De plus en plus de MJPM s’essaient à l’Intelligence Artificielle (IA) générative. Qu’il s’agisse de ChatGPT, Claude ou d’autres agents IA, souvent de leur propre initiative. C’est une bonne nouvelle.
C’est aussi l’occasion de reposer les bases du cadre applicable avant d’utiliser ces outils avec des informations issues de dossiers de protection. 2 textes doivent être gardés à l’esprit. Tout d’abord, le Règlement Général sur la Protection des Données (RGPD), que tout professionnel connaît déjà. Ensuite, le règlement européen sur l’intelligence artificielle, l’IA Act, plus récent et souvent mal connu.
Rien dans cet article ne vise à dissuader d’utiliser l’IA.
L’objectif est inverse : comprendre le cadre pour l’utiliser sereinement, sans exposer inutilement les personnes protégées, ni fragiliser la responsabilité professionnelle du MJPM.
Des données qui ne ressemblent pas à des données ordinaires
La bonne question, avant d’agir et de transmettre des données issues de dossiers de protection à une IA générative, est simple : quelles données suis-je en train de manipuler ?
Un dossier de protection peut contenir des informations nombreuses et très exposées : identité, adresse, situation familiale, logement, ressources, patrimoine, dettes, comptes bancaires, santé, décisions judiciaires, relations avec les tiers, événements de vie, vulnérabilités.
Certaines de ces données peuvent relever des catégories particulières de données au sens du RGPD, notamment lorsqu’elles concernent la santé.
D’autres ne sont pas nécessairement « sensibles” au sens juridique strict du RGPD, mais elles demeurent hautement confidentielles au regard de la vie privée, de la dignité et de la protection des personnes vulnérables.
C’est ce qui rend la question de l’IA générative différente pour un MJPM que pour beaucoup d’autres professions. Le sujet n’est pas seulement informatique. Il est juridique, éthique et professionnel.
Le RGPD s’applique dès le premier prompt
Le RGPD n’a rien de nouveau pour un MJPM. Mais son application à l’IA générative mérite d’être précisée.
Le prompt comme traitement de données
Saisir le nom, l’adresse, la situation financière ou des éléments de santé d’une personne protégée dans une fenêtre de conversation avec ChatGPT, Claude ou un autre agent IA n’est pas un geste neutre.
C’est une opération de traitement de données personnelles.
Selon l’outil utilisé, les paramètres activés, le type de compte, les conditions contractuelles et le lieu d’hébergement, les données peuvent être transmises, conservées, analysées, ou réutilisées dans des conditions qui doivent être vérifiées avant usage.
Le MJPM doit alors se poser quelques questions simples. Quelles données sont réellement nécessaires, et pour quelle finalité précise. Avec quel outil, et dans quel cadre contractuel. Avec quel niveau de sécurité, et quelle maîtrise de la conservation ou de la réutilisation éventuelle des données. Et, enfin, avec quelle possibilité de contrôler humainement le résultat produit.
Il ne suffit pas de dire : “je n’ai fait qu’un test”. Dès lors que des données personnelles sont introduites dans un outil, le RGPD s’applique.
Une question de méthode, pas d’interdiction
Utiliser une IA générative avec des données personnelles n’est ni interdit par principe, ni totalement libre.
C’est un traitement qui se prépare.
Pour un MJPM, cela suppose au minimum de limiter les données transmises au strict nécessaire, et d’éviter les données directement identifiantes lorsqu’elles ne sont pas indispensables. Cela suppose aussi de vérifier les conditions d’utilisation de l’outil, et de s’assurer que l’usage reste cohérent avec le registre des traitements, en se demandant si une analyse d’impact sur la protection des données est nécessaire. Enfin, cela suppose de conserver une trace de la méthode retenue, et de contrôler humainement les résultats produits.
Un compte grand public d’IA générative ne devrait pas être utilisé pour traiter des données directement issues d’un dossier MJPM sans analyse préalable.
La prudence consiste à considérer que toute information introduite dans un outil d’IA doit pouvoir être justifiée : pourquoi cette donnée, pourquoi cet outil, pourquoi cette finalité, et avec quelles garanties ?
L’IA Act, un cadre qui se met en place progressivement
L’IA Act est le règlement européen qui encadre les systèmes d’intelligence artificielle eux-mêmes.
Il vient compléter le RGPD, il ne le remplace pas. Le RGPD protège les données personnelles. L’IA Act encadre les systèmes d’IA selon leur niveau de risque, leur usage et les obligations qui pèsent sur les différents acteurs.
Le calendrier en bref
Le règlement européen sur l’intelligence artificielle est entré en vigueur le 1ᵉʳ août 2024. Son application est progressive.
Certaines dispositions sont déjà applicables depuis le 2 février 2025. Par exemple, l’interdiction de certaines pratiques d’IA jugées inacceptables. Et l’obligation de maîtrise de l’IA (appelée littéracie). Les règles relatives aux modèles d’IA à usage général sont, elles, applicables depuis le 2 août 2025.
