The Intersection of Agentic AI and Emerging Legal Frameworks

L'évolution de l'intelligence artificielle (IA) a donné naissance à des systèmes capables de prendre des décisions de manière autonome, appelés IA agentique. Alors que l'IA générative « crée » essentiellement (en fournissant du contenu tel que du texte, des images, etc.), l'IA agentique « agit » (en effectuant des tâches telles que la recherche et la commande de produits en ligne). Ces systèmes commencent à faire leur apparition dans des applications destinées au grand public, notamment Agentforce de Salesforce et Gemini 2.0 de Google.

Alors que l'IA agentielle continue de se développer, les systèmes juridiques doivent s'adapter pour faire face aux risques et tirer parti des avantages des systèmes d'IA capables de réfléchir de manière plus logique et d'agir plutôt que de simplement guider ou créer. Des initiatives telles que la California Consumer Privacy Act (CCPA) et ses modifications proposées pour les technologies de prise de décision automatisée (ADMT) mettent en évidence les moyens mis en œuvre par les régulateurs pour garantir la confidentialité et la responsabilité à l'ère de l'IA.

Utilisations pratiques de l'IA agentique

Les systèmes agentifs poursuivent des objectifs complexes en utilisant un raisonnement sophistiqué avec une supervision humaine limitée. Contrairement aux systèmes d'IA générative traditionnels qui répondent à des invites, l'IA agentive peut exécuter des tâches en utilisant des tiers comme « agents » de l'utilisateur. Par exemple, lorsqu'on lui demande de réserver un vol, une IA agentique accède aux bases de données des vols, recherche les vols disponibles en fonction des préférences et du budget de l'utilisateur, évalue les compromis en termes de prix et de durée du voyage, puis réserve finalement le vol en interagissant avec le système de réservation de la compagnie aérienne et en saisissant toutes les informations nécessaires pour le passager.

D'autres applications dans divers secteurs incluent les soins de santé, où elle peut aider au diagnostic des maladies en analysant les données des patients et l'imagerie médicale, et la finance, en permettant la détection des fraudes et l'évaluation des risques de crédit grâce à des analyses de données avancées. Les entreprises de vente au détail peuvent également utiliser l'IA agentique pour personnaliser les expériences d'achat, en recommandant des produits en fonction du comportement des utilisateurs.

Au niveau des consommateurs, les gadgets portables dotés d'une IA agentique, tels que Rabbit R1, ont initié les consommateurs aux premières étapes de la prise de décision autonome. L'appareil a démontré comment l'IA agentique peut naviguer dans des applications tierces et effectuer des tâches telles que commander de la nourriture ou réserver des trajets via des commandes vocales. À petite échelle, comme dans ce cas, les invites mal comprises ont des conséquences mineures pour les utilisateurs, pouvant éventuellement entraîner une erreur de livraison ou l'envoi d'un chauffeur de covoiturage au mauvais endroit. Cependant, lorsqu'elles sont appliquées à un scénario d'utilisation plus complexe, les conséquences d'une invite mal comprise sont amplifiées.

Comprendre l'IA agentique et sa gouvernance

Si les entreprises seront probablement en mesure de rationaliser leurs flux de travail et d'économiser des ressources, les implications juridiques et éthiques du déploiement de tels systèmes dans les fonctions en contact avec les consommateurs doivent être examinées avec soin. Par exemple, l'intégration de l'IA agentique dans l'examen, la modification et (bientôt) la négociation des contrats juridiques soulève un certain nombre d'implications importantes qui exposent les entreprises et les consommateurs à des risques accrus liés à l'automatisation de documents juridiquement contraignants sans supervision humaine ni jugement nuancé.

ADMT et cadres réglementaires émergents

L'Agence californienne de protection de la vie privée (CPPA) a proposé un ensemble de normes nationales visant à réglementer les technologies de prise de décision automatisée (ADMT) afin de répondre aux préoccupations croissantes concernant l'IA agentielle. Définie dans le cadre de la loi californienne sur la protection de la vie privée des consommateurs (CCPA), l'ADMT comprend « toute technologie qui traite des informations personnelles et utilise un calcul pour exécuter une décision, remplacer la prise de décision humaine ou faciliter considérablement la prise de décision humaine »[1]. Il est important de noter que la définition de « faciliter considérablement la prise de décision humaine » précise que l'ADMT inclut les cas où son résultat sert de facteur clé dans le processus de prise de décision humaine.

