Une cour constate qu’un agent IA peut violer les lois fédérales et étatiques en accédant aux comptes Amazon sans autorisation
Une cour du district nord de Californie a établi, au stade de l’injonction préliminaire, que lorsque un site web interdit aux agents d’intelligence artificielle (IA) d’accéder aux comptes utilisateurs, l’accès continu par ces agents peut violer les lois étatiques et fédérales, même si l’utilisateur a accordé la permission à l’agent.
Le cas
Dans une affaire opposant Amazon à un fournisseur d’IA, Amazon a allégué qu’un agent d’IA avait été configuré pour accéder aux comptes protégés par mot de passe des utilisateurs d’Amazon. Les utilisateurs pouvaient demander à cet agent de naviguer et même d’acheter des produits en leur nom. Les conditions de service d’Amazon stipulent que les agents d’IA doivent s’identifier et limiter leur accès uniquement aux parties publiques du site. Amazon a prétendu que l’agent avait violé ces conditions en accédant au site en étant connecté sans s’identifier et que ses actions étaient indiscernables de celles d’un utilisateur humain.
La décision
Le 9 mars 2026, le juge a accordé à Amazon une mesure d’injonction préliminaire, estimant qu’Amazon était susceptible de gagner son affaire sous la loi fédérale sur la fraude et l’abus informatique ainsi que la loi californienne sur l’accès aux données informatiques. Un point central de l’affaire était de savoir si le consentement de l’utilisateur à l’accès de l’agent IA constituait une autorisation suffisante ou si les conditions de service du site prédominaient. La cour a tranché en faveur d’Amazon sur ce point, concluant que l’accès de l’agent n’était pas autorisé malgré la permission accordée par l’utilisateur.
La cour a noté qu’Amazon avait envoyé une lettre de cessation et d’abstention au fournisseur d’IA, renforçant sa position selon laquelle l’accès continu aux comptes des utilisateurs était non autorisé. La cour a interdit au fournisseur d’accéder aux systèmes protégés d’Amazon en utilisant des agents IA et a ordonné la suppression des données des clients collectées.
Implications pour les sites web
Les sites qui souhaitent empêcher les agents IA d’accéder aux données de compte ou d’effectuer des achats au nom des utilisateurs pourraient vouloir rédiger des conditions explicites interdisant ce comportement. Ils pourraient également exiger que les agents IA s’identifient comme tels, afin de traiter le trafic des agents différemment des visiteurs humains. Si les agents violent ces conditions, les sites pourraient envoyer des lettres de cessation et d’abstention pour renforcer leur argument selon lequel l’accès est non autorisé.
Implications pour les agents IA
Les fabricants d’agents IA qui accèdent à des comptes protégés par mot de passe doivent être conscients de cette décision et de ses implications potentielles. Le jugement suggère que les actions violant les conditions de service d’un site peuvent donner lieu à des réclamations et que le consentement de l’utilisateur peut ne pas suffire lorsque l’opérateur du site a expressément révoqué cette autorisation. Cependant, il s’agit d’une décision préliminaire, et des arguments contraires existent, notamment sur la question de savoir si les conditions de service devraient l’emporter sur la décision de l’utilisateur d’autoriser un agent à agir sur son compte. L’appel pourrait apporter plus de clarté sur ces questions.
