Avril…
… où l’on nous dit de ne pas se découvrir d’un fil, alors que notre ligne de défense y tient souvent toute entière. Tiens cela rappelle cette jolie chanson de Voulzy, La Fille d’Avril. Transposé en mode délire de fin de journée pour avocat un brin fatigué, cela donnerait par exemple : « C’est un cas d’avril / Pauvre de moi / Un cas difficile / Il ne veut pas / Découvrir d’un fil / Tout ce qu’il a / Ni ses preuves ni sa vérité c’est comme ça »…
Le 30…
… où il n’est pas inutile de rappeler qu’un chatbot sait tout de vos affaires. Et lui, contrairement à votre avocat, il peut le répéter !
A l’ère de l’intelligence artificielle, ce garde-fou échappe à tout un chacun, inclus les chefs d’entreprise, preuve en est la cuisante expérience qu’en a fait un grand patron américain. Ah, ces Ricains ! Déjà que leur Président ne brille pas par sa clairvoyance, pas étonnant qu’il leur arrive des bricoles direz-vous. Sauf que, ici, ça ne risque pas d’arriver qu’aux autres et, sur nos monts, peut-être plus tôt qu’on ne le pense.
Petit rappel des faits pertinents, comme on dit.
New York, début 2026. Un juge fédéral rend une décision inédite. Elle a déjà fait couler beaucoup d’encre outre-Atlantique. Ici, au milieu de la vieille Europe, elle devrait s’afficher en lettres clignotantes sur tous les laptops de toutes les entreprises suisses utilisant l’IA au quotidien.
Alors, trêve de suspense. Que s’est-il donc passé dans la Grande Pomme ?
Heppner, un CEO poursuivi pour fraude boursière, défendu par un bataillon d’avocats, a eu la mauvaise idée d’aller « coller » ses informations confidentielles dans la version gratuite de Claude, histoire d’analyser sa situation juridique. Il y a injecté notamment des éléments reçus de ses propres conseils juridiques, puis a posé des questions « stratégiques », histoire d’améliorer sa défense, pensait-il.
L’a-t-il caché à son team juridique ? Même pas. En réalité, Heppner a bel et bien partagé les réponses générées par Claude avec ses avocats, mais par la suite. Et cela a même influencé leur stratégie de défense. L’erreur fatale aux yeux du Tribunal n’est pas d’avoir caché l’outil, mais, d’abord, d’avoir utilisé la version grand public de l’application, et ensuite, de l’avoir fait de sa propre initiative, soit sans que ses avocats ne lui en donnent l’instruction.
Tous ces braves gens pensaient-ils naïvement que ça resterait entre eux et Claude ? On ne sait pas, mais la question de la bêtise est secondaire ici. Ce sont les conséquences de cette bourde qui nous intéressent.
Enquête boursière oblige, le FBI saisit son laptop. Trente et un documents, tous générés ou nourris par ses échanges avec l’IA, sont versés dans la procédure. Heppner s’égosille en criant à la violation du privilège de l’avocat : le secret professionnel. Que nenni a répondu le juge Rakoff : Claude n’est pas un avocat, mais un algorithme. Ses conditions générales ne garantissent aucune confidentialité. Qui plus est, rien n’a été produit sur instructions de ses conseils. Pas de secret donc, l’accusation peut utiliser les informations contenues dans ces documents.
Le jugement laisse juste ouverte une seule porte, mais très intéressante. Si les avocats avaient formellement instruit Heppner d’utiliser une IA (sécurisée, cela va s’en dire), l’outil aurait pu être considéré comme un « agent » de l’avocat, ce qui aurait potentiellement sauvé le secret professionnel.
Sinon, c’est tout. C’est aussi simple que ça. C’est tout le problème…
… et c’est bien là que ça a à voir avec une entreprise suisse, aussi.
Là, vous me direz: Mais quand même ! On n’est pas en Amérique. Le secret professionnel de l’avocat est mieux protégé ici, et de toute façon on fait surtout du marché intérieur. Je vous entends. Et je vais quand même vous expliquer pourquoi vous avez tort, même si votre activité ne dépasse pas les frontières.
La décision Heppner ne s’est pas jouée sur le droit américain dans ce qu’il a d’exotique, mais sur trois constats
Le premier : l’IA n’est pas un avocat. Aucun chatbot grand public n’est soumis au secret professionnel. Parler à Claude, c’est parler à un logiciel, pas à un membre du barreau. En Suisse comme à New York, il n’y a aucune protection juridique qui naisse spontanément de ce dialogue.
Second constat : les conditions générales des outils IA grand public annulent toute confidentialité raisonnable. Les données peuvent être utilisées pour améliorer le service, analysées pour des raisons de sécurité, communiquées à on ne sait qui. Il n’y a donc aucune protection des données que vous introduisez quand, dans votre statut de client lambda, vous avez vous-même accepté ces conditions au moment de créer votre compte.
Troisième constat: tout ce que vous avez confié à une IA grand public peut, un jour, ressurgir quelque part sur le web. Par exemple dans une procédure, suisse ou étrangère. Lors d’une enquête interne en Suisse, surtout si elle devient publique. Dans un litige commercial, si la partie adverse est bien conseillée ou informée. Ou simplement parce qu’il y a une fuite, un incident de sécurité, une réutilisation que personne n’avait anticipé.
Là où le bât blesse : vos secrets d’affaires, vos NDA (accords de confidentialité), vos échanges que vous auriez aimé tenir sous la couverture avec la « taupe » chez un concurrent, etc… Rien n’est protégé.