Cependant, la CCPA exclut de cette définition certaines technologies qui n'exécutent pas de décisions de manière indépendante ou n'influencent pas de manière significative la prise de décision humaine. Il s'agit par exemple d'outils basiques tels que les correcteurs orthographiques ou les calculatrices, qui organisent ou calculent des données sans prendre de décisions autonomes.[2] Ces distinctions établissent l'accent réglementaire sur les systèmes d'IA agentifs (appelés ADMT) capables de prendre des décisions de manière indépendante ou d'influencer fortement la prise de décision.

Audits de cybersécurité

La règle proposée impose des audits réguliers en matière de cybersécurité aux entreprises qui traitent des informations personnelles présentant des risques importants pour la sécurité des consommateurs. Les « risques importants » s'appliquent aux entreprises qui répondent à des critères spécifiques, à savoir celles qui tirent plus de 50 % de leurs revenus annuels de la vente d'informations sur les consommateurs ou du traitement d'informations sensibles sur les consommateurs ou les ménages. Ces entreprises sont tenues de se soumettre chaque année à des audits sans faille, réalisés par un professionnel qualifié, objectif et indépendant, couvrant tous les aspects du programme de cybersécurité de l'entreprise afin d'identifier les lacunes, de documenter les conclusions et d'élaborer des plans pour remédier à toute faiblesse.[3]

Pour les cas d'utilisation de l'IA et de l'ADMT, l'article 9 de la règle proposée oblige les entreprises qui utilisent les technologies ADMT à adopter une approche proactive en matière de sécurité et de gestion des risques. Par exemple, les banques qui utilisent les technologies ADMT dans le processus d'automatisation de l'octroi de prêts traitent des informations sensibles sur les consommateurs. Une violation pourrait exposer les antécédents de crédit ou les numéros de sécurité sociale des consommateurs, entraînant un vol d'identité ou une fraude financière. La proposition de règle visant à mettre en place des audits de cybersécurité rigoureux permettrait d'identifier les vulnérabilités dans le stockage et le traitement des données, réduisant ainsi les accès non autorisés et les violations de données.

Évaluations des risques

S'appuyant sur les exigences en matière de cybersécurité de la règle proposée, l'article 10 met l'accent sur la gestion des risques pour la vie privée des consommateurs pour les entreprises qui utilisent des systèmes ADMT et d'IA. Ces évaluations sont requises pour les tâches à haut risque qui nécessitent un profilage approfondi, telles que les décisions relatives à la solvabilité, à l'admissibilité aux soins de santé, à l'admission dans des programmes universitaires et à l'embauche.[4] Les entreprises doivent employer des responsables de la conformité pour mener des évaluations des risques afin de déterminer « si les risques pour la vie privée des consommateurs liés au traitement des informations personnelles l'emportent sur les avantages pour le consommateur, l'entreprise, les autres parties prenantes et le public ».[5]

Ce test de mise en balance est particulièrement important pour les cas d'utilisation de l'IA et de l'ADMT dans des domaines tels que le recrutement ou le profilage des clients, où le risque de partialité ou de préjudice doit être mis en balance avec l'efficacité opérationnelle. Par exemple, les entreprises qui utilisent l'ADMT pour effectuer des évaluations émotionnelles afin de déterminer qui embaucher doivent procéder à une évaluation des risques, car elles utilisent l'ADMT « pour une décision importante concernant un consommateur »[6]. Un outil de recrutement basé sur l'ADMT qui affecte de manière disproportionnée certaines catégories démographiques devrait démontrer que ses avantages l'emportent sur ces risques, sous peine d'être suspendu en vertu de l'article 10.

Les évaluations des risques doivent être mises à jour tous les trois ans ou chaque fois que des changements importants surviennent dans la technologie ou les activités de traitement des données.[7] Cela garantit que les modèles d'IA restent conformes à mesure qu'ils évoluent. Ces dispositions imposent de trouver un équilibre entre la protection de la vie privée et l'innovation afin de garantir que les systèmes ADMT soient déployés de manière responsable et éthique.

Transparence et responsabilité

Renforçant l'accent mis sur la cybersécurité à l'article 9 et le cadre prospectif de gestion des risques à l'article 10, l'article 11 établit des règles pour les entreprises qui utilisent l'ADMT afin d'imposer la transparence, l'équité et le contrôle par les consommateurs.

