La défense selon laquelle l'agent a agi seul se referme

Pendant un temps, l'hypothèse confortable était qu'un système autonome n'engageait clairement la responsabilité de personne. Cette faille est en train d'être comblée. La loi californienne AB 316, en vigueur depuis le 1er janvier 2026, interdit à un défendeur qui a développé, modifié ou utilisé un système d'IA de soutenir que le système a causé le préjudice de manière autonome. La loi n'invente pas de nouvelle responsabilité stricte - un demandeur doit toujours prouver que l'IA a causé un préjudice prévisible - mais elle supprime l'échappatoire consistant à accuser la machine comme un acteur distinct.

Le Royaume-Uni est parvenu à la même destination par une voie plus directe. Le 9 mars 2026, la Competition and Markets Authority a publié des orientations indiquant que les mêmes règles s'appliquent que vous utilisiez des agents IA ou humains, et que vous êtes responsable de ce que fait un agent IA de la même manière que vous êtes responsable de ce que fait un employé. Surtout, les orientations ajoutent que cela reste vrai même si quelqu'un d'autre a conçu ou fournit l'agent pour votre compte. Deux systèmes juridiques différents, un message cohérent pour l'entreprise qui déploie.

Une attaque par un tiers ne déplace pas la perte hors de vos comptes

Le cas le plus délicat survient lorsque l'agent n'est pas simplement dans l'erreur mais manipulé. Les analystes juridiques décrivent le pilotage par injection de prompt, où des annonces, publicités, avis ou contenus de page compromis orientent un agent vers le mauvais vendeur, des quantités gonflées ou un prix plus élevé. Il est tentant de traiter cela comme la faute d'un tiers. Selon la grille de lecture des régulateurs, cela ne fonctionne pas ainsi : si l'agent que vous avez déployé fait quelque chose qui enfreint le droit de la consommation, la responsabilité vous incombe de la gérer, de la même manière que vous répondriez d'un employé qui a été trompé dans l'exercice de ses fonctions.

C'est pourquoi la supervision est désormais une obligation réelle plutôt qu'un agrément facultatif. Les orientations de la CMA attendent un humain véritablement dans la boucle, vérifiant activement que l'agent se comporte comme prévu et respecte la loi, ainsi qu'un suivi régulier de ses performances. Un agent qui valide des paiements ou parle à des clients sans une personne capable de détecter et d'annuler ses erreurs n'est pas seulement un risque opérationnel - c'est une exposition que vous avez acceptée du côté de la relation client.

Votre fournisseur a probablement déjà exclu le coût

C'est ici que de nombreux dirigeants sont pris au dépourvu. L'entreprise qui a construit ou fournit votre agent a généralement rédigé son contrat pour se décharger du risque. Clifford Chance notait en février 2026 que les fournisseurs livrent habituellement le logiciel en l'état, en excluant l'exactitude, la fiabilité et l'adéquation à l'usage, et que de nombreuses conditions d'IA précisent qu'il ne faut pas se fier aux résultats produits. Si l'agent fixe un mauvais prix sur un produit, autorise par erreur un paiement à un fournisseur ou envoie un message trompeur, les clauses d'exclusion du fournisseur l'exonèrent souvent - tandis que les régulateurs maintiennent fermement la responsabilité à votre charge.

Les exclusions tendent à couvrir précisément les préjudices qu'un agent défaillant produit : pertes de bénéfices, amendes réglementaires, perturbation de l'activité et atteinte à la réputation. Aussi, avant un incident, trois points méritent d'être vérifiés en termes clairs. Qui supporte réellement la perte le long de la chaîne contractuelle lorsque l'agent se trompe. Si votre supervision est suffisamment réelle pour satisfaire un régulateur. Et si vous pouvez produire la preuve de ce qui s'est passé - provenance de la commande, étapes de confirmation, preuve de livraison - si un client conteste ensuite ce que l'agent a fait en son nom.