Expert-comptable et IA : conforme ou hors-la-loi ? | CodEC - Le podcast tech des experts-comptables

Description

Vous utilisez l'IA dans votre cabinet mais êtes-vous vraiment en conformité avec le secret professionnel, le RGPD et l'AI Act ?

Dans cet épisode de CodEC, je reçois Maître Romain MIRABILE, Avocat au barreau de Paris, spécialisé en droit numérique, certifié développeur web, a formé près de 500 experts-comptables sur ces thématiques. Son constat est clair : les risques juridiques liés à l'IA dans les cabinets sont réels mais ils sont maîtrisables, à condition de savoir où regarder.

Ce que vous allez apprendre dans cet épisode :

🔒 Pourquoi anonymiser les données clients ne suffit pas avant de les saisir dans une IA grand public

⚖️ Ce que risque concrètement un Expert-Comptable qui viole son secret professionnel via l'IA (article 226-13 du Code pénal : 1 an d'emprisonnement, 15 000 € d'amende par infraction)

💼 La différence entre une version gratuite et une version enterprise, et ce qu'il faut vérifier même sur les outils payants

👥 Le Shadow IA : pourquoi interdire n'est pas la solution et comment encadrer les usages non déclarés de vos collaborateurs

🏢 Pourquoi vos logiciels métiers avec IA intégrée ne bénéficient d'aucune présomption de conformité

📋 Ce que dit l'article 50 de l'AI Act sur la transparence envers vos clients

🎓 Pourquoi la formation de vos collaborateurs est une obligation légale depuis août 2025, et comment mettre en place une gouvernance IA dans votre cabinet

L'invité :

À retenir de cet épisode : "Quand c'est gratuit, c'est vous le produit." - "70% des fuites de données sont des erreurs humaines. La formation, c'est votre première ligne de défense." - "La décision appartient toujours au professionnel. L'IA exécute, elle ne décide pas."

Ressources mentionnées :

Article 226-13 du Code pénal (secret professionnel)
Règlement UE 2024/1689 — AI Act (articles 4 et 50)
Règlement UE 2016/679 — RGPD (article 28)
Cahier de l'Académie n°43 — Académie des sciences et techniques comptables et financières
Modèles de charte IA — Ordre des experts-comptables
CATANE AUBIER, J. et DUFOUR, F., Cinq réflexes d'aujourd'hui pour préparer la conformité de demain, SIC Mag n°457, avril-mai-juin 2026

🚨Anciennement "Marketing du cabinet comptable", ce podcast devient CodEC pour mieux refléter sa mission : décoder l'innovation comptable.

Merci à mon partenaire de la saison 5: SAGE 🔗la solution comptable des EC

Ne manquez aucun épisode !

Abonnez-vous à la newsletter pour des contenus exclusifs et des ressources complémentaires.
Vous aimez le podcast ? Montrez votre soutien avec un avis 5 étoiles sur Apple Podcasts ou Spotify. Cela nous aide énormément à grandir !

