11 février 2026Calcul en cours...

Commerce agentif : cinq questions que les conseillers juridiques internes doivent se poser

Auteurs

Cet article est le deuxième de notre série en deux volets sur l’IA agentive pour les conseillers juridiques internes.

L’IA agentive, qui désigne les systèmes d’intelligence artificielle capables de planifier et d’exécuter des tâches de façon autonome, de prendre des décisions et d’interagir avec divers systèmes afin d’atteindre des objectifs prédéfinis et précis, apparaît de plus en plus comme la prochaine étape dans l’évolution de l’intelligence artificielle. Le commerce agentif applique cette capacité au magasinage et aux achats, en permettant aux agents d’IA de coordonner des opérations avec des détaillants en ligne et, souvent, de les exécuter entièrement (p. ex., un assistant d’IA qui surveille le prix des vols et réserve automatiquement des billets dès que leur prix devient inférieur à un certain montant).

Pour permettre l’utilisation de l’IA agentive à grande échelle, les entreprises élaborent et adoptent des protocoles en sources ouvertes qui établissent une terminologie universelle applicable aux outils des consommateurs, aux plateformes des entreprises et aux fournisseurs de services de paiement. Par exemple, en janvier 2026, Google a publié son protocole de commerce universel (Universal Commerce Protocol ou UCP), qui a été élaboré en collaboration avec plusieurs partenaires du commerce en ligne et qui est désormais approuvé par plus de 20 partenaires mondiaux, dont des réseaux de paiement, des entreprises de traitement des paiements et de grands détaillants. Le protocole UCP est intégré au protocole de paiement agentique (Agent Payments Protocol ou AP2) de Google, qui a été lancé à l’automne dernier. Ce protocole faisait suite au protocole Agentic Commerce Protocol d’OpenAI, qui permet aux utilisateurs de ChatGPT d’effectuer des achats directement auprès de certains vendeurs en ligne sans quitter le clavardage.

Alors que ces normes sectorielles sont sur le point d’être mises en œuvre et que les organisations se demandent si elles devraient les adopter, nous vous présentons cinq questions que les conseillers juridiques internes de toutes les organisations qui prennent part à des opérations agentives – y compris les commerçants, les réseaux, les émetteurs de paiements, les utilisateurs d’agents et les fournisseurs d’agents – doivent se poser.

  1. Comment le consentement aux opérations initiées par l’IA sera-t-il obtenu et prouvé?
  2. Quelles données seront traitées dans le cadre du commerce agentif et comment le consentement relatif aux renseignements personnels sera-t-il obtenu?
  3. Quelles limites les lois, les règlements ou les pratiques exemplaires imposent-ils au commerce agentif?
  4. Qui est responsable des erreurs des agents d’IA, des fraudes et des autres opérations contestées?
  5. Quelles mises à jour faut-il apporter aux politiques ou procédures internes pour participer au commerce agentif?

Dans un premier temps, les conseillers juridiques internes doivent bien comprendre les aspects du commerce agentif que leur organisation cherche à mettre en place. Le commerce agentif peut comprendre différentes fonctionnalités. Par exemple, l’UCP a été conçu pour être modulaire, de sorte que les entreprises peuvent choisir les capacités (comme les capacités de paiement, de commande et de confirmation d’identité) ou les extensions de fonctionnalités (comme les rabais) qu’elles souhaitent intégrer. Comprendre la portée de l’initiative en question est essentiel pour répondre aux questions fondamentales indiquées ci-dessous et conseiller sur les risques applicables.

1. Comment le consentement aux opérations initiées par l’IA sera-t-il obtenu et prouvé? 

Lorsqu’ils examinent les initiatives liées au commerce agentif, les conseillers juridiques internes doivent se demander comment le consentement aux opérations initiées ou exécutées par des agents d’IA sera obtenu et prouvé – et si des exigences supplémentaires doivent être imposées au commerçant ou au fournisseur de services de paiement pour limiter le risque que l’acheteur conteste l’opération.

