AI Act pour les e-commerçants : qui est responsable quand un agent IA se trompe ?

Clara Martin

Clara Martin

7 min de lecture
Partager
AI Act pour les e-commerçants : qui est responsable quand un agent IA se trompe ?
Her - Spike Jonze

Nous sommes nombreux·ses à travailler quotidiennement avec des agents IA, mais la plupart d’entre nous utilisons des systèmes sans vraiment en mesurer la portée sur nos boutiques e-commerces.

Imaginons le scénario suivant :

Sidekick, l’assistant IA de Shopify répond à un client qu’une commande ne peut pas être remboursée, alors qu’elle le peut.

Qui est responsable ?

  • Shopify ?
    ❌ Non, du moins, pas entièrement.
  • Vous ?
    ⚖️ En tant que marchand, vous avez activé l’outil, configuré ses paramètres. C'est vous qui l’avez laissé interagir avec vos clients.

Vous avez déployé un système dont vous ne tenez pas complètement les rênes mais vous en êtes pourtant légalement responsable.

Implications et dépendances

L’AI Act, c'est quoi exactement ?

Adopté en 2024, applicable progressivement de 2025 à 2028, l'AI Act est le premier cadre légal européen à réguler les systèmes d'intelligence artificielle non pas comme technologie, mais selon leurs usages et leur niveau de risque.

A l’instar du RGPD en 2018, cette loi s’inscrit dans la mouvance européenne de chercher à réguler les technologies avant que leurs effets ne deviennent incontrôlables.

Une même logique

L'objectif est de poser des règles du jeu pour qu’elles soient communes, on protège les citoyens et on évite que les pratiques les plus risquées ne se démocratisent faute de cadre.

Le périmètre géographique est le même que pour le RGPD, il s’applique à toute organisation qui déploie des systèmes d’IA auprès d’utilisateurs européens, quelle que soit la nationalité de l’entreprise.

Un Shopify Canadien, un outil SaaS Americain, une app thaïlandaise — dès lors que le système est mis sur le marché, mis en service ou utilisé en lien avec l’Union européenne (par exemple, si ses résultats sont utilisés dans l’UE), l’AI Act s’applique, même si l’entreprise est hors UE
(source : Article 2 EUAIA).

Cette réglementation classe les systèmes en trois niveaux :

  • Les usages interdits : manipulation comportementale, surveillance biométrique de masse, notation sociale.
  • Les usages à hauts risques : le scan de CV de candidats par exemple
  • Les systèmes à usage général : comme les grands modèles de langages sur lesquels s’appuient la plupart de nos outils du quotidien.

Il distingue deux acteurs:

  • Le "fournisseur". C’est celui qui conçoit et distribue le système d’IA :
    Anthropic, OpenIA, etc.
  • Le "déployeur". Celui qui rend le système disponible dans un contexte réel, face à de vraies personnes. C'est ici que responsabilités concernent directement les e-commerçants.

Le cadre est en place, mais il est déjà dépassé par la réalité.

Fuite en avant

Les angles morts du texte

L’AI Act a été pensé pour encadrer des systèmes définis, stables, documentés et prévisibles.

Mais les agents autonomes, des systèmes capables d'enchaîner des décisions et d'agir sans validation humaine, comme OpenClaw, un agent open-source capable d'envoyer des emails, passer des commandes ou modifier des fichiers à votre place, ne sont pas vraiment définis dans le texte.

L’explosion de ces architectures s’est faite avec une vélocité que le législateur n’a pas pu anticiper.

Lorsqu’un agent utilise un modèle de langage, qui fait appel à une API tierce, qui déclenche une action dans une boutique, quel maillon de cette chaîne est responsable ?

L’AI Act ne le dit pas clairement.

L’AI Act demande aux déployeurs une surveillance continue de ce que fait le système qu’il utilise.

Lorsque Shopify met à jour Sidekick (ses capacités, ses données d'entraînement, ses comportements) personne n’est consulté. Le système qui avait été audité le mois dernier, n’est plus tout à fait le même. C’est la zone grise la plus inconfortable, le déployeur assume une responsabilité légale sur un système qu’il ne contrôle pas entièrement.

Ghala Vasylenko’s video installation, Genii Loci, 2022. Photo by Charles-Arthur Feuvrier

Ce que les incidents révèlent

L’AI Act pose donc un cadre.

Mais entre le texte de loi et la réalité d’un marchand, il y a un espace nommé par les juristes comme “zone grise” et par les équipes, comme “la vraie vie”.

Voici quelques incidents récents qui permettent de comprendre où ça a pu coincer, pas pour faire peur, mais pour se poser les bonnes questions avant de déployer.