Il ne me reste plus qu'une chose à vous dire : "bonne écoute" 🎧

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Maître Romain MIRABILE, invité
On ne met pas d'informations confidentielles ou personnelles sur une IA grand public. On ne peut pas faire un compte-rendu des réunions assistées par IA si au début de la réunion on n'a pas obtenu le consentement de chacun. Quand c'est gratuit, c'est vous le produit. Quand vous payez, déjà c'est un peu plus sécurisant. Il y a des experts comptables qui oublient le fonctionnement d'une IA pure. Une IA pure, ça induit la réponse la plus probable.
Florian DUFOUR - Hôte
La tech évolue, la comptabilité aussi. Codec, le podcast qui décode l'innovation des experts comptables. L'IA arrive dans les cabinets. On le voit avec ChatGPT pour certains, Copilot ou Cloud. Mais il y a des questions qui reviennent. tout ce qui concerne le secret professionnel, la partie RGPD et l'AI Act. Et pour cela, j'ai invité un avocat, un maître qui s'appelle Romain Mirabil, spécialisé dans le numérique et développeur à temps perdu. Bonjour maître.
Maître Romain MIRABILE, invité
Bonjour, merci pour l'invitation.
Florian DUFOUR - Hôte
Ravi que vous soyez présent. Et là aujourd'hui, on va parler un petit peu de l'IA et voir un petit peu ses limites et ses risques au niveau juridique.
Maître Romain MIRABILE, invité
Oui, il y a pas mal de sujets à aborder dans une profession qui évolue quand même pas mal de votre côté. Vous n'êtes pas en retard. Vous êtes plutôt en avance même par rapport aux avocats. Merci. Il y a encore pas mal de choses à faire et surtout, depuis des années, vous réfléchissez à l'optimisation de vos process et c'est une suite logique pour vous la plupart du temps.
Florian DUFOUR - Hôte
Avant de commencer, on va déjà, si vous voulez bien, vous présenter en quelques mots. Je l'ai dit un petit peu, vous faites du codage.
Maître Romain MIRABILE, invité
Oui. Moi, c'est Maître Mirabil. Je suis avocat au barreau de Paris. J'interviens à la fois sur des sujets droits numériques, réglementaires, donc RGPD, IACT, TATA. donc au sens large. Et effectivement, j'ai une certification de développeur web que j'utilise maintenant, pas tellement auprès de mes clients, mais plutôt sur du développement, moi, commercial. Et mon seul avantage, c'est que du coup, par contre, quand je parle avec les DSI de groupe que j'accompagne sur la partie numérique, c'est un gros avantage sur mes sujets numériques. Et donc, oui, moi, j'interviens sur l'IA depuis des années maintenant. Donc déjà, moi, j'ai une Legal Tech pendant quelques années. Donc justement... un logiciel à destination de la rédaction de contrats qui n'avait pas d'IA à l'époque. J'ai réfléchi notamment pendant, dans le cadre de mes études, une thèse professionnelle sur l'évolution du métier de juriste en raison des nouvelles technologies. Et après, j'ai intégré l'incubateur du barreau de Paris pour réfléchir à ces thématiques-là. Je forme depuis des années maintenant les experts comptables sur l'intégration de l'IA dans les structures. Et j'ai participé notamment au cahier de l'Académie numéro 43. l'Académie des sciences des experts comptables, sur justement l'intégration de l'IA, secret professionnel, confidentialité, RGPD. Et donc, je vais pouvoir faire un retour un peu sur tous ces sujets-là, que je sais que c'est des sujets d'actualité, des sujets qui peuvent aussi un peu avoir d'inquiétude. Moi, ce que je vois quand même apparaître sur le marché, c'est qu'il y a de moins en moins d'inquiétude. Ça fait deux ans que je forme sur le sujet. Je dois être à au moins 500 experts comptables formés sur la thématique. Et de plus en plus, quand même, ça diminue sur l'inquiétude qu'il peut y avoir. Ça veut dire qu'ils savent qu'il faut y aller. Maintenant, ils se posent vraiment la question sur comment y aller, comment le faire proprement par rapport à leurs clients et en matière de responsabilité aussi.
Florian DUFOUR - Hôte
On est au bon endroit, je pense. Donc, la première question, c'est on entend souvent des experts comptables qui disent on fait attention, je ne mets pas le nom de client ou je rends anonyme. Est-ce que c'est suffisant de mettre ça dans une ligne à grand public ?
Maître Romain MIRABILE, invité
Alors, c'est... Le point le plus important dans la question, c'est grand public. En fait, il faut faire la différence et des fois, je suis obligé de revenir un peu en arrière. Il y a deux grosses différences, c'est l'IA grand public, ce qu'on appelle du SaaS, du cloud, ça veut dire elle est directement en ligne et celle en local. Il faut faire vraiment la différence. Là, ce dont on va parler, c'est vraiment sur les IA grand public, donc quelque chose où la data part, on ne sait où, sur des serveurs qui sont physiques, mais qu'on appelle sur les nuages. Non, la plupart du temps, ce n'est pas suffisant dans deux aspects. Ça veut dire que... Quand on regarde même la réglementation, on a la question de savoir si on peut directement identifier quelque chose ou indirectement. Donc de temps en temps, malheureusement, même si vous ne mettez pas l'information spécifique du client, il y a des données de marché qui peuvent permettre de réidentifier. Donc une anonymisation ou une pseudonymisation simple ne suffit pas tout le temps. De manière générale, le réflexe à avoir, c'est qu'on ne met pas d'informations confidentielles ou personnelles sur une IA grand public. Et ça, on a énormément de retours, soit directement de l'ordre des experts comptables. soit de certaines administrations, etc., typiquement l'ANSI, sur ce premier réflexe qui est, on ne met pas d'informations, parce qu'on a notamment certaines amendes qui ont déjà été infligées, notamment OpenIA, qui a été sanctionnée en Italie par la CNIL italienne, qui est assez active, pour manquement à ses obligations de sécurité au titre du RGPD, donc 15 millions d'euros d'amende l'année dernière sur le sujet, parce que OpenIA ne permettait pas de garantir que les données qui étaient fournies sur la plateforme ne pouvaient pas être accédées par des tiers.
Florian DUFOUR - Hôte
Je vais faire l'embêtant. C'est-à-dire, ok, mais si je colle un bilan d'un petit boulanger dans un coin, est-ce que vraiment c'est embêtant ?
Maître Romain MIRABILE, invité
C'est toujours pareil. Ça veut dire qu'en fait, effectivement, c'est une gestion du risque. Il y a des informations qu'on pourrait considérer comme moins importantes sur le marché. Dans les faits, vous avez quand même une responsabilité professionnelle, secret professionnel. Et donc, oui, elle est quand même existante. Il y a à la fois votre responsabilité civile, professionnelle, responsabilité professionnelle. Il peut y avoir des responsabilités pénales parce qu'une collecte d'informations sans consentement, c'est un sujet. une responsabilité administrative auprès de la CNIL. Donc, ce n'est jamais anodin. La plupart du temps, c'est jamais détecté. Mais le jour où c'est détecté, etc., en général, on ne met pas juste une information, on en met plein, et donc voilà, c'est souvent le risque.
Florian DUFOUR - Hôte
Maintenant, je voudrais savoir le secret professionnel avec l'article 226.13. Donc du coup, le fait qu'on a sur une activité où on a un secret professionnel, si on le rend, on le rend, excusez-moi, comment ça va s'appliquer dans ce contexte ?
Maître Romain MIRABILE, invité
Concrètement, si vous mettiez une information qui était protégée par votre secret professionnel, de l'information client, bilan comptable, etc., FEC, peu importe. La thématique, il y a quand même une peine d'amende. Il faut savoir que c'est un an d'emprisonnement et 15 000 euros d'amende pour chaque personne qui enfreint son secret professionnel. Donc, ce n'est pas anodin. Dans les faits, si c'était détecté ou si jamais il y avait un sujet, une fuite et que votre client retrouvait l'information, il pourrait éventuellement avertir l'ordre ou éventuellement engager votre responsabilité professionnelle. Pas tellement pour l'impact, le préjudice que ça, parce qu'on a du mal à qualifier les préjudices d'informations comme ça qui fuitent, mais une perte de confiance de votre client qui considérait que vous ne l'avez pas prévenu et que... Ce n'est pas normal, vous auriez dû faire attention.
Florian DUFOUR - Hôte
Ça, on le verra un petit peu plus loin avec les collaborateurs, peut-être, qui ne s'en rendent pas forcément compte. Moi, je me dis, bon, OK, la gratuite, ça ne me va pas trop. Allons sur une version SaaS, du coup, en ligne avec le modèle Enterprise, par exemple. On se dit, je vais prendre la formule ChatGPT Enterprise ou du Microsoft. Là, normalement, ils sont RGPD compliance. C'est vrai, c'est suffisant. J'ai besoin de faire des choses en plus ou pas ?
Maître Romain MIRABILE, invité
Il y a toujours besoin de faire des choses. Ce qu'il faut garder en tête, c'est que quand c'est gratuit, c'est vous le produit. Quand vous payez, déjà, c'est un peu plus sécurisant. Et il y a un deuxième point à garder en tête aussi, c'est que par défaut, en matière d'IA, ce qui est différent de ce qui pouvait exister avec le RGPD au sens plus large, c'est qu'on a l'autorisation sur les versions gratuites d'avoir de l'entraînement de la data sur ce que vous faites. Ça veut dire qu'il faut que vous décochiez l'entraînement de la donnée pour qu'elle ne soit pas entraînée. La grosse différence avec ces IA mordais l'entreprise, c'est que par défaut, ce n'est pas le cas. Et on a aussi des mesures de sécurité, des fois un peu plus poussées, etc. Dans les faits, est-ce que ça suffit à assurer une sécurité du RGPDI ? Non, parce qu'en fait, c'est juste que vous avez un sous-traitant qui lui prend à cœur ses obligations réglementaires et les met en œuvre. Mais dans les faits, ça ne sera jamais suffisant. Mais c'est déjà un bon départ parce que Microsoft, vous avez déjà tous vos mails chez eux. Est-ce que mettre des informations supplémentaires, en général, ça ne change pas grand-chose ? Souvent, quand même. Alors, autant Microsoft, par exemple, ce qu'il faut savoir, c'est que Microsoft euh euh pardon, Copilot, c'est le moteur derrière cette chaise GPT. C'est OpenIA qui est derrière. Pour autant, est-ce qu'on fait confiance à Microsoft ? Oui, parce que Microsoft, en fait, a des éléments sécurisés. Ce n'est pas OpenIA, OpenIA, la data, c'est un modèle qui est enregistré dans leur propre serveur et donc c'est leur mesure de sécurité. Ce qu'il faut savoir, c'est que j'avais eu l'occasion d'échanger avec le responsable Microsoft sur le sujet, qui m'avait dit qu'au niveau des mesures de sécurité mises en oeuvre, c'était les plus sévères dans le monde, parce qu'il y a un sujet aussi global. Il s'avère que c'était la France et l'Europe. Donc les mesures de sécurité qu'on a sur ces entreprises-là sont au summum des mesures de sécurité imposées de manière globale parce que gérer une multi-réglementation en matière de mesures de sécurité est trop lourd. Donc en fait, ils s'imposent le plus haut niveau.
Florian DUFOUR - Hôte
Derrière, le cabinet va quand même se poser des questions, étudier justement les policiers ou autre ?
Maître Romain MIRABILE, invité
Il y a plusieurs points. L'avantage des gros acteurs, c'est que naturellement, ils mettent pas mal d'informations à disposition. On peut avoir la politique de confidentialité de l'acteur, on peut avoir un DPA, un Data Protection Agreement, qui est l'article 28 du RGPD, qui est souvent l'accord entre le responsable et le sous-traitant de données. Il faut savoir que le responsable, la plupart du temps, c'est vous, c'est-à-dire c'est l'expert comptable, etc. Et Microsoft, quand il va agir, peut agir, sans certains points, en tant que responsable, la plupart du temps, il agit en tant que sous-traitant. Donc ça, c'est un premier point, s'assurer que les documents sont à notre disposition, les faire signer, ne pas hésiter Oui, oui. à contacter le DPO de Microsoft en disant voilà, dans le cadre de mon activité, j'aimerais bien, vous avez des modèles à disposition, est-ce que je pourrais le signer pour documentaire d'interne que j'ai fait l'effort de regarder ? Un des éléments aussi, c'est quand on a des entreprises peut-être de moins grande taille, même si c'est des versions payantes, s'assurer qui sont les sous-traitants, où il a donné stocker, etc. Parce qu'on a des entreprises qui stockent la donnée aux Etats-Unis, il peut y avoir des sujets différents, essayer éventuellement de s'assurer que dans la version payante on peut avoir un stockage en Europe, alors ça sécurise pas tout, mais c'est déjà un bon point. et ensuite si on a des acteurs moins grands s'assurer que si jamais il y a du transfert vers l'étranger on a les bonnes clauses au titre du RGPD en dehors de l'accord de sous-traitance pure parce qu'il y a aussi des fois des clauses spécifiques aux transferts internationaux donc voilà, quelques éléments à vérifier qui sont souvent des vérifications pour la conformité en interne, ça veut dire on s'est assuré que le prestataire était conforme et l'idée dans l'idéal, mais souvent les grands acteurs ne le veulent pas, c'est derrière il faut documenter et le moment venu possiblement auditer Ça veut dire garder la possibilité d'aller poser des questions complémentaires sur les mesures de sécurité mises en œuvre, etc. Sur ce qu'il y a pu y avoir. Selon la taille de l'éditeur, vous ne pourrez pas, mais pour les plus petits éditeurs, il y a possibilité de négocier comme ça de l'audit ou un minima de l'audit sur pièce. Ça veut dire que vous vous mettez en conformité en interne et vous allez poser des questions à vos sous-traitants pour vous assurer qu'eux aussi respectent le RGPD. Et ça fait partie de vos obligations.
Florian DUFOUR - Hôte
Parce que je vais vous dire... au moins un minima, documenter ça ?
Maître Romain MIRABILE, invité
Bien sûr, le minima c'est la documentation. Il faut comprendre qu'en fait la documentation permet juste en cas de problème de montrer que vous avez fait l'effort, c'est de montrer une bonne fois que vous avez regardé, etc. Dans les faits, on ne peut pas vérifier à 100% que les personnes sont conformes parce qu'en fait on ne peut pas agir dans les machines et il faut bien comprendre les éditeurs, ça serait trop lourd pour eux s'ils avaient 150 000 clients qui venaient vérifier la conformité.
Florian DUFOUR - Hôte
Est-ce que ça peut être un début de preuve, le fait d'avoir fait la démarche, d'aller demander par exemple faire un audit, même si on nous le refuse ?
Maître Romain MIRABILE, invité
Bien sûr. De toute façon, tout ce que vous faites sera un élément positif. On ne peut pas forcer un prestataire à faire droit à nos demandes. Mais par contre, effectivement, le minima de documenter et faire des demandes, savoir s'ils ont des pièces supplémentaires, des mesures de sécurité mises en œuvre qui ne sont peut-être pas disponibles en IPE, qui peuvent nous mettre à disposition pour s'assurer que ça respecte bien le RGPD.
Florian DUFOUR - Hôte
Donc, il ne faut pas oublier de bien documenter. On va aller sur la partie 2. Maintenant, un petit peu les IA qui sont liées à notre profession. Donc, dans le cabinet aujourd'hui... L'IA, elle est un petit peu partout. Vous l'avez pour réécrire au niveau des mails, par exemple. Dans Teams, dans Microsoft, ça permet de faire un petit compte-rendu. Est-ce que ces outils... Ils sont dans un angle mort, en fait, où il faut quand même regarder les IA un peu plus loin.
Maître Romain MIRABILE, invité
De manière générale, le bon sujet, c'est la cartographie de l'IA. Ça veut dire faire l'effort, de manière générale, quand on fait sa conformité RGPD, de lister les IA en interne. J'ai quand même vu encore des clients qui, des fois, oublient qu'ils ont certaines IA. Et le gros risque qu'on a identifié, c'est parce qu'il y a certaines sociétés aussi qui sont réfractaires à l'utilisation de l'IA, pour des raisons qui sont légitimes aussi. Ça veut dire... difficultés de contrôle, etc. Donc, ils vont interdire certaines adresses IP, d'accès, etc. Dans les faits, ça n'empêche pas les gens d'utiliser l'IA. On a ce qu'on appelle le shadow IA. Ça veut dire la possibilité, par exemple, avec son téléphone maintenant, en prenant une photo, d'obtenir, de mettre de l'information. Parce qu'en fait, les collaborateurs ne sont pas aussi bêtes. Ça veut dire qu'ils ont besoin pour avancer. Ils voient qu'il y a des outils qui sont très performants pour leur activité. Pourquoi ils s'en privent vrai ? Notamment quand il y a des inquiétudes de certaines DSI qui sont disproportionnées. Ça veut dire que Il ne faut pas l'interdire à 100%, ça ne me semble pas adapté, mais pour autant, il faut le contrôler. On a pas mal maintenant de cabinets d'experts comptables qui mettent des IA en local pour essayer de permettre à mettre quelque chose à disposition. Le risque, en fait, il est sur l'absence d'identification des IA en interne, ça veut dire des IA qui seraient pris par certaines personnes, les IA aussi personnelles, éventuellement des fois des réflexes à avoir. Typiquement, j'en vois de plus en plus sur les comptes-rendus de réunion. On ne peut pas faire un compte-rendu de réunion assisté par IA si au début de la réunion, on n'a pas obtenu le consentement de chacun. Et ça, c'est souvent oublié. Et ça a pu déjà m'arriver, même moi, de recevoir des comptes rendus de réunion alors que je n'étais pas au courant qu'il y avait une IA. Donc voilà, il faut aussi paramétrer ses outils pour qu'ils ne soient pas enclenchés tout le temps. Faire la part des choses entre les réunions, des fois qui sont trop dangereuses, etc. où il y a beaucoup d'informations et d'autres réunions. Il faut faire aussi la part des choses sur ce qui est utilisé. Donc oui, cartographie et contrôle aussi des paramétrages des outils pour ne pas les retrouver tout le temps.
Florian DUFOUR - Hôte
Donner un petit peu un cadre de jeu, en fait. Et derrière... Bien informés, c'est du bon sens en fait. On informe comme quand on a les appels téléphoniques par exemple. Bonjour, vous êtes enregistré, ça vous dérange ou pas ?
Maître Romain MIRABILE, invité
Oui, alors la plupart du temps, ce n'est pas tellement un élément volontaire de leur part. C'est qu'en fait, ils ne sont pas formés en interne et on y reviendra après. La formation est très importante parce que même si ce n'est pas des outils qui sont interdits en soi, quelques IA qui sont interdits en soi, mais ce n'est jamais celles qu'on utilise en interne. En fait, il y a quand même une certaine transparence à avoir et quelques réflexes à avoir. L'utilisation de l'IA en interne, il n'y a pas tant de risques. quelques 2-3 réflexes à avoir pour pouvoir l'utiliser. Mais si les gens ne sont pas formés sur ces 2-3 réflexes, on va en voir quelques-uns au cours de notre échange aujourd'hui, c'est là où ça crée la difficulté. C'est souvent l'écart entre la formation, la connaissance et la mise en exécution.
Florian DUFOUR - Hôte
On va aller sur les outils un petit peu spécialisés. On va parler de la compta un petit peu. Les logiciels de comptabilité ou les logiciels de documentation dans la fiscalité, ils intègrent de l'IA de plus en plus. que ce soit dans l'assistance de révision, la génération de rapports ou autre, est-ce que c'est présumé conforme de facto, le fait qu'on les utilise au quotidien, ou il faut quand même se poser la question ?
Maître Romain MIRABILE, invité
En fait, il n'y a aucune société qui est présumée conforme au RGPD. Donc ça, par défaut, c'est le cas. Et même quand vous avez des prestataires qui vous mettent en avant des conformités ISO 27001, etc., qui sont des normes AFNOR, etc., même quand on regarde les décisions de la CNIL, c'est jamais un gage de certification. C'est vrai que c'est un haut niveau de conformité, mais dans les faits, il peut y avoir des écarts aussi entre la certification et l'application réelle. Ça, c'est un premier point. Moi, j'ai toujours tendance à dire qu'il y a deux endroits où les IA peuvent apparaître dans le métier d'expert comptable, et c'est le cas même pour le métier juridique, c'est soit des éditeurs existants, soit des nouveaux éditeurs. Ça, c'est un premier point. L'avantage des éditeurs existants, ils sont des fois moins agiles, mais ils ont l'avantage que la plupart du temps, on leur fait déjà confiance sur la donnée. Donc, s'ils font bien leur travail, la plupart du temps, quand ils vont intégrer de l'IA, alors c'est jamais des... Pas tout le monde a développé son IA, donc c'est souvent des IA métiers existantes. Quand ils font bien leur travail, quand les DSI de ces éditeurs-là, qui sont souvent très gros, intègrent de l'IA, ils la sécurisent de la même manière qu'ils sécurisent vos datas. Donc c'est souvent plus rassurant. Mais ça n'empêche pas le contrôle. Ça veut dire, de la même manière qu'on parlait tout à l'heure des IA grand public et des IA payantes, un peu format entreprise, il ne faut pas hésiter à poser la question, à savoir s'ils ont fait une AIPD. typiquement c'est une analyse d'impact, de savoir si le traitement qui est fait n'est pas dangereux d'avoir le registre spécifique à ce traitement d'IA quels sont les sous-traitants, est-ce que ils ont bien des accords de sous-traitance avec leurs propres sous-traitants parce qu'ils ont souvent des sous-traitants, etc. Poser quelques questions, en général on peut récupérer 4-5 documents qui permettent nous en interne de s'assurer que ça a été à peu près bien documenté, etc. Souvent c'est quand même la mission de la personne qui se charge en interne du RGPD. de poser ce type de légitimation-là, ou un minima de la DSI si jamais c'est le cas.
Florian DUFOUR - Hôte
Et sur les nouveaux acteurs ?
Maître Romain MIRABILE, invité
Les nouveaux acteurs, le problème c'est que les conformités juridiques sont chères. Moi ce que je constate quand même c'est que dans les faits sur les très petits acteurs, s'ils ne l'ont pas anticipé en amont, il y a des fois des manques de conformité. Dans les faits ça ne veut pas dire qu'ils ne l'ont pas fait, c'est juste que comme ça coûte cher, c'est des fois pas leur priorité. Donc il faut toujours être attentif, il ne faut pas hésiter à poser des questions. Et en fait quand on pose des questions on le voit de suite, ça veut dire que quand ils ont les bonnes politiques de confidentialité, les bons documents juridiques, les preuves des mesures de sécurité mises en oeuvre, c'est un élément réassurant. Donc il n'y a pas de difficulté. Le gros avantage des nouveaux acteurs, souvent, c'est leur adaptabilité. Ça veut dire qu'ils sont souvent très innovants, parce qu'ils sont là pour casser le marché, entre guillemets, pour pénétrer un marché qui est déjà bien installé. Et souvent, les outils sont un peu plus performants parce qu'ils sont aussi plus agiles. En dehors de ça, les critères de vérification de leur conformité sont les mêmes. C'est juste que par défaut, on peut partir du principe que si on avait déjà mis des briques de données chez un acteur institutionnel, on peut mettre des briques de données. Ça ne crée pas un risque supplémentaire. sous réserve que par exemple le serveur soit en interne, l'IA, l'algorithme soit en interne. Si l'IA est en externe, ça peut créer un risque supplémentaire. Mais la plupart du temps, ces éditeurs-là, pour des questions de sécurité, ne le font pas. Ils l'hébergent en interne directement.
Florian DUFOUR - Hôte
De toute manière, il faut documenter. Exactement,
Maître Romain MIRABILE, invité
c'est le réflexe de documentation, de savoir poser les bonnes questions et de voir un peu comment les personnes réagissent en face.
Florian DUFOUR - Hôte
Et voilà, comme vous dites, si d'un côté ils ne donnent pas les informations, peut-être ça peut nous...
Maître Romain MIRABILE, invité
Ah ben ça peut casser des deals, mais de la même manière que... Vous négociez avec un éditeur de logiciel, il ne vous donne pas un bon contrat, il ne vous donne pas, vous savez, le service level agreement, c'est-à-dire le niveau de disponibilité. C'est des éléments qui ne vous rassurent pas parce que ça veut dire qu'ils n'ont pas réfléchi. Même si c'est vrai que c'est toujours un peu la question du contrat de mariage, est-ce que c'est vraiment utile, c'est en amont ? C'est quand même utile et ça permet à minima à ces structures-là d'avoir réfléchi en amont. Typiquement, s'ils ont une politique de sécurité, un PCA, un PRA, le plan de continuité d'activité, le plan de reprise d'activité, s'ils ont ces documentations-là, c'est quand même réassurant parce que... Ils ont réfléchi en interne au sujet. Je ne vous dis pas qu'il est forcément mis en œuvre, mais à minima, ils ont réfléchi et c'est toujours des éléments de réassurance. J'ai envie de dire, si un éditeur logiciel ne vous donne pas les bons documents, vous constatez que leurs documents contractuels sont un peu limités, pas bien écrits, pas à jour, et que dès que vous commencez à poser des questions, on nous dit d'habitude qu'on ne nous pose pas la question. Ce n'est pas un élément qui est rassurant.
Florian DUFOUR - Hôte
On va sur la partie 3, la partie responsabilité et sanctions. Alors, en cas de fuite des données, parce que ça peut arriver, Il y a un usage d'IA. Qui est responsable ? Le cabinet ? Est-ce que c'est l'éditeur ? Le sous-traitant ? Il faut prévenir la CNIL ? Qu'est-ce qu'on fait ?
Maître Romain MIRABILE, invité
Alors, il y a deux choses. Je pense qu'en matière de responsabilité, il n'y a pas tellement que la fuite de données qui est problématique. On a parlé tout à l'heure du fait de ne pas mettre de données confidentielles, de ne pas mettre de données personnelles. Et un dernier critère, c'est que quand vous fournissez une information qui est fausse à votre client, le responsable, c'est vous. Donc, il y a aussi une responsabilité qui est la première qui arrive. on l'a vu sur certains... cabinet de conseil à l'étranger notamment avec un cas qui s'est passé en Australie et au Canada. Donc il y a eu plusieurs cas. Donc ça c'est le premier point. Avant la fuite de données, c'est quand même plus rare. Le premier point c'est ça. Donc vérifiez l'information qui est fournie. Vous êtes responsable et donc c'est votre responsabilité professionnelle. Et en fait on revient aussi sur la même mécanique. Ça veut dire que vous êtes responsable et en direct avec vos clients, contractuellement vous êtes les seuls. Ça veut dire que même si votre sous-traitant est en faute, c'est ce qu'on appelle les actions récursoires. Ça veut dire que votre client... se plaindraient à vous, ils vous attaqueraient à vous et vous, vous vous retourneriez vers votre prestataire. Ensuite, on ferait jouer les jeux de responsabilité. Dans les faits en matière de RGPD, le responsable de traitement, ça reste quand même l'expert comptable, qui est très indépendant dans sa manière de travailler, etc. Éventuellement, il va avoir des sous-traitants. C'est pour ça que les DPA sont intéressants parce que le responsable de traitement, le Data Protection Agreement, le responsable de traitement, c'est un peu comme son annexe relative au transfert de données. Et donc, il va vérifier dans quel délai ils doivent apporter l'information si jamais il y a une fuite, Sous quel format ? Et il y a aussi une coopération qui doit être faite. Quelles sont les mesures qui avaient été mises en œuvre ? Quels étaient les sous-traitants ? On peut avoir un peu une cartographie comme ça, qui permet de s'assurer que le jour où il y a un problème, il y a une thématique. Mais dans les faits, vous serez responsable, et donc la responsabilité est variée. Ça serait soit si vous n'avez jamais contrôlé votre responsable, éventuellement de la responsabilité RGPD, soit ça serait de la responsabilité pénale, puisque vous avez fuité de la donnée. Voilà, c'est les mêmes responsabilités qu'on a évoquées un peu plus tôt, en fait. qui serait représenté par une faute de fuite de données.
Florian DUFOUR - Hôte
Certains me disent, je vous donne un exemple, j'ai entendu, c'est un petit dossier, ça vaut peut-être pas le coup que je le dise au client et de prévenir la CNIL.
Maître Romain MIRABILE, invité
Alors ça, c'est une grosse erreur. Il faut savoir qu'il y en a beaucoup qui déclarent pas les... Les fuites. Les fuites. Alors, une fuite, ça s'analyse quand même. On a une analyse qui doit être faite en amont de savoir si les risques, enfin en tout cas, si le droit des personnes est... est suffisamment impacté, etc. S'il y a beaucoup de clients qui sont concernés, pas beaucoup. Et en fonction de l'analyse, on voit s'il y a besoin de déclarer l'acnil. Donc la déclaration de l'acnil n'est pas obligatoire tout le temps. On peut considérer que, je ne sais pas, vous avez fait fuiter 2-3 mails. c'est pas un problème. Vous avez fait fuiter 2000 mails, on n'est pas au même niveau. Mais en fait, c'est ça qui va permettre de faire l'analyse. Donc, le réflexe, c'est surtout de déclarer si on considère que le risque est important. Ça ne veut pas dire que la CNIL va forcément venir vous voir, mais ça veut dire qu'à minima, vous avez fait les informations et en réalité, il vaut mieux déclarer dans les temps parce que ça n'envoie pas aussi des mauvais signals. Et si jamais il y a de la donnée qui a vraiment fuité et qu'elle se retrouve, on va savoir que c'est vous à un moment donné. Donc, de toute manière, il faut avoir le réflexe de déclarer s'il y a un sujet. Et ensuite, il y a la deuxième question, c'est ce que je déclare en plus aux personnes concernées, sachant qu'il y a deux points, c'est que vous avez à la fois de la responsabilité contractuelle, de la responsabilité professionnelle et de la responsabilité RGPD. Même si vous n'aviez peut-être pas une obligation de déclarer ce point-là, peut-être que vu que c'était de la donnée confidentielle, vous auriez peut-être une obligation contractuelle d'informer qu'il y a eu une fuite de données, mais vous considérez peut-être que ça n'a pas d'impact ou que ça ne sera pas grave, mais oui, il faut toujours faire l'analyse à minima, la documenter si on considère que ce n'est pas nécessaire, et ensuite, si c'est nécessaire, la déclarer.
Florian DUFOUR - Hôte
Un petit peu ce côté devoir de transparence.
Maître Romain MIRABILE, invité
Exactement. Sachant qu'il y a un point qu'on n'a pas abordé, c'est notamment aussi la transparence dans l'utilisation de l'IA.
Florian DUFOUR - Hôte
Exactement. On peut y aller si vous voulez.
Maître Romain MIRABILE, invité
Ce qui est assez intéressant, c'est qu'on a un sujet, c'est qu'en fait, l'IA Act, si je ne me trompe pas, l'article 50, prévoit une obligation de transparence. Et on a une problématique, c'est qu'à quel moment on doit avoir de la transparence ? Parce qu'en fait, on va utiliser au quotidien plusieurs IA. à différents niveaux, mais moi l'élément de critère que j'ai envie de garder en tête c'est est-ce que le service qui a été rendu a été uniquement rendu par le biais de l'IA ? Ça veut dire si vous développez des offres de services qui sont uniquement rendues par l'IA, pour des questions de compétitivité, etc., la question peut se poser de la communication. Ça veut dire que comme c'est rendu par l'IA, il faut que les personnes soient informées, etc. Quand c'est quelque chose qui est intégré dans vos process, que vous avez un contrôle sur ce qui est rendu, etc., la question peut se poser de ou pas intégrer l'IA. J'ai envie de dire, si c'est un outil comme Menode, vous n'allez pas forcément l'intégrer. Parce qu'à ce moment-là, tout le monde intègre une simple profilration de mail, c'est de l'IA. Le point, à mon avis, important, c'est l'absence de contrôle. C'est l'absence de contrôle et l'utilisation uniquement de l'IA. Là, ça peut poser une question. Et donc, oui, obligation de transparence, et notamment dans les lettres d'émission, dans les registres de traitement, etc. Pour l'instant, à ma connaissance, il n'y a pas de... En tout cas, il y a quelques mois, il n'y avait pas de modèle qui avait été mis à disposition par l'ordre des experts comptables. Je pense que c'est en train d'être réfléchi. après la question c'est plutôt commercial en fait, on en parlait encore tout à l'heure, c'est de dire finalement la plus-value perçue par les clients, le fait qu'il y a un service d'IA ça va être une réalité à un moment donné on ne va pas pouvoir cacher aux clients de manière indéfinie qu'on utilise de l'IA et qu'on fait des gains d'efficience. Est-ce que les gains d'efficience impliquent forcément une diminution du prix ? Pas forcément, c'est juste que les gains d'efficience peuvent être redirigés vers de l'accompagnement client, du suivi etc. Donc je ne suis pas Euh... J'ai pu voir certains comptes rendus dans plusieurs professions qui avaient tendance à dire qu'il faut que le gain d'efficience soit répercuté à 100% chez les clients. Je ne suis pas convaincu. Il faut que ça le soit un peu, parce qu'il y avait des fois des tarifs qui étaient abusifs parce que c'est trop long, mais la plus-value n'était pas là. Donc, il faut faire un équilibre entre les deux.
Florian DUFOUR - Hôte
Mais on voit que c'est en train de changer un petit peu. Toujours avoir ce côté un petit peu transparence, expliquer aux clients pourquoi on va économiser du temps. Et c'est pour passer plus de temps sur le dossier derrière pour de la plus-value.
Maître Romain MIRABILE, invité
De toute façon, l'IA... Une bonne utilisation de l'IA, moi je le vois dans mon métier, et c'est ce que j'essaye d'enseigner aussi aux personnes à qui j'enseigne, c'est de dire, une bonne utilisation de l'IA, c'est une IA réfléchie. Ça veut dire que vous ne faites que confier l'exécution même à l'IA. Le stratège, le décisionnaire, c'est vous. Et le gros piège, en fait, et c'est là où les clients ne comprendraient pas, ça veut dire que la réflexion est laissée à l'IA. Si vous dites à vos clients, en fait, la décision est prise, mais dans l'exécution même, on passe 20 minutes, 2 mois à rédiger quelque chose qui prend 3 minutes avec l'IA, ils vont comprendre. mais en tout cas la décision... doit être la vôtre et donc la responsabilité dans tous les cas est la vôtre aussi. Donc c'est ça la différence entre les deux. Je pense qu'il faut garder en tête le caractère décisionnaire et les clients seront complètement compréhensifs aussi. Si vous dites c'est moi qui prends la décision, c'est juste que je ne vais pas réinventer la roue à chaque fois et je vais utiliser une IA pour aller plus vite sur certains éléments.
Florian DUFOUR - Hôte
Est-ce que vous pourriez me donner un exemple, bien sûr anonymisé, d'une situation que vous avez rencontrée dans la pratique où un cabinet a peut-être pris des risques où on aurait peut-être pu éviter ou qui se rendent pas forcément compte.
Maître Romain MIRABILE, invité
Concrètement, en matière de risque... Il y a des risques qui sont publics. Il y a notamment un cas à la conférence des experts comptables annuelle où il y avait eu des fois des gens qui mettaient des fakes. Donc, il y a eu des éléments comme ça un peu publics. Donc, c'est un bon exemple. C'est souvent un exemple que je donne. Le risque, la plupart du temps, c'est justement l'absence de formation, l'utilisation d'IA qui ne sont pas documentées. Et en fait, moi, des fois, je fais des audits et je m'en rends compte. Ça veut dire que vous utilisez quelle IA ? On utilise l'IA du cabinet. J'ai dit, vous en utilisez d'autres ? Ah oui, moi j'en ai une en perso aussi. Ça, c'est un premier élément de risque. On ne sait pas vraiment ce qu'il fait. C'est une fuite de données. Mettre de l'information sur une IA qui n'a pas été documentée en interne, qui n'est pas au courant, qui est sur le compte du collaborateur, c'est un premier point. Ça, c'est un premier risque. Des fois, il y a un risque aussi de cloisonnement de l'information. Des IA qui sont partagées entre collaborateurs et on retrouve les informations qui ont été mises par d'autres collaborateurs alors qu'ils n'ont pas besoin d'en avoir connaissance. Et ensuite, des fois, c'est dans une optique d'optimisation, aller trop vite. sur le choix d'outils, en se disant il y a d'autres personnes qui le font, donc on devrait le faire nous aussi, sans forcément analyser le sujet et quand on analyse le sujet, en se posant un petit peu on se dit, je ne suis pas certain que le risque en vaut la chandelle et donc voilà la plupart du temps c'est quand même une absence de cartographie des IA qui sont un peu sauvages et un absence de contrôle en fait, parce qu'en fait il n'y a pas tellement un problème d'utiliser de l'IA, c'est juste un contrôle de savoir pourquoi, comment éventuellement sur quel sujet
Florian DUFOUR - Hôte
J'allais vous poser une question sur la partie humain et peut-être la place de la formation.
Maître Romain MIRABILE, invité
Oui. Alors, de manière générale, ce qu'il faut comprendre, c'est que ça reste un changement important. Ça veut dire qu'il y a eu beaucoup de craintes, etc. Il y avait une crainte du changement. Le changement, c'est un peu la mort d'une situation passée pour une nouvelle. Donc, il y a beaucoup de réticences, etc. Et des fois, il y a des gens qui le cachent de manière volontaire parce qu'ils se disent si jamais je le dis... On va comprendre qu'en fait, je ne suis pas aussi performant que ce que je l'entends. Et donc, voilà. Ça, c'est important à remettre en truc. Et la place de la formation, pourquoi ? Parce que c'est souvent le premier point d'entrée. Et c'est l'élément, ce qu'il faut comprendre, c'est qu'en matière de fuite de données, on considère que 70% des fuites de données sont des erreurs humaines. Donc, par défaut, la formation a un aspect central. L'avantage, c'est que quand on regarde les obligations de formation au titre de l'IA Act, il faut savoir que c'est une obligation de formation. Vous êtes sanctionné en pourcentage de votre chiffre d'affaires si vous ne le faites pas. Depuis février 2025, c'est le cas et les sanctions sont arrivées en août. Depuis août 2025, si vous ne formez pas vos collaborateurs qui utilisent de l'IA, qui sont déployeurs d'IA, concrètement au titre de l'IA Act, vous avez une sanction. Donc en fait, quoi qu'il arrive, il y a une obligation de formation. L'avantage, c'est que quand on regarde la Commission européenne et les indications sur les obligations de formation, ça n'a pas besoin d'être un professionnel accrédité, etc. Il faut juste que le professionnel mette à disposition des participants des informations assez transverses sur le fonctionnement, sur les risques, et que cette information et cette formation soient au niveau de l'implication de l'IA. Si c'est juste pour rédiger des mails, la formation n'est pas très longue. Si c'est pour coder, si ça peut avoir des impacts concrets sur l'activité, l'information est un peu plus longue pour bien expliquer. Ça, c'est un premier point. Et le deuxième point, on va probablement en parler, mais souvent, cette formation, elle se couple avec une documentation en interne, qui est notamment la chartilla. Il faut savoir que vous avez la chance d'avoir l'ordre des experts comptables qui ont produit certains modèles de chartes IA. Mais ça, c'est un premier élément parce qu'en fait, ce qui m'a pu déjà arriver de voir, c'est des gros cabinets d'expertise comptable qui en avaient mis en disposition. Et en fait, les collaborateurs n'étaient pas au courant parce qu'en fait, c'est perdu dans la masse de l'information. Et donc, cette formation-là doit s'accompagner d'une vraie présentation de ces documents-là qui vont permettre notamment de s'assurer, en plus de la formation qui va être faite à un instant T, que tous les nouveaux collaborateurs en ont eu connaissance, qu'elle soit opposable. On peut avoir une idée aussi de la... de l'annexer à la charte informatique et au règlement intérieur pour le rendre opposable et que ça soit qualifié de faute professionnelle si c'est un sujet. Mais voilà, souvent c'est à minima un document synthétique parce que la formation c'est bien mais on peut oublier. Et aussi une formation adaptée aux besoins. Donc ça peut être la DSI qui l'amène, ça peut être le responsable d'un pôle d'activité, ou ça peut être un externe, le DPO, un avocat, mais en tout cas il faut le faire. C'est souvent l'élément le plus important parce que dans les faits, les experts comptables ne sont pas quand même non plus et hyper impactés par la réglementation. C'est juste qu'ils utilisent de l'IA, donc ils doivent être transparents. Ensuite, c'est tous les éditeurs de logiciels qui ont les obligations en matière d'IA et de responsabilité. Ensuite, les obligations assez standards, c'est des obligations de RGPD au sens large. C'est la structure. Et les dernières obligations qui restent, qui sont des obligations d'éviter de faire n'importe quoi, ça, c'est aux collaborateurs. Donc, en fait, il n'y a que la formation qui permet de résoudre cet angle mort.
Florian DUFOUR - Hôte
Est-ce que c'est possible de mettre de l'IA un peu partout ? sans vraiment avoir, on va dire à la tête du cabinet, une vraie gouvernance ?
Maître Romain MIRABILE, invité
Non, parce qu'en fait, on s'en rend compte pour les grands utilisateurs d'IA. J'en fais partie, je tâtonne avec pas mal de sujets. Une IAP à guider. C'est pas bon. Ça veut dire qu'il y a souvent un guide à avoir dans l'utilisation de l'IA, etc. Dans les faits, là où il y a toujours une direction à donner, un contrôle à donner, et le point où je vois où les cabinets sont un peu en retard, c'est la processisation. Ça veut dire qu'une IA, pour qu'elle soit très performante, il faut que les process soient clairs, il faut que les éléments de vérification soient clairs, il faut que les éléments de contrôle soient clairs. Une IA qui possède déjà ces éléments-là va gagner à hauteur de 50 ou 100% d'efficience. sur une IA qu'il ne le serait pas. Donc en fait, non, il faut un contrôle au sens large. Et ensuite, surtout, il faut anticiper cette transformation qui va être, quoi qu'il arrive, inévitable. Ça veut dire qu'on va tous utiliser de l'IA dans l'activité. Le piège à avoir en tête, et elle est un peu impliquée par votre question, c'est que ce n'est pas une IA dans tout le cabinet. Ça veut dire que, de la même manière que si je vous demandais est-ce que toutes vos actions au quotidien ont besoin d'un outil ? Vous allez me dire, mais pas tout le temps. Parce qu'en fait, il y a des fois des outils qui sont plus usines à gaz, qui ne sont avantageux. C'est la même chose avec l'IA. Concrètement, vous allez plutôt tourner à 3 ou 5 IA grand maximum plutôt que 20. Ça veut dire qu'en fait, vous allez faire le choix en interne des IA. Donc, vous allez faire le déploiement. Et ensuite, s'il y a des éléments de contrôle à mettre en œuvre, vous allez peut-être processiser. Parce que moi, le gros problème que je vois, c'est que souvent, quand je dis entre deux personnes, un expert comptable, comment vous traitez un dossier, ils ne traitent pas de la même manière. Et donc, en fait, c'est ce contrôle-là qu'il faut réintroduire. donc je trouve que c'est un élément euh de bien faire en interne, de reposer les bases et ensuite derrière c'est la digitalisation, c'est la dernière étape du management moi je considère, donc on ne peut plus faire en optimisant les process en interne on passe par la machine, et donc il faut quand même garder que la plupart du temps la machine peut accélérer certaines digitalisations, mais ça reste normalement plutôt une dernière étape.
Florian DUFOUR - Hôte
Il ne faut pas le voir forcément comme un outil qu'on donne au collaborateur et tu joues avec et entre guillemets il va faire tout le travail. Non, non, non,
Maître Romain MIRABILE, invité
c'est pas parcimonie et surtout il faut savoir à quel moment l'utiliser et vous allez vous rendre compte surtout vous. qu'il y a des utilisations qui ne sont pas bonnes. Ça veut dire qu'il y a des utilisations avec l'IA qui ne fonctionnent pas bien. Et donc, vous allez faire la part des choses entre certaines missions qui peuvent être assistées par l'IA quasiment intégralement et vous ne faites que vérifier. Ça veut dire que vous allez gagner du temps. Certaines missions, c'est trop complexe pour être fait par une IA à 100%, mais il y a certaines parties où vous allez pouvoir simplifier. Typiquement, vous devez rédiger une analyse quelconque, etc. N'hésitez pas de temps en temps quand ce n'est pas confidentiel ou qu'il n'y ait pas d'éléments. que vous voulez expliquer une situation ou une règle de droit, dictez dans une IA pour qu'elle remette en forme. Il y a des fois des micro-tâches comme ça, sur une tâche plus complexe, qui permettent d'aller plus vite. Et donc il va falloir faire la part des choses entre les tâches, pas d'IA, trop compliquées, trop lourdes ou trop chères, il y a aussi la question du prix, les tâches où on fait même des IA grand public, du moment qu'on fait attention dans l'utilisation, permettent d'accélérer certaines petites micro-tâches, et les dernières tâches où là on se dit, il y a quelque chose à faire, l'IA fonctionne bien, si on met en place les bons process, les bons process de vérification, etc. de workflow, en gros, ça passe.
Florian DUFOUR - Hôte
Allez, on est presque à la fin. Mais avant de laisser nos éditeurs, on voudrait quand même pas les laisser dans l'angloise. Moi, j'aimerais que vous me donniez concrètement, pour la semaine prochaine, un expert comptable qui voudrait réduire ses risques ou mettre quelque chose en place, un peu dire.
Maître Romain MIRABILE, invité
Alors, le premier point, à mon avis, si vous voulez déjà réduire, c'est déjà cartographier ce qui est existant. En fait, on parlait de Shadow IAM, il y a un truc encore plus insidieux que ça. C'est qu'il faut comprendre que les jeunes générations, donc je considère en dessous de 30 ans, la jeune génération, a forcément de l'IA même si vous ne l'avez pas déployée en interne. Ça veut dire à minima un logiciel métier, enfin un logiciel chat GPT, etc. Donc déjà cartographier de savoir ce qui existe ou pas, pour voir si vous n'avez pas des gaps dans votre risque. En choisir à minima une, une grand public, si vous avez Microsoft, vous pouvez aller sur Copilot, un Mistral pour avoir du serveur français. C'est payant plutôt. Bien sûr, avoir des payantes, mais à minimum, avoir une grande publique, parce que c'est souvent celle qui permet de gagner le plus d'efficacité, parce qu'elle n'est pas efficiente sur des tâches très complexes, mais elle est suffisamment généraliste pour gagner un peu du temps. Ça, c'est un premier élément de risque. Éventuellement, quand vous le faites, documenter un peu toute la documentation qui peut y avoir. Ça, c'est un deuxième élément. Mettre en place une chartilla, ça coûte... C'est pas très long, ça fait deux, trois pages. associés à une heure de formation, en tout cas une heure de, même si ce n'est pas une formation à proprement parler, un brainstorming pour rappeler les principes, pour voir un petit peu si tout le monde a compris comment ça fonctionnait. Souvent, par exemple, il y a des experts comptables qui oublient le fonctionnement d'une IA pure. Une IA pure, ça induit la réponse la plus probable. Sauf que quand vous commencez à faire des calculs sur une IA, l'IA ne calcule pas naturellement. Ça veut dire qu'elle peut faire appel à d'autres logiciels. Mais il y a plein de fonctionnements comme ça où on se rend compte pourquoi il y a des erreurs, des hallucinations. Voilà, cette sensibilisation. sur les risques inhérents à la technologie et les risques juridiques. Ça, c'est un premier point. Chartier, on en a parlé. Et éventuellement, si on voulait sécuriser un petit peu en matière de responsabilité, on se poserait la question peut-être d'être un peu transparent dans le contexte de lettres de mission ou de la documentation RGPD pour documenter ce qui est fait en interne pour que derrière, on ne puisse pas être embêté si jamais on a une erreur quelconque, un collaborateur qui aurait mal vérifié, qu'il y aurait une erreur insérée par l'IA.
Florian DUFOUR - Hôte
Merci en tout cas d'être venu et de pouvoir partager tout ça. Où est-ce qu'on pourrait vous suivre sur les réseaux sociaux ? Qu'est-ce que vous faites comme projet pour l'année ?
Maître Romain MIRABILE, invité
Projet pour l'année ? Là, je continue toujours les formations. De toute façon, expert comptable, je pense qu'on a encore des choses à faire. On est passé à l'étape d'après. Ça veut dire qu'on n'est plus tellement sur la sensibilisation, on est sur la mise en pratique. Donc l'idée, c'est toujours d'accompagner la profession sur ces thématiques-là. Et donc après... Pour me suivre, c'est tout simplement LinkedIn à Romain Mirabile, où je publie quand même pas mal de retours d'expérience ou de rappels sur la réglementation dans les différents métiers. Et l'actualité, ça va être, j'ai pas mal de clients maintenant, vu qu'il y a une simplicité aussi d'intégration de l'IA en interne, parce que les gens ne développent plus LLM, c'est dans leur accompagnement sur l'intégration de l'IA, sur la sécurisation à la fois RGPD-IA et d'autres réglementations, typiquement Data Act. Donc il y a encore pas mal de sujets sur la digitalisation. Maintenant, la data est devenue présente partout. Et donc, il y a un gros enjeu de sécurisation, peu importe le secteur d'activité. Donc, ça va être en gros mon actualité de l'année. C'est cette accélération, parce que tout le monde maintenant a cette data à disposition. Donc, elle veut la mettre dans des IA. Donc, il faut tout sécuriser.
Florian DUFOUR - Hôte
Merci à vous.
Maître Romain MIRABILE, invité
Merci à vous.
Florian DUFOUR - Hôte
N'oubliez pas que l'IA, du coup, on le voit, c'est important pour nous. Mais qu'il faut le faire de manière intelligente, avec le secret pro, le RGPD, l'AI Act. Mais c'est faisable. Allez, à bientôt.

About CodEC - Le podcast tech des experts-comptables

Anciennement "Marketing du cabinet comptable", ce podcast devient CodEC pour mieux refléter sa mission : décoder l'innovation comptable.

🎙️ CodEC : Le podcast qui décode l'innovation comptable

Bienvenue sur CodEC, le podcast tech des experts-comptables qui veulent rester à la pointe de l'innovation.

🎯 La promesse

Dans un monde où l'IA, l'automatisation et les outils digitaux transforment radicalement notre métier, il est facile de se perdre. CodEC est né d'un constat simple : la tech comptable avance vite, mais les experts-comptables n'ont pas le temps de tout tester, tout comprendre, tout décrypter. Mon rôle ? Faire ce travail pour vous. Chaque mois, je sélectionne UNE innovation, UN outil, UNE pratique... et je vous montre comment ça marche et en quoi ça peut transformer votre cabinet.

🎙️ Le programme

Intelligence Artificielle appliquée à la comptabilité ; automatisation des tâches répétitives ; outils de collaboration et de gestion de cabinet ; dématérialisation et workflow digitaux ; data analytics et tableaux de bord ; cloud et cybersécurité ; facture électronique ; etc....

⚡ Le format

• Durée : 30 - 35 minutes chrono

• Fréquence : 1 fois par mois

Parfait pour écouter pendant : votre trajet domicile-cabinet, votre pause café, votre séance de sport

👨‍💼 Qui suis-je ?

Je m'appelle Florian Dufour, je suis Diplômé d'expertise comptable et consultant IA auprès de la profession. Ma conviction : l'avenir de l'expertise comptable n'est pas dans la saisie mais dans le conseil. Et pour libérer du temps pour ce conseil, il faut maîtriser la tech.

💡 Pourquoi "CodEC" ?

CodEC = CODeur/DECodeur + Expert-Comptable

Dans l'informatique, un codec transforme des données brutes en quelque chose de compréhensible et d'utilisable. C'est exactement ce que fait ce podcast :

• On DÉCODE l'innovation tech (qui peut sembler complexe)

• On l'ENCODE dans votre quotidien de cabinet (de manière actionnable)

🎯 Pour qui ?