L'article 11 impose aux entreprises de fournir aux consommateurs, avant toute utilisation, un avis détaillant l'objectif de l'utilisation de l'ADMT, ses résultats potentiels et les droits des consommateurs à se désinscrire ou à accéder à la logique et aux résultats du système.[8] L'objectif est d'assurer la transparence dans la manière dont les données personnelles sont traitées et utilisées par les entreprises, afin de permettre aux consommateurs de conserver leurs droits sur leurs données.

Outre la transparence, l'article 11 impose aux entreprises l'obligation d'évaluer les performances des systèmes ADMT, afin de s'assurer qu'ils fonctionnent comme prévu et n'entraînent pas de discrimination illégale[9]. Cela comprend le test des systèmes pour détecter les biais et la vérification de la qualité de leurs résultats. En établissant ces exigences, l'article 11 vise à renforcer la responsabilité dans le déploiement des ADMT tout en protégeant les droits des consommateurs[10].

Risques associés à l'IA agentique

L'utilisation de l'IA agentique comporte plusieurs risques, tels que les biais dans la prise de décision, qui peuvent conduire à des résultats injustes, en particulier dans les scénarios d'embauche ou d'octroi de prêts. En outre, une dépendance excessive à l'égard des systèmes autonomes peut entraîner des perturbations opérationnelles en cas de défaillance des systèmes ou de résultats erronés. La sécurité des données reste une préoccupation majeure, avec l'exposition potentielle d'informations sensibles à des violations ou à des utilisations abusives.

Stratégies d'atténuation et de gestion

Pour faire face à ces risques, les entreprises doivent mettre en place des processus rigoureux de test et de validation afin de détecter et de corriger les biais. Le recours à des mesures de cybersécurité robustes, telles que le chiffrement et les audits réguliers, peut atténuer les menaces pesant sur la sécurité des données. Des mécanismes de contrôle humain doivent être intégrés afin de valider les décisions critiques prises par l'IA agentive, garantissant ainsi la responsabilité et la fiabilité. En outre, les entreprises doivent investir dans la formation continue de leur personnel afin qu'il comprenne et gère efficacement les systèmes d'IA.

Les réglementations proposées par la CCPA fournissent un cadre réglementaire pour régir l'adoption et l'intégration de l'IA agentielle et de l'ADMT. Le livre blanc d'OpenAI publié en décembre 2023 souligne qu'avec une gouvernance appropriée, l'IA agentielle peut améliorer la productivité tout en garantissant la sécurité et la fiabilité.

Un processus rationalisé utilisant des outils agences pour réduire le temps consacré au développement de l'engagement des consommateurs et aux tâches juridiques courantes promet des gains d'efficacité significatifs pour les entreprises. Les exigences en matière de cybersécurité réduisent le risque de préjudice pour les consommateurs en protégeant les données personnelles contre les violations et en renforçant la fiabilité des processus basés sur l'IA, en particulier dans les affaires juridiques impliquant des informations confidentielles sur les clients. L'accent mis par l'article 10 sur l'évaluation des risques s'appuie sur cette base, exigeant des entreprises qu'elles évaluent les risques par rapport aux avantages.

La réglementation garantit que les innovations en matière d'IA agentique restent équitables et conformes aux normes éthiques. En outre, les dispositions relatives à la transparence visent à renforcer la surveillance des systèmes d'IA agentique afin de garantir qu'ils soient non seulement efficaces, mais aussi compréhensibles pour les utilisateurs finaux. À mesure que les systèmes d'IA agentique se développent pour des scénarios de prise de décision plus complexes, la transparence permettra aux régulateurs et aux parties privées d'exercer un certain contrôle sur les systèmes.

Cependant, ce potentiel de transformation s'accompagne de nouveaux risques que les réglementations proposées par la CCPA pourraient ne pas couvrir. Comme c'est souvent le cas avec les nouvelles technologies, la loi est en retard sur l'innovation. Lorsque les entreprises se précipitent pour adopter l'IA agentique, l'absence de surveillance crée des risques en termes de fiabilité réduite des résultats, de vulnérabilité accrue face à des décisions complexes et de déplacements de main-d'œuvre. Les menaces liées à la cybersécurité restent une préoccupation urgente, et les coûts de mise en conformité ainsi que la complexité opérationnelle peuvent entraver l'adoption généralisée de cette technologie et ouvrir la voie à des lacunes juridiques. Le test de mise en balance prévu à l'article 7154(a) – qui consiste à évaluer les risques pour la vie privée par rapport aux avantages opérationnels – peut être subjectif, laissant place à des litiges juridiques. De même, les obligations de transparence prévues à l'article 11 obligent les entreprises à divulguer la logique qui sous-tend les décisions automatisées, ce qui peut créer des conflits entre les droits des consommateurs et la protection de la propriété intellectuelle.