Le calendrier des systèmes d’IA à haut risque est en cours d’ajustement dans le cadre du paquet européen de simplification numérique, dit Digital Omnibus. Un accord politique intervenu en mai 2026, puis approuvé par le Parlement européen en juin 2026, prévoit de reporter certaines obligations applicables aux systèmes d’IA à haut risque : au 2 décembre 2027 pour les systèmes autonomes relevant de certains usages à haut risque. Et au 2 août 2028 pour les systèmes intégrés comme composants de sécurité dans certains produits réglementés.
Cette formulation appelle toutefois une prudence : tant que le texte n’a pas été formellement adopté par le Conseil puis publié au Journal officiel de l’Union européenne, il faut le présenter comme un calendrier en voie de finalisation, et non comme un calendrier définitivement stabilisé.
Ce point ne change pas l’essentiel pour un MJPM : les obligations déjà applicables, notamment la maîtrise de l’IA et la vigilance sur les données personnelles, doivent être prises au sérieux dès maintenant.
Ce qui concerne réellement un MJPM aujourd’hui
Pour un usage courant de rédaction, de synthèse, de reformulation, de classement ou d’aide à la vérification administrative, un MJPM n’entre pas nécessairement dans la catégorie des usages à haut risque au sens de l’IA Act.
Mais ce point doit rester analysé au cas par cas. Le critère déterminant n’est pas seulement l’outil utilisé. C’est la finalité réelle de l’usage.
Une IA utilisée pour reformuler un courrier ou structurer une note sous contrôle humain n’a pas la même portée qu’un système qui prioriserait des personnes, évaluerait une vulnérabilité, recommanderait une décision, ou produirait un élément susceptible d’avoir un effet juridique ou significatif sur une personne protégée. Plus l’IA intervient dans l’appréciation d’une situation individuelle, plus la vigilance doit être élevée.
Le MJPM doit donc garder une règle simple : l’IA peut aider à préparer, structurer ou reformuler ; elle ne doit pas se substituer au jugement professionnel.
La maîtrise de l’IA, une obligation qui rejoint un besoin de formation
Depuis le 2 février 2025, l’IA Act impose une obligation de maîtrise (littératie) de l’IA.
Le terme peut paraître technique. Il signifie simplement que les personnes qui utilisent un système d’IA dans un cadre professionnel doivent disposer d’un niveau suffisant de compréhension de l’outil, de ses limites, de ses risques et de ses conditions d’usage.
Ce n’est pas une obligation de devenir expert en intelligence artificielle. Ce n’est pas non plus, en soi, une obligation de certification. C’est une obligation de compréhension raisonnable et proportionnée.
Un professionnel qui utilise une IA générative doit savoir qu’elle peut produire des erreurs, inventer des informations plausibles, reformuler de façon convaincante une analyse fragile ou ignorer un élément essentiel du contexte métier.
Pour un MJPM, cette obligation rejoint un besoin très concret : apprendre à utiliser l’IA sans perdre le contrôle professionnel, juridique et éthique de son activité.
Pseudonymiser avant d’interroger une IA
Entre l’envie de tester l’IA et la prudence qu’impose le RGPD, il existe une réponse opérationnelle : réduire fortement les données directement identifiantes avant toute transmission.
C’est ici qu’il faut être précis.
Lorsque les noms, prénoms, adresses ou autres informations identifiantes sont remplacés par des codes, mais qu’une table de correspondance permet ensuite de retrouver les personnes concernées, il ne s’agit pas d’anonymisation au sens strict du RGPD. Il s’agit de pseudonymisation.
La différence est importante. L’anonymisation véritable suppose qu’aucune réidentification raisonnable ne soit possible. Elle est irréversible. La pseudonymisation, au contraire, permet de remplacer les données directement identifiantes par des codes ou alias, tout en conservant séparément les informations permettant de retrouver l’identité réelle.
C’est donc une mesure utile de réduction du risque, mais les données pseudonymisées restent des données personnelles soumises au RGPD. Autrement dit : pseudonymiser ne dispense pas de respecter le RGPD. Mais cela peut réduire considérablement l’exposition des personnes protégées lorsqu’un MJPM souhaite utiliser un outil d’IA générative pour travailler sur des fichiers, des tableaux ou des listes.
Un logiciel conçu pour réduire l’exposition des données
C’est le principe sur lequel repose mon logiciel d’anonymisation.
Le terme “anonymisation” doit ici être compris dans son sens opérationnel courant : supprimer ou coder les informations directement identifiantes avant de les transmettre à un outil externe.
Sur le plan juridique, lorsque la correspondance peut être retrouvée en interne, il s’agit plus précisément d’une pseudonymisation.