Experts-comptables en exercice, collaborateurs de cabinets comptables, dirigeants de cabinets cherchant à innover, étudiants en expertise comptable, tout professionnel du chiffre intéressé par la tech. Que vous soyez débutant ou confirmé en tech, chaque épisode est conçu pour être accessible et immédiatement applicable.

🚨Merci à mon partenaire de la saison 5 : SAGE 🔗la solution comptable des EC

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About CodEC - Le podcast tech des experts-comptables

Anciennement "Marketing du cabinet comptable", ce podcast devient CodEC pour mieux refléter sa mission : décoder l'innovation comptable.

🎙️ CodEC : Le podcast qui décode l'innovation comptable

Bienvenue sur CodEC, le podcast tech des experts-comptables qui veulent rester à la pointe de l'innovation.

🎯 La promesse

🎙️ Le programme

⚡ Le format

• Durée : 30 - 35 minutes chrono

• Fréquence : 1 fois par mois

Parfait pour écouter pendant : votre trajet domicile-cabinet, votre pause café, votre séance de sport

👨‍💼 Qui suis-je ?

💡 Pourquoi "CodEC" ?

CodEC = CODeur/DECodeur + Expert-Comptable

Dans l'informatique, un codec transforme des données brutes en quelque chose de compréhensible et d'utilisable. C'est exactement ce que fait ce podcast :

• On DÉCODE l'innovation tech (qui peut sembler complexe)

• On l'ENCODE dans votre quotidien de cabinet (de manière actionnable)

🎯 Pour qui ?

🚨Merci à mon partenaire de la saison 5 : SAGE 🔗la solution comptable des EC

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Vous utilisez l'IA dans votre cabinet mais êtes-vous vraiment en conformité avec le secret professionnel, le RGPD et l'AI Act ?

Ce que vous allez apprendre dans cet épisode :

🔒 Pourquoi anonymiser les données clients ne suffit pas avant de les saisir dans une IA grand public

⚖️ Ce que risque concrètement un Expert-Comptable qui viole son secret professionnel via l'IA (article 226-13 du Code pénal : 1 an d'emprisonnement, 15 000 € d'amende par infraction)

💼 La différence entre une version gratuite et une version enterprise, et ce qu'il faut vérifier même sur les outils payants

👥 Le Shadow IA : pourquoi interdire n'est pas la solution et comment encadrer les usages non déclarés de vos collaborateurs

🏢 Pourquoi vos logiciels métiers avec IA intégrée ne bénéficient d'aucune présomption de conformité

📋 Ce que dit l'article 50 de l'AI Act sur la transparence envers vos clients

🎓 Pourquoi la formation de vos collaborateurs est une obligation légale depuis août 2025, et comment mettre en place une gouvernance IA dans votre cabinet

L'invité :

Ressources mentionnées :

Article 226-13 du Code pénal (secret professionnel)
Règlement UE 2024/1689 — AI Act (articles 4 et 50)
Règlement UE 2016/679 — RGPD (article 28)
Cahier de l'Académie n°43 — Académie des sciences et techniques comptables et financières
Modèles de charte IA — Ordre des experts-comptables
CATANE AUBIER, J. et DUFOUR, F., Cinq réflexes d'aujourd'hui pour préparer la conformité de demain, SIC Mag n°457, avril-mai-juin 2026

🚨Anciennement "Marketing du cabinet comptable", ce podcast devient CodEC pour mieux refléter sa mission : décoder l'innovation comptable.

Merci à mon partenaire de la saison 5: SAGE 🔗la solution comptable des EC

Ne manquez aucun épisode !

Abonnez-vous à la newsletter pour des contenus exclusifs et des ressources complémentaires.
Vous aimez le podcast ? Montrez votre soutien avec un avis 5 étoiles sur Apple Podcasts ou Spotify. Cela nous aide énormément à grandir !