Conclusion

L'IA agentique offre un potentiel transformateur, mais soulève d'importants défis juridiques et éthiques. Les réglementations proposées par la CCPA fournissent une base pour traiter ces questions en mettant l'accent sur la cybersécurité, l'évaluation des risques et la transparence. À mesure que les cadres juridiques évoluent pour suivre le rythme de l'innovation, il sera essentiel de trouver un équilibre entre la responsabilité et le progrès afin de garantir que l'IA agentique soit déployée de manière responsable et équitable.

La mise en œuvre de cadres de gouvernance solides est essentielle pour naviguer dans les complexités de l'IA agentique. Ces cadres guident le développement et le déploiement des modèles d'IA, en favorisant l'utilisation de données robustes, impartiales et de haute qualité pour obtenir des résultats. Ils réduisent également les risques de non-conformité en établissant des lignes directrices et des normes claires qui alignent les systèmes d'IA sur les exigences légales et réglementaires, garantissant ainsi que les solutions d'IA fonctionnent de manière éthique et légale. De plus, l'intégration de l'IA agentielle dans divers secteurs nécessite un changement de paradigme vers une conception inclusive et une innovation démocratique. Cela implique d'aller au-delà du simple « ajout » des groupes marginalisés aux discussions sur l'IA et de veiller à ce que la diversité des points de vue fasse partie intégrante du développement de l'IA. En impliquant des parties prenantes issues de diverses disciplines, nous pouvons développer de nouvelles théories, de nouveaux cadres d'évaluation et de nouvelles méthodes pour naviguer dans la nature complexe de l'éthique de l'IA, orientant ainsi le développement de l'IA dans une direction bénéfique et durable.

[1] Voir § 7001 (f).

[2] Voir § 7001. Définitions (f)(4).

[3] Voir § 7120 ; § 7121 ; § 7122 ; § 7123.

[4] Voir § 7150(a)(3)(A).

[5] Voir § 7152(a).

[6] Voir § 7150(c)(1).

[7] Voir § 7155(a)(2).

[8] Voir § 7220(a)/(c) ; § 7222.

[9] Voir § 7201(a)(1).

[10] Voir § 7201(a)(2).

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.

Un homme d'âge moyen, barbu et moustachu, vêtu d'un costume sombre, d'une chemise blanche et d'une cravate bleue, se tient devant un arrière-plan flou de bureau d'avocats, souriant à l'appareil photo.

[email protected]

Jacksonville 904.359.8745

[email protected]

Washington, D.C. 202.295.4180

Perspectives connexes

Voir tous les articles

18 décembre 2025 Aperçu des technologies innovantes

Centres de données : le rôle de l'IA et des semi-conducteurs dans la transformation d'un secteur

Centres de données : le rôle de l'IA et des semi-conducteurs dans la transformation d'un secteur Points clés à retenir L'IA génère une demande sans précédent en matière de données...

17 décembre 2025 Perspectives sur les technologies innovantes

Dix questions fréquentes sur la « cryptomonnaie » pour les dirigeants d'entreprise

Qu'est-ce que la « crypto » ? Le terme « crypto » est l'abréviation de « cryptographic asset » (actif cryptographique), qui désigne généralement un actif numérique dont...

11 décembre 2025 Aperçu des technologies innovantes

L'OCC publie une nouvelle lettre d'interprétation favorable aux cryptomonnaies : admissibilité des transactions sans risque sur des actifs cryptographiques principaux

Le 9 décembre 2025, le Bureau du contrôleur de la monnaie (OCC) a publié la lettre d'interprétation 1188 (IL 1188), confirmant qu'une banque nationale est autorisée, dans le cadre de ses activités bancaires, à effectuer des transactions sans risque sur des crypto-actifs principaux.

L'intersection entre l'IA agentique et les cadres juridiques émergents