Le logiciel permet de choisir, colonne par colonne, ce qu’il faut conserver, supprimer ou coder : noms, noms et prénoms, adresses, téléphones, comptes bancaires, textes libres. Les correspondances entre les codes générés et les noms réels restent en interne, sans être transmises à l’agent IA.
Une fois le travail effectué dans l’outil choisi, la correspondance peut être retrouvée en interne pour réassocier les résultats aux dossiers concernés, dans un cadre maîtrisé.
L’objectif n’est donc pas de prétendre que tout risque disparaît. L’objectif est de réduire le risque d’exposition directe des personnes protégées, tout en permettant au MJPM de tester ou d’utiliser l’IA de manière plus sécurisée.
Ce logiciel a été conçu à l’origine dans le cadre d’un pack GPT spécialisé pour Proxima. Il est désormais proposé seul, pour répondre aux MJPM qui souhaitent garder la liberté de tester l’agent IA de leur choix avant, éventuellement, d’aller plus loin.
Il est conçu avant tout pour modifier et convertir des fichiers Excel issus de Proxima. Mais d’autres logiciels métier MJPM permettent également d’exporter des fichiers Excel. La solution peut donc être adaptée à ces fichiers, sous réserve de vérifier leur structure.
Si vous souhaitez en savoir plus ou organiser une démonstration, la présentation de notre accompagnement MJPM est disponible sur le site.
Les précautions minimales avant d’utiliser une IA générative
Avant d’utiliser une IA générative avec des données issues d’un dossier MJPM, une méthode simple peut être retenue.
1ère étape : définir l’objectif. S’agit-il de reformuler un courrier ? De synthétiser un tableau ? De vérifier une cohérence ? De préparer un plan ? De repérer des anomalies ? De produire une analyse ?
2ème étape : supprimer ce qui n’est pas nécessaire. Le nom, le prénom, l’adresse, le numéro de téléphone, les coordonnées bancaires ou les informations médicales ne sont pas toujours utiles pour obtenir une réponse pertinente.
3ème étape : pseudonymiser ce qui doit être conservé. Un code peut suffire à travailler sur un dossier sans exposer directement l’identité de la personne protégée.
4ème étape : choisir l’outil avec discernement. Tous les comptes d’IA générative ne se valent pas. Les paramètres de confidentialité, les conditions contractuelles, l’hébergement, la conservation des données et leur éventuelle réutilisation doivent être vérifiés.
5ème étape : contrôler humainement le résultat. Une réponse d’IA peut être utile, rapide et bien formulée. Elle peut aussi être fausse, incomplète ou inadaptée au contexte MJPM.
Le MJPM reste responsable de ce qu’il décide, signe, transmet ou conserve.
Utiliser l’IA sans perdre sa responsabilité professionnelle
L’IA générative peut être très utile pour un MJPM. Elle peut aider à structurer une note, clarifier un courrier, préparer un tableau, résumer un document, comparer des informations ou gagner du temps sur certaines tâches administratives.
Mais elle ne remplace ni l’analyse métier, ni la connaissance de la personne protégée, ni l’appréciation professionnelle du mandataire. Elle ne connaît pas la réalité d’un dossier. Elle ne voit pas la personne. Elle ne mesure pas les enjeux humains d’une situation.
Elle produit du texte. C’est au MJPM de décider si ce texte est juste, utile, prudent et conforme à sa mission.
C’est dans cette logique que j’anime une formation dédiée à l’appropriation de l’IA pensée pour des MJPM indépendants, sans prérequis technique. L’idée n’est pas de devenir expert en IA. L’objectif est de comprendre suffisamment l’outil pour l’utiliser à bon escient : savoir formuler une demande, distinguer un usage utile d’un usage risqué, repérer les erreurs, éviter la transmission de données identifiantes, organiser une méthode de pseudonymisation, choisir les bons cas d’usage, conserver le contrôle humain et documenter ses pratiques lorsque c’est nécessaire.
L’enjeu n’est donc pas de choisir entre l’IA et la prudence. L’enjeu est d’apprendre à utiliser l’IA avec prudence.
L’IA générative n’est ni une menace à écarter, ni une solution magique à adopter sans recul. C’est un outil de travail. Comme tout outil, elle doit être comprise, encadrée et utilisée à bon escient.
Pour les MJPM, la question n’est pas de savoir s’il faut ou non s’intéresser à l’IA. La question est de savoir comment l’utiliser sans banaliser les données des personnes protégées, sans perdre la maîtrise du traitement et sans déléguer à un outil ce qui relève du discernement professionnel. La réponse tient en quelques principes simples : limiter les données, pseudonymiser ce qui peut l’être, vérifier l’outil, garder une trace de la méthode et contrôler les résultats.
Utilisée ainsi, l’IA peut devenir un appui utile. Non pas pour remplacer le mandataire. Mais pour l’aider à gagner du temps, à structurer son travail et à renforcer la sécurité de ses pratiques.
Laisser un commentaire