Oregon SB 1546 : La première loi sur les chatbots avec de véritables sanctions
Si votre entreprise utilise un outil alimenté par l’IA qui se souvient des interactions avec les clients, pose des questions de suivi et maintient des conversations personnelles — même si vous l’avez licencié auprès d’un fournisseur tiers — la nouvelle loi sur la sécurité des chatbots de l’Oregon pourrait s’appliquer à vous. La loi SB 1546, qui a été adoptée par les deux chambres le 5 mars avec un soutien presque unanime, crée un droit d’action privé avec des dommages-intérêts statutaires de 1 000 $ par violation. Si la gouverneure Kotek signe le projet de loi, il entrera en vigueur le 1er janvier 2027.
Quelles sont les exigences de l’Oregon SB 1546 ?
Le projet de loi cible les “compagnons IA”, qu’il définit largement :
[Un système] qui utilise l’intelligence artificielle, l’intelligence artificielle générative, ou des algorithmes qui reconnaissent les émotions à partir des entrées et qui [est] conçu pour simuler une relation ou un compagnonnage humain semblable à un lien platonique, intime ou romantique avec un utilisateur.
Pour tous les utilisateurs, les opérateurs doivent :
- divulguer l’implication de l’IA,
- découvrir les expressions d’idéation suicidaire,
- interrompre la conversation pour fournir des références de crise, et
- déposer des rapports annuels auprès de l’Autorité de la santé de l’Oregon.
Pour les mineurs, les opérateurs doivent également :
- fournir des rappels horaires sur l’IA,
- s’abstenir de contenu sexuellement explicite, et
- éviter les techniques conçues pour créer une dépendance émotionnelle.
L’interruption obligatoire de la conversation est unique à l’Oregon — la loi SB 243 de Californie exige des protocoles de référence de crise mais pas d’interruption active. Cette distinction est importante au niveau du produit : l’interruption nécessite une classification d’intention en temps réel, une tâche probabiliste avec des taux d’erreur inhérents.
À qui cela s’applique-t-il ?
Un système est qualifié de “compagnon IA” s’il remplit un test en trois points :
- (a) [conserve] des informations provenant d’interactions antérieures ou de sessions utilisateurs et de préférences utilisateur pour personnaliser les interactions et faciliter l’engagement continu ;
- (b) [pose] des questions non sollicitées ou inattendues qui ne sont pas des réponses directes aux entrées utilisateurs et qui concernent des sujets émotionnels ;
- (c) [maintient] un dialogue continu concernant des questions personnelles pour l’utilisateur.
Les entreprises les plus susceptibles d’être prises au dépourvu ne sont pas les fournisseurs d’IA — ce sont des entreprises qui ont intégré des outils d’IA dans des flux de travail orientés vers le client ou les employés sans suivre l’évolution de ces outils.
Quels sont les risques juridiques ?
Le droit d’action privé établit un seuil bas pour la légitimité et un plafond élevé pour les dommages :
Une personne qui subit une perte d’argent ou de biens ou un autre préjudice en raison d’une violation … peut intenter une action … [pour] des dommages de 1 000 $ par violation.
La loi ne définit pas “violation”. Si chaque session de conversation compte, l’exposition est substantielle. Si chaque message dans une session compte, la réclamation d’un seul utilisateur pourrait atteindre des dizaines de milliers de dollars et une action collective pourrait atteindre des dizaines de millions.
Que doivent faire les entreprises maintenant ?
Auditez votre pile de fournisseurs. Les entreprises peuvent souhaiter cartographier chaque outil IA tiers dans le support client, l’engagement des patients, les ressources humaines et la planification financière par rapport à la définition en trois points — en particulier les outils qui ont ajouté des fonctionnalités de personnalisation ou d’engagement émotionnel par le biais de mises à jour récentes.
Examinez les contrats des fournisseurs. Les accords de fournisseur précédant la SB 1546 ne couvrent presque certainement pas l’interruption de conversation obligatoire ou les obligations de référence de crise.
Vérifiez votre assurance. Il peut être judicieux de revoir les polices E&O technologiques et cybernétiques pour confirmer que les réclamations de dommages-intérêts statutaires liés aux chatbots et les lacunes d’indemnisation des fournisseurs sont couvertes.
L’Oregon est un indicateur de tendance, pas un cas isolé. Avec 78 projets de loi sur les chatbots dans 27 États en 2026, une législation similaire suivra. Le droit d’action privé représente un changement structurel : lorsque tout utilisateur peut intenter une action pour des dommages statutaires, l’économie de la conformité évolue de “surveiller et répondre” à “prévenir ou payer”.