Les cas qui nous font réfléchir

Air Canada et la politique de remboursement fantôme.

En 2024, un tribunal canadien à condamné Air Canada à rembourser un client, après qu’un chatbot lui ait communiqué une politique tarifaire erronée.

L’argument “c’est le bot qui l’a dit, pas nous” n’a pas tenu.

Le déployeur reste responsable de ce que son agent affirme.
CBC News, février 2024

Qui veut gagner des pourcentages ?

Sur reddit un vendeur en ligne témoigne : son chatbot configuré pour répondre aux questions clients fonctionnait très bien pendant 6 mois.

Puis un client a passé une heure à échanger avec l’IA.

D’abord sur ces capacités en calculs de pourcentage “pour voir”. Puis la discussion a glissé sur des remises sur une commande fictive.

Le chat programmé pour être utile et agréable a finis par générer un faux code promo: 25% d’abord, puis 80% à mesure qu’elle “essayait d’en faire plus”. Le client a passé une commande de £8 000, réclamant l’application de la remise (Reddit, r/LegalAdviceUK).

Ce n’est pas une erreur technique mais simplement le résultat d'un modèle qui est optimisé pour satisfaire face à quelqu’un qui a du temps.

Trois canaux, trois politiques.

Un cas documenté par Swept.ai en mars 2026, illustre un problème de cohérences multi-agents.

Un retailer avait déployé des agents distincts sur son site, son email et son chat mobile.

Les trois communiquaient des délais de retours différents : 14, 21 et 30 jours selon le canal.

Aucun “faux” au sens technique, mais les clients comparaient.
Résultat: une escalade des litiges et une perte de confiance pour la marque.

Claude code et la base de données supprimée.

En mars 2026, le développeur Andrey Grigorev partage publiquement un incident avec l’agent d’Anthropic.

En tentant de “nettoyer” un environnement, il a supprimé une base de données de production, perdant ainsi 2.5 années de données.

L’agent avait les droits, mais pas le discernement.
tomshardware Mars 2026

Comportement attendu

Aucun de ces incidents ne relève du bug au sens classique.

Les systèmes ont fonctionné comme prévu et c’est précisément ça le problème. Ce qui manquait : des limites claires sur ce qu’un agent peut affirmer, promettre, modifier ou supprimer sans validation humaine.

L’AI Act nomme ça la "supervision humaine".

L’AI Act est déjà là.

Les obligations pour les déployeurs existent, mais les outils pour s’y conformer sont encore en pleine définition et le calendrier instable.

En avril 2026 le Parlement européen a voté le report de plusieurs échéances, les obligations pour les systèmes à haut risque glissent à fin 2027 par exemple.

Certaines obligations de transparence restent prévues pour 2026.

Et tant que le Conseil de l'UE n'a pas formellement validé ce report, les dates initiales restent techniquement actives.

En parallèle les agents se déploient vite, très vite.

Les assistants de supports automatisés, les outils de personnalisation pilotés par IA. Ils sont déjà dans les workflows de beaucoup d’e-commerçants, sans avoir besoin d’attendre une date d’entrée en vigueur pour les activer.

Le risque n’est pas de se faire sanctionner demain par l’IA Act. C’est de croire que l’absence de sanction signifie l’absence de responsabilité.

Les exemples cités plus haut relèvent du droit de la consommation, de la responsabilité contractuelle, du droit commun. Un chatbot qui promet une remise erronée engage le marchand aujourd'hui, avec ou sans le règlement européen.

"Speed" by NKCHU

Les questions à se poser avant de déployer un agent

  • Mon agent peut-il faire des promesses commerciales ?
  • Quelle est la politique en cas d’erreur de l’agent ?
    • Qui est responsable côté équipe ?
  • Mon déploiement actuel est-il documenté, indépendamment de l'échéance réglementaire ?
  • Si un client conteste une réponse de l'agent, ai-je une trace exploitable de l'échange ?
  • Est-ce que mes différents agents communiquent des informations cohérentes ?

Comment suivre les actualités du sujet ?

Voici quelques ressources pour rester informé :

Le signal à ne pas ignorer

L’AI Act classifie les systèmes, encadre les fournisseurs mais laisse beaucoup d’espaces autour des usages opérationnels du quotidien. C’est la réalité de tout cadre réglementaire face à une technologie qui évolue plus vite que les textes.

Mais ce règlement pose des fondations de nos usages de demain.

Ce qui se construit dessus, les pratiques, les garde-fous, les réflexes, reste à définir par ceux qui déploient ces outils au quotidien.

Ça commence par une question simple, à vous poser dès aujourd'hui :

À quel moment mon agent peut-il agir sans ma validation ?

Lire la suite