscrits ;
- une mise à jour régulière traçable ;
- une sensibilisation aux risques d'hallucination, de biais et de fuite de données.
Articulation avec le RGPD et le secret professionnel
L'AI Act ne remplace pas le RGPD, il s'y ajoute, et le secret professionnel impose ses contraintes propres. Un outil conforme à l'AI Act mais non conforme au RGPD reste illicite, et inversement. Les deux régimes ne se déclenchent d'ailleurs pas sur le même critère : le RGPD suppose un traitement de données personnelles, l'AI Act s'applique dès qu'un système est mis sur le marché ou utilisé dans l'Union, indépendamment du lieu d'hébergement. Un hébergement européen est un atout pour le RGPD et le secret professionnel, mais il ne dispense pas des obligations de l'AI Act.
Les sanctions
Le régime est dissuasif : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les usages interdits, 15 M€ ou 3 % pour les manquements aux obligations principales, 7,5 M€ ou 1 % pour la fourniture d'informations inexactes. Pour les grandes entreprises, c'est le montant le plus élevé qui s'applique ; pour les PME et startups, c'est au contraire le plus faible, une nuance favorable aux jeunes éditeurs. En France, la CNIL a vocation à devenir l'autorité de référence, épaulée par la DGCCRF et plusieurs autorités sectorielles.
Choisir un outil IA juridique
Avant l'AI Act, le critère dominant était le RGPD. Trois questions s'y ajoutent désormais : quelle qualification AI Act le fournisseur retient-il, et la documentation est-elle disponible ? Quels modèles GPAI sous-jacents sont utilisés, et leur conformité est-elle vérifiée ? Comment l'éditeur outille-t-il votre obligation de littératie IA ?
La position de KAIUS
KAIUS est conçu et hébergé en Europe, ce qui sert d'abord le RGPD et le secret professionnel. Au regard de l'AI Act, l'atout décisif n'est pas l'hébergement mais le positionnement : KAIUS est un assistant pour avocat, non un système d'aide à la décision juridictionnelle. C'est ce qui le maintient hors du périmètre haut risque de l'Annexe III, dont la rubrique relative à l'administration de la justice vise les outils destinés à assister une autorité judiciaire. Les modèles GPAI utilisés sont sélectionnés parmi des fournisseurs dont les obligations sont publiquement documentées.
Chaque cabinet client reçoit, sur demande, une fiche AI Act récapitulant la qualification du système, son périmètre d'usage, les modèles sous-jacents et les supports de formation utilisables pour satisfaire l'article 4.
Prêt à passer à la pratique ?
Essayez KAIUS gratuitement pendant 14 jours, sans carte bancaire.
Démarrer mon essai