Il ne me reste plus qu'une chose à vous dire : "bonne écoute" 🎧

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Maître Romain MIRABILE, invité
On ne met pas d'informations confidentielles ou personnelles sur une IA grand public. On ne peut pas faire un compte-rendu des réunions assistées par IA si au début de la réunion on n'a pas obtenu le consentement de chacun. Quand c'est gratuit, c'est vous le produit. Quand vous payez, déjà c'est un peu plus sécurisant. Il y a des experts comptables qui oublient le fonctionnement d'une IA pure. Une IA pure, ça induit la réponse la plus probable.
Florian DUFOUR - Hôte
La tech évolue, la comptabilité aussi. Codec, le podcast qui décode l'innovation des experts comptables. L'IA arrive dans les cabinets. On le voit avec ChatGPT pour certains, Copilot ou Cloud. Mais il y a des questions qui reviennent. tout ce qui concerne le secret professionnel, la partie RGPD et l'AI Act. Et pour cela, j'ai invité un avocat, un maître qui s'appelle Romain Mirabil, spécialisé dans le numérique et développeur à temps perdu. Bonjour maître.
Maître Romain MIRABILE, invité
Bonjour, merci pour l'invitation.
Florian DUFOUR - Hôte
Ravi que vous soyez présent. Et là aujourd'hui, on va parler un petit peu de l'IA et voir un petit peu ses limites et ses risques au niveau juridique.
Maître Romain MIRABILE, invité
Oui, il y a pas mal de sujets à aborder dans une profession qui évolue quand même pas mal de votre côté. Vous n'êtes pas en retard. Vous êtes plutôt en avance même par rapport aux avocats. Merci. Il y a encore pas mal de choses à faire et surtout, depuis des années, vous réfléchissez à l'optimisation de vos process et c'est une suite logique pour vous la plupart du temps.
Florian DUFOUR - Hôte
Avant de commencer, on va déjà, si vous voulez bien, vous présenter en quelques mots. Je l'ai dit un petit peu, vous faites du codage.
Maître Romain MIRABILE, invité
Oui. Moi, c'est Maître Mirabil. Je suis avocat au barreau de Paris. J'interviens à la fois sur des sujets droits numériques, réglementaires, donc RGPD, IACT, TATA. donc au sens large. Et effectivement, j'ai une certification de développeur web que j'utilise maintenant, pas tellement auprès de mes clients, mais plutôt sur du développement, moi, commercial. Et mon seul avantage, c'est que du coup, par contre, quand je parle avec les DSI de groupe que j'accompagne sur la partie numérique, c'est un gros avantage sur mes sujets numériques. Et donc, oui, moi, j'interviens sur l'IA depuis des années maintenant. Donc déjà, moi, j'ai une Legal Tech pendant quelques années. Donc justement... un logiciel à destination de la rédaction de contrats qui n'avait pas d'IA à l'époque. J'ai réfléchi notamment pendant, dans le cadre de mes études, une thèse professionnelle sur l'évolution du métier de juriste en raison des nouvelles technologies. Et après, j'ai intégré l'incubateur du barreau de Paris pour réfléchir à ces thématiques-là. Je forme depuis des années maintenant les experts comptables sur l'intégration de l'IA dans les structures. Et j'ai participé notamment au cahier de l'Académie numéro 43. l'Académie des sciences des experts comptables, sur justement l'intégration de l'IA, secret professionnel, confidentialité, RGPD. Et donc, je vais pouvoir faire un retour un peu sur tous ces sujets-là, que je sais que c'est des sujets d'actualité, des sujets qui peuvent aussi un peu avoir d'inquiétude. Moi, ce que je vois quand même apparaître sur le marché, c'est qu'il y a de moins en moins d'inquiétude. Ça fait deux ans que je forme sur le sujet. Je dois être à au moins 500 experts comptables formés sur la thématique. Et de plus en plus, quand même, ça diminue sur l'inquiétude qu'il peut y avoir. Ça veut dire qu'ils savent qu'il faut y aller. Maintenant, ils se posent vraiment la question sur comment y aller, comment le faire proprement par rapport à leurs clients et en matière de responsabilité aussi.
Florian DUFOUR - Hôte
On est au bon endroit, je pense. Donc, la première question, c'est on entend souvent des experts comptables qui disent on fait attention, je ne mets pas le nom de client ou je rends anonyme. Est-ce que c'est suffisant de mettre ça dans une ligne à grand public ?
Maître Romain MIRABILE, invité
Alors, c'est... Le point le plus important dans la question, c'est grand public. En fait, il faut faire la différence et des fois, je suis obligé de revenir un peu en arrière. Il y a deux grosses différences, c'est l'IA grand public, ce qu'on appelle du SaaS, du cloud, ça veut dire elle est directement en ligne et celle en local. Il faut faire vraiment la différence. Là, ce dont on va parler, c'est vraiment sur les IA grand public, donc quelque chose où la data part, on ne sait où, sur des serveurs qui sont physiques, mais qu'on appelle sur les nuages. Non, la plupart du temps, ce n'est pas suffisant dans deux aspects. Ça veut dire que... Quand on regarde même la réglementation, on a la question de savoir si on peut directement identifier quelque chose ou indirectement. Donc de temps en temps, malheureusement, même si vous ne mettez pas l'information spécifique du client, il y a des données de marché qui peuvent permettre de réidentifier. Donc une anonymisation ou une pseudonymisation simple ne suffit pas tout le temps. De manière générale, le réflexe à avoir, c'est qu'on ne met pas d'informations confidentielles ou personnelles sur une IA grand public. Et ça, on a énormément de retours, soit directement de l'ordre des experts comptables. soit de certaines administrations, etc., typiquement l'ANSI, sur ce premier réflexe qui est, on ne met pas d'informations, parce qu'on a notamment certaines amendes qui ont déjà été infligées, notamment OpenIA, qui a été sanctionnée en Italie par la CNIL italienne, qui est assez active, pour manquement à ses obligations de sécurité au titre du RGPD, donc 15 millions d'euros d'amende l'année dernière sur le sujet, parce que OpenIA ne permettait pas de garantir que les données qui étaient fournies sur la plateforme ne pouvaient pas être accédées par des tiers.
Florian DUFOUR - Hôte
Je vais faire l'embêtant. C'est-à-dire, ok, mais si je colle un bilan d'un petit boulanger dans un coin, est-ce que vraiment c'est embêtant ?
Maître Romain MIRABILE, invité
C'est toujours pareil. Ça veut dire qu'en fait, effectivement, c'est une gestion du risque. Il y a des informations qu'on pourrait considérer comme moins importantes sur le marché. Dans les faits, vous avez quand même une responsabilité professionnelle, secret professionnel. Et donc, oui, elle est quand même existante. Il y a à la fois votre responsabilité civile, professionnelle, responsabilité professionnelle. Il peut y avoir des responsabilités pénales parce qu'une collecte d'informations sans consentement, c'est un sujet. une responsabilité administrative auprès de la CNIL. Donc, ce n'est jamais anodin. La plupart du temps, c'est jamais détecté. Mais le jour où c'est détecté, etc., en général, on ne met pas juste une information, on en met plein, et donc voilà, c'est souvent le risque.
Florian DUFOUR - Hôte
Maintenant, je voudrais savoir le secret professionnel avec l'article 226.13. Donc du coup, le fait qu'on a sur une activité où on a un secret professionnel, si on le rend, on le rend, excusez-moi, comment ça va s'appliquer dans ce contexte ?
Maître Romain MIRABILE, invité
Concrètement, si vous mettiez une information qui était protégée par votre secret professionnel, de l'information client, bilan comptable, etc., FEC, peu importe. La thématique, il y a quand même une peine d'amende. Il faut savoir que c'est un an d'emprisonnement et 15 000 euros d'amende pour chaque personne qui enfreint son secret professionnel. Donc, ce n'est pas anodin. Dans les faits, si c'était détecté ou si jamais il y avait un sujet, une fuite et que votre client retrouvait l'information, il pourrait éventuellement avertir l'ordre ou éventuellement engager votre responsabilité professionnelle. Pas tellement pour l'impact, le préjudice que ça, parce qu'on a du mal à qualifier les préjudices d'informations comme ça qui fuitent, mais une perte de confiance de votre client qui considérait que vous ne l'avez pas prévenu et que... Ce n'est pas normal, vous auriez dû faire attention.
Florian DUFOUR - Hôte
Ça, on le verra un petit peu plus loin avec les collaborateurs, peut-être, qui ne s'en rendent pas forcément compte. Moi, je me dis, bon, OK, la gratuite, ça ne me va pas trop. Allons sur une version SaaS, du coup, en ligne avec le modèle Enterprise, par exemple. On se dit, je vais prendre la formule ChatGPT Enterprise ou du Microsoft. Là, normalement, ils sont RGPD compliance. C'est vrai, c'est suffisant. J'ai besoin de faire des choses en plus ou pas ?
Maître Romain MIRABILE, invité
Il y a toujours besoin de faire des choses. Ce qu'il faut garder en tête, c'est que quand c'est gratuit, c'est vous le produit. Quand vous payez, déjà, c'est un peu plus sécurisant. Et il y a un deuxième point à garder en tête aussi, c'est que par défaut, en matière d'IA, ce qui est différent de ce qui pouvait exister avec le RGPD au sens plus large, c'est qu'on a l'autorisation sur les versions gratuites d'avoir de l'entraînement de la data sur ce que vous faites. Ça veut dire qu'il faut que vous décochiez l'entraînement de la donnée pour qu'elle ne soit pas entraînée. La grosse différence avec ces IA mordais l'entreprise, c'est que par défaut, ce n'est pas le cas. Et on a aussi des mesures de sécurité, des fois un peu plus poussées, etc. Dans les faits, est-ce que ça suffit à assurer une sécurité du RGPDI ? Non, parce qu'en fait, c'est juste que vous avez un sous-traitant qui lui prend à cœur ses obligations réglementaires et les met en œuvre. Mais dans les faits, ça ne sera jamais suffisant. Mais c'est déjà un bon départ parce que Microsoft, vous avez déjà tous vos mails chez eux. Est-ce que mettre des informations supplémentaires, en général, ça ne change pas grand-chose ? Souvent, quand même. Alors, autant Microsoft, par exemple, ce qu'il faut savoir, c'est que Microsoft euh euh pardon, Copilot, c'est le moteur derrière cette chaise GPT. C'est OpenIA qui est derrière. Pour autant, est-ce qu'on fait confiance à Microsoft ? Oui, parce que Microsoft, en fait, a des éléments sécurisés. Ce n'est pas OpenIA, OpenIA, la data, c'est un modèle qui est enregistré dans leur propre serveur et donc c'est leur mesure de sécurité. Ce qu'il faut savoir, c'est que j'avais eu l'occasion d'échanger avec le responsable Microsoft sur le sujet, qui m'avait dit qu'au niveau des mesures de sécurité mises en oeuvre, c'était les plus sévères dans le monde, parce qu'il y a un sujet aussi global. Il s'avère que c'était la France et l'Europe. Donc les mesures de sécurité qu'on a sur ces entreprises-là sont au summum des mesures de sécurité imposées de manière globale parce que gérer une multi-réglementation en matière de mesures de sécurité est trop lourd. Donc en fait, ils s'imposent le plus haut niveau.
Florian DUFOUR - Hôte
Derrière, le cabinet va quand même se poser des questions, étudier justement les policiers ou autre ?
Maître Romain MIRABILE, invité
Il y a plusieurs points. L'avantage des gros acteurs, c'est que naturellement, ils mettent pas mal d'informations à disposition. On peut avoir la politique de confidentialité de l'acteur, on peut avoir un DPA, un Data Protection Agreement, qui est l'article 28 du RGPD, qui est souvent l'accord entre le responsable et le sous-traitant de données. Il faut savoir que le responsable, la plupart du temps, c'est vous, c'est-à-dire c'est l'expert comptable, etc. Et Microsoft, quand il va agir, peut agir, sans certains points, en tant que responsable, la plupart du temps, il agit en tant que sous-traitant. Donc ça, c'est un premier point, s'assurer que les documents sont à notre disposition, les faire signer, ne pas hésiter Oui, oui. à contacter le DPO de Microsoft en disant voilà, dans le cadre de mon activité, j'aimerais bien, vous avez des modèles à disposition, est-ce que je pourrais le signer pour documentaire d'interne que j'ai fait l'effort de regarder ? Un des éléments aussi, c'est quand on a des entreprises peut-être de moins grande taille, même si c'est des versions payantes, s'assurer qui sont les sous-traitants, où il a donné stocker, etc. Parce qu'on a des entreprises qui stockent la donnée aux Etats-Unis, il peut y avoir des sujets différents, essayer éventuellement de s'assurer que dans la version payante on peut avoir un stockage en Europe, alors ça sécurise pas tout, mais c'est déjà un bon point. et ensuite si on a des acteurs moins grands s'assurer que si jamais il y a du transfert vers l'étranger on a les bonnes clauses au titre du RGPD en dehors de l'accord de sous-traitance pure parce qu'il y a aussi des fois des clauses spécifiques aux transferts internationaux donc voilà, quelques éléments à vérifier qui sont souvent des vérifications pour la conformité en interne, ça veut dire on s'est assuré que le prestataire était conforme et l'idée dans l'idéal, mais souvent les grands acteurs ne le veulent pas, c'est derrière il faut documenter et le moment venu possiblement auditer Ça veut dire garder la possibilité d'aller poser des questions complémentaires sur les mesures de sécurité mises en œuvre, etc. Sur ce qu'il y a pu y avoir. Selon la taille de l'éditeur, vous ne pourrez pas, mais pour les plus petits éditeurs, il y a possibilité de négocier comme ça de l'audit ou un minima de l'audit sur pièce. Ça veut dire que vous vous mettez en conformité en interne et vous allez poser des questions à vos sous-traitants pour vous assurer qu'eux aussi respectent le RGPD. Et ça fait partie de vos obligations.
Florian DUFOUR - Hôte
Parce que je vais vous dire... au moins un minima, documenter ça ?
Maître Romain MIRABILE, invité
Bien sûr, le minima c'est la documentation. Il faut comprendre qu'en fait la documentation permet juste en cas de problème de montrer que vous avez fait l'effort, c'est de montrer une bonne fois que vous avez regardé, etc. Dans les faits, on ne peut pas vérifier à 100% que les personnes sont conformes parce qu'en fait on ne peut pas agir dans les machines et il faut bien comprendre les éditeurs, ça serait trop lourd pour eux s'ils avaient 150 000 clients qui venaient vérifier la conformité.
Florian DUFOUR - Hôte
Est-ce que ça peut être un début de preuve, le fait d'avoir fait la démarche, d'aller demander par exemple faire un audit, même si on nous le refuse ?
Maître Romain MIRABILE, invité
Bien sûr. De toute façon, tout ce que vous faites sera un élément positif. On ne peut pas forcer un prestataire à faire droit à nos demandes. Mais par contre, effectivement, le minima de documenter et faire des demandes, savoir s'ils ont des pièces supplémentaires, des mesures de sécurité mises en œuvre qui ne sont peut-être pas disponibles en IPE, qui peuvent nous mettre à disposition pour s'assurer que ça respecte bien le RGPD.
Florian DUFOUR - Hôte
Donc, il ne faut pas oublier de bien documenter. On va aller sur la partie 2. Maintenant, un petit peu les IA qui sont liées à notre profession. Donc, dans le cabinet aujourd'hui... L'IA, elle est un petit peu partout. Vous l'avez pour réécrire au niveau des mails, par exemple. Dans Teams, dans Microsoft, ça permet de faire un petit compte-rendu. Est-ce que ces outils... Ils sont dans un angle mort, en fait, où il faut quand même regarder les IA un peu plus loin.
Maître Romain MIRABILE, invité
De manière générale, le bon sujet, c'est la cartographie de l'IA. Ça veut dire faire l'effort, de manière générale, quand on fait sa conformité RGPD, de lister les IA en interne. J'ai quand même vu encore des clients qui, des fois, oublient qu'ils ont certaines IA. Et le gros risque qu'on a identifié, c'est parce qu'il y a certaines sociétés aussi qui sont réfractaires à l'utilisation de l'IA, pour des raisons qui sont légitimes aussi. Ça veut dire... difficultés de contrôle, etc. Donc, ils vont interdire certaines adresses IP, d'accès, etc. Dans les faits, ça n'empêche pas les gens d'utiliser l'IA. On a ce qu'on appelle le shadow IA. Ça veut dire la possibilité, par exemple, avec son téléphone maintenant, en prenant une photo, d'obtenir, de mettre de l'information. Parce qu'en fait, les collaborateurs ne sont pas aussi bêtes. Ça veut dire qu'ils ont besoin pour avancer. Ils voient qu'il y a des outils qui sont très performants pour leur activité. Pourquoi ils s'en privent vrai ? Notamment quand il y a des inquiétudes de certaines DSI qui sont disproportionnées. Ça veut dire que Il ne faut pas l'interdire à 100%, ça ne me semble pas adapté, mais pour autant, il faut le contrôler. On a pas mal maintenant de cabinets d'experts comptables qui mettent des IA en local pour essayer de permettre à mettre quelque chose à disposition. Le risque, en fait, il est sur l'absence d'identification des IA en interne, ça veut dire des IA qui seraient pris par certaines personnes, les IA aussi personnelles, éventuellement des fois des réflexes à avoir. Typiquement, j'en vois de plus en plus sur les comptes-rendus de réunion. On ne peut pas faire un compte-rendu de réunion assisté par IA si au début de la réunion, on n'a pas obtenu le consentement de chacun. Et ça, c'est souvent oublié. Et ça a pu déjà m'arriver, même moi, de recevoir des comptes rendus de réunion alors que je n'étais pas au courant qu'il y avait une IA. Donc voilà, il faut aussi paramétrer ses outils pour qu'ils ne soient pas enclenchés tout le temps. Faire la part des choses entre les réunions, des fois qui sont trop dangereuses, etc. où il y a beaucoup d'informations et d'autres réunions. Il faut faire aussi la part des choses sur ce qui est utilisé. Donc oui, cartographie et contrôle aussi des paramétrages des outils pour ne pas les retrouver tout le temps.
Florian DUFOUR - Hôte
Donner un petit peu un cadre de jeu, en fait. Et derrière... Bien informés, c'est du bon sens en fait. On informe comme quand on a les appels téléphoniques par exemple. Bonjour, vous êtes enregistré, ça vous dérange ou pas ?
Maître Romain MIRABILE, invité
Oui, alors la plupart du temps, ce n'est pas tellement un élément volontaire de leur part. C'est qu'en fait, ils ne sont pas formés en interne et on y reviendra après. La formation est très importante parce que même si ce n'est pas des outils qui sont interdits en soi, quelques IA qui sont interdits en soi, mais ce n'est jamais celles qu'on utilise en interne. En fait, il y a quand même une certaine transparence à avoir et quelques réflexes à avoir. L'utilisation de l'IA en interne, il n'y a pas tant de risques. quelques 2-3 réflexes à avoir pour pouvoir l'utiliser. Mais si les gens ne sont pas formés sur ces 2-3 réflexes, on va en voir quelques-uns au cours de notre échange aujourd'hui, c'est là où ça crée la difficulté. C'est souvent l'écart entre la formation, la connaissance et la mise en exécution.
Florian DUFOUR - Hôte
On va aller sur les outils un petit peu spécialisés. On va parler de la compta un petit peu. Les logiciels de comptabilité ou les logiciels de documentation dans la fiscalité, ils intègrent de l'IA de plus en plus. que ce soit dans l'assistance de révision, la génération de rapports ou autre, est-ce que c'est présumé conforme de facto, le fait qu'on les utilise au quotidien, ou il faut quand même se poser la question ?
Maître Romain MIRABILE, invité
En fait, il n'y a aucune société qui est présumée conforme au RGPD. Donc ça, par défaut, c'est le cas. Et même quand vous avez des prestataires qui vous mettent en avant des conformités ISO 27001, etc., qui sont des normes AFNOR, etc., même quand on regarde les décisions de la CNIL, c'est jamais un gage de certification. C'est vrai que c'est un haut niveau de conformité, mais dans les faits, il peut y avoir des écarts aussi entre la certification et l'application réelle. Ça, c'est un premier point. Moi, j'ai toujours tendance à dire qu'il y a deux endroits où les IA peuvent apparaître dans le métier d'expert comptable, et c'est le cas même pour le métier juridique, c'est soit des éditeurs existants, soit des nouveaux éditeurs. Ça, c'est un premier point. L'avantage des éditeurs existants, ils sont des fois moins agiles, mais ils ont l'avantage que la plupart du temps, on leur fait déjà confiance sur la donnée. Donc, s'ils font bien leur travail, la plupart du temps, quand ils vont intégrer de l'IA, alors c'est jamais des... Pas tout le monde a développé son IA, donc c'est souvent des IA métiers existantes. Quand ils font bien leur travail, quand les DSI de ces éditeurs-là, qui sont souvent très gros, intègrent de l'IA, ils la sécurisent de la même manière qu'ils sécurisent vos datas. Donc c'est souvent plus rassurant. Mais ça n'empêche pas le contrôle. Ça veut dire, de la même manière qu'on parlait tout à l'heure des IA grand public et des IA payantes, un peu format entreprise, il ne faut pas hésiter à poser la question, à savoir s'ils ont fait une AIPD. typiquement c'est une analyse d'impact, de savoir si le traitement qui est fait n'est pas dangereux d'avoir le registre spécifique à ce traitement d'IA quels sont les sous-traitants, est-ce que ils ont bien des accords de sous-traitance avec leurs propres sous-traitants parce qu'ils ont souvent des sous-traitants, etc. Poser quelques questions, en général on peut récupérer 4-5 documents qui permettent nous en interne de s'assurer que ça a été à peu près bien documenté, etc. Souvent c'est quand même la mission de la personne qui se charge en interne du RGPD. de poser ce type de légitimation-là, ou un minima de la DSI si jamais c'est le cas.
Florian DUFOUR - Hôte
Et sur les nouveaux acteurs ?
Maître Romain MIRABILE, invité
Les nouveaux acteurs, le problème c'est que les conformités juridiques sont chères. Moi ce que je constate quand même c'est que dans les faits sur les très petits acteurs, s'ils ne l'ont pas anticipé en amont, il y a des fois des manques de conformité. Dans les faits ça ne veut pas dire qu'ils ne l'ont pas fait, c'est juste que comme ça coûte cher, c'est des fois pas leur priorité. Donc il faut toujours être attentif, il ne faut pas hésiter à poser des questions. Et en fait quand on pose des questions on le voit de suite, ça veut dire que quand ils ont les bonnes politiques de confidentialité, les bons documents juridiques, les preuves des mesures de sécurité mises en oeuvre, c'est un élément réassurant. Donc il n'y a pas de difficulté. Le gros avantage des nouveaux acteurs, souvent, c'est leur adaptabilité. Ça veut dire qu'ils sont souvent très innovants, parce qu'ils sont là pour casser le marché, entre guillemets, pour pénétrer un marché qui est déjà bien installé. Et souvent, les outils sont un peu plus performants parce qu'ils sont aussi plus agiles. En dehors de ça, les critères de vérification de leur conformité sont les mêmes. C'est juste que par défaut, on peut partir du principe que si on avait déjà mis des briques de données chez un acteur institutionnel, on peut mettre des briques de données. Ça ne crée pas un risque supplémentaire. sous réserve que par exemple le serveur soit en interne, l'IA, l'algorithme soit en interne. Si l'IA est en externe, ça peut créer un risque supplémentaire. Mais la plupart du temps, ces éditeurs-là, pour des questions de sécurité, ne le font pas. Ils l'hébergent en interne directement.
Florian DUFOUR - Hôte
De toute manière, il faut documenter. Exactement,
Maître Romain MIRABILE, invité
c'est le réflexe de documentation, de savoir poser les bonnes questions et de voir un peu comment les personnes réagissent en face.
Florian DUFOUR - Hôte
Et voilà, comme vous dites, si d'un côté ils ne donnent pas les informations, peut-être ça peut nous...
Maître Romain MIRABILE, invité
Ah ben ça peut casser des deals, mais de la même manière que... Vous négociez avec un éditeur de logiciel, il ne vous donne pas un bon contrat, il ne vous donne pas, vous savez, le service level agreement, c'est-à-dire le niveau de disponibilité. C'est des éléments qui ne vous rassurent pas parce que ça veut dire qu'ils n'ont pas réfléchi. Même si c'est vrai que c'est toujours un peu la question du contrat de mariage, est-ce que c'est vraiment utile, c'est en amont ? C'est quand même utile et ça permet à minima à ces structures-là d'avoir réfléchi en amont. Typiquement, s'ils ont une politique de sécurité, un PCA, un PRA, le plan de continuité d'activité, le plan de reprise d'activité, s'ils ont ces documentations-là, c'est quand même réassurant parce que... Ils ont réfléchi en interne au sujet. Je ne vous dis pas qu'il est forcément mis en œuvre, mais à minima, ils ont réfléchi et c'est toujours des éléments de réassurance. J'ai envie de dire, si un éditeur logiciel ne vous donne pas les bons documents, vous constatez que leurs documents contractuels sont un peu limités, pas bien écrits, pas à jour, et que dès que vous commencez à poser des questions, on nous dit d'habitude qu'on ne nous pose pas la question. Ce n'est pas un élément qui est rassurant.
Florian DUFOUR - Hôte
On va sur la partie 3, la partie responsabilité et sanctions. Alors, en cas de fuite des données, parce que ça peut arriver, Il y a un usage d'IA. Qui est responsable ? Le cabinet ? Est-ce que c'est l'éditeur ? Le sous-traitant ? Il faut prévenir la CNIL ? Qu'est-ce qu'on fait ?
Maître Romain MIRABILE, invité
Alors, il y a deux choses. Je pense qu'en matière de responsabilité, il n'y a pas tellement que la fuite de données qui est problématique. On a parlé tout à l'heure du fait de ne pas mettre de données confidentielles, de ne pas mettre de données personnelles. Et un dernier critère, c'est que quand vous fournissez une information qui est fausse à votre client, le responsable, c'est vous. Donc, il y a aussi une responsabilité qui est la première qui arrive. on l'a vu sur certains... cabinet de conseil à l'étranger notamment avec un cas qui s'est passé en Australie et au Canada. Donc il y a eu plusieurs cas. Donc ça c'est le premier point. Avant la fuite de données, c'est quand même plus rare. Le premier point c'est ça. Donc vérifiez l'information qui est fournie. Vous êtes responsable et donc c'est votre responsabilité professionnelle. Et en fait on revient aussi sur la même mécanique. Ça veut dire que vous êtes responsable et en direct avec vos clients, contractuellement vous êtes les seuls. Ça veut dire que même si votre sous-traitant est en faute, c'est ce qu'on appelle les actions récursoires. Ça veut dire que votre client... se plaindraient à vous, ils vous attaqueraient à vous et vous, vous vous retourneriez vers votre prestataire. Ensuite, on ferait jouer les jeux de responsabilité. Dans les faits en matière de RGPD, le responsable de traitement, ça reste quand même l'expert comptable, qui est très indépendant dans sa manière de travailler, etc. Éventuellement, il va avoir des sous-traitants. C'est pour ça que les DPA sont intéressants parce que le responsable de traitement, le Data Protection Agreement, le responsable de traitement, c'est un peu comme son annexe relative au transfert de données. Et donc, il va vérifier dans quel délai ils doivent apporter l'information si jamais il y a une fuite, Sous quel format ? Et il y a aussi une coopération qui doit être faite. Quelles sont les mesures qui avaient été mises en œuvre ? Quels étaient les sous-traitants ? On peut avoir un peu une cartographie comme ça, qui permet de s'assurer que le jour où il y a un problème, il y a une thématique. Mais dans les faits, vous serez responsable, et donc la responsabilité est variée. Ça serait soit si vous n'avez jamais contrôlé votre responsable, éventuellement de la responsabilité RGPD, soit ça serait de la responsabilité pénale, puisque vous avez fuité de la donnée. Voilà, c'est les mêmes responsabilités qu'on a évoquées un peu plus tôt, en fait. qui serait représenté par une faute de fuite de données.
Florian DUFOUR - Hôte
Certains me disent, je vous donne un exemple, j'ai entendu, c'est un petit dossier, ça vaut peut-être pas le coup que je le dise au client et de prévenir la CNIL.
Maître Romain MIRABILE, invité
Alors ça, c'est une grosse erreur. Il faut savoir qu'il y en a beaucoup qui déclarent pas les... Les fuites. Les fuites. Alors, une fuite, ça s'analyse quand même. On a une analyse qui doit être faite en amont de savoir si les risques, enfin en tout cas, si le droit des personnes est... est suffisamment impacté, etc. S'il y a beaucoup de clients qui sont concernés, pas beaucoup. Et en fonction de l'analyse, on voit s'il y a besoin de déclarer l'acnil. Donc la déclaration de l'acnil n'est pas obligatoire tout le temps. On peut considérer que, je ne sais pas, vous avez fait fuiter 2-3 mails. c'est pas un problème. Vous avez fait fuiter 2000 mails, on n'est pas au même niveau. Mais en fait, c'est ça qui va permettre de faire l'analyse. Donc, le réflexe, c'est surtout de déclarer si on considère que le risque est important. Ça ne veut pas dire que la CNIL va forcément venir vous voir, mais ça veut dire qu'à minima, vous avez fait les informations et en réalité, il vaut mieux déclarer dans les temps parce que ça n'envoie pas aussi des mauvais signals. Et si jamais il y a de la donnée qui a vraiment fuité et qu'elle se retrouve, on va savoir que c'est vous à un moment donné. Donc, de toute manière, il faut avoir le réflexe de déclarer s'il y a un sujet. Et ensuite, il y a la deuxième question, c'est ce que je déclare en plus aux personnes concernées, sachant qu'il y a deux points, c'est que vous avez à la fois de la responsabilité contractuelle, de la responsabilité professionnelle et de la responsabilité RGPD. Même si vous n'aviez peut-être pas une obligation de déclarer ce point-là, peut-être que vu que c'était de la donnée confidentielle, vous auriez peut-être une obligation contractuelle d'informer qu'il y a eu une fuite de données, mais vous considérez peut-être que ça n'a pas d'impact ou que ça ne sera pas grave, mais oui, il faut toujours faire l'analyse à minima, la documenter si on considère que ce n'est pas nécessaire, et ensuite, si c'est nécessaire, la déclarer.
Florian DUFOUR - Hôte
Un petit peu ce côté devoir de transparence.
Maître Romain MIRABILE, invité
Exactement. Sachant qu'il y a un point qu'on n'a pas abordé, c'est notamment aussi la transparence dans l'utilisation de l'IA.
Florian DUFOUR - Hôte
Exactement. On peut y aller si vous voulez.
Maître Romain MIRABILE, invité
Ce qui est assez intéressant, c'est qu'on a un sujet, c'est qu'en fait, l'IA Act, si je ne me trompe pas, l'article 50, prévoit une obligation de transparence. Et on a une problématique, c'est qu'à quel moment on doit avoir de la transparence ? Parce qu'en fait, on va utiliser au quotidien plusieurs IA. à différents niveaux, mais moi l'élément de critère que j'ai envie de garder en tête c'est est-ce que le service qui a été rendu a été uniquement rendu par le biais de l'IA ? Ça veut dire si vous développez des offres de services qui sont uniquement rendues par l'IA, pour des questions de compétitivité, etc., la question peut se poser de la communication. Ça veut dire que comme c'est rendu par l'IA, il faut que les personnes soient informées, etc. Quand c'est quelque chose qui est intégré dans vos process, que vous avez un contrôle sur ce qui est rendu, etc., la question peut se poser de ou pas intégrer l'IA. J'ai envie de dire, si c'est un outil comme Menode, vous n'allez pas forcément l'intégrer. Parce qu'à ce moment-là, tout le monde intègre une simple profilration de mail, c'est de l'IA. Le point, à mon avis, important, c'est l'absence de contrôle. C'est l'absence de contrôle et l'utilisation uniquement de l'IA. Là, ça peut poser une question. Et donc, oui, obligation de transparence, et notamment dans les lettres d'émission, dans les registres de traitement, etc. Pour l'instant, à ma connaissance, il n'y a pas de... En tout cas, il y a quelques mois, il n'y avait pas de modèle qui avait été mis à disposition par l'ordre des experts comptables. Je pense que c'est en train d'être réfléchi. après la question c'est plutôt commercial en fait, on en parlait encore tout à l'heure, c'est de dire finalement la plus-value perçue par les clients, le fait qu'il y a un service d'IA ça va être une réalité à un moment donné on ne va pas pouvoir cacher aux clients de manière indéfinie qu'on utilise de l'IA et qu'on fait des gains d'efficience. Est-ce que les gains d'efficience impliquent forcément une diminution du prix ? Pas forcément, c'est juste que les gains d'efficience peuvent être redirigés vers de l'accompagnement client, du suivi etc. Donc je ne suis pas Euh... J'ai pu voir certains comptes rendus dans plusieurs professions qui avaient tendance à dire qu'il faut que le gain d'efficience soit répercuté à 100% chez les clients. Je ne suis pas convaincu. Il faut que ça le soit un peu, parce qu'il y avait des fois des tarifs qui étaient abusifs parce que c'est trop long, mais la plus-value n'était pas là. Donc, il faut faire un équilibre entre les deux.
Florian DUFOUR - Hôte
Mais on voit que c'est en train de changer un petit peu. Toujours avoir ce côté un petit peu transparence, expliquer aux clients pourquoi on va économiser du temps. Et c'est pour passer plus de temps sur le dossier derrière pour de la plus-value.
Maître Romain MIRABILE, invité
De toute façon, l'IA... Une bonne utilisation de l'IA, moi je le vois dans mon métier, et c'est ce que j'essaye d'enseigner aussi aux personnes à qui j'enseigne, c'est de dire, une bonne utilisation de l'IA, c'est une IA réfléchie. Ça veut dire que vous ne faites que confier l'exécution même à l'IA. Le stratège, le décisionnaire, c'est vous. Et le gros piège, en fait, et c'est là où les clients ne comprendraient pas, ça veut dire que la réflexion est laissée à l'IA. Si vous dites à vos clients, en fait, la décision est prise, mais dans l'exécution même, on passe 20 minutes, 2 mois à rédiger quelque chose qui prend 3 minutes avec l'IA, ils vont comprendre. mais en tout cas la décision... doit être la vôtre et donc la responsabilité dans tous les cas est la vôtre aussi. Donc c'est ça la différence entre les deux. Je pense qu'il faut garder en tête le caractère décisionnaire et les clients seront complètement compréhensifs aussi. Si vous dites c'est moi qui prends la décision, c'est juste que je ne vais pas réinventer la roue à chaque fois et je vais utiliser une IA pour aller plus vite sur certains éléments.
Florian DUFOUR - Hôte
Est-ce que vous pourriez me donner un exemple, bien sûr anonymisé, d'une situation que vous avez rencontrée dans la pratique où un cabinet a peut-être pris des risques où on aurait peut-être pu éviter ou qui se rendent pas forcément compte.
Maître Romain MIRABILE, invité
Concrètement, en matière de risque... Il y a des risques qui sont publics. Il y a notamment un cas à la conférence des experts comptables annuelle où il y avait eu des fois des gens qui mettaient des fakes. Donc, il y a eu des éléments comme ça un peu publics. Donc, c'est un bon exemple. C'est souvent un exemple que je donne. Le risque, la plupart du temps, c'est justement l'absence de formation, l'utilisation d'IA qui ne sont pas documentées. Et en fait, moi, des fois, je fais des audits et je m'en rends compte. Ça veut dire que vous utilisez quelle IA ? On utilise l'IA du cabinet. J'ai dit, vous en utilisez d'autres ? Ah oui, moi j'en ai une en perso aussi. Ça, c'est un premier élément de risque. On ne sait pas vraiment ce qu'il fait. C'est une fuite de données. Mettre de l'information sur une IA qui n'a pas été documentée en interne, qui n'est pas au courant, qui est sur le compte du collaborateur, c'est un premier point. Ça, c'est un premier risque. Des fois, il y a un risque aussi de cloisonnement de l'information. Des IA qui sont partagées entre collaborateurs et on retrouve les informations qui ont été mises par d'autres collaborateurs alors qu'ils n'ont pas besoin d'en avoir connaissance. Et ensuite, des fois, c'est dans une optique d'optimisation, aller trop vite. sur le choix d'outils, en se disant il y a d'autres personnes qui le font, donc on devrait le faire nous aussi, sans forcément analyser le sujet et quand on analyse le sujet, en se posant un petit peu on se dit, je ne suis pas certain que le risque en vaut la chandelle et donc voilà la plupart du temps c'est quand même une absence de cartographie des IA qui sont un peu sauvages et un absence de contrôle en fait, parce qu'en fait il n'y a pas tellement un problème d'utiliser de l'IA, c'est juste un contrôle de savoir pourquoi, comment éventuellement sur quel sujet
Florian DUFOUR - Hôte
J'allais vous poser une question sur la partie humain et peut-être la place de la formation.
Maître Romain MIRABILE, invité
Oui. Alors, de manière générale, ce qu'il faut comprendre, c'est que ça reste un changement important. Ça veut dire qu'il y a eu beaucoup de craintes, etc. Il y avait une crainte du changement. Le changement, c'est un peu la mort d'une situation passée pour une nouvelle. Donc, il y a beaucoup de réticences, etc. Et des fois, il y a des gens qui le cachent de manière volontaire parce qu'ils se disent si jamais je le dis... On va comprendre qu'en fait, je ne suis pas aussi performant que ce que je l'entends. Et donc, voilà. Ça, c'est important à remettre en truc. Et la place de la formation, pourquoi ? Parce que c'est souvent le premier point d'entrée. Et c'est l'élément, ce qu'il faut comprendre, c'est qu'en matière de fuite de données, on considère que 70% des fuites de données sont des erreurs humaines. Donc, par défaut, la formation a un aspect central. L'avantage, c'est que quand on regarde les obligations de formation au titre de l'IA Act, il faut savoir que c'est une obligation de formation. Vous êtes sanctionné en pourcentage de votre chiffre d'affaires si vous ne le faites pas. Depuis février 2025, c'est le cas et les sanctions sont arrivées en août. Depuis août 2025, si vous ne formez pas vos collaborateurs qui utilisent de l'IA, qui sont déployeurs d'IA, concrètement au titre de l'IA Act, vous avez une sanction. Donc en fait, quoi qu'il arrive, il y a une obligation de formation. L'avantage, c'est que quand on regarde la Commission européenne et les indications sur les obligations de formation, ça n'a pas besoin d'être un professionnel accrédité, etc. Il faut juste que le professionnel mette à disposition des participants des informations assez transverses sur le fonctionnement, sur les risques, et que cette information et cette formation soient au niveau de l'implication de l'IA. Si c'est juste pour rédiger des mails, la formation n'est pas très longue. Si c'est pour coder, si ça peut avoir des impacts concrets sur l'activité, l'information est un peu plus longue pour bien expliquer. Ça, c'est un premier point. Et le deuxième point, on va probablement en parler, mais souvent, cette formation, elle se couple avec une documentation en interne, qui est notamment la chartilla. Il faut savoir que vous avez la chance d'avoir l'ordre des experts comptables qui ont produit certains modèles de chartes IA. Mais ça, c'est un premier élément parce qu'en fait, ce qui m'a pu déjà arriver de voir, c'est des gros cabinets d'expertise comptable qui en avaient mis en disposition. Et en fait, les collaborateurs n'étaient pas au courant parce qu'en fait, c'est perdu dans la masse de l'information. Et donc, cette formation-là doit s'accompagner d'une vraie présentation de ces documents-là qui vont permettre notamment de s'assurer, en plus de la formation qui va être faite à un instant T, que tous les nouveaux collaborateurs en ont eu connaissance, qu'elle soit opposable. On peut avoir une idée aussi de la... de l'annexer à la charte informatique et au règlement intérieur pour le rendre opposable et que ça soit qualifié de faute professionnelle si c'est un sujet. Mais voilà, souvent c'est à minima un document synthétique parce que la formation c'est bien mais on peut oublier. Et aussi une formation adaptée aux besoins. Donc ça peut être la DSI qui l'amène, ça peut être le responsable d'un pôle d'activité, ou ça peut être un externe, le DPO, un avocat, mais en tout cas il faut le faire. C'est souvent l'élément le plus important parce que dans les faits, les experts comptables ne sont pas quand même non plus et hyper impactés par la réglementation. C'est juste qu'ils utilisent de l'IA, donc ils doivent être transparents. Ensuite, c'est tous les éditeurs de logiciels qui ont les obligations en matière d'IA et de responsabilité. Ensuite, les obligations assez standards, c'est des obligations de RGPD au sens large. C'est la structure. Et les dernières obligations qui restent, qui sont des obligations d'éviter de faire n'importe quoi, ça, c'est aux collaborateurs. Donc, en fait, il n'y a que la formation qui permet de résoudre cet angle mort.
Florian DUFOUR - Hôte
Est-ce que c'est possible de mettre de l'IA un peu partout ? sans vraiment avoir, on va dire à la tête du cabinet, une vraie gouvernance ?
Maître Romain MIRABILE, invité
Non, parce qu'en fait, on s'en rend compte pour les grands utilisateurs d'IA. J'en fais partie, je tâtonne avec pas mal de sujets. Une IAP à guider. C'est pas bon. Ça veut dire qu'il y a souvent un guide à avoir dans l'utilisation de l'IA, etc. Dans les faits, là où il y a toujours une direction à donner, un contrôle à donner, et le point où je vois où les cabinets sont un peu en retard, c'est la processisation. Ça veut dire qu'une IA, pour qu'elle soit très performante, il faut que les process soient clairs, il faut que les éléments de vérification soient clairs, il faut que les éléments de contrôle soient clairs. Une IA qui possède déjà ces éléments-là va gagner à hauteur de 50 ou 100% d'efficience. sur une IA qu'il ne le serait pas. Donc en fait, non, il faut un contrôle au sens large. Et ensuite, surtout, il faut anticiper cette transformation qui va être, quoi qu'il arrive, inévitable. Ça veut dire qu'on va tous utiliser de l'IA dans l'activité. Le piège à avoir en tête, et elle est un peu impliquée par votre question, c'est que ce n'est pas une IA dans tout le cabinet. Ça veut dire que, de la même manière que si je vous demandais est-ce que toutes vos actions au quotidien ont besoin d'un outil ? Vous allez me dire, mais pas tout le temps. Parce qu'en fait, il y a des fois des outils qui sont plus usines à gaz, qui ne sont avantageux. C'est la même chose avec l'IA. Concrètement, vous allez plutôt tourner à 3 ou 5 IA grand maximum plutôt que 20. Ça veut dire qu'en fait, vous allez faire le choix en interne des IA. Donc, vous allez faire le déploiement. Et ensuite, s'il y a des éléments de contrôle à mettre en œuvre, vous allez peut-être processiser. Parce que moi, le gros problème que je vois, c'est que souvent, quand je dis entre deux personnes, un expert comptable, comment vous traitez un dossier, ils ne traitent pas de la même manière. Et donc, en fait, c'est ce contrôle-là qu'il faut réintroduire. donc je trouve que c'est un élément euh de bien faire en interne, de reposer les bases et ensuite derrière c'est la digitalisation, c'est la dernière étape du management moi je considère, donc on ne peut plus faire en optimisant les process en interne on passe par la machine, et donc il faut quand même garder que la plupart du temps la machine peut accélérer certaines digitalisations, mais ça reste normalement plutôt une dernière étape.
Florian DUFOUR - Hôte
Il ne faut pas le voir forcément comme un outil qu'on donne au collaborateur et tu joues avec et entre guillemets il va faire tout le travail. Non, non, non,
Maître Romain MIRABILE, invité
c'est pas parcimonie et surtout il faut savoir à quel moment l'utiliser et vous allez vous rendre compte surtout vous. qu'il y a des utilisations qui ne sont pas bonnes. Ça veut dire qu'il y a des utilisations avec l'IA qui ne fonctionnent pas bien. Et donc, vous allez faire la part des choses entre certaines missions qui peuvent être assistées par l'IA quasiment intégralement et vous ne faites que vérifier. Ça veut dire que vous allez gagner du temps. Certaines missions, c'est trop complexe pour être fait par une IA à 100%, mais il y a certaines parties où vous allez pouvoir simplifier. Typiquement, vous devez rédiger une analyse quelconque, etc. N'hésitez pas de temps en temps quand ce n'est pas confidentiel ou qu'il n'y ait pas d'éléments. que vous voulez expliquer une situation ou une règle de droit, dictez dans une IA pour qu'elle remette en forme. Il y a des fois des micro-tâches comme ça, sur une tâche plus complexe, qui permettent d'aller plus vite. Et donc il va falloir faire la part des choses entre les tâches, pas d'IA, trop compliquées, trop lourdes ou trop chères, il y a aussi la question du prix, les tâches où on fait même des IA grand public, du moment qu'on fait attention dans l'utilisation, permettent d'accélérer certaines petites micro-tâches, et les dernières tâches où là on se dit, il y a quelque chose à faire, l'IA fonctionne bien, si on met en place les bons process, les bons process de vérification, etc. de workflow, en gros, ça passe.
Florian DUFOUR - Hôte
Allez, on est presque à la fin. Mais avant de laisser nos éditeurs, on voudrait quand même pas les laisser dans l'angloise. Moi, j'aimerais que vous me donniez concrètement, pour la semaine prochaine, un expert comptable qui voudrait réduire ses risques ou mettre quelque chose en place, un peu dire.
Maître Romain MIRABILE, invité
Alors, le premier point, à mon avis, si vous voulez déjà réduire, c'est déjà cartographier ce qui est existant. En fait, on parlait de Shadow IAM, il y a un truc encore plus insidieux que ça. C'est qu'il faut comprendre que les jeunes générations, donc je considère en dessous de 30 ans, la jeune génération, a forcément de l'IA même si vous ne l'avez pas déployée en interne. Ça veut dire à minima un logiciel métier, enfin un logiciel chat GPT, etc. Donc déjà cartographier de savoir ce qui existe ou pas, pour voir si vous n'avez pas des gaps dans votre risque. En choisir à minima une, une grand public, si vous avez Microsoft, vous pouvez aller sur Copilot, un Mistral pour avoir du serveur français. C'est payant plutôt. Bien sûr, avoir des payantes, mais à minimum, avoir une grande publique, parce que c'est souvent celle qui permet de gagner le plus d'efficacité, parce qu'elle n'est pas efficiente sur des tâches très complexes, mais elle est suffisamment généraliste pour gagner un peu du temps. Ça, c'est un premier élément de risque. Éventuellement, quand vous le faites, documenter un peu toute la documentation qui peut y avoir. Ça, c'est un deuxième élément. Mettre en place une chartilla, ça coûte... C'est pas très long, ça fait deux, trois pages. associés à une heure de formation, en tout cas une heure de, même si ce n'est pas une formation à proprement parler, un brainstorming pour rappeler les principes, pour voir un petit peu si tout le monde a compris comment ça fonctionnait. Souvent, par exemple, il y a des experts comptables qui oublient le fonctionnement d'une IA pure. Une IA pure, ça induit la réponse la plus probable. Sauf que quand vous commencez à faire des calculs sur une IA, l'IA ne calcule pas naturellement. Ça veut dire qu'elle peut faire appel à d'autres logiciels. Mais il y a plein de fonctionnements comme ça où on se rend compte pourquoi il y a des erreurs, des hallucinations. Voilà, cette sensibilisation. sur les risques inhérents à la technologie et les risques juridiques. Ça, c'est un premier point. Chartier, on en a parlé. Et éventuellement, si on voulait sécuriser un petit peu en matière de responsabilité, on se poserait la question peut-être d'être un peu transparent dans le contexte de lettres de mission ou de la documentation RGPD pour documenter ce qui est fait en interne pour que derrière, on ne puisse pas être embêté si jamais on a une erreur quelconque, un collaborateur qui aurait mal vérifié, qu'il y aurait une erreur insérée par l'IA.
Florian DUFOUR - Hôte
Merci en tout cas d'être venu et de pouvoir partager tout ça. Où est-ce qu'on pourrait vous suivre sur les réseaux sociaux ? Qu'est-ce que vous faites comme projet pour l'année ?
Maître Romain MIRABILE, invité
Projet pour l'année ? Là, je continue toujours les formations. De toute façon, expert comptable, je pense qu'on a encore des choses à faire. On est passé à l'étape d'après. Ça veut dire qu'on n'est plus tellement sur la sensibilisation, on est sur la mise en pratique. Donc l'idée, c'est toujours d'accompagner la profession sur ces thématiques-là. Et donc après... Pour me suivre, c'est tout simplement LinkedIn à Romain Mirabile, où je publie quand même pas mal de retours d'expérience ou de rappels sur la réglementation dans les différents métiers. Et l'actualité, ça va être, j'ai pas mal de clients maintenant, vu qu'il y a une simplicité aussi d'intégration de l'IA en interne, parce que les gens ne développent plus LLM, c'est dans leur accompagnement sur l'intégration de l'IA, sur la sécurisation à la fois RGPD-IA et d'autres réglementations, typiquement Data Act. Donc il y a encore pas mal de sujets sur la digitalisation. Maintenant, la data est devenue présente partout. Et donc, il y a un gros enjeu de sécurisation, peu importe le secteur d'activité. Donc, ça va être en gros mon actualité de l'année. C'est cette accélération, parce que tout le monde maintenant a cette data à disposition. Donc, elle veut la mettre dans des IA. Donc, il faut tout sécuriser.
Florian DUFOUR - Hôte
Merci à vous.
Maître Romain MIRABILE, invité
Merci à vous.
Florian DUFOUR - Hôte
N'oubliez pas que l'IA, du coup, on le voit, c'est important pour nous. Mais qu'il faut le faire de manière intelligente, avec le secret pro, le RGPD, l'AI Act. Mais c'est faisable. Allez, à bientôt.

About CodEC - Le podcast tech des experts-comptables

Anciennement "Marketing du cabinet comptable", ce podcast devient CodEC pour mieux refléter sa mission : décoder l'innovation comptable.

🎙️ CodEC : Le podcast qui décode l'innovation comptable

Bienvenue sur CodEC, le podcast tech des experts-comptables qui veulent rester à la pointe de l'innovation.

🎯 La promesse

🎙️ Le programme

⚡ Le format

• Durée : 30 - 35 minutes chrono

• Fréquence : 1 fois par mois

Parfait pour écouter pendant : votre trajet domicile-cabinet, votre pause café, votre séance de sport

👨‍💼 Qui suis-je ?

💡 Pourquoi "CodEC" ?

CodEC = CODeur/DECodeur + Expert-Comptable

Dans l'informatique, un codec transforme des données brutes en quelque chose de compréhensible et d'utilisable. C'est exactement ce que fait ce podcast :

• On DÉCODE l'innovation tech (qui peut sembler complexe)

• On l'ENCODE dans votre quotidien de cabinet (de manière actionnable)

🎯 Pour qui ?

🚨Merci à mon partenaire de la saison 5 : SAGE 🔗la solution comptable des EC

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About CodEC - Le podcast tech des experts-comptables

Anciennement "Marketing du cabinet comptable", ce podcast devient CodEC pour mieux refléter sa mission : décoder l'innovation comptable.