Selon les modèles actuels de commerce agentif, les utilisateurs peuvent préautoriser certaines opérations, ce qui permet aux agents d’effectuer des achats en leur nom. Toutefois, d’autres opérations peuvent nécessiter le consentement en temps réel de l’utilisateur a) si ce dernier n’a pas préalablement autorisé l’agent à agir en son nom, ou b) si la réglementation, les politiques du commerçant ou d’autres facteurs exigent que des renseignements supplémentaires ou une confirmation expresse soient obtenus auprès de l’utilisateur.

Par exemple, l’UCP exige une preuve cryptographique du consentement de l’utilisateur pour chaque opération. Lorsqu’une session de paiement est créée, le commerçant intègre un mandat cryptographique indiquant les conditions de l’opération (p. ex., le prix et le type d’article). Lorsque l’achat est confirmé, le mandat cryptographique est signé à l’aide d’une clé produite par l’assistant d’IA ou par les renseignements figurant dans le portefeuille numérique de l’utilisateur.

2. Quelles données seront traitées dans le cadre du commerce agentif et comment le consentement relatif aux renseignements personnels sera-t-il obtenu?

Dans le cadre des processus de commerce agentif, des renseignements – et probablement des renseignements personnels sur les consommateurs – seront nécessairement recueillis, utilisés communiqués et conservés. En plus de traiter les renseignements de base sur les opérations (p. ex., les renseignements de vérification du paiement et les renseignements sur la session, l’appareil ou le navigateur), certains outils peuvent également utiliser des renseignements aux fins d’analyse des données, de marketing et de vente de données. Ces objectifs supplémentaires peuvent déclencher l’application de diverses mesures de protection des renseignements personnels, comme l’obligation d’obtenir le consentement express et le droit de retirer son consentement.

Les conseillers juridiques internes doivent déterminer les données qui sont recueillies, communiquées et conservées par l’intermédiaire de ces systèmes et se demander si cela soulève des préoccupations liées à la vie privée. Les protocoles actuels, y compris l’UCP, recommandent explicitement d’obtenir un avis juridique sur les questions relatives à la vie privée et au consentement. Voici les principaux éléments dont il faut tenir compte :

  • Le consentement est déclaratif : le protocole communique le consentement, mais ne le met pas en application. Les commerçants et/ou les plateformes de commerce électronique demeurent responsables d’appliquer le type de consentement choisi par les utilisateurs et de veiller au respect des obligations en matière de protection de la vie privée.
  • Le consentement appliqué doit correspondre au choix réel des utilisateurs, et non aux valeurs par défaut de la plateforme. Les plateformes ne doivent pas présumer que l’utilisateur a consenti sans action explicite de sa part. Lorsqu’une opération est entièrement automatisée, les plateformes devront peut-être utiliser par défaut l’option de consentement la moins permissive (p. ex., celle n’exigeant pas le retrait du consentement pour l’analyse des données). Cela pourrait réduire l’efficacité de certains modèles d’affaires qui prévoient la collecte et le traitement de données à des fins secondaires.
  • Chaque entreprise détermine le comportement à adopter en l’absence de consentement. Le protocole n’impose pas de réponse standard lorsqu’aucun consentement n’est donné : les entreprises doivent décider de leur propre ligne de conduite, en tenant compte des lois régionales applicables en matière de protection de la vie privée.

La manière dont les organisations pourront obtenir un consentement valable et démontrable pour les achats entièrement autonomes demeure incertaine, surtout compte tenu des exigences des lois sur la vie privée en matière d’avis.

3. Quelles limites les lois, les règlements ou les pratiques exemplaires imposent-ils au commerce agentif?

En fonction de l’opération, le commerce agentif peut être soumis à diverses exigences légales et réglementaires, notamment :

  • Les lois sur la protection des consommateurs qui limitent les circonstances dans lesquelles des achats entièrement autonomes peuvent être effectués (p. ex., un contrat prévoyant l’exécution continue d’obligations ne pourra peut-être pas être exécuté par l’intermédiaire du commerce agentif), et qui exigent un contrôle approprié de l’âge et des mesures de protection supplémentaires pour les mineurs.
  • Les lois sur la protection de la vie privée qui exigent de déterminer si les personnes qui utilisent un agent peuvent donner un consentement valide à la collecte et à l’utilisation de leurs données.
  • Les règlements relatifs aux produits, telles que les restrictions sur la vente ou l’achat agentif de biens réglementés (p. ex., l’alcool et les produits de cannabis) ou sur l’importation ou l’exportation de certains produits.
  • Les obligations relatives à la lutte contre le blanchiment d’argent et à la connaissance du client qui exigent la vérification de l’identité de l’acheteur.