Si l’affaire Heppner nous parle plutôt du secret avocat–client, elle souligne quelque chose de plus large, et de plus immédiatement, totalement pertinent pour une entreprise, en Suisse ou ailleurs.
Ce que vous ou vos collaborateurs collent dans les IA grand public ne concerne pas que des litiges en cours. Il s’agit peut-être d’une question basique sur un sujet sensible ou contenant des données personnelles. Une clause de confidentialité que l’on veut reformuler rapidement pour l’adapter au nouveau client. Ou une stratégie commerciale que l’on veut affiner avec l’IA. C’est peut-être aussi le draft de l’audit interne que l’on veut améliorer pour le board. C’est le projet de restructuration qu’un RH veut vérifier sur le plan légal avant d’en parler à l’avocat de l’entreprise…
Chacun de ces usages crée un problème distinct.
Vos secrets d’affaires sont en règle générale protégés par la loi. Mais un secret d’affaires qui a été communiqué volontairement à un tiers, dans des conditions non contrôlées, perd sa qualité de secret. Si vous finissez par poursuivre un concurrent pour vol de savoir-faire, et qu’il démontre que vous avez vous-même diffusé ce savoir-faire dans un outil public en acceptant des CGU très permissives, votre statut de victime d’un vol de données s’évapore.
Vos NDA stipulent généralement que vous protégez les informations confidentielles reçues avec le même soin que les vôtres. Un NDA signé le matin et une belle description du deal collée dans ChatGPT l’après-midi : c’est une violation contractuelle, même si vous n’aviez pas l’intention d’en concrétiser une aussi vite !
Et vos données personnelles — celles de vos employés, de vos clients, de vos partenaires — viennent s’ajouter à la liste, avec la nLPD qui n’est pas qu’un épouvantail à courtiers mal intentionnés
Il faut donc en être conscient, consommer de l’IA pour préparer vos vacances, ce n’est pas consommer de l’IA en entreprise.
Ce qui change la donne ce n’est pas l’IA, ce sont les conditions-cadres de son utilisation dans le cadre professionnel.
La version gratuite de ChatGPT, Claude ou Gemini est un outil grand public. Ses conditions générales sont conçues pour un consommateur individuel, pas pour une entreprise qui y injecte des informations commerciales stratégiques. Même d’apparence anodine. Ces outils sont formidables. Mais ce sont de très mauvais coffres-forts.
Une version pro ou entreprise de ces applications, déployée spécifiquement dans le cadre de l’entreprise, avec une clause de confidentialité qui, à défaut d’hébergement certifié en Suisse, indique respecter RGPD et nLPD et interdit l’entraînement sur vos données, des logs d’accès et des droits d’audit, c’est un autre objet juridique. Pas infaillible, mais défendable.
La question n’est donc pas « Allons-nous utiliser l’IA au bureau ?», mais «Tout le monde au bureau utilise-t-il le même outil ? Outil dont nous avons contractuellement défini les contours ?»
Alors que faire concrètement ?
Concrètement donc, sans réinventer la roue de la compliance, voici ce qu’on peut recommander à l’entrepreneur dont le personnel utilise déjà « vaguement » l’IA au quotidien, pour son usage privé ou pour peaufiner des tâches liées à son job.
Commencez par demander à vos collaborateurs ou chef d’équipe qui utilise quoi. Données, fichiers et autres supports pros, bref ce qu’ils mettent réellement dans ces outils, en leur expliquant bien que le but de la démarche n’est pas de les virer pour faute grave, mais de se protéger correctement à l’avenir. Si l’usage de l’IA au travail n’a jamais été formellement interdit et qu’il n’y a jamais eu de politique d’utilisation de l’IA définie précisément dans l’entreprise, il est difficile de reprocher une faute à l’employé…
Ensuite, relisez les conditions générales des outils que vous utilisez déjà, ou demandez à quelqu’un de le faire sérieusement. Les clauses sur la rétention des données, l’entraînement, l’accès humain aux contenus et les divulgations à des tiers. Si ce que vous lisez vous dérange, c’est que vous avez des raisons d’être dérangé.
Choisissez ensuite un outil, dont le niveau de sécurité est compréhensible et protège vos données (il n’y a pas de meilleur élève de la classe – on parle ici d’informatique, donc nous sommes tous vulnérables et on peut nous le reprocher uniquement si nous n’avons pas pris garde à bien fermer la porte à clé de l’armoire à données sensibles, avec un cadenas de bonne qualité).
Rédigez ensuite une règle simple et lisible de ce qu’on est autorisé à traiter uniquement sur cet outil et qu’on ne met pas dans une IA grand public. Secrets d’affaires, termes de deals non publics, données couvertes par un NDA, informations liées à un litige ou une enquête. Vous pouvez faire un tableau de deux colonnes. Mais un conseil, si vos collaborateurs doivent lire 15 pages pour comprendre, ils ne liront pas.
Enfin, facilitez l’accès à l’outil que vous autorisez. Si votre entreprise a déployé un outil entreprise, mais qu’il est trois fois plus compliqué d’accès que le chatbot gratuit, changez votre fusil d’épaule.
Les leçons de cette affaire Heppner tiennent dans ces trois petits paragraphes :
Ce que vous ne voudriez pas voir comme pièce n° 12 dans le dossier judiciaire de votre adversaire ne le collez pas dans une IA grand public.
Votre avocat est soumis au secret professionnel. Votre chatbot public à des conditions générales.
L’un vous protège. L’autre pas.
MeFaire 
Vous pouvez laisser ici un commentaire...