🎙️ CodEC : Le podcast qui décode l'innovation comptable

Bienvenue sur CodEC, le podcast tech des experts-comptables qui veulent rester à la pointe de l'innovation.

🎯 La promesse

🎙️ Le programme

⚡ Le format

• Durée : 30 - 35 minutes chrono

• Fréquence : 1 fois par mois

Parfait pour écouter pendant : votre trajet domicile-cabinet, votre pause café, votre séance de sport

👨‍💼 Qui suis-je ?

💡 Pourquoi "CodEC" ?

CodEC = CODeur/DECodeur + Expert-Comptable

Dans l'informatique, un codec transforme des données brutes en quelque chose de compréhensible et d'utilisable. C'est exactement ce que fait ce podcast :

• On DÉCODE l'innovation tech (qui peut sembler complexe)

• On l'ENCODE dans votre quotidien de cabinet (de manière actionnable)

🎯 Pour qui ?

🚨Merci à mon partenaire de la saison 5 : SAGE 🔗la solution comptable des EC

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

Vous utilisez l'IA dans votre cabinet mais êtes-vous vraiment en conformité avec le secret professionnel, le RGPD et l'AI Act ?

Ce que vous allez apprendre dans cet épisode :

🔒 Pourquoi anonymiser les données clients ne suffit pas avant de les saisir dans une IA grand public

⚖️ Ce que risque concrètement un Expert-Comptable qui viole son secret professionnel via l'IA (article 226-13 du Code pénal : 1 an d'emprisonnement, 15 000 € d'amende par infraction)

💼 La différence entre une version gratuite et une version enterprise, et ce qu'il faut vérifier même sur les outils payants

👥 Le Shadow IA : pourquoi interdire n'est pas la solution et comment encadrer les usages non déclarés de vos collaborateurs

🏢 Pourquoi vos logiciels métiers avec IA intégrée ne bénéficient d'aucune présomption de conformité

📋 Ce que dit l'article 50 de l'AI Act sur la transparence envers vos clients

🎓 Pourquoi la formation de vos collaborateurs est une obligation légale depuis août 2025, et comment mettre en place une gouvernance IA dans votre cabinet

L'invité :

Ressources mentionnées :

Article 226-13 du Code pénal (secret professionnel)
Règlement UE 2024/1689 — AI Act (articles 4 et 50)
Règlement UE 2016/679 — RGPD (article 28)
Cahier de l'Académie n°43 — Académie des sciences et techniques comptables et financières
Modèles de charte IA — Ordre des experts-comptables
CATANE AUBIER, J. et DUFOUR, F., Cinq réflexes d'aujourd'hui pour préparer la conformité de demain, SIC Mag n°457, avril-mai-juin 2026

🚨Anciennement "Marketing du cabinet comptable", ce podcast devient CodEC pour mieux refléter sa mission : décoder l'innovation comptable.

Merci à mon partenaire de la saison 5: SAGE 🔗la solution comptable des EC

Ne manquez aucun épisode !

Abonnez-vous à la newsletter pour des contenus exclusifs et des ressources complémentaires.
Vous aimez le podcast ? Montrez votre soutien avec un avis 5 étoiles sur Apple Podcasts ou Spotify. Cela nous aide énormément à grandir !

Il ne me reste plus qu'une chose à vous dire : "bonne écoute" 🎧

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Maître Romain MIRABILE, invité
On ne met pas d'informations confidentielles ou personnelles sur une IA grand public. On ne peut pas faire un compte-rendu des réunions assistées par IA si au début de la réunion on n'a pas obtenu le consentement de chacun. Quand c'est gratuit, c'est vous le produit. Quand vous payez, déjà c'est un peu plus sécurisant. Il y a des experts comptables qui oublient le fonctionnement d'une IA pure. Une IA pure, ça induit la réponse la plus probable.
Florian DUFOUR - Hôte
La tech évolue, la comptabilité aussi. Codec, le podcast qui décode l'innovation des experts comptables. L'IA arrive dans les cabinets. On le voit avec ChatGPT pour certains, Copilot ou Cloud. Mais il y a des questions qui reviennent. tout ce qui concerne le secret professionnel, la partie RGPD et l'AI Act. Et pour cela, j'ai invité un avocat, un maître qui s'appelle Romain Mirabil, spécialisé dans le numérique et développeur à temps perdu. Bonjour maître.
Maître Romain MIRABILE, invité
Bonjour, merci pour l'invitation.
Florian DUFOUR - Hôte
Ravi que vous soyez présent. Et là aujourd'hui, on va parler un petit peu de l'IA et voir un petit peu ses limites et ses risques au niveau juridique.
Maître Romain MIRABILE, invité
Oui, il y a pas mal de sujets à aborder dans une profession qui évolue quand même pas mal de votre côté. Vous n'êtes pas en retard. Vous êtes plutôt en avance même par rapport aux avocats. Merci. Il y a encore pas mal de choses à faire et surtout, depuis des années, vous réfléchissez à l'optimisation de vos process et c'est une suite logique pour vous la plupart du temps.
Florian DUFOUR - Hôte
Avant de commencer, on va déjà, si vous voulez bien, vous présenter en quelques mots. Je l'ai dit un petit peu, vous faites du codage.
Maître Romain MIRABILE, invité
Oui. Moi, c'est Maître Mirabil. Je suis avocat au barreau de Paris. J'interviens à la fois sur des sujets droits numériques, réglementaires, donc RGPD, IACT, TATA. donc au sens large. Et effectivement, j'ai une certification de développeur web que j'utilise maintenant, pas tellement auprès de mes clients, mais plutôt sur du développement, moi, commercial. Et mon seul avantage, c'est que du coup, par contre, quand je parle avec les DSI de groupe que j'accompagne sur la partie numérique, c'est un gros avantage sur mes sujets numériques. Et donc, oui, moi, j'interviens sur l'IA depuis des années maintenant. Donc déjà, moi, j'ai une Legal Tech pendant quelques années. Donc justement... un logiciel à destination de la rédaction de contrats qui n'avait pas d'IA à l'époque. J'ai réfléchi notamment pendant, dans le cadre de mes études, une thèse professionnelle sur l'évolution du métier de juriste en raison des nouvelles technologies. Et après, j'ai intégré l'incubateur du barreau de Paris pour réfléchir à ces thématiques-là. Je forme depuis des années maintenant les experts comptables sur l'intégration de l'IA dans les structures. Et j'ai participé notamment au cahier de l'Académie numéro 43. l'Académie des sciences des experts comptables, sur justement l'intégration de l'IA, secret professionnel, confidentialité, RGPD. Et donc, je vais pouvoir faire un retour un peu sur tous ces sujets-là, que je sais que c'est des sujets d'actualité, des sujets qui peuvent aussi un peu avoir d'inquiétude. Moi, ce que je vois quand même apparaître sur le marché, c'est qu'il y a de moins en moins d'inquiétude. Ça fait deux ans que je forme sur le sujet. Je dois être à au moins 500 experts comptables formés sur la thématique. Et de plus en plus, quand même, ça diminue sur l'inquiétude qu'il peut y avoir. Ça veut dire qu'ils savent qu'il faut y aller. Maintenant, ils se posent vraiment la question sur comment y aller, comment le faire proprement par rapport à leurs clients et en matière de responsabilité aussi.
Florian DUFOUR - Hôte
On est au bon endroit, je pense. Donc, la première question, c'est on entend souvent des experts comptables qui disent on fait attention, je ne mets pas le nom de client ou je rends anonyme. Est-ce que c'est suffisant de mettre ça dans une ligne à grand public ?
Maître Romain MIRABILE, invité
Alors, c'est... Le point le plus important dans la question, c'est grand public. En fait, il faut faire la différence et des fois, je suis obligé de revenir un peu en arrière. Il y a deux grosses différences, c'est l'IA grand public, ce qu'on appelle du SaaS, du cloud, ça veut dire elle est directement en ligne et celle en local. Il faut faire vraiment la différence. Là, ce dont on va parler, c'est vraiment sur les IA grand public, donc quelque chose où la data part, on ne sait où, sur des serveurs qui sont physiques, mais qu'on appelle sur les nuages. Non, la plupart du temps, ce n'est pas suffisant dans deux aspects. Ça veut dire que... Quand on regarde même la réglementation, on a la question de savoir si on peut directement identifier quelque chose ou indirectement. Donc de temps en temps, malheureusement, même si vous ne mettez pas l'information spécifique du client, il y a des données de marché qui peuvent permettre de réidentifier. Donc une anonymisation ou une pseudonymisation simple ne suffit pas tout le temps. De manière générale, le réflexe à avoir, c'est qu'on ne met pas d'informations confidentielles ou personnelles sur une IA grand public. Et ça, on a énormément de retours, soit directement de l'ordre des experts comptables. soit de certaines administrations, etc., typiquement l'ANSI, sur ce premier réflexe qui est, on ne met pas d'informations, parce qu'on a notamment certaines amendes qui ont déjà été infligées, notamment OpenIA, qui a été sanctionnée en Italie par la CNIL italienne, qui est assez active, pour manquement à ses obligations de sécurité au titre du RGPD, donc 15 millions d'euros d'amende l'année dernière sur le sujet, parce que OpenIA ne permettait pas de garantir que les données qui étaient fournies sur la plateforme ne pouvaient pas être accédées par des tiers.
Florian DUFOUR - Hôte
Je vais faire l'embêtant. C'est-à-dire, ok, mais si je colle un bilan d'un petit boulanger dans un coin, est-ce que vraiment c'est embêtant ?
Maître Romain MIRABILE, invité
C'est toujours pareil. Ça veut dire qu'en fait, effectivement, c'est une gestion du risque. Il y a des informations qu'on pourrait considérer comme moins importantes sur le marché. Dans les faits, vous avez quand même une responsabilité professionnelle, secret professionnel. Et donc, oui, elle est quand même existante. Il y a à la fois votre responsabilité civile, professionnelle, responsabilité professionnelle. Il peut y avoir des responsabilités pénales parce qu'une collecte d'informations sans consentement, c'est un sujet. une responsabilité administrative auprès de la CNIL. Donc, ce n'est jamais anodin. La plupart du temps, c'est jamais détecté. Mais le jour où c'est détecté, etc., en général, on ne met pas juste une information, on en met plein, et donc voilà, c'est souvent le risque.
Florian DUFOUR - Hôte
Maintenant, je voudrais savoir le secret professionnel avec l'article 226.13. Donc du coup, le fait qu'on a sur une activité où on a un secret professionnel, si on le rend, on le rend, excusez-moi, comment ça va s'appliquer dans ce contexte ?
Maître Romain MIRABILE, invité
Concrètement, si vous mettiez une information qui était protégée par votre secret professionnel, de l'information client, bilan comptable, etc., FEC, peu importe. La thématique, il y a quand même une peine d'amende. Il faut savoir que c'est un an d'emprisonnement et 15 000 euros d'amende pour chaque personne qui enfreint son secret professionnel. Donc, ce n'est pas anodin. Dans les faits, si c'était détecté ou si jamais il y avait un sujet, une fuite et que votre client retrouvait l'information, il pourrait éventuellement avertir l'ordre ou éventuellement engager votre responsabilité professionnelle. Pas tellement pour l'impact, le préjudice que ça, parce qu'on a du mal à qualifier les préjudices d'informations comme ça qui fuitent, mais une perte de confiance de votre client qui considérait que vous ne l'avez pas prévenu et que... Ce n'est pas normal, vous auriez dû faire attention.
Florian DUFOUR - Hôte
Ça, on le verra un petit peu plus loin avec les collaborateurs, peut-être, qui ne s'en rendent pas forcément compte. Moi, je me dis, bon, OK, la gratuite, ça ne me va pas trop. Allons sur une version SaaS, du coup, en ligne avec le modèle Enterprise, par exemple. On se dit, je vais prendre la formule ChatGPT Enterprise ou du Microsoft. Là, normalement, ils sont RGPD compliance. C'est vrai, c'est suffisant. J'ai besoin de faire des choses en plus ou pas ?
Maître Romain MIRABILE, invité
Il y a toujours besoin de faire des choses. Ce qu'il faut garder en tête, c'est que quand c'est gratuit, c'est vous le produit. Quand vous payez, déjà, c'est un peu plus sécurisant. Et il y a un deuxième point à garder en tête aussi, c'est que par défaut, en matière d'IA, ce qui est différent de ce qui pouvait exister avec le RGPD au sens plus large, c'est qu'on a l'autorisation sur les versions gratuites d'avoir de l'entraînement de la data sur ce que vous faites. Ça veut dire qu'il faut que vous décochiez l'entraînement de la donnée pour qu'elle ne soit pas entraînée. La grosse différence avec ces IA mordais l'entreprise, c'est que par défaut, ce n'est pas le cas. Et on a aussi des mesures de sécurité, des fois un peu plus poussées, etc. Dans les faits, est-ce que ça suffit à assurer une sécurité du RGPDI ? Non, parce qu'en fait, c'est juste que vous avez un sous-traitant qui lui prend à cœur ses obligations réglementaires et les met en œuvre. Mais dans les faits, ça ne sera jamais suffisant. Mais c'est déjà un bon départ parce que Microsoft, vous avez déjà tous vos mails chez eux. Est-ce que mettre des informations supplémentaires, en général, ça ne change pas grand-chose ? Souvent, quand même. Alors, autant Microsoft, par exemple, ce qu'il faut savoir, c'est que Microsoft euh euh pardon, Copilot, c'est le moteur derrière cette chaise GPT. C'est OpenIA qui est derrière. Pour autant, est-ce qu'on fait confiance à Microsoft ? Oui, parce que Microsoft, en fait, a des éléments sécurisés. Ce n'est pas OpenIA, OpenIA, la data, c'est un modèle qui est enregistré dans leur propre serveur et donc c'est leur mesure de sécurité. Ce qu'il faut savoir, c'est que j'avais eu l'occasion d'échanger avec le responsable Microsoft sur le sujet, qui m'avait dit qu'au niveau des mesures de sécurité mises en oeuvre, c'était les plus sévères dans le monde, parce qu'il y a un sujet aussi global. Il s'avère que c'était la France et l'Europe. Donc les mesures de sécurité qu'on a sur ces entreprises-là sont au summum des mesures de sécurité imposées de manière globale parce que gérer une multi-réglementation en matière de mesures de sécurité est trop lourd. Donc en fait, ils s'imposent le plus haut niveau.
Florian DUFOUR - Hôte
Derrière, le cabinet va quand même se poser des questions, étudier justement les policiers ou autre ?
Maître Romain MIRABILE, invité
Il y a plusieurs points. L'avantage des gros acteurs, c'est que naturellement, ils mettent pas mal d'informations à disposition. On peut avoir la politique de confidentialité de l'acteur, on peut avoir un DPA, un Data Protection Agreement, qui est l'article 28 du RGPD, qui est souvent l'accord entre le responsable et le sous-traitant de données. Il faut savoir que le responsable, la plupart du temps, c'est vous, c'est-à-dire c'est l'expert comptable, etc. Et Microsoft, quand il va agir, peut agir, sans certains points, en tant que responsable, la plupart du temps, il agit en tant que sous-traitant. Donc ça, c'est un premier point, s'assurer que les documents sont à notre disposition, les faire signer, ne pas hésiter Oui, oui. à contacter le DPO de Microsoft en disant voilà, dans le cadre de mon activité, j'aimerais bien, vous avez des modèles à disposition, est-ce que je pourrais le signer pour documentaire d'interne que j'ai fait l'effort de regarder ? Un des éléments aussi, c'est quand on a des entreprises peut-être de moins grande taille, même si c'est des versions payantes, s'assurer qui sont les sous-traitants, où il a donné stocker, etc. Parce qu'on a des entreprises qui stockent la donnée aux Etats-Unis, il peut y avoir des sujets différents, essayer éventuellement de s'assurer que dans la version payante on peut avoir un stockage en Europe, alors ça sécurise pas tout, mais c'est déjà un bon point. et ensuite si on a des acteurs moins grands s'assurer que si jamais il y a du transfert vers l'étranger on a les bonnes clauses au titre du RGPD en dehors de l'accord de sous-traitance pure parce qu'il y a aussi des fois des clauses spécifiques aux transferts internationaux donc voilà, quelques éléments à vérifier qui sont souvent des vérifications pour la conformité en interne, ça veut dire on s'est assuré que le prestataire était conforme et l'idée dans l'idéal, mais souvent les grands acteurs ne le veulent pas, c'est derrière il faut documenter et le moment venu possiblement auditer Ça veut dire garder la possibilité d'aller poser des questions complémentaires sur les mesures de sécurité mises en œuvre, etc. Sur ce qu'il y a pu y avoir. Selon la taille de l'éditeur, vous ne pourrez pas, mais pour les plus petits éditeurs, il y a possibilité de négocier comme ça de l'audit ou un minima de l'audit sur pièce. Ça veut dire que vous vous mettez en conformité en interne et vous allez poser des questions à vos sous-traitants pour vous assurer qu'eux aussi respectent le RGPD. Et ça fait partie de vos obligations.
Florian DUFOUR - Hôte
Parce que je vais vous dire... au moins un minima, documenter ça ?
Maître Romain MIRABILE, invité
Bien sûr, le minima c'est la documentation. Il faut comprendre qu'en fait la documentation permet juste en cas de problème de montrer que vous avez fait l'effort, c'est de montrer une bonne fois que vous avez regardé, etc. Dans les faits, on ne peut pas vérifier à 100% que les personnes sont conformes parce qu'en fait on ne peut pas agir dans les machines et il faut bien comprendre les éditeurs, ça serait trop lourd pour eux s'ils avaient 150 000 clients qui venaient vérifier la conformité.
Florian DUFOUR - Hôte
Est-ce que ça peut être un début de preuve, le fait d'avoir fait la démarche, d'aller demander par exemple faire un audit, même si on nous le refuse ?
Maître Romain MIRABILE, invité
Bien sûr. De toute façon, tout ce que vous faites sera un élément positif. On ne peut pas forcer un prestataire à faire droit à nos demandes. Mais par contre, effectivement, le minima de documenter et faire des demandes, savoir s'ils ont des pièces supplémentaires, des mesures de sécurité mises en œuvre qui ne sont peut-être pas disponibles en IPE, qui peuvent nous mettre à disposition pour s'assurer que ça respecte bien le RGPD.
Florian DUFOUR - Hôte
Donc, il ne faut pas oublier de bien documenter. On va aller sur la partie 2. Maintenant, un petit peu les IA qui sont liées à notre profession. Donc, dans le cabinet aujourd'hui... L'IA, elle est un petit peu partout. Vous l'avez pour réécrire au niveau des mails, par exemple. Dans Teams, dans Microsoft, ça permet de faire un petit compte-rendu. Est-ce que ces outils... Ils sont dans un angle mort, en fait, où il faut quand même regarder les IA un peu plus loin.
Maître Romain MIRABILE, invité
De manière générale, le bon sujet, c'est la cartographie de l'IA. Ça veut dire faire l'effort, de manière générale, quand on fait sa conformité RGPD, de lister les IA en interne. J'ai quand même vu encore des clients qui, des fois, oublient qu'ils ont certaines IA. Et le gros risque qu'on a identifié, c'est parce qu'il y a certaines sociétés aussi qui sont réfractaires à l'utilisation de l'IA, pour des raisons qui sont légitimes aussi. Ça veut dire... difficultés de contrôle, etc. Donc, ils vont interdire certaines adresses IP, d'accès, etc. Dans les faits, ça n'empêche pas les gens d'utiliser l'IA. On a ce qu'on appelle le shadow IA. Ça veut dire la possibilité, par exemple, avec son téléphone maintenant, en prenant une photo, d'obtenir, de mettre de l'information. Parce qu'en fait, les collaborateurs ne sont pas aussi bêtes. Ça veut dire qu'ils ont besoin pour avancer. Ils voient qu'il y a des outils qui sont très performants pour leur activité. Pourquoi ils s'en privent vrai ? Notamment quand il y a des inquiétudes de certaines DSI qui sont disproportionnées. Ça veut dire que Il ne faut pas l'interdire à 100%, ça ne me semble pas adapté, mais pour autant, il faut le contrôler. On a pas mal maintenant de cabinets d'experts comptables qui mettent des IA en local pour essayer de permettre à mettre quelque chose à disposition. Le risque, en fait, il est sur l'absence d'identification des IA en interne, ça veut dire des IA qui seraient pris par certaines personnes, les IA aussi personnelles, éventuellement des fois des réflexes à avoir. Typiquement, j'en vois de plus en plus sur les comptes-rendus de réunion. On ne peut pas faire un compte-rendu de réunion assisté par IA si au début de la réunion, on n'a pas obtenu le consentement de chacun. Et ça, c'est souvent oublié. Et ça a pu déjà m'arriver, même moi, de recevoir des comptes rendus de réunion alors que je n'étais pas au courant qu'il y avait une IA. Donc voilà, il faut aussi paramétrer ses outils pour qu'ils ne soient pas enclenchés tout le temps. Faire la part des choses entre les réunions, des fois qui sont trop dangereuses, etc. où il y a beaucoup d'informations et d'autres réunions. Il faut faire aussi la part des choses sur ce qui est utilisé. Donc oui, cartographie et contrôle aussi des paramétrages des outils pour ne pas les retrouver tout le temps.
Florian DUFOUR - Hôte
Donner un petit peu un cadre de jeu, en fait. Et derrière... Bien informés, c'est du bon sens en fait. On informe comme quand on a les appels téléphoniques par exemple. Bonjour, vous êtes enregistré, ça vous dérange ou pas ?
Maître Romain MIRABILE, invité
Oui, alors la plupart du temps, ce n'est pas tellement un élément volontaire de leur part. C'est qu'en fait, ils ne sont pas formés en interne et on y reviendra après. La formation est très importante parce que même si ce n'est pas des outils qui sont interdits en soi, quelques IA qui sont interdits en soi, mais ce n'est jamais celles qu'on utilise en interne. En fait, il y a quand même une certaine transparence à avoir et quelques réflexes à avoir. L'utilisation de l'IA en interne, il n'y a pas tant de risques. quelques 2-3 réflexes à avoir pour pouvoir l'utiliser. Mais si les gens ne sont pas formés sur ces 2-3 réflexes, on va en voir quelques-uns au cours de notre échange aujourd'hui, c'est là où ça crée la difficulté. C'est souvent l'écart entre la formation, la connaissance et la mise en exécution.
Florian DUFOUR - Hôte
On va aller sur les outils un petit peu spécialisés. On va parler de la compta un petit peu. Les logiciels de comptabilité ou les logiciels de documentation dans la fiscalité, ils intègrent de l'IA de plus en plus. que ce soit dans l'assistance de révision, la génération de rapports ou autre, est-ce que c'est présumé conforme de facto, le fait qu'on les utilise au quotidien, ou il faut quand même se poser la question ?
Maître Romain MIRABILE, invité
En fait, il n'y a aucune société qui est présumée conforme au RGPD. Donc ça, par défaut, c'est le cas. Et même quand vous avez des prestataires qui vous mettent en avant des conformités ISO 27001, etc., qui sont des normes AFNOR, etc., même quand on regarde les décisions de la CNIL, c'est jamais un gage de certification. C'est vrai que c'est un haut niveau de conformité, mais dans les faits, il peut y avoir des écarts aussi entre la certification et l'application réelle. Ça, c'est un premier point. Moi, j'ai toujours tendance à dire qu'il y a deux endroits où les IA peuvent apparaître dans le métier d'expert comptable, et c'est le cas même pour le métier juridique, c'est soit des éditeurs existants, soit des nouveaux éditeurs. Ça, c'est un premier point. L'avantage des éditeurs existants, ils sont des fois moins agiles, mais ils ont l'avantage que la plupart du temps, on leur fait déjà confiance sur la donnée. Donc, s'ils font bien leur travail, la plupart du temps, quand ils vont intégrer de l'IA, alors c'est jamais des... Pas tout le monde a développé son IA, donc c'est souvent des IA métiers existantes. Quand ils font bien leur travail, quand les DSI de ces éditeurs-là, qui sont souvent très gros, intègrent de l'IA, ils la sécurisent de la même manière qu'ils sécurisent vos datas. Donc c'est souvent plus rassurant. Mais ça n'empêche pas le contrôle. Ça veut dire, de la même manière qu'on parlait tout à l'heure des IA grand public et des IA payantes, un peu format entreprise, il ne faut pas hésiter à poser la question, à savoir s'ils ont fait une AIPD. typiquement c'est une analyse d'impact, de savoir si le traitement qui est fait n'est pas dangereux d'avoir le registre spécifique à ce traitement d'IA quels sont les sous-traitants, est-ce que ils ont bien des accords de sous-traitance avec leurs propres sous-traitants parce qu'ils ont souvent des sous-traitants, etc. Poser quelques questions, en général on peut récupérer 4-5 documents qui permettent nous en interne de s'assurer que ça a été à peu près bien documenté, etc. Souvent c'est quand même la mission de la personne qui se charge en interne du RGPD. de poser ce type de légitimation-là, ou un minima de la DSI si jamais c'est le cas.
Florian DUFOUR - Hôte
Et sur les nouveaux acteurs ?
Maître Romain MIRABILE, invité
Les nouveaux acteurs, le problème c'est que les conformités juridiques sont chères. Moi ce que je constate quand même c'est que dans les faits sur les très petits acteurs, s'ils ne l'ont pas anticipé en amont, il y a des fois des manques de conformité. Dans les faits ça ne veut pas dire qu'ils ne l'ont pas fait, c'est juste que comme ça coûte cher, c'est des fois pas leur priorité. Donc il faut toujours être attentif, il ne faut pas hésiter à poser des questions. Et en fait quand on pose des questions on le voit de suite, ça veut dire que quand ils ont les bonnes politiques de confidentialité, les bons documents juridiques, les preuves des mesures de sécurité mises en oeuvre, c'est un élément réassurant. Donc il n'y a pas de difficulté. Le gros avantage des nouveaux acteurs, souvent, c'est leur adaptabilité. Ça veut dire qu'ils sont souvent très innovants, parce qu'ils sont là pour casser le marché, entre guillemets, pour pénétrer un marché qui est déjà bien installé. Et souvent, les outils sont un peu plus performants parce qu'ils sont aussi plus agiles. En dehors de ça, les critères de vérification de leur conformité sont les mêmes. C'est juste que par défaut, on peut partir du principe que si on avait déjà mis des briques de données chez un acteur institutionnel, on peut mettre des briques de données. Ça ne crée pas un risque supplémentaire. sous réserve que par exemple le serveur soit en interne, l'IA, l'algorithme soit en interne. Si l'IA est en externe, ça peut créer un risque supplémentaire. Mais la plupart du temps, ces éditeurs-là, pour des questions de sécurité, ne le font pas. Ils l'hébergent en interne directement.
Florian DUFOUR - Hôte
De toute manière, il faut documenter. Exactement,
Maître Romain MIRABILE, invité
c'est le réflexe de documentation, de savoir poser les bonnes questions et de voir un peu comment les personnes réagissent en face.
Florian DUFOUR - Hôte
Et voilà, comme vous dites, si d'un côté ils ne donnent pas les informations, peut-être ça peut nous...
Maître Romain MIRABILE, invité
Ah ben ça peut casser des deals, mais de la même manière que... Vous négociez avec un éditeur de logiciel, il ne vous donne pas un bon contrat, il ne vous donne pas, vous savez, le service level agreement, c'est-à-dire le niveau de disponibilité. C'est des éléments qui ne vous rassurent pas parce que ça veut dire qu'ils n'ont pas réfléchi. Même si c'est vrai que c'est toujours un peu la question du contrat de mariage, est-ce que c'est vraiment utile, c'est en amont ? C'est quand même utile et ça permet à minima à ces structures-là d'avoir réfléchi en amont. Typiquement, s'ils ont une politique de sécurité, un PCA, un PRA, le plan de continuité d'activité, le plan de reprise d'activité, s'ils ont ces documentations-là, c'est quand même réassurant parce que... Ils ont réfléchi en interne au sujet. Je ne vous dis pas qu'il est forcément mis en œuvre, mais à minima, ils ont réfléchi et c'est toujours des éléments de réassurance. J'ai envie de dire, si un éditeur logiciel ne vous donne pas les bons documents, vous constatez que leurs documents contractuels sont un peu limités, pas bien écrits, pas à jour, et que dès que vous commencez à poser des questions, on nous dit d'habitude qu'on ne nous pose pas la question. Ce n'est pas un élément qui est rassurant.
Florian DUFOUR - Hôte
On va sur la partie 3, la partie responsabilité et sanctions. Alors, en cas de fuite des données, parce que ça peut arriver, Il y a un usage d'IA. Qui est responsable ? Le cabinet ? Est-ce que c'est l'éditeur ? Le sous-traitant ? Il faut prévenir la CNIL ? Qu'est-ce qu'on fait ?
Maître Romain MIRABILE, invité
Alors, il y a deux choses. Je pense qu'en matière de responsabilité, il n'y a pas tellement que la fuite de données qui est problématique. On a parlé tout à l'heure du fait de ne pas mettre de données confidentielles, de ne pas mettre de données personnelles. Et un dernier critère, c'est que quand vous fournissez une information qui est fausse à votre client, le responsable, c'est vous. Donc, il y a aussi une responsabilité qui est la première qui arrive. on l'a vu sur certains... cabinet de conseil à l'étranger notamment avec un cas qui s'est passé en Australie et au Canada. Donc il y a eu plusieurs cas. Donc ça c'est le premier point. Avant la fuite de données, c'est quand même plus rare. Le premier point c'est ça. Donc vérifiez l'information qui est fournie. Vous êtes responsable et donc c'est votre responsabilité professionnelle. Et en fait on revient aussi sur la même mécanique. Ça veut dire que vous êtes responsable et en direct avec vos clients, contractuellement vous êtes les seuls. Ça veut dire que même si votre sous-traitant est en faute, c'est ce qu'on appelle les actions récursoires. Ça veut dire que votre client... se plaindraient à vous, ils vous attaqueraient à vous et vous, vous vous retourneriez vers votre prestataire. Ensuite, on ferait jouer les jeux de responsabilité. Dans les faits en matière de RGPD, le responsable de traitement, ça reste quand même l'expert comptable, qui est très indépendant dans sa manière de travailler, etc. Éventuellement, il va avoir des sous-traitants. C'est pour ça que les DPA sont intéressants parce que le responsable de traitement, le Data Protection Agreement, le responsable de traitement, c'est un peu comme son annexe relative au transfert de données. Et donc, il va vérifier dans quel délai ils doivent apporter l'information si jamais il y a une fuite, Sous quel format ? Et il y a aussi une coopération qui doit être faite. Quelles sont les mesures qui avaient été mises en œuvre ? Quels étaient les sous-traitants ? On peut avoir un peu une cartographie comme ça, qui permet de s'assurer que le jour où il y a un problème, il y a une thématique. Mais dans les faits, vous serez responsable, et donc la responsabilité est variée. Ça serait soit si vous n'avez jamais contrôlé votre responsable, éventuellement de la responsabilité RGPD, soit ça serait de la responsabilité pénale, puisque vous avez fuité de la donnée. Voilà, c'est les mêmes responsabilités qu'on a évoquées un peu plus tôt, en fait. qui serait représenté par une faute de fuite de données.
Florian DUFOUR - Hôte
Certains me disent, je vous donne un exemple, j'ai entendu, c'est un petit dossier, ça vaut peut-être pas le coup que je le dise au client et de prévenir la CNIL.
Maître Romain MIRABILE, invité
Alors ça, c'est une grosse erreur. Il faut savoir qu'il y en a beaucoup qui déclarent pas les... Les fuites. Les fuites. Alors, une fuite, ça s'analyse quand même. On a une analyse qui doit être faite en amont de savoir si les risques, enfin en tout cas, si le droit des personnes est... est suffisamment impacté, etc. S'il y a beaucoup de clients qui sont concernés, pas beaucoup. Et en fonction de l'analyse, on voit s'il y a besoin de déclarer l'acnil. Donc la déclaration de l'acnil n'est pas obligatoire tout le temps. On peut considérer que, je ne sais pas, vous avez fait fuiter 2-3 mails. c'est pas un problème. Vous avez fait fuiter 2000 mails, on n'est pas au même niveau. Mais en fait, c'est ça qui va permettre de faire l'analyse. Donc, le réflexe, c'est surtout de déclarer si on considère que le risque est important. Ça ne veut pas dire que la CNIL va forcément venir vous voir, mais ça veut dire qu'à minima, vous avez fait les informations et en réalité, il vaut mieux déclarer dans les temps parce que ça n'envoie pas aussi des mauvais signals. Et si jamais il y a de la donnée qui a vraiment fuité et qu'elle se retrouve, on va savoir que c'est vous à un moment donné. Donc, de toute manière, il faut avoir le réflexe de déclarer s'il y a un sujet. Et ensuite, il y a la deuxième question, c'est ce que je déclare en plus aux personnes concernées, sachant qu'il y a deux points, c'est que vous avez à la fois de la responsabilité contractuelle, de la responsabilité professionnelle et de la responsabilité RGPD. Même si vous n'aviez peut-être pas une obligation de déclarer ce point-là, peut-être que vu que c'était de la donnée confidentielle, vous auriez peut-être une obligation contractuelle d'informer qu'il y a eu une fuite de données, mais vous considérez peut-être que ça n'a pas d'impact ou que ça ne sera pas grave, mais oui, il faut toujours faire l'analyse à minima, la documenter si on considère que ce n'est pas nécessaire, et ensuite, si c'est nécessaire, la déclarer.
Florian DUFOUR - Hôte
Un petit peu ce côté devoir de transparence.
Maître Romain MIRABILE, invité
Exactement. Sachant qu'il y a un point qu'on n'a pas abordé, c'est notamment aussi la transparence dans l'utilisation de l'IA.
Florian DUFOUR - Hôte
Exactement. On peut y aller si vous voulez.
Maître Romain MIRABILE, invité
Ce qui est assez intéressant, c'est qu'on a un sujet, c'est qu'en fait, l'IA Act, si je ne me trompe pas, l'article 50, prévoit une obligation de transparence. Et on a une problématique, c'est qu'à quel moment on doit avoir de la transparence ? Parce qu'en fait, on va utiliser au quotidien plusieurs IA. à différents niveaux, mais moi l'élément de critère que j'ai envie de garder en tête c'est est-ce que le service qui a été rendu a été uniquement rendu par le biais de l'IA ? Ça veut dire si vous développez des offres de services qui sont uniquement rendues par l'IA, pour des questions de compétitivité, etc., la question peut se poser de la communication. Ça veut dire que comme c'est rendu par l'IA, il faut que les personnes soient informées, etc. Quand c'est quelque chose qui est intégré dans vos process, que vous avez un contrôle sur ce qui est rendu, etc., la question peut se poser de ou pas intégrer l'IA. J'ai envie de dire, si c'est un outil comme Menode, vous n'allez pas forcément l'intégrer. Parce qu'à ce moment-là, tout le monde intègre une simple profilration de mail, c'est de l'IA. Le point, à mon avis, important, c'est l'absence de contrôle. C'est l'absence de contrôle et l'utilisation uniquement de l'IA. Là, ça peut poser une question. Et donc, oui, obligation de transparence, et notamment dans les lettres d'émission, dans les registres de traitement, etc. Pour l'instant, à ma connaissance, il n'y a pas de... En tout cas, il y a quelques mois, il n'y avait pas de modèle qui avait été mis à disposition par l'ordre des experts comptables. Je pense que c'est en train d'être réfléchi. après la question c'est plutôt commercial en fait, on en parlait encore tout à l'heure, c'est de dire finalement la plus-value perçue par les clients, le fait qu'il y a un service d'IA ça va être une réalité à un moment donné on ne va pas pouvoir cacher aux clients de manière indéfinie qu'on utilise de l'IA et qu'on fait des gains d'efficience. Est-ce que les gains d'efficience impliquent forcément une diminution du prix ? Pas forcément, c'est juste que les gains d'efficience peuvent être redirigés vers de l'accompagnement client, du suivi etc. Donc je ne suis pas Euh... J'ai pu voir certains comptes rendus dans plusieurs professions qui avaient tendance à dire qu'il faut que le gain d'efficience soit répercuté à 100% chez les clients. Je ne suis pas convaincu. Il faut que ça le soit un peu, parce qu'il y avait des fois des tarifs qui étaient abusifs parce que c'est trop long, mais la plus-value n'était pas là. Donc, il faut faire un équilibre entre les deux.
Florian DUFOUR - Hôte
Mais on voit que c'est en train de changer un petit peu. Toujours avoir ce côté un petit peu transparence, expliquer aux clients pourquoi on va économiser du temps. Et c'est pour passer plus de temps sur le dossier derrière pour de la plus-value.
Maître Romain MIRABILE, invité
De toute façon, l'IA... Une bonne utilisation de l'IA, moi je le vois dans mon métier, et c'est ce que j'essaye d'enseigner aussi aux personnes à qui j'enseigne, c'est de dire, une bonne utilisation de l'IA, c'est une IA réfléchie. Ça veut dire que vous ne faites que confier l'exécution même à l'IA. Le stratège, le décisionnaire, c'est vous. Et le gros piège, en fait, et c'est là où les clients ne comprendraient pas, ça veut dire que la réflexion est laissée à l'IA. Si vous dites à vos clients, en fait, la décision est prise, mais dans l'exécution même, on passe 20 minutes, 2 mois à rédiger quelque chose qui prend 3 minutes avec l'IA, ils vont comprendre. mais en tout cas la décision... doit être la vôtre et donc la responsabilité dans tous les cas est la vôtre aussi. Donc c'est ça la différence entre les deux. Je pense qu'il faut garder en tête le caractère décisionnaire et les clients seront complètement compréhensifs aussi. Si vous dites c'est moi qui prends la décision, c'est juste que je ne vais pas réinventer la roue à chaque fois et je vais utiliser une IA pour aller plus vite sur certains éléments.
Florian DUFOUR - Hôte
Est-ce que vous pourriez me donner un exemple, bien sûr anonymisé, d'une situation que vous avez rencontrée dans la pratique où un cabinet a peut-être pris des risques où on aurait peut-être pu éviter ou qui se rendent pas forcément compte.
Maître Romain MIRABILE, invité
Concrètement, en matière de risque... Il y a des risques qui sont publics. Il y a notamment un cas à la conférence des experts comptables annuelle où il y avait eu des fois des gens qui mettaient des fakes. Donc, il y a eu des éléments comme ça un peu publics. Donc, c'est un bon exemple. C'est souvent un exemple que je donne. Le risque, la plupart du temps, c'est justement l'absence de formation, l'utilisation d'IA qui ne sont pas documentées. Et en fait, moi, des fois, je fais des audits et je m'en rends compte. Ça veut dire que vous utilisez quelle IA ? On utilise l'IA du cabinet. J'ai dit, vous en utilisez d'autres ? Ah oui, moi j'en ai une en perso aussi. Ça, c'est un premier élément de risque. On ne sait pas vraiment ce qu'il fait. C'est une fuite de données. Mettre de l'information sur une IA qui n'a pas été documentée en interne, qui n'est pas au courant, qui est sur le compte du collaborateur, c'est un premier point. Ça, c'est un premier risque. Des fois, il y a un risque aussi de cloisonnement de l'information. Des IA qui sont partagées entre collaborateurs et on retrouve les informations qui ont été mises par d'autres collaborateurs alors qu'ils n'ont pas besoin d'en avoir connaissance. Et ensuite, des fois, c'est dans une optique d'optimisation, aller trop vite. sur le choix d'outils, en se disant il y a d'autres personnes qui le font, donc on devrait le faire nous aussi, sans forcément analyser le sujet et quand on analyse le sujet, en se posant un petit peu on se dit, je ne suis pas certain que le risque en vaut la chandelle et donc voilà la plupart du temps c'est quand même une absence de cartographie des IA qui sont un peu sauvages et un absence de contrôle en fait, parce qu'en fait il n'y a pas tellement un problème d'utiliser de l'IA, c'est juste un contrôle de savoir pourquoi, comment éventuellement sur quel sujet
Florian DUFOUR - Hôte
J'allais vous poser une question sur la partie humain et peut-être la place de la formation.
Maître Romain MIRABILE, invité
Oui. Alors, de manière générale, ce qu'il faut comprendre, c'est que ça reste un changement important. Ça veut dire qu'il y a eu beaucoup de craintes, etc. Il y avait une crainte du changement. Le changement, c'est un peu la mort d'une situation passée pour une nouvelle. Donc, il y a beaucoup de réticences, etc. Et des fois, il y a des gens qui le cachent de manière volontaire parce qu'ils se disent si jamais je le dis... On va comprendre qu'en fait, je ne suis pas aussi performant que ce que je l'entends. Et donc, voilà. Ça, c'est important à remettre en truc. Et la place de la formation, pourquoi ? Parce que c'est souvent le premier point d'entrée. Et c'est l'élément, ce qu'il faut comprendre, c'est qu'en matière de fuite de données, on considère que 70% des fuites de données sont des erreurs humaines. Donc, par défaut, la formation a un aspect central. L'avantage, c'est que quand on regarde les obligations de formation au titre de l'IA Act, il faut savoir que c'est une obligation de formation. Vous êtes sanctionné en pourcentage de votre chiffre d'affaires si vous ne le faites pas. Depuis février 2025, c'est le cas et les sanctions sont arrivées en août. Depuis août 2025, si vous ne formez pas vos collaborateurs qui utilisent de l'IA, qui sont déployeurs d'IA, concrètement au titre de l'IA Act, vous avez une sanction. Donc en fait, quoi qu'il arrive, il y a une obligation de formation. L'avantage, c'est que quand on regarde la Commission européenne et les indications sur les obligations de formation, ça n'a pas besoin d'être un professionnel accrédité, etc. Il faut juste que le professionnel mette à disposition des participants des informations assez transverses sur le fonctionnement, sur les risques, et que cette information et cette formation soient au niveau de l'implication de l'IA. Si c'est juste pour rédiger des mails, la formation n'est pas très longue. Si c'est pour coder, si ça peut avoir des impacts concrets sur l'activité, l'information est un peu plus longue pour bien expliquer. Ça, c'est un premier point. Et le deuxième point, on va probablement en parler, mais souvent, cette formation, elle se couple avec une documentation en interne, qui est notamment la chartilla. Il faut savoir que vous avez la chance d'avoir l'ordre des experts comptables qui ont produit certains modèles de chartes IA. Mais ça, c'est un premier élément parce qu'en fait, ce qui m'a pu déjà arriver de voir, c'est des gros cabinets d'expertise comptable qui en avaient mis en disposition. Et en fait, les collaborateurs n'étaient pas au courant parce qu'en fait, c'est perdu dans la masse de l'information. Et donc, cette formation-là doit s'accompagner d'une vraie présentation de ces documents-là qui vont permettre notamment de s'assurer, en plus de la formation qui va être faite à un instant T, que tous les nouveaux collaborateurs en ont eu connaissance, qu'elle soit opposable. On peut avoir une idée aussi de la... de l'annexer à la charte informatique et au règlement intérieur pour le rendre opposable et que ça soit qualifié de faute professionnelle si c'est un sujet. Mais voilà, souvent c'est à minima un document synthétique parce que la formation c'est bien mais on peut oublier. Et aussi une formation adaptée aux besoins. Donc ça peut être la DSI qui l'amène, ça peut être le responsable d'un pôle d'activité, ou ça peut être un externe, le DPO, un avocat, mais en tout cas il faut le faire. C'est souvent l'élément le plus important parce que dans les faits, les experts comptables ne sont pas quand même non plus et hyper impactés par la réglementation. C'est juste qu'ils utilisent de l'IA, donc ils doivent être transparents. Ensuite, c'est tous les éditeurs de logiciels qui ont les obligations en matière d'IA et de responsabilité. Ensuite, les obligations assez standards, c'est des obligations de RGPD au sens large. C'est la structure. Et les dernières obligations qui restent, qui sont des obligations d'éviter de faire n'importe quoi, ça, c'est aux collaborateurs. Donc, en fait, il n'y a que la formation qui permet de résoudre cet angle mort.
Florian DUFOUR - Hôte
Est-ce que c'est possible de mettre de l'IA un peu partout ? sans vraiment avoir, on va dire à la tête du cabinet, une vraie gouvernance ?
Maître Romain MIRABILE, invité
Non, parce qu'en fait, on s'en rend compte pour les grands utilisateurs d'IA. J'en fais partie, je tâtonne avec pas mal de sujets. Une IAP à guider. C'est pas bon. Ça veut dire qu'il y a souvent un guide à avoir dans l'utilisation de l'IA, etc. Dans les faits, là où il y a toujours une direction à donner, un contrôle à donner, et le point où je vois où les cabinets sont un peu en retard, c'est la processisation. Ça veut dire qu'une IA, pour qu'elle soit très performante, il faut que les process soient clairs, il faut que les éléments de vérification soient clairs, il faut que les éléments de contrôle soient clairs. Une IA qui possède déjà ces éléments-là va gagner à hauteur de 50 ou 100% d'efficience. sur une IA qu'il ne le serait pas. Donc en fait, non, il faut un contrôle au sens large. Et ensuite, surtout, il faut anticiper cette transformation qui va être, quoi qu'il arrive, inévitable. Ça veut dire qu'on va tous utiliser de l'IA dans l'activité. Le piège à avoir en tête, et elle est un peu impliquée par votre question, c'est que ce n'est pas une IA dans tout le cabinet. Ça veut dire que, de la même manière que si je vous demandais est-ce que toutes vos actions au quotidien ont besoin d'un outil ? Vous allez me dire, mais pas tout le temps. Parce qu'en fait, il y a des fois des outils qui sont plus usines à gaz, qui ne sont avantageux. C'est la même chose avec l'IA. Concrètement, vous allez plutôt tourner à 3 ou 5 IA grand maximum plutôt que 20. Ça veut dire qu'en fait, vous allez faire le choix en interne des IA. Donc, vous allez faire le déploiement. Et ensuite, s'il y a des éléments de contrôle à mettre en œuvre, vous allez peut-être processiser. Parce que moi, le gros problème que je vois, c'est que souvent, quand je dis entre deux personnes, un expert comptable, comment vous traitez un dossier, ils ne traitent pas de la même manière. Et donc, en fait, c'est ce contrôle-là qu'il faut réintroduire. donc je trouve que c'est un élément euh de bien faire en interne, de reposer les bases et ensuite derrière c'est la digitalisation, c'est la dernière étape du management moi je considère, donc on ne peut plus faire en optimisant les process en interne on passe par la machine, et donc il faut quand même garder que la plupart du temps la machine peut accélérer certaines digitalisations, mais ça reste normalement plutôt une dernière étape.
Florian DUFOUR - Hôte
Il ne faut pas le voir forcément comme un outil qu'on donne au collaborateur et tu joues avec et entre guillemets il va faire tout le travail. Non, non, non,
Maître Romain MIRABILE, invité
c'est pas parcimonie et surtout il faut savoir à quel moment l'utiliser et vous allez vous rendre compte surtout vous. qu'il y a des utilisations qui ne sont pas bonnes. Ça veut dire qu'il y a des utilisations avec l'IA qui ne fonctionnent pas bien. Et donc, vous allez faire la part des choses entre certaines missions qui peuvent être assistées par l'IA quasiment intégralement et vous ne faites que vérifier. Ça veut dire que vous allez gagner du temps. Certaines missions, c'est trop complexe pour être fait par une IA à 100%, mais il y a certaines parties où vous allez pouvoir simplifier. Typiquement, vous devez rédiger une analyse quelconque, etc. N'hésitez pas de temps en temps quand ce n'est pas confidentiel ou qu'il n'y ait pas d'éléments. que vous voulez expliquer une situation ou une règle de droit, dictez dans une IA pour qu'elle remette en forme. Il y a des fois des micro-tâches comme ça, sur une tâche plus complexe, qui permettent d'aller plus vite. Et donc il va falloir faire la part des choses entre les tâches, pas d'IA, trop compliquées, trop lourdes ou trop chères, il y a aussi la question du prix, les tâches où on fait même des IA grand public, du moment qu'on fait attention dans l'utilisation, permettent d'accélérer certaines petites micro-tâches, et les dernières tâches où là on se dit, il y a quelque chose à faire, l'IA fonctionne bien, si on met en place les bons process, les bons process de vérification, etc. de workflow, en gros, ça passe.
Florian DUFOUR - Hôte
Allez, on est presque à la fin. Mais avant de laisser nos éditeurs, on voudrait quand même pas les laisser dans l'angloise. Moi, j'aimerais que vous me donniez concrètement, pour la semaine prochaine, un expert comptable qui voudrait réduire ses risques ou mettre quelque chose en place, un peu dire.
Maître Romain MIRABILE, invité
Alors, le premier point, à mon avis, si vous voulez déjà réduire, c'est déjà cartographier ce qui est existant. En fait, on parlait de Shadow IAM, il y a un truc encore plus insidieux que ça. C'est qu'il faut comprendre que les jeunes générations, donc je considère en dessous de 30 ans, la jeune génération, a forcément de l'IA même si vous ne l'avez pas déployée en interne. Ça veut dire à minima un logiciel métier, enfin un logiciel chat GPT, etc. Donc déjà cartographier de savoir ce qui existe ou pas, pour voir si vous n'avez pas des gaps dans votre risque. En choisir à minima une, une grand public, si vous avez Microsoft, vous pouvez aller sur Copilot, un Mistral pour avoir du serveur français. C'est payant plutôt. Bien sûr, avoir des payantes, mais à minimum, avoir une grande publique, parce que c'est souvent celle qui permet de gagner le plus d'efficacité, parce qu'elle n'est pas efficiente sur des tâches très complexes, mais elle est suffisamment généraliste pour gagner un peu du temps. Ça, c'est un premier élément de risque. Éventuellement, quand vous le faites, documenter un peu toute la documentation qui peut y avoir. Ça, c'est un deuxième élément. Mettre en place une chartilla, ça coûte... C'est pas très long, ça fait deux, trois pages. associés à une heure de formation, en tout cas une heure de, même si ce n'est pas une formation à proprement parler, un brainstorming pour rappeler les principes, pour voir un petit peu si tout le monde a compris comment ça fonctionnait. Souvent, par exemple, il y a des experts comptables qui oublient le fonctionnement d'une IA pure. Une IA pure, ça induit la réponse la plus probable. Sauf que quand vous commencez à faire des calculs sur une IA, l'IA ne calcule pas naturellement. Ça veut dire qu'elle peut faire appel à d'autres logiciels. Mais il y a plein de fonctionnements comme ça où on se rend compte pourquoi il y a des erreurs, des hallucinations. Voilà, cette sensibilisation. sur les risques inhérents à la technologie et les risques juridiques. Ça, c'est un premier point. Chartier, on en a parlé. Et éventuellement, si on voulait sécuriser un petit peu en matière de responsabilité, on se poserait la question peut-être d'être un peu transparent dans le contexte de lettres de mission ou de la documentation RGPD pour documenter ce qui est fait en interne pour que derrière, on ne puisse pas être embêté si jamais on a une erreur quelconque, un collaborateur qui aurait mal vérifié, qu'il y aurait une erreur insérée par l'IA.
Florian DUFOUR - Hôte
Merci en tout cas d'être venu et de pouvoir partager tout ça. Où est-ce qu'on pourrait vous suivre sur les réseaux sociaux ? Qu'est-ce que vous faites comme projet pour l'année ?
Maître Romain MIRABILE, invité
Projet pour l'année ? Là, je continue toujours les formations. De toute façon, expert comptable, je pense qu'on a encore des choses à faire. On est passé à l'étape d'après. Ça veut dire qu'on n'est plus tellement sur la sensibilisation, on est sur la mise en pratique. Donc l'idée, c'est toujours d'accompagner la profession sur ces thématiques-là. Et donc après... Pour me suivre, c'est tout simplement LinkedIn à Romain Mirabile, où je publie quand même pas mal de retours d'expérience ou de rappels sur la réglementation dans les différents métiers. Et l'actualité, ça va être, j'ai pas mal de clients maintenant, vu qu'il y a une simplicité aussi d'intégration de l'IA en interne, parce que les gens ne développent plus LLM, c'est dans leur accompagnement sur l'intégration de l'IA, sur la sécurisation à la fois RGPD-IA et d'autres réglementations, typiquement Data Act. Donc il y a encore pas mal de sujets sur la digitalisation. Maintenant, la data est devenue présente partout. Et donc, il y a un gros enjeu de sécurisation, peu importe le secteur d'activité. Donc, ça va être en gros mon actualité de l'année. C'est cette accélération, parce que tout le monde maintenant a cette data à disposition. Donc, elle veut la mettre dans des IA. Donc, il faut tout sécuriser.
Florian DUFOUR - Hôte
Merci à vous.
Maître Romain MIRABILE, invité
Merci à vous.
Florian DUFOUR - Hôte
N'oubliez pas que l'IA, du coup, on le voit, c'est important pour nous. Mais qu'il faut le faire de manière intelligente, avec le secret pro, le RGPD, l'AI Act. Mais c'est faisable. Allez, à bientôt.

About CodEC - Le podcast tech des experts-comptables

Anciennement "Marketing du cabinet comptable", ce podcast devient CodEC pour mieux refléter sa mission : décoder l'innovation comptable.

🎙️ CodEC : Le podcast qui décode l'innovation comptable

Bienvenue sur CodEC, le podcast tech des experts-comptables qui veulent rester à la pointe de l'innovation.

🎯 La promesse

🎙️ Le programme

⚡ Le format

• Durée : 30 - 35 minutes chrono

• Fréquence : 1 fois par mois

Parfait pour écouter pendant : votre trajet domicile-cabinet, votre pause café, votre séance de sport

👨‍💼 Qui suis-je ?

💡 Pourquoi "CodEC" ?

CodEC = CODeur/DECodeur + Expert-Comptable

Dans l'informatique, un codec transforme des données brutes en quelque chose de compréhensible et d'utilisable. C'est exactement ce que fait ce podcast :

• On DÉCODE l'innovation tech (qui peut sembler complexe)

• On l'ENCODE dans votre quotidien de cabinet (de manière actionnable)

🎯 Pour qui ?

🚨Merci à mon partenaire de la saison 5 : SAGE 🔗la solution comptable des EC

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About CodEC - Le podcast tech des experts-comptables

Anciennement "Marketing du cabinet comptable", ce podcast devient CodEC pour mieux refléter sa mission : décoder l'innovation comptable.

🎙️ CodEC : Le podcast qui décode l'innovation comptable

Bienvenue sur CodEC, le podcast tech des experts-comptables qui veulent rester à la pointe de l'innovation.

🎯 La promesse

🎙️ Le programme

⚡ Le format

• Durée : 30 - 35 minutes chrono

• Fréquence : 1 fois par mois

Parfait pour écouter pendant : votre trajet domicile-cabinet, votre pause café, votre séance de sport

👨‍💼 Qui suis-je ?