4. Qui est responsable des erreurs des agents d’IA, des fraudes et des autres opérations contestées?

Une autre question importante est celle de l’attribution de la responsabilité dans les cas où un utilisateur soutient qu’une opération initiée par un agent d’IA est erronée, frauduleuse ou non intentionnelle. Les conseillers juridiques internes doivent tenir compte des éléments suivants :

  • Les dispositions relatives aux consommateurs traitent-elles des opérations initiées par l’IA? Il est probable que les dispositions relatives aux consommateurs présupposent que les opérations sont initiées par des utilisateurs humains. Les conseillers juridiques internes doivent déterminer s’il y a lieu d’ajouter des dispositions pour traiter la question de la responsabilité à l’égard des opérations initiées par l’IA.
  • Comment faut-il gérer les opérations non autorisées et les opérations non intentionnelles? Les opérations peuvent être contestées pour différentes raisons, et les contestations ne seront donc pas toutes traitées de la même manière. Par exemple, les organisations peuvent établir une distinction entre une activité non autorisée (comme la fraude ou les opérations effectuées par un agent malhonnête qui dépassent la portée des instructions fournies) et une activité non intentionnelle (comme les opérations qu’un utilisateur humain n’avait pas l’intention d’effectuer, même si elles étaient raisonnables compte tenu des instructions ou autorisations fournies à l’agent d’IA).
  • Comment la responsabilité est-elle attribuée? Dans le commerce électronique, une matrice d’acteurs participe aux opérations. Le commerce agentif complexifie cette matrice. En cas d’allégation de fraude ou d’erreur de l’agent, comment le risque sera-t-il réparti entre les différents acteurs, à savoir le commerçant, le réseau, l’émetteur du paiement, l’utilisateur humain et le fournisseur de l’agent? Certains risques peuvent être répartis entre ces acteurs conformément à un contrat; d’autres peuvent être régis par des lois ou des règlements (p. ex., les lois sur la protection des consommateurs).
  • L’assurance du consommateur couvre-t-elle l’opération contestée? Il faut évaluer si l’assurance du consommateur s’applique aux opérations contestées. Par exemple, si le différend porte sur l’achat de billets d’avion, il faut déterminer si le consommateur dispose d’une assurance annulation de voyage indépendante ou d’une assurance similaire par l’intermédiaire de sa carte de crédit et si cette protection s’applique lorsque le consommateur conteste le voyage au motif qu’il ne voulait pas faire la réservation à la date ou pour l’itinéraire en question.
  • Les mécanismes existants de règlement des différends sont-ils suffisants? Il faut examiner les mécanismes de règlement des différends qui sont actuellement en place pour répondre aux préoccupations liées au commerce électronique et déterminer s’ils permettent de résoudre les préoccupations liées au commerce agentif.

5. Quelles mises à jour faut-il apporter aux politiques ou procédures internes pour participer au commerce agentif?

Les conseillers juridiques internes doivent examiner et mettre à jour les documents suivants :

  • Les politiques et procédures existantes, y compris les politiques externes de protection de la vie privée, les politiques internes de traitement et d’utilisation des données ainsi que les procédures de traitement des demandes présentées par les personnes concernées.
  • Les plans d’intervention en cas d’incident et de continuité des activités, afin d’inclure les risques tels que le piratage des agents ou la réception d’instructions inexactes.
  • Les énoncées et les lignes directrices sur la propension à prendre des risques, en particulier en ce qui concerne la gestion par des tiers lorsque l’IA agentive est développée ou gérée par des fournisseurs externes.
  • Les polices d’assurance, afin de tenir compte des risques technologiques émergents.

Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.

Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.

Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Bryn Turnbull.

© Torys, 2026.

Tous droits réservés.
 

Catégories

LinkedInPDFEmail
Copy URLOuvre un nouvel onglet

Inscrivez-vous pour recevoir les dernières nouvelles

Restez à l’affût des nouvelles d’intérêt, des commentaires, des mises à jour et des publications de Torys.

Inscrivez-vous maintenant
LinkedIn