💡 Pourquoi "CodEC" ?

CodEC = CODeur/DECodeur + Expert-Comptable

Dans l'informatique, un codec transforme des données brutes en quelque chose de compréhensible et d'utilisable. C'est exactement ce que fait ce podcast :

• On DÉCODE l'innovation tech (qui peut sembler complexe)

• On l'ENCODE dans votre quotidien de cabinet (de manière actionnable)

🎯 Pour qui ?

🚨Merci à mon partenaire de la saison 5 : SAGE 🔗la solution comptable des EC

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Vous utilisez l'IA dans votre cabinet mais êtes-vous vraiment en conformité avec le secret professionnel, le RGPD et l'AI Act ?

Ce que vous allez apprendre dans cet épisode :

🔒 Pourquoi anonymiser les données clients ne suffit pas avant de les saisir dans une IA grand public

⚖️ Ce que risque concrètement un Expert-Comptable qui viole son secret professionnel via l'IA (article 226-13 du Code pénal : 1 an d'emprisonnement, 15 000 € d'amende par infraction)

💼 La différence entre une version gratuite et une version enterprise, et ce qu'il faut vérifier même sur les outils payants

👥 Le Shadow IA : pourquoi interdire n'est pas la solution et comment encadrer les usages non déclarés de vos collaborateurs

🏢 Pourquoi vos logiciels métiers avec IA intégrée ne bénéficient d'aucune présomption de conformité

📋 Ce que dit l'article 50 de l'AI Act sur la transparence envers vos clients

🎓 Pourquoi la formation de vos collaborateurs est une obligation légale depuis août 2025, et comment mettre en place une gouvernance IA dans votre cabinet

L'invité :

Ressources mentionnées :

Article 226-13 du Code pénal (secret professionnel)
Règlement UE 2024/1689 — AI Act (articles 4 et 50)
Règlement UE 2016/679 — RGPD (article 28)
Cahier de l'Académie n°43 — Académie des sciences et techniques comptables et financières
Modèles de charte IA — Ordre des experts-comptables
CATANE AUBIER, J. et DUFOUR, F., Cinq réflexes d'aujourd'hui pour préparer la conformité de demain, SIC Mag n°457, avril-mai-juin 2026

🚨Anciennement "Marketing du cabinet comptable", ce podcast devient CodEC pour mieux refléter sa mission : décoder l'innovation comptable.

Merci à mon partenaire de la saison 5: SAGE 🔗la solution comptable des EC

Ne manquez aucun épisode !

Abonnez-vous à la newsletter pour des contenus exclusifs et des ressources complémentaires.
Vous aimez le podcast ? Montrez votre soutien avec un avis 5 étoiles sur Apple Podcasts ou Spotify. Cela nous aide énormément à grandir !

Il ne me reste plus qu'une chose à vous dire : "bonne écoute" 🎧

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Maître Romain MIRABILE, invité
On ne met pas d'informations confidentielles ou personnelles sur une IA grand public. On ne peut pas faire un compte-rendu des réunions assistées par IA si au début de la réunion on n'a pas obtenu le consentement de chacun. Quand c'est gratuit, c'est vous le produit. Quand vous payez, déjà c'est un peu plus sécurisant. Il y a des experts comptables qui oublient le fonctionnement d'une IA pure. Une IA pure, ça induit la réponse la plus probable.
Florian DUFOUR - Hôte
La tech évolue, la comptabilité aussi. Codec, le podcast qui décode l'innovation des experts comptables. L'IA arrive dans les cabinets. On le voit avec ChatGPT pour certains, Copilot ou Cloud. Mais il y a des questions qui reviennent. tout ce qui concerne le secret professionnel, la partie RGPD et l'AI Act. Et pour cela, j'ai invité un avocat, un maître qui s'appelle Romain Mirabil, spécialisé dans le numérique et développeur à temps perdu. Bonjour maître.
Maître Romain MIRABILE, invité
Bonjour, merci pour l'invitation.
Florian DUFOUR - Hôte
Ravi que vous soyez présent. Et là aujourd'hui, on va parler un petit peu de l'IA et voir un petit peu ses limites et ses risques au niveau juridique.
Maître Romain MIRABILE, invité
Oui, il y a pas mal de sujets à aborder dans une profession qui évolue quand même pas mal de votre côté. Vous n'êtes pas en retard. Vous êtes plutôt en avance même par rapport aux avocats. Merci. Il y a encore pas mal de choses à faire et surtout, depuis des années, vous réfléchissez à l'optimisation de vos process et c'est une suite logique pour vous la plupart du temps.
Florian DUFOUR - Hôte
Avant de commencer, on va déjà, si vous voulez bien, vous présenter en quelques mots. Je l'ai dit un petit peu, vous faites du codage.
Maître Romain MIRABILE, invité
Oui. Moi, c'est Maître Mirabil. Je suis avocat au barreau de Paris. J'interviens à la fois sur des sujets droits numériques, réglementaires, donc RGPD, IACT, TATA. donc au sens large. Et effectivement, j'ai une certification de développeur web que j'utilise maintenant, pas tellement auprès de mes clients, mais plutôt sur du développement, moi, commercial. Et mon seul avantage, c'est que du coup, par contre, quand je parle avec les DSI de groupe que j'accompagne sur la partie numérique, c'est un gros avantage sur mes sujets numériques. Et donc, oui, moi, j'interviens sur l'IA depuis des années maintenant. Donc déjà, moi, j'ai une Legal Tech pendant quelques années. Donc justement... un logiciel à destination de la rédaction de contrats qui n'avait pas d'IA à l'époque. J'ai réfléchi notamment pendant, dans le cadre de mes études, une thèse professionnelle sur l'évolution du métier de juriste en raison des nouvelles technologies. Et après, j'ai intégré l'incubateur du barreau de Paris pour réfléchir à ces thématiques-là. Je forme depuis des années maintenant les experts comptables sur l'intégration de l'IA dans les structures. Et j'ai participé notamment au cahier de l'Académie numéro 43. l'Académie des sciences des experts comptables, sur justement l'intégration de l'IA, secret professionnel, confidentialité, RGPD. Et donc, je vais pouvoir faire un retour un peu sur tous ces sujets-là, que je sais que c'est des sujets d'actualité, des sujets qui peuvent aussi un peu avoir d'inquiétude. Moi, ce que je vois quand même apparaître sur le marché, c'est qu'il y a de moins en moins d'inquiétude. Ça fait deux ans que je forme sur le sujet. Je dois être à au moins 500 experts comptables formés sur la thématique. Et de plus en plus, quand même, ça diminue sur l'inquiétude qu'il peut y avoir. Ça veut dire qu'ils savent qu'il faut y aller. Maintenant, ils se posent vraiment la question sur comment y aller, comment le faire proprement par rapport à leurs clients et en matière de responsabilité aussi.
Florian DUFOUR - Hôte
On est au bon endroit, je pense. Donc, la première question, c'est on entend souvent des experts comptables qui disent on fait attention, je ne mets pas le nom de client ou je rends anonyme. Est-ce que c'est suffisant de mettre ça dans une ligne à grand public ?
Maître Romain MIRABILE, invité
Alors, c'est... Le point le plus important dans la question, c'est grand public. En fait, il faut faire la différence et des fois, je suis obligé de revenir un peu en arrière. Il y a deux grosses différences, c'est l'IA grand public, ce qu'on appelle du SaaS, du cloud, ça veut dire elle est directement en ligne et celle en local. Il faut faire vraiment la différence. Là, ce dont on va parler, c'est vraiment sur les IA grand public, donc quelque chose où la data part, on ne sait où, sur des serveurs qui sont physiques, mais qu'on appelle sur les nuages. Non, la plupart du temps, ce n'est pas suffisant dans deux aspects. Ça veut dire que... Quand on regarde même la réglementation, on a la question de savoir si on peut directement identifier quelque chose ou indirectement. Donc de temps en temps, malheureusement, même si vous ne mettez pas l'information spécifique du client, il y a des données de marché qui peuvent permettre de réidentifier. Donc une anonymisation ou une pseudonymisation simple ne suffit pas tout le temps. De manière générale, le réflexe à avoir, c'est qu'on ne met pas d'informations confidentielles ou personnelles sur une IA grand public. Et ça, on a énormément de retours, soit directement de l'ordre des experts comptables. soit de certaines administrations, etc., typiquement l'ANSI, sur ce premier réflexe qui est, on ne met pas d'informations, parce qu'on a notamment certaines amendes qui ont déjà été infligées, notamment OpenIA, qui a été sanctionnée en Italie par la CNIL italienne, qui est assez active, pour manquement à ses obligations de sécurité au titre du RGPD, donc 15 millions d'euros d'amende l'année dernière sur le sujet, parce que OpenIA ne permettait pas de garantir que les données qui étaient fournies sur la plateforme ne pouvaient pas être accédées par des tiers.
Florian DUFOUR - Hôte
Je vais faire l'embêtant. C'est-à-dire, ok, mais si je colle un bilan d'un petit boulanger dans un coin, est-ce que vraiment c'est embêtant ?
Maître Romain MIRABILE, invité
C'est toujours pareil. Ça veut dire qu'en fait, effectivement, c'est une gestion du risque. Il y a des informations qu'on pourrait considérer comme moins importantes sur le marché. Dans les faits, vous avez quand même une responsabilité professionnelle, secret professionnel. Et donc, oui, elle est quand même existante. Il y a à la fois votre responsabilité civile, professionnelle, responsabilité professionnelle. Il peut y avoir des responsabilités pénales parce qu'une collecte d'informations sans consentement, c'est un sujet. une responsabilité administrative auprès de la CNIL. Donc, ce n'est jamais anodin. La plupart du temps, c'est jamais détecté. Mais le jour où c'est détecté, etc., en général, on ne met pas juste une information, on en met plein, et donc voilà, c'est souvent le risque.
Florian DUFOUR - Hôte
Maintenant, je voudrais savoir le secret professionnel avec l'article 226.13. Donc du coup, le fait qu'on a sur une activité où on a un secret professionnel, si on le rend, on le rend, excusez-moi, comment ça va s'appliquer dans ce contexte ?
Maître Romain MIRABILE, invité
Concrètement, si vous mettiez une information qui était protégée par votre secret professionnel, de l'information client, bilan comptable, etc., FEC, peu importe. La thématique, il y a quand même une peine d'amende. Il faut savoir que c'est un an d'emprisonnement et 15 000 euros d'amende pour chaque personne qui enfreint son secret professionnel. Donc, ce n'est pas anodin. Dans les faits, si c'était détecté ou si jamais il y avait un sujet, une fuite et que votre client retrouvait l'information, il pourrait éventuellement avertir l'ordre ou éventuellement engager votre responsabilité professionnelle. Pas tellement pour l'impact, le préjudice que ça, parce qu'on a du mal à qualifier les préjudices d'informations comme ça qui fuitent, mais une perte de confiance de votre client qui considérait que vous ne l'avez pas prévenu et que... Ce n'est pas normal, vous auriez dû faire attention.
Florian DUFOUR - Hôte
Ça, on le verra un petit peu plus loin avec les collaborateurs, peut-être, qui ne s'en rendent pas forcément compte. Moi, je me dis, bon, OK, la gratuite, ça ne me va pas trop. Allons sur une version SaaS, du coup, en ligne avec le modèle Enterprise, par exemple. On se dit, je vais prendre la formule ChatGPT Enterprise ou du Microsoft. Là, normalement, ils sont RGPD compliance. C'est vrai, c'est suffisant. J'ai besoin de faire des choses en plus ou pas ?
Maître Romain MIRABILE, invité
Il y a toujours besoin de faire des choses. Ce qu'il faut garder en tête, c'est que quand c'est gratuit, c'est vous le produit. Quand vous payez, déjà, c'est un peu plus sécurisant. Et il y a un deuxième point à garder en tête aussi, c'est que par défaut, en matière d'IA, ce qui est différent de ce qui pouvait exister avec le RGPD au sens plus large, c'est qu'on a l'autorisation sur les versions gratuites d'avoir de l'entraînement de la data sur ce que vous faites. Ça veut dire qu'il faut que vous décochiez l'entraînement de la donnée pour qu'elle ne soit pas entraînée. La grosse différence avec ces IA mordais l'entreprise, c'est que par défaut, ce n'est pas le cas. Et on a aussi des mesures de sécurité, des fois un peu plus poussées, etc. Dans les faits, est-ce que ça suffit à assurer une sécurité du RGPDI ? Non, parce qu'en fait, c'est juste que vous avez un sous-traitant qui lui prend à cœur ses obligations réglementaires et les met en œuvre. Mais dans les faits, ça ne sera jamais suffisant. Mais c'est déjà un bon départ parce que Microsoft, vous avez déjà tous vos mails chez eux. Est-ce que mettre des informations supplémentaires, en général, ça ne change pas grand-chose ? Souvent, quand même. Alors, autant Microsoft, par exemple, ce qu'il faut savoir, c'est que Microsoft euh euh pardon, Copilot, c'est le moteur derrière cette chaise GPT. C'est OpenIA qui est derrière. Pour autant, est-ce qu'on fait confiance à Microsoft ? Oui, parce que Microsoft, en fait, a des éléments sécurisés. Ce n'est pas OpenIA, OpenIA, la data, c'est un modèle qui est enregistré dans leur propre serveur et donc c'est leur mesure de sécurité. Ce qu'il faut savoir, c'est que j'avais eu l'occasion d'échanger avec le responsable Microsoft sur le sujet, qui m'avait dit qu'au niveau des mesures de sécurité mises en oeuvre, c'était les plus sévères dans le monde, parce qu'il y a un sujet aussi global. Il s'avère que c'était la France et l'Europe. Donc les mesures de sécurité qu'on a sur ces entreprises-là sont au summum des mesures de sécurité imposées de manière globale parce que gérer une multi-réglementation en matière de mesures de sécurité est trop lourd. Donc en fait, ils s'imposent le plus haut niveau.
Florian DUFOUR - Hôte
Derrière, le cabinet va quand même se poser des questions, étudier justement les policiers ou autre ?
Maître Romain MIRABILE, invité
Il y a plusieurs points. L'avantage des gros acteurs, c'est que naturellement, ils mettent pas mal d'informations à disposition. On peut avoir la politique de confidentialité de l'acteur, on peut avoir un DPA, un Data Protection Agreement, qui est l'article 28 du RGPD, qui est souvent l'accord entre le responsable et le sous-traitant de données. Il faut savoir que le responsable, la plupart du temps, c'est vous, c'est-à-dire c'est l'expert comptable, etc. Et Microsoft, quand il va agir, peut agir, sans certains points, en tant que responsable, la plupart du temps, il agit en tant que sous-traitant. Donc ça, c'est un premier point, s'assurer que les documents sont à notre disposition, les faire signer, ne pas hésiter Oui, oui. à contacter le DPO de Microsoft en disant voilà, dans le cadre de mon activité, j'aimerais bien, vous avez des modèles à disposition, est-ce que je pourrais le signer pour documentaire d'interne que j'ai fait l'effort de regarder ? Un des éléments aussi, c'est quand on a des entreprises peut-être de moins grande taille, même si c'est des versions payantes, s'assurer qui sont les sous-traitants, où il a donné stocker, etc. Parce qu'on a des entreprises qui stockent la donnée aux Etats-Unis, il peut y avoir des sujets différents, essayer éventuellement de s'assurer que dans la version payante on peut avoir un stockage en Europe, alors ça sécurise pas tout, mais c'est déjà un bon point. et ensuite si on a des acteurs moins grands s'assurer que si jamais il y a du transfert vers l'étranger on a les bonnes clauses au titre du RGPD en dehors de l'accord de sous-traitance pure parce qu'il y a aussi des fois des clauses spécifiques aux transferts internationaux donc voilà, quelques éléments à vérifier qui sont souvent des vérifications pour la conformité en interne, ça veut dire on s'est assuré que le prestataire était conforme et l'idée dans l'idéal, mais souvent les grands acteurs ne le veulent pas, c'est derrière il faut documenter et le moment venu possiblement auditer Ça veut dire garder la possibilité d'aller poser des questions complémentaires sur les mesures de sécurité mises en œuvre, etc. Sur ce qu'il y a pu y avoir. Selon la taille de l'éditeur, vous ne pourrez pas, mais pour les plus petits éditeurs, il y a possibilité de négocier comme ça de l'audit ou un minima de l'audit sur pièce. Ça veut dire que vous vous mettez en conformité en interne et vous allez poser des questions à vos sous-traitants pour vous assurer qu'eux aussi respectent le RGPD. Et ça fait partie de vos obligations.
Florian DUFOUR - Hôte
Parce que je vais vous dire... au moins un minima, documenter ça ?
Maître Romain MIRABILE, invité
Bien sûr, le minima c'est la documentation. Il faut comprendre qu'en fait la documentation permet juste en cas de problème de montrer que vous avez fait l'effort, c'est de montrer une bonne fois que vous avez regardé, etc. Dans les faits, on ne peut pas vérifier à 100% que les personnes sont conformes parce qu'en fait on ne peut pas agir dans les machines et il faut bien comprendre les éditeurs, ça serait trop lourd pour eux s'ils avaient 150 000 clients qui venaient vérifier la conformité.
Florian DUFOUR - Hôte
Est-ce que ça peut être un début de preuve, le fait d'avoir fait la démarche, d'aller demander par exemple faire un audit, même si on nous le refuse ?
Maître Romain MIRABILE, invité
Bien sûr. De toute façon, tout ce que vous faites sera un élément positif. On ne peut pas forcer un prestataire à faire droit à nos demandes. Mais par contre, effectivement, le minima de documenter et faire des demandes, savoir s'ils ont des pièces supplémentaires, des mesures de sécurité mises en œuvre qui ne sont peut-être pas disponibles en IPE, qui peuvent nous mettre à disposition pour s'assurer que ça respecte bien le RGPD.
Florian DUFOUR - Hôte
Donc, il ne faut pas oublier de bien documenter. On va aller sur la partie 2. Maintenant, un petit peu les IA qui sont liées à notre profession. Donc, dans le cabinet aujourd'hui... L'IA, elle est un petit peu partout. Vous l'avez pour réécrire au niveau des mails, par exemple. Dans Teams, dans Microsoft, ça permet de faire un petit compte-rendu. Est-ce que ces outils... Ils sont dans un angle mort, en fait, où il faut quand même regarder les IA un peu plus loin.
Maître Romain MIRABILE, invité
De manière générale, le bon sujet, c'est la cartographie de l'IA. Ça veut dire faire l'effort, de manière générale, quand on fait sa conformité RGPD, de lister les IA en interne. J'ai quand même vu encore des clients qui, des fois, oublient qu'ils ont certaines IA. Et le gros risque qu'on a identifié, c'est parce qu'il y a certaines sociétés aussi qui sont réfractaires à l'utilisation de l'IA, pour des raisons qui sont légitimes aussi. Ça veut dire... difficultés de contrôle, etc. Donc, ils vont interdire certaines adresses IP, d'accès, etc. Dans les faits, ça n'empêche pas les gens d'utiliser l'IA. On a ce qu'on appelle le shadow IA. Ça veut dire la possibilité, par exemple, avec son téléphone maintenant, en prenant une photo, d'obtenir, de mettre de l'information. Parce qu'en fait, les collaborateurs ne sont pas aussi bêtes. Ça veut dire qu'ils ont besoin pour avancer. Ils voient qu'il y a des outils qui sont très performants pour leur activité. Pourquoi ils s'en privent vrai ? Notamment quand il y a des inquiétudes de certaines DSI qui sont disproportionnées. Ça veut dire que Il ne faut pas l'interdire à 100%, ça ne me semble pas adapté, mais pour autant, il faut le contrôler. On a pas mal maintenant de cabinets d'experts comptables qui mettent des IA en local pour essayer de permettre à mettre quelque chose à disposition. Le risque, en fait, il est sur l'absence d'identification des IA en interne, ça veut dire des IA qui seraient pris par certaines personnes, les IA aussi personnelles, éventuellement des fois des réflexes à avoir. Typiquement, j'en vois de plus en plus sur les comptes-rendus de réunion. On ne peut pas faire un compte-rendu de réunion assisté par IA si au début de la réunion, on n'a pas obtenu le consentement de chacun. Et ça, c'est souvent oublié. Et ça a pu déjà m'arriver, même moi, de recevoir des comptes rendus de réunion alors que je n'étais pas au courant qu'il y avait une IA. Donc voilà, il faut aussi paramétrer ses outils pour qu'ils ne soient pas enclenchés tout le temps. Faire la part des choses entre les réunions, des fois qui sont trop dangereuses, etc. où il y a beaucoup d'informations et d'autres réunions. Il faut faire aussi la part des choses sur ce qui est utilisé. Donc oui, cartographie et contrôle aussi des paramétrages des outils pour ne pas les retrouver tout le temps.
Florian DUFOUR - Hôte
Donner un petit peu un cadre de jeu, en fait. Et derrière... Bien informés, c'est du bon sens en fait. On informe comme quand on a les appels téléphoniques par exemple. Bonjour, vous êtes enregistré, ça vous dérange ou pas ?
Maître Romain MIRABILE, invité
Oui, alors la plupart du temps, ce n'est pas tellement un élément volontaire de leur part. C'est qu'en fait, ils ne sont pas formés en interne et on y reviendra après. La formation est très importante parce que même si ce n'est pas des outils qui sont interdits en soi, quelques IA qui sont interdits en soi, mais ce n'est jamais celles qu'on utilise en interne. En fait, il y a quand même une certaine transparence à avoir et quelques réflexes à avoir. L'utilisation de l'IA en interne, il n'y a pas tant de risques. quelques 2-3 réflexes à avoir pour pouvoir l'utiliser. Mais si les gens ne sont pas formés sur ces 2-3 réflexes, on va en voir quelques-uns au cours de notre échange aujourd'hui, c'est là où ça crée la difficulté. C'est souvent l'écart entre la formation, la connaissance et la mise en exécution.
Florian DUFOUR - Hôte
On va aller sur les outils un petit peu spécialisés. On va parler de la compta un petit peu. Les logiciels de comptabilité ou les logiciels de documentation dans la fiscalité, ils intègrent de l'IA de plus en plus. que ce soit dans l'assistance de révision, la génération de rapports ou autre, est-ce que c'est présumé conforme de facto, le fait qu'on les utilise au quotidien, ou il faut quand même se poser la question ?
Maître Romain MIRABILE, invité
En fait, il n'y a aucune société qui est présumée conforme au RGPD. Donc ça, par défaut, c'est le cas. Et même quand vous avez des prestataires qui vous mettent en avant des conformités ISO 27001, etc., qui sont des normes AFNOR, etc., même quand on regarde les décisions de la CNIL, c'est jamais un gage de certification. C'est vrai que c'est un haut niveau de conformité, mais dans les faits, il peut y avoir des écarts aussi entre la certification et l'application réelle. Ça, c'est un premier point. Moi, j'ai toujours tendance à dire qu'il y a deux endroits où les IA peuvent apparaître dans le métier d'expert comptable, et c'est le cas même pour le métier juridique, c'est soit des éditeurs existants, soit des nouveaux éditeurs. Ça, c'est un premier point. L'avantage des éditeurs existants, ils sont des fois moins agiles, mais ils ont l'avantage que la plupart du temps, on leur fait déjà confiance sur la donnée. Donc, s'ils font bien leur travail, la plupart du temps, quand ils vont intégrer de l'IA, alors c'est jamais des... Pas tout le monde a développé son IA, donc c'est souvent des IA métiers existantes. Quand ils font bien leur travail, quand les DSI de ces éditeurs-là, qui sont souvent très gros, intègrent de l'IA, ils la sécurisent de la même manière qu'ils sécurisent vos datas. Donc c'est souvent plus rassurant. Mais ça n'empêche pas le contrôle. Ça veut dire, de la même manière qu'on parlait tout à l'heure des IA grand public et des IA payantes, un peu format entreprise, il ne faut pas hésiter à poser la question, à savoir s'ils ont fait une AIPD. typiquement c'est une analyse d'impact, de savoir si le traitement qui est fait n'est pas dangereux d'avoir le registre spécifique à ce traitement d'IA quels sont les sous-traitants, est-ce que ils ont bien des accords de sous-traitance avec leurs propres sous-traitants parce qu'ils ont souvent des sous-traitants, etc. Poser quelques questions, en général on peut récupérer 4-5 documents qui permettent nous en interne de s'assurer que ça a été à peu près bien documenté, etc. Souvent c'est quand même la mission de la personne qui se charge en interne du RGPD. de poser ce type de légitimation-là, ou un minima de la DSI si jamais c'est le cas.
Florian DUFOUR - Hôte
Et sur les nouveaux acteurs ?
Maître Romain MIRABILE, invité
Les nouveaux acteurs, le problème c'est que les conformités juridiques sont chères. Moi ce que je constate quand même c'est que dans les faits sur les très petits acteurs, s'ils ne l'ont pas anticipé en amont, il y a des fois des manques de conformité. Dans les faits ça ne veut pas dire qu'ils ne l'ont pas fait, c'est juste que comme ça coûte cher, c'est des fois pas leur priorité. Donc il faut toujours être attentif, il ne faut pas hésiter à poser des questions. Et en fait quand on pose des questions on le voit de suite, ça veut dire que quand ils ont les bonnes politiques de confidentialité, les bons documents juridiques, les preuves des mesures de sécurité mises en oeuvre, c'est un élément réassurant. Donc il n'y a pas de difficulté. Le gros avantage des nouveaux acteurs, souvent, c'est leur adaptabilité. Ça veut dire qu'ils sont souvent très innovants, parce qu'ils sont là pour casser le marché, entre guillemets, pour pénétrer un marché qui est déjà bien installé. Et souvent, les outils sont un peu plus performants parce qu'ils sont aussi plus agiles. En dehors de ça, les critères de vérification de leur conformité sont les mêmes. C'est juste que par défaut, on peut partir du principe que si on avait déjà mis des briques de données chez un acteur institutionnel, on peut mettre des briques de données. Ça ne crée pas un risque supplémentaire. sous réserve que par exemple le serveur soit en interne, l'IA, l'algorithme soit en interne. Si l'IA est en externe, ça peut créer un risque supplémentaire. Mais la plupart du temps, ces éditeurs-là, pour des questions de sécurité, ne le font pas. Ils l'hébergent en interne directement.
Florian DUFOUR - Hôte
De toute manière, il faut documenter. Exactement,
Maître Romain MIRABILE, invité
c'est le réflexe de documentation, de savoir poser les bonnes questions et de voir un peu comment les personnes réagissent en face.
Florian DUFOUR - Hôte
Et voilà, comme vous dites, si d'un côté ils ne donnent pas les informations, peut-être ça peut nous...
Maître Romain MIRABILE, invité
Ah ben ça peut casser des deals, mais de la même manière que... Vous négociez avec un éditeur de logiciel, il ne vous donne pas un bon contrat, il ne vous donne pas, vous savez, le service level agreement, c'est-à-dire le niveau de disponibilité. C'est des éléments qui ne vous rassurent pas parce que ça veut dire qu'ils n'ont pas réfléchi. Même si c'est vrai que c'est toujours un peu la question du contrat de mariage, est-ce que c'est vraiment utile, c'est en amont ? C'est quand même utile et ça permet à minima à ces structures-là d'avoir réfléchi en amont. Typiquement, s'ils ont une politique de sécurité, un PCA, un PRA, le plan de continuité d'activité, le plan de reprise d'activité, s'ils ont ces documentations-là, c'est quand même réassurant parce que... Ils ont réfléchi en interne au sujet. Je ne vous dis pas qu'il est forcément mis en œuvre, mais à minima, ils ont réfléchi et c'est toujours des éléments de réassurance. J'ai envie de dire, si un éditeur logiciel ne vous donne pas les bons documents, vous constatez que leurs documents contractuels sont un peu limités, pas bien écrits, pas à jour, et que dès que vous commencez à poser des questions, on nous dit d'habitude qu'on ne nous pose pas la question. Ce n'est pas un élément qui est rassurant.
Florian DUFOUR - Hôte
On va sur la partie 3, la partie responsabilité et sanctions. Alors, en cas de fuite des données, parce que ça peut arriver, Il y a un usage d'IA. Qui est responsable ? Le cabinet ? Est-ce que c'est l'éditeur ? Le sous-traitant ? Il faut prévenir la CNIL ? Qu'est-ce qu'on fait ?
Maître Romain MIRABILE, invité
Alors, il y a deux choses. Je pense qu'en matière de responsabilité, il n'y a pas tellement que la fuite de données qui est problématique. On a parlé tout à l'heure du fait de ne pas mettre de données confidentielles, de ne pas mettre de données personnelles. Et un dernier critère, c'est que quand vous fournissez une information qui est fausse à votre client, le responsable, c'est vous. Donc, il y a aussi une responsabilité qui est la première qui arrive. on l'a vu sur certains... cabinet de conseil à l'étranger notamment avec un cas qui s'est passé en Australie et au Canada. Donc il y a eu plusieurs cas. Donc ça c'est le premier point. Avant la fuite de données, c'est quand même plus rare. Le premier point c'est ça. Donc vérifiez l'information qui est fournie. Vous êtes responsable et donc c'est votre responsabilité professionnelle. Et en fait on revient aussi sur la même mécanique. Ça veut dire que vous êtes responsable et en direct avec vos clients, contractuellement vous êtes les seuls. Ça veut dire que même si votre sous-traitant est en faute, c'est ce qu'on appelle les actions récursoires. Ça veut dire que votre client... se plaindraient à vous, ils vous attaqueraient à vous et vous, vous vous retourneriez vers votre prestataire. Ensuite, on ferait jouer les jeux de responsabilité. Dans les faits en matière de RGPD, le responsable de traitement, ça reste quand même l'expert comptable, qui est très indépendant dans sa manière de travailler, etc. Éventuellement, il va avoir des sous-traitants. C'est pour ça que les DPA sont intéressants parce que le responsable de traitement, le Data Protection Agreement, le responsable de traitement, c'est un peu comme son annexe relative au transfert de données. Et donc, il va vérifier dans quel délai ils doivent apporter l'information si jamais il y a une fuite, Sous quel format ? Et il y a aussi une coopération qui doit être faite. Quelles sont les mesures qui avaient été mises en œuvre ? Quels étaient les sous-traitants ? On peut avoir un peu une cartographie comme ça, qui permet de s'assurer que le jour où il y a un problème, il y a une thématique. Mais dans les faits, vous serez responsable, et donc la responsabilité est variée. Ça serait soit si vous n'avez jamais contrôlé votre responsable, éventuellement de la responsabilité RGPD, soit ça serait de la responsabilité pénale, puisque vous avez fuité de la donnée. Voilà, c'est les mêmes responsabilités qu'on a évoquées un peu plus tôt, en fait. qui serait représenté par une faute de fuite de données.
Florian DUFOUR - Hôte
Certains me disent, je vous donne un exemple, j'ai entendu, c'est un petit dossier, ça vaut peut-être pas le coup que je le dise au client et de prévenir la CNIL.
Maître Romain MIRABILE, invité
Alors ça, c'est une grosse erreur. Il faut savoir qu'il y en a beaucoup qui déclarent pas les... Les fuites. Les fuites. Alors, une fuite, ça s'analyse quand même. On a une analyse qui doit être faite en amont de savoir si les risques, enfin en tout cas, si le droit des personnes est... est suffisamment impacté, etc. S'il y a beaucoup de clients qui sont concernés, pas beaucoup. Et en fonction de l'analyse, on voit s'il y a besoin de déclarer l'acnil. Donc la déclaration de l'acnil n'est pas obligatoire tout le temps. On peut considérer que, je ne sais pas, vous avez fait fuiter 2-3 mails. c'est pas un problème. Vous avez fait fuiter 2000 mails, on n'est pas au même niveau. Mais en fait, c'est ça qui va permettre de faire l'analyse. Donc, le réflexe, c'est surtout de déclarer si on considère que le risque est important. Ça ne veut pas dire que la CNIL va forcément venir vous voir, mais ça veut dire qu'à minima, vous avez fait les informations et en réalité, il vaut mieux déclarer dans les temps parce que ça n'envoie pas aussi des mauvais signals. Et si jamais il y a de la donnée qui a vraiment fuité et qu'elle se retrouve, on va savoir que c'est vous à un moment donné. Donc, de toute manière, il faut avoir le réflexe de déclarer s'il y a un sujet. Et ensuite, il y a la deuxième question, c'est ce que je déclare en plus aux personnes concernées, sachant qu'il y a deux points, c'est que vous avez à la fois de la responsabilité contractuelle, de la responsabilité professionnelle et de la responsabilité RGPD. Même si vous n'aviez peut-être pas une obligation de déclarer ce point-là, peut-être que vu que c'était de la donnée confidentielle, vous auriez peut-être une obligation contractuelle d'informer qu'il y a eu une fuite de données, mais vous considérez peut-être que ça n'a pas d'impact ou que ça ne sera pas grave, mais oui, il faut toujours faire l'analyse à minima, la documenter si on considère que ce n'est pas nécessaire, et ensuite, si c'est nécessaire, la déclarer.
Florian DUFOUR - Hôte
Un petit peu ce côté devoir de transparence.
Maître Romain MIRABILE, invité
Exactement. Sachant qu'il y a un point qu'on n'a pas abordé, c'est notamment aussi la transparence dans l'utilisation de l'IA.
Florian DUFOUR - Hôte
Exactement. On peut y aller si vous voulez.
Maître Romain MIRABILE, invité
Ce qui est assez intéressant, c'est qu'on a un sujet, c'est qu'en fait, l'IA Act, si je ne me trompe pas, l'article 50, prévoit une obligation de transparence. Et on a une problématique, c'est qu'à quel moment on doit avoir de la transparence ? Parce qu'en fait, on va utiliser au quotidien plusieurs IA. à différents niveaux, mais moi l'élément de critère que j'ai envie de garder en tête c'est est-ce que le service qui a été rendu a été uniquement rendu par le biais de l'IA ? Ça veut dire si vous développez des offres de services qui sont uniquement rendues par l'IA, pour des questions de compétitivité, etc., la question peut se poser de la communication. Ça veut dire que comme c'est rendu par l'IA, il faut que les personnes soient informées, etc. Quand c'est quelque chose qui est intégré dans vos process, que vous avez un contrôle sur ce qui est rendu, etc., la question peut se poser de ou pas intégrer l'IA. J'ai envie de dire, si c'est un outil comme Menode, vous n'allez pas forcément l'intégrer. Parce qu'à ce moment-là, tout le monde intègre une simple profilration de mail, c'est de l'IA. Le point, à mon avis, important, c'est l'absence de contrôle. C'est l'absence de contrôle et l'utilisation uniquement de l'IA. Là, ça peut poser une question. Et donc, oui, obligation de transparence, et notamment dans les lettres d'émission, dans les registres de traitement, etc. Pour l'instant, à ma connaissance, il n'y a pas de... En tout cas, il y a quelques mois, il n'y avait pas de modèle qui avait été mis à disposition par l'ordre des experts comptables. Je pense que c'est en train d'être réfléchi. après la question c'est plutôt commercial en fait, on en parlait encore tout à l'heure, c'est de dire finalement la plus-value perçue par les clients, le fait qu'il y a un service d'IA ça va être une réalité à un moment donné on ne va pas pouvoir cacher aux clients de manière indéfinie qu'on utilise de l'IA et qu'on fait des gains d'efficience. Est-ce que les gains d'efficience impliquent forcément une diminution du prix ? Pas forcément, c'est juste que les gains d'efficience peuvent être redirigés vers de l'accompagnement client, du suivi etc. Donc je ne suis pas Euh... J'ai pu voir certains comptes rendus dans plusieurs professions qui avaient tendance à dire qu'il faut que le gain d'efficience soit répercuté à 100% chez les clients. Je ne suis pas convaincu. Il faut que ça le soit un peu, parce qu'il y avait des fois des tarifs qui étaient abusifs parce que c'est trop long, mais la plus-value n'était pas là. Donc, il faut faire un équilibre entre les deux.
Florian DUFOUR - Hôte
Mais on voit que c'est en train de changer un petit peu. Toujours avoir ce côté un petit peu transparence, expliquer aux clients pourquoi on va économiser du temps. Et c'est pour passer plus de temps sur le dossier derrière pour de la plus-value.
Maître Romain MIRABILE, invité
De toute façon, l'IA... Une bonne utilisation de l'IA, moi je le vois dans mon métier, et c'est ce que j'essaye d'enseigner aussi aux personnes à qui j'enseigne, c'est de dire, une bonne utilisation de l'IA, c'est une IA réfléchie. Ça veut dire que vous ne faites que confier l'exécution même à l'IA. Le stratège, le décisionnaire, c'est vous. Et le gros piège, en fait, et c'est là où les clients ne comprendraient pas, ça veut dire que la réflexion est laissée à l'IA. Si vous dites à vos clients, en fait, la décision est prise, mais dans l'exécution même, on passe 20 minutes, 2 mois à rédiger quelque chose qui prend 3 minutes avec l'IA, ils vont comprendre. mais en tout cas la décision... doit être la vôtre et donc la responsabilité dans tous les cas est la vôtre aussi. Donc c'est ça la différence entre les deux. Je pense qu'il faut garder en tête le caractère décisionnaire et les clients seront complètement compréhensifs aussi. Si vous dites c'est moi qui prends la décision, c'est juste que je ne vais pas réinventer la roue à chaque fois et je vais utiliser une IA pour aller plus vite sur certains éléments.
Florian DUFOUR - Hôte
Est-ce que vous pourriez me donner un exemple, bien sûr anonymisé, d'une situation que vous avez rencontrée dans la pratique où un cabinet a peut-être pris des risques où on aurait peut-être pu éviter ou qui se rendent pas forcément compte.
Maître Romain MIRABILE, invité
Concrètement, en matière de risque... Il y a des risques qui sont publics. Il y a notamment un cas à la conférence des experts comptables annuelle où il y avait eu des fois des gens qui mettaient des fakes. Donc, il y a eu des éléments comme ça un peu publics. Donc, c'est un bon exemple. C'est souvent un exemple que je donne. Le risque, la plupart du temps, c'est justement l'absence de formation, l'utilisation d'IA qui ne sont pas documentées. Et en fait, moi, des fois, je fais des audits et je m'en rends compte. Ça veut dire que vous utilisez quelle IA ? On utilise l'IA du cabinet. J'ai dit, vous en utilisez d'autres ? Ah oui, moi j'en ai une en perso aussi. Ça, c'est un premier élément de risque. On ne sait pas vraiment ce qu'il fait. C'est une fuite de données. Mettre de l'information sur une IA qui n'a pas été documentée en interne, qui n'est pas au courant, qui est sur le compte du collaborateur, c'est un premier point. Ça, c'est un premier risque. Des fois, il y a un risque aussi de cloisonnement de l'information. Des IA qui sont partagées entre collaborateurs et on retrouve les informations qui ont été mises par d'autres collaborateurs alors qu'ils n'ont pas besoin d'en avoir connaissance. Et ensuite, des fois, c'est dans une optique d'optimisation, aller trop vite. sur le choix d'outils, en se disant il y a d'autres personnes qui le font, donc on devrait le faire nous aussi, sans forcément analyser le sujet et quand on analyse le sujet, en se posant un petit peu on se dit, je ne suis pas certain que le risque en vaut la chandelle et donc voilà la plupart du temps c'est quand même une absence de cartographie des IA qui sont un peu sauvages et un absence de contrôle en fait, parce qu'en fait il n'y a pas tellement un problème d'utiliser de l'IA, c'est juste un contrôle de savoir pourquoi, comment éventuellement sur quel sujet
Florian DUFOUR - Hôte
J'allais vous poser une question sur la partie humain et peut-être la place de la formation.
Maître Romain MIRABILE, invité
Oui. Alors, de manière générale, ce qu'il faut comprendre, c'est que ça reste un changement important. Ça veut dire qu'il y a eu beaucoup de craintes, etc. Il y avait une crainte du changement. Le changement, c'est un peu la mort d'une situation passée pour une nouvelle. Donc, il y a beaucoup de réticences, etc. Et des fois, il y a des gens qui le cachent de manière volontaire parce qu'ils se disent si jamais je le dis... On va comprendre qu'en fait, je ne suis pas aussi performant que ce que je l'entends. Et donc, voilà. Ça, c'est important à remettre en truc. Et la place de la formation, pourquoi ? Parce que c'est souvent le premier point d'entrée. Et c'est l'élément, ce qu'il faut comprendre, c'est qu'en matière de fuite de données, on considère que 70% des fuites de données sont des erreurs humaines. Donc, par défaut, la formation a un aspect central. L'avantage, c'est que quand on regarde les obligations de formation au titre de l'IA Act, il faut savoir que c'est une obligation de formation. Vous êtes sanctionné en pourcentage de votre chiffre d'affaires si vous ne le faites pas. Depuis février 2025, c'est le cas et les sanctions sont arrivées en août. Depuis août 2025, si vous ne formez pas vos collaborateurs qui utilisent de l'IA, qui sont déployeurs d'IA, concrètement au titre de l'IA Act, vous avez une sanction. Donc en fait, quoi qu'il arrive, il y a une obligation de formation. L'avantage, c'est que quand on regarde la Commission européenne et les indications sur les obligations de formation, ça n'a pas besoin d'être un professionnel accrédité, etc. Il faut juste que le professionnel mette à disposition des participants des informations assez transverses sur le fonctionnement, sur les risques, et que cette information et cette formation soient au niveau de l'implication de l'IA. Si c'est juste pour rédiger des mails, la formation n'est pas très longue. Si c'est pour coder, si ça peut avoir des impacts concrets sur l'activité, l'information est un peu plus longue pour bien expliquer. Ça, c'est un premier point. Et le deuxième point, on va probablement en parler, mais souvent, cette formation, elle se couple avec une documentation en interne, qui est notamment la chartilla. Il faut savoir que vous avez la chance d'avoir l'ordre des experts comptables qui ont produit certains modèles de chartes IA. Mais ça, c'est un premier élément parce qu'en fait, ce qui m'a pu déjà arriver de voir, c'est des gros cabinets d'expertise comptable qui en avaient mis en disposition. Et en fait, les collaborateurs n'étaient pas au courant parce qu'en fait, c'est perdu dans la masse de l'information. Et donc, cette formation-là doit s'accompagner d'une vraie présentation de ces documents-là qui vont permettre notamment de s'assurer, en plus de la formation qui va être faite à un instant T, que tous les nouveaux collaborateurs en ont eu connaissance, qu'elle soit opposable. On peut avoir une idée aussi de la... de l'annexer à la charte informatique et au règlement intérieur pour le rendre opposable et que ça soit qualifié de faute professionnelle si c'est un sujet. Mais voilà, souvent c'est à minima un document synthétique parce que la formation c'est bien mais on peut oublier. Et aussi une formation adaptée aux besoins. Donc ça peut être la DSI qui l'amène, ça peut être le responsable d'un pôle d'activité, ou ça peut être un externe, le DPO, un avocat, mais en tout cas il faut le faire. C'est souvent l'élément le plus important parce que dans les faits, les experts comptables ne sont pas quand même non plus et hyper impactés par la réglementation. C'est juste qu'ils utilisent de l'IA, donc ils doivent être transparents. Ensuite, c'est tous les éditeurs de logiciels qui ont les obligations en matière d'IA et de responsabilité. Ensuite, les obligations assez standards, c'est des obligations de RGPD au sens large. C'est la structure. Et les dernières obligations qui restent, qui sont des obligations d'éviter de faire n'importe quoi, ça, c'est aux collaborateurs. Donc, en fait, il n'y a que la formation qui permet de résoudre cet angle mort.
Florian DUFOUR - Hôte
Est-ce que c'est possible de mettre de l'IA un peu partout ? sans vraiment avoir, on va dire à la tête du cabinet, une vraie gouvernance ?
Maître Romain MIRABILE, invité
Non, parce qu'en fait, on s'en rend compte pour les grands utilisateurs d'IA. J'en fais partie, je tâtonne avec pas mal de sujets. Une IAP à guider. C'est pas bon. Ça veut dire qu'il y a souvent un guide à avoir dans l'utilisation de l'IA, etc. Dans les faits, là où il y a toujours une direction à donner, un contrôle à donner, et le point où je vois où les cabinets sont un peu en retard, c'est la processisation. Ça veut dire qu'une IA, pour qu'elle soit très performante, il faut que les process soient clairs, il faut que les éléments de vérification soient clairs, il faut que les éléments de contrôle soient clairs. Une IA qui possède déjà ces éléments-là va gagner à hauteur de 50 ou 100% d'efficience. sur une IA qu'il ne le serait pas. Donc en fait, non, il faut un contrôle au sens large. Et ensuite, surtout, il faut anticiper cette transformation qui va être, quoi qu'il arrive, inévitable. Ça veut dire qu'on va tous utiliser de l'IA dans l'activité. Le piège à avoir en tête, et elle est un peu impliquée par votre question, c'est que ce n'est pas une IA dans tout le cabinet. Ça veut dire que, de la même manière que si je vous demandais est-ce que toutes vos actions au quotidien ont besoin d'un outil ? Vous allez me dire, mais pas tout le temps. Parce qu'en fait, il y a des fois des outils qui sont plus usines à gaz, qui ne sont avantageux. C'est la même chose avec l'IA. Concrètement, vous allez plutôt tourner à 3 ou 5 IA grand maximum plutôt que 20. Ça veut dire qu'en fait, vous allez faire le choix en interne des IA. Donc, vous allez faire le déploiement. Et ensuite, s'il y a des éléments de contrôle à mettre en œuvre, vous allez peut-être processiser. Parce que moi, le gros problème que je vois, c'est que souvent, quand je dis entre deux personnes, un expert comptable, comment vous traitez un dossier, ils ne traitent pas de la même manière. Et donc, en fait, c'est ce contrôle-là qu'il faut réintroduire. donc je trouve que c'est un élément euh de bien faire en interne, de reposer les bases et ensuite derrière c'est la digitalisation, c'est la dernière étape du management moi je considère, donc on ne peut plus faire en optimisant les process en interne on passe par la machine, et donc il faut quand même garder que la plupart du temps la machine peut accélérer certaines digitalisations, mais ça reste normalement plutôt une dernière étape.
Florian DUFOUR - Hôte
Il ne faut pas le voir forcément comme un outil qu'on donne au collaborateur et tu joues avec et entre guillemets il va faire tout le travail. Non, non, non,
Maître Romain MIRABILE, invité
c'est pas parcimonie et surtout il faut savoir à quel moment l'utiliser et vous allez vous rendre compte surtout vous. qu'il y a des utilisations qui ne sont pas bonnes. Ça veut dire qu'il y a des utilisations avec l'IA qui ne fonctionnent pas bien. Et donc, vous allez faire la part des choses entre certaines missions qui peuvent être assistées par l'IA quasiment intégralement et vous ne faites que vérifier. Ça veut dire que vous allez gagner du temps. Certaines missions, c'est trop complexe pour être fait par une IA à 100%, mais il y a certaines parties où vous allez pouvoir simplifier. Typiquement, vous devez rédiger une analyse quelconque, etc. N'hésitez pas de temps en temps quand ce n'est pas confidentiel ou qu'il n'y ait pas d'éléments. que vous voulez expliquer une situation ou une règle de droit, dictez dans une IA pour qu'elle remette en forme. Il y a des fois des micro-tâches comme ça, sur une tâche plus complexe, qui permettent d'aller plus vite. Et donc il va falloir faire la part des choses entre les tâches, pas d'IA, trop compliquées, trop lourdes ou trop chères, il y a aussi la question du prix, les tâches où on fait même des IA grand public, du moment qu'on fait attention dans l'utilisation, permettent d'accélérer certaines petites micro-tâches, et les dernières tâches où là on se dit, il y a quelque chose à faire, l'IA fonctionne bien, si on met en place les bons process, les bons process de vérification, etc. de workflow, en gros, ça passe.
Florian DUFOUR - Hôte
Allez, on est presque à la fin. Mais avant de laisser nos éditeurs, on voudrait quand même pas les laisser dans l'angloise. Moi, j'aimerais que vous me donniez concrètement, pour la semaine prochaine, un expert comptable qui voudrait réduire ses risques ou mettre quelque chose en place, un peu dire.
Maître Romain MIRABILE, invité
Alors, le premier point, à mon avis, si vous voulez déjà réduire, c'est déjà cartographier ce qui est existant. En fait, on parlait de Shadow IAM, il y a un truc encore plus insidieux que ça. C'est qu'il faut comprendre que les jeunes générations, donc je considère en dessous de 30 ans, la jeune génération, a forcément de l'IA même si vous ne l'avez pas déployée en interne. Ça veut dire à minima un logiciel métier, enfin un logiciel chat GPT, etc. Donc déjà cartographier de savoir ce qui existe ou pas, pour voir si vous n'avez pas des gaps dans votre risque. En choisir à minima une, une grand public, si vous avez Microsoft, vous pouvez aller sur Copilot, un Mistral pour avoir du serveur français. C'est payant plutôt. Bien sûr, avoir des payantes, mais à minimum, avoir une grande publique, parce que c'est souvent celle qui permet de gagner le plus d'efficacité, parce qu'elle n'est pas efficiente sur des tâches très complexes, mais elle est suffisamment généraliste pour gagner un peu du temps. Ça, c'est un premier élément de risque. Éventuellement, quand vous le faites, documenter un peu toute la documentation qui peut y avoir. Ça, c'est un deuxième élément. Mettre en place une chartilla, ça coûte... C'est pas très long, ça fait deux, trois pages. associés à une heure de formation, en tout cas une heure de, même si ce n'est pas une formation à proprement parler, un brainstorming pour rappeler les principes, pour voir un petit peu si tout le monde a compris comment ça fonctionnait. Souvent, par exemple, il y a des experts comptables qui oublient le fonctionnement d'une IA pure. Une IA pure, ça induit la réponse la plus probable. Sauf que quand vous commencez à faire des calculs sur une IA, l'IA ne calcule pas naturellement. Ça veut dire qu'elle peut faire appel à d'autres logiciels. Mais il y a plein de fonctionnements comme ça où on se rend compte pourquoi il y a des erreurs, des hallucinations. Voilà, cette sensibilisation. sur les risques inhérents à la technologie et les risques juridiques. Ça, c'est un premier point. Chartier, on en a parlé. Et éventuellement, si on voulait sécuriser un petit peu en matière de responsabilité, on se poserait la question peut-être d'être un peu transparent dans le contexte de lettres de mission ou de la documentation RGPD pour documenter ce qui est fait en interne pour que derrière, on ne puisse pas être embêté si jamais on a une erreur quelconque, un collaborateur qui aurait mal vérifié, qu'il y aurait une erreur insérée par l'IA.
Florian DUFOUR - Hôte
Merci en tout cas d'être venu et de pouvoir partager tout ça. Où est-ce qu'on pourrait vous suivre sur les réseaux sociaux ? Qu'est-ce que vous faites comme projet pour l'année ?
Maître Romain MIRABILE, invité
Projet pour l'année ? Là, je continue toujours les formations. De toute façon, expert comptable, je pense qu'on a encore des choses à faire. On est passé à l'étape d'après. Ça veut dire qu'on n'est plus tellement sur la sensibilisation, on est sur la mise en pratique. Donc l'idée, c'est toujours d'accompagner la profession sur ces thématiques-là. Et donc après... Pour me suivre, c'est tout simplement LinkedIn à Romain Mirabile, où je publie quand même pas mal de retours d'expérience ou de rappels sur la réglementation dans les différents métiers. Et l'actualité, ça va être, j'ai pas mal de clients maintenant, vu qu'il y a une simplicité aussi d'intégration de l'IA en interne, parce que les gens ne développent plus LLM, c'est dans leur accompagnement sur l'intégration de l'IA, sur la sécurisation à la fois RGPD-IA et d'autres réglementations, typiquement Data Act. Donc il y a encore pas mal de sujets sur la digitalisation. Maintenant, la data est devenue présente partout. Et donc, il y a un gros enjeu de sécurisation, peu importe le secteur d'activité. Donc, ça va être en gros mon actualité de l'année. C'est cette accélération, parce que tout le monde maintenant a cette data à disposition. Donc, elle veut la mettre dans des IA. Donc, il faut tout sécuriser.
Florian DUFOUR - Hôte
Merci à vous.
Maître Romain MIRABILE, invité
Merci à vous.
Florian DUFOUR - Hôte
N'oubliez pas que l'IA, du coup, on le voit, c'est important pour nous. Mais qu'il faut le faire de manière intelligente, avec le secret pro, le RGPD, l'AI Act. Mais c'est faisable. Allez, à bientôt.

About CodEC - Le podcast tech des experts-comptables

Anciennement "Marketing du cabinet comptable", ce podcast devient CodEC pour mieux refléter sa mission : décoder l'innovation comptable.

🎙️ CodEC : Le podcast qui décode l'innovation comptable

Bienvenue sur CodEC, le podcast tech des experts-comptables qui veulent rester à la pointe de l'innovation.

🎯 La promesse

🎙️ Le programme

⚡ Le format

• Durée : 30 - 35 minutes chrono

• Fréquence : 1 fois par mois

Parfait pour écouter pendant : votre trajet domicile-cabinet, votre pause café, votre séance de sport

👨‍💼 Qui suis-je ?

💡 Pourquoi "CodEC" ?

CodEC = CODeur/DECodeur + Expert-Comptable

Dans l'informatique, un codec transforme des données brutes en quelque chose de compréhensible et d'utilisable. C'est exactement ce que fait ce podcast :

• On DÉCODE l'innovation tech (qui peut sembler complexe)

• On l'ENCODE dans votre quotidien de cabinet (de manière actionnable)

🎯 Pour qui ?

🚨Merci à mon partenaire de la saison 5 : SAGE 🔗la solution comptable des EC

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About CodEC - Le podcast tech des experts-comptables

Anciennement "Marketing du cabinet comptable", ce podcast devient CodEC pour mieux refléter sa mission : décoder l'innovation comptable.

🎙️ CodEC : Le podcast qui décode l'innovation comptable

Bienvenue sur CodEC, le podcast tech des experts-comptables qui veulent rester à la pointe de l'innovation.

🎯 La promesse

🎙️ Le programme

⚡ Le format

• Durée : 30 - 35 minutes chrono

• Fréquence : 1 fois par mois

Parfait pour écouter pendant : votre trajet domicile-cabinet, votre pause café, votre séance de sport

👨‍💼 Qui suis-je ?

💡 Pourquoi "CodEC" ?

CodEC = CODeur/DECodeur + Expert-Comptable

Dans l'informatique, un codec transforme des données brutes en quelque chose de compréhensible et d'utilisable. C'est exactement ce que fait ce podcast :

• On DÉCODE l'innovation tech (qui peut sembler complexe)

• On l'ENCODE dans votre quotidien de cabinet (de manière actionnable)

🎯 Pour qui ?

🚨Merci à mon partenaire de la saison 5 : SAGE 🔗la solution comptable des